Resumen Ejecutivo
El OWASP Top 10 sirve como el ranking definitivo de la industria sobre riesgos de seguridad de aplicaciones web. El 6 de noviembre de 2025, OWASP publicó la edición 2025—la primera actualización importante desde 2021. Esta no es solo una revisión incremental; refleja cambios fundamentales en el panorama de amenazas y cómo pensamos sobre la seguridad de aplicaciones.
Dos nuevas categorías encabezan la actualización: Fallos en la Cadena de Suministro de Software (A03) aborda la creciente amenaza de dependencias comprometidas, paquetes maliciosos y pipelines de build manipulados. Manejo Inadecuado de Condiciones Excepcionales (A10) reconoce que cómo fallan las aplicaciones es tan importante como cómo funcionan. Mientras tanto, el Control de Acceso Roto mantiene su posición en el #1, mientras que la Mala Configuración de Seguridad saltó del #5 al #2.
Más allá de los rankings, la edición 2025 representa un cambio filosófico de síntomas a causas raíz. Donde las versiones anteriores podían señalar 'Exposición de Datos Sensibles', el nuevo marco identifica 'Fallos Criptográficos'—la debilidad subyacente que permite la exposición. Este informe analiza cada categoría, explica los cambios en el ranking y proporciona orientación accionable para programas de seguridad que se adaptan al nuevo marco.
2021 vs 2025: Comparación Completa de Rankings
La actualización 2025 reorganiza varias categorías e introduce dos nuevas entradas. Entender estos cambios ayuda a priorizar las inversiones en seguridad.
| Ranking 2025 | Categoría | Ranking 2021 | Cambio | CWEs |
|---|---|---|---|---|
| A01 | Control de Acceso Roto | #1 | Estable (SSRF fusionado) | 40 |
| A02 | Mala Configuración de Seguridad | #5 | +3 posiciones | 16 |
| A03 | Fallos en Cadena de Suministro de Software | NUEVO | Prioridad #1 de la comunidad | 5 |
| A04 | Fallos Criptográficos | #2 | -2 posiciones | 32 |
| A05 | Inyección | #3 | -2 posiciones | 38 |
| A06 | Diseño Inseguro | #4 | -2 posiciones | — |
| A07 | Fallos de Autenticación | #7 | Estable | 36 |
| A08 | Fallos de Integridad de Software/Datos | #8 | Estable | — |
| A09 | Fallos de Logging y Alertas | #9 | Estable (renombrado) | 5 |
| A10 | Manejo Inadecuado de Condiciones Excepcionales | NUEVO | 24 CWEs consolidados | 24 |
A01:2025 – Control de Acceso Roto
Manteniendo su posición en el #1 por segunda edición consecutiva, el Control de Acceso Roto sigue siendo el riesgo de seguridad de aplicaciones web más crítico. En 2025, SSRF ha sido fusionado en esta categoría.
Prevalencia: 3.73%
De todas las aplicaciones probadas, el 3.73% exhibieron vulnerabilidades de control de acceso roto. Con más de 318,000 ocurrencias, tiene la mayor tasa de ocurrencia.
40 CWEs Cubiertos
La categoría más grande incluye CWE-200 (Exposición de Información Sensible), CWE-352 (CSRF), y ahora CWE-918 (SSRF).
94% de Cobertura de Pruebas
Casi todas las aplicaciones (94%) fueron probadas para control de acceso roto, demostrando conciencia en toda la industria.
SSRF Ahora Incluido
Server-Side Request Forgery, anteriormente A10:2021, ha sido fusionado en Control de Acceso Roto.
A02:2025 – Mala Configuración de Seguridad (Subió desde #5)
El cambio de ranking más dramático en 2025 ve a la Mala Configuración de Seguridad subir del quinto al segundo lugar. Esto refleja un reconocimiento creciente de que muchos incidentes de seguridad no provienen de exploits sofisticados sino de errores básicos de configuración que crean condiciones explotables.
Esta categoría abarca configuraciones por defecto sin cambiar, características innecesarias habilitadas, mensajes de error verbosos que filtran información, headers de seguridad faltantes, software desactualizado y permisos de almacenamiento en la nube inseguros. El ascenso al #2 envía un mensaje claro: las organizaciones deben tratar la gestión de configuración como una función crítica de seguridad.
