La última parte de 2025 nos ha traído un nuevo ranking de OWASP Top 10 (aún como candidato, pero ya consultable), en un trabajo de actualización cuatro años y que nos permite visualizar las principales amenazas de seguridad en la web. Este ranking adhiere a normas como PCI-DSS e ISO 27001 y permite establecer estándares de seguridad para las empresas y como marco de referencia para empresas de seguridad y auditores.
Antes de entrar en la lista, veamos qué es el OWASP y como se crea el ranking Top 10.
¿Qué es OWASP?
OWASP (owasp.org) es una organización sin fines de lucro dedicada a mejorar la seguridad del software a nivel global. Su misión es hacer que la seguridad de las aplicaciones sea visible y accesible para todos, promoviendo prácticas y herramientas de seguridad de código abierto.
Cómo se crea el ranking OWASP Top10
Uno de los proyectos más conocidos de OWASP es el ranking OWASP Top 10, que consiste en identificar las 10 vulnerabilidades web más críticas y que se actualiza periódicamente cada cuatro años.
El ranking nació el 2003 ante la necesidad de consensuar las principales vulnerabilidades que tenían los sistemas web y de priorizar los esfuerzos de seguridad de las empresas.
Las fuentes que nutren el ranking son cientos de organizaciones, reportes de incidentes públicos, encuestas a la comunidad de ciberseguridad, consultoras de seguridad entre otras.
Los datos se sistematizan basados en su frecuencia, impacto potencial y distinguiendo las nuevas tendencias.
Finalmente, se recopilan unos 500 mil reportes de vulnerabilidades que se agrupan en 23 categorías (año 2021) y son consolidadas en las 10 principales.
Como datos curiosos, el 94% de las aplicaciones probadas para el ranking 2021 tenían alguna vulnerabilidad dentro de las Top 10.
Otro caso que llama la atención es la vulnerabilidad A03-2021 injection, que llevaba 10 años dentro de las Top 3, y en el ranking 2025 desciende a la quinta posición.
El OWASP Top 10 para niveles C*
Frecuentemente se piensa que este ranking es sólo para la gente de tecnología, pero lo cierto es que tiene un alcance estratégico, legal y de gobierno corporativo.
Este ranking tiene implicancias en cumplimentos legales (compliance) como PCI-DSS, GDPR, Leyes locales; Sarbanes-Oxley (SOX) para empresas públicas y de responsabilidad fiduciaria para los directores como responsables de la seguridad de los datos de la empresa.
También las vulnerabilidades tienen impacto financiero, a modo de ejemplo, la vulnerabilidad A02-Fallas criptográficas tienen multas GDPR de hasta 4% de la facturación. Otro ejemplo, es el tener Componentes vulnerables (A06) que en el caso del incidente SolarWinds (calificado en A03-2025 Fallas en la cadena de suministro de software) tuvo un costo promedio superior a los USD 4,88 millones como promedio global (según reporta IBM costos de brecha 2024/2025).
La nueva lista Top 10 2025
Esta es la nueva lista (candidata) que se ha revelado y algunos casos emblemáticos en cada categoría:
A01:2025 - Control de acceso defectuoso
Vulnerabilidad de día cero en Microsoft SharePoint (julio 2025) que permitió a atacantes saltarse los controles de accesos y comprometiendo datos de más de 400 organizaciones.
A02:2025 - Configuración incorrecta de seguridad
Vulnerabilidades en Palo Alto Networks PAN-OS (2025) que permitió evadir interfaces de gestión debido a configuraciones de red que exponían portales de administración directamente a internet sin listas de control de acceso (ACL)
A03:2025 - Fallos en la cadena de suministro de software
ASUS Live Update (diciembre 2025). Se detectaron modificaciones no autorizadas en las compilaciones oficiales del software de actualización, inyectando código malicioso directamente en la cadena de distribución de ASUS. Otros casos en esta nueva categoría afectaron a Cleo Communications (febrero 2025), Hertz y Kellogg.
A04:2025 - Fallos criptográficos
Coinbase (mayo 2025) se estima que fue por la gestión deficiente de secretos y debilidades en la protección de datos sensibles almacenados, resultando en accesos no autorizados.
A05:2025 - Inyección
Ataques masivos de Prompt Injection en LLMs (2025). Con el auge de la IA, se han reportado múltiples casos donde usuarios manipulan aplicaciones basadas en modelos de lenguaje para extraer datos del sistema o ignorar directivas de seguridad.
A06:2025 - Diseño inseguro
Brecha de Snowflake (2024-2025). Aunque involucró credenciales, el "diseño inseguro" se reflejó en la falta de obligatoriedad de MFA (autenticación multifactor) por defecto en configuraciones críticas, lo que permitió ataques coordinados de gran escala.
A07:2025 - Fallos de autenticación
Campaña de Scattered Spider contra minoristas británicos (2025). El grupo explotó fallos de autenticación y técnicas de ingeniería social para comprometer cuentas de empleados en Marks & Spencer y Co-op, afectando a más de 6.5 millones de registros.
A08:2025 - Fallos de integridad de software o datos
Paquetes maliciosos en npm y GitHub (2024-2025). Se identificaron cientos de paquetes (como warbeast2000) diseñados para robar llaves SSH de desarrolladores al ser instalados automáticamente en entornos de desarrollo.
A09:2025 - Fallos de registro y alertas de seguridad
Incidente de SolarWinds (secuelas 2024-2025). Aunque el origen no es nuevo, se usa como caso de estudio por la persistencia de los atacantes que operaron durante meses sin ser detectados por falta de alertas efectivas en comportamientos anómalos de red.
A10:2025 - Manejo inadecuado de condiciones excepcionales
Caída de CrowdStrike (2024). Un error en el manejo de una actualización de contenido causó un fallo sistémico global (pantallas azules). Aunque no fue un ataque externo, ejemplifica cómo el software crítico falla catastróficamente ante condiciones no previstas en el manejo de errores.