Con 16 CWEs afectando al 3.00% de las aplicaciones probadas, las malas configuraciones a menudo representan fruta al alcance de la mano para los atacantes. No requieren herramientas especializadas ni exploits zero-day—solo la paciencia para sondear debilidades comunes.
La preocupación #1 de la comunidad se convierte en una categoría oficial. Los ataques a la cadena de suministro explotan la confianza en dependencias, sistemas de build y canales de distribución. Incidentes notables incluyen SolarWinds (2020), Log4j (2021) y XZ Utils (2024). Aunque esta categoría tiene la menor cantidad de ocurrencias de datos (5 CWEs), tiene las puntuaciones promedio más altas de exploit e impacto—haciendo que los ataques exitosos sean catastróficamente dañinos. Las organizaciones deben verificar la integridad de los componentes, monitorear actualizaciones de dependencias e implementar análisis de composición de software.
La Decadencia de la Inyección: Del #1 al #5
Las vulnerabilidades de inyección, una vez el rey indiscutible de los riesgos de aplicaciones web, han caído del #1 (2017) al #3 (2021) al #5 (2025). Esta decadencia refleja mejoras genuinas de seguridad.
Adopción de Frameworks
Los frameworks modernos con consultas parametrizadas, prepared statements y capas ORM han hecho estructuralmente más difícil introducir inyección SQL.
Análisis Estático
Las herramientas SAST detectan efectivamente patrones de inyección durante el desarrollo, capturando vulnerabilidades antes de producción.
Educación de Desarrolladores
Dos décadas de campañas de concientización han hecho de la prevención de inyección una habilidad fundamental enseñada en cada capacitación de seguridad.
A04:2025 – Fallos Criptográficos (Bajó desde #2)
Los Fallos Criptográficos bajaron dos posiciones al #4, aunque esto no indica importancia reducida. Más bien, el ascenso de la mala configuración y las preocupaciones de cadena de suministro lo han desplazado relativamente. Con 32 CWEs y una tasa de prevalencia del 3.80%, las debilidades criptográficas siguen siendo significativas.
Esta categoría aborda fallos en la protección de datos en reposo y en tránsito: algoritmos débiles, gestión inadecuada de claves, entropía insuficiente, protocolos obsoletos y bypass de validación de certificados. El énfasis en 'fallos' en lugar de 'exposición' refleja el cambio de OWASP hacia las causas raíz.
A10:2025 – Manejo Inadecuado de Condiciones Excepcionales (NUEVO)
La segunda nueva categoría reconoce que cómo fallan las aplicaciones importa tanto como cómo funcionan.
Esta categoría contiene 24 CWEs enfocados en manejo impropio de errores, errores lógicos, fallos abiertos, condiciones de carrera y otros escenarios derivados de condiciones anormales. Cuando los sistemas encuentran entradas o estados inesperados, su modo de fallo determina si un atacante obtiene acceso.
Los sistemas seguros 'fallan cerrados'—cuando algo sale mal, deniegan acceso. Los sistemas inseguros 'fallan abiertos'—los errores resultan en controles evadidos. Un ejemplo clásico: un sistema de login que otorga acceso cuando la base de datos de autenticación es inalcanzable.
Los mensajes de error verbosos revelan stack traces, esquemas de base de datos, rutas de archivos y lógica interna. Los atacantes usan esta información para refinar ataques. Los sistemas de producción deben mostrar errores genéricos mientras registran detalles del lado del servidor.
Las vulnerabilidades de time-of-check to time-of-use (TOCTOU) permiten a los atacantes explotar la brecha entre cuando una condición se verifica y cuando se actúa sobre ella. Estos errores lógicos pueden evadir autenticación, autorización y controles financieros.
Estas debilidades anteriormente se agrupaban bajo 'mala calidad de código', pero su impacto en la seguridad amerita un enfoque dedicado. A medida que las aplicaciones se vuelven más complejas con arquitecturas distribuidas, el número de condiciones excepcionales—y oportunidades para mal manejarlas—ha explotado.
La edición 2025 prioriza explícitamente las causas raíz sobre los síntomas. Las versiones anteriores a veces las mezclaban—'Exposición de Datos Sensibles' describe lo que pasó, no por qué. El marco 2025 pregunta: ¿qué debilidad subyacente permitió el resultado? Esto cambia las conversaciones de seguridad de respuesta a incidentes ('los datos fueron expuestos') a prevención ('la criptografía estaba mal configurada'). Para los practicantes, esto significa abordar las categorías en su origen en lugar de tratar manifestaciones individuales.
Qué Significa Esto para Su Programa de Seguridad
Implementar Análisis de Composición de Software
Con los fallos de cadena de suministro ahora en A03, necesita visibilidad continua de las dependencias. Despliegue herramientas SCA que identifiquen componentes vulnerables, detecten paquetes maliciosos y alerten sobre violaciones de integridad.
Priorizar la Gestión de Configuración
El salto de la Mala Configuración de Seguridad al #2 demanda atención. Implemente líneas base de configuración, automatice la verificación de cumplimiento y trate la deriva de configuración como un incidente de seguridad.
Fortalecer las Pruebas de Control de Acceso
El Control de Acceso Roto en el #1 con más de 318,000 ocurrencias significa que su modelo de control de acceso necesita pruebas rigurosas. Implemente pruebas de autorización automatizadas y verifique cada endpoint.
Revisar Patrones de Manejo de Errores
La nueva categoría de Condiciones Excepcionales requiere revisar cómo fallan sus aplicaciones. Audite el manejo de errores para filtración de información, verifique el comportamiento de 'fallo cerrado' y pruebe las condiciones de carrera.
Actualizar Materiales de Capacitación
Si su capacitación de desarrolladores todavía enfatiza la inyección como el riesgo #1, actualícela. Enfoque la capacitación en control de acceso, configuración y las nuevas categorías.
Alinear Reglas WAF con Categorías 2025
Asegure que su conjunto de reglas del Web Application Firewall aborde todas las categorías 2025. Los conjuntos de reglas heredados optimizados para inyección pueden subestimar la detección de control de acceso y mala configuración.
Protección TR7 en Todo el OWASP Top 10:2025
Control de Acceso Roto
Políticas de control de acceso granulares, detección de BOLA/IDOR, prevención de SSRF y protección CSRF defienden contra el riesgo #1.
Mala Configuración de Seguridad
Guía de hardening de seguridad, alertas de configuración por defecto y aplicación de headers ayudan a prevenir el riesgo #2.
Defensa contra Inyección
Reglas WAF avanzadas detectan intentos de inyección SQL, NoSQL, comandos de SO y LDAP con análisis de comportamiento.
Aplicación Criptográfica
Terminación SSL/TLS con suites de cifrado modernas, gestión de certificados y aplicación de protocolos.
Protección de Manejo de Errores
Páginas de error personalizadas, supresión de stack traces y detección de anomalías para ataques basados en errores.
Monitoreo en Tiempo Real
Logging exhaustivo, alertas y analíticas aseguran cumplimiento A09 mientras proporcionan visibilidad en todas las categorías de ataque.
Referencias y Fuentes
OWASP Top 10:2025 RC1 - Fuente principal para definiciones de categorías, estadísticas y cambios de metodología. https://owasp.org/Top10/2025/0x00_2025-Introduction/
Página oficial del proyecto con versiones históricas y materiales suplementarios. https://owasp.org/www-project-top-ten/
Análisis enfocado en desarrolladores de los cambios 2025. https://www.aikido.dev/blog/owasp-top-10-2025-changes-for-developers
Perspectiva de la industria sobre qué cambió y lo que necesita saber. https://www.fastly.com/blog/new-2025-owasp-top-10-list-what-changed-what-you-need-to-know
Inmersión profunda en la nueva categoría de cadena de suministro. https://eclypsium.com/blog/owasp-top-10-2025-software-supply-chain-risk/
Alinee Su Seguridad con OWASP 2025
El OWASP Top 10:2025 reconfigura cómo priorizamos la seguridad de aplicaciones web. La plataforma de seguridad integrada de TR7 proporciona defensa en profundidad contra las diez categorías.
Explorar Protección WAF