¡Descubre GoogleTest, con certificación TÜV y la tecnología Agentic AI para pruebas de C/C++!
Obtenga los detalles »
Saltar a la sección
Blog de Parasoft
El Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP) ha brindado soluciones a problemas críticos de TI mediante capacitación y foros. Siga leyendo para encontrar las respuestas a los principales problemas de OWASP Top 10:2025 para aplicaciones web.
Saltar a la sección
Fecha de publicación: La lista OWASP Top 10:2025 se anunció en noviembre de 2025 en la Conferencia Global de Seguridad de Aplicaciones de OWASP en Washington, DC. La versión final se publicó en enero de 2026.
Edición anterior: OWASP Top 10:2021
Qué hay de nuevo: Dos nuevas categorías (Fallo en la cadena de suministro de software y Mala gestión de situaciones excepcionales), cuatro reclasificaciones importantes, tres cambios de nombre y la incorporación de SSRF al Control de acceso defectuoso.
Datos que respaldan la lista: Se analizaron más de 175,000 CVE, se identificaron 248 CWE en las 10 categorías y se realizaron encuestas a profesionales en miles de organizaciones.
En noviembre de 2025, la Fundación OWASP publicó la lista OWASP Top 10:2025 en la Conferencia Global de Seguridad de Aplicaciones en Washington, D.C., la primera actualización de la lista desde 2021. Esta actualización refleja cuatro años de datos de amenazas en constante evolución, aportaciones de profesionales y cambios en la industria.
Para los equipos de desarrollo y seguridad responsables de mantener la seguridad de las aplicaciones, la lista de 2025 no es solo una actualización. Señala cambios significativos en los objetivos de los ataques y en las medidas de defensa necesarias.
Esta guía cubre los cambios introducidos en la lista de 2025, la importancia de estos cambios y las acciones que los equipos de desarrollo y seguridad deben emprender al respecto. Tanto si eres un desarrollador que escribe código, un ingeniero de seguridad que establece políticas o un líder de ingeniería que asigna recursos, comprender la actualización de 2025 es fundamental para un programa moderno de seguridad de aplicaciones. base para cualquier programa de cumplimiento de OWASP.
El OWASP Top 10 es un documento de concienciación ampliamente reconocido, publicado por el Open Web Application Security Project (OWASP). Identifica los diez riesgos de seguridad más críticos para las aplicaciones web.
Basándose en datos reales y en el consenso de expertos en seguridad de todo el mundo, esta lista sirve como estándar reconocido en la industria para que desarrolladores, equipos de seguridad y organizaciones comprendan, prioricen y aborden las vulnerabilidades de aplicaciones más comunes y peligrosas.
Actualizada aproximadamente cada dos o cuatro años —la última edición corresponde a 2025—, la lista se centra en riesgos como el control de acceso deficiente, los fallos criptográficos y los problemas en la cadena de suministro de software, lo que ayuda a los equipos a pasar de la aplicación reactiva de parches a prácticas de seguridad proactivas y basadas en riesgos.
La lista de 2025 se elaboró a partir de un conjunto de datos más amplio y riguroso que cualquier edición anterior. OWASP analizó más de 175 000 registros CVE, realizó encuestas a profesionales de miles de organizaciones e incorporó aportaciones de proveedores de seguridad, programas de recompensas por la detección de errores y colaboradores de la comunidad.
Cada una de las 10 categorías ahora se corresponde con CWE específicos (248 en total), lo que proporciona una guía más precisa para la detección y la remediación que las versiones anteriores.
La clasificación refleja lo siguiente:
Se eliminaron o fusionaron dos categorías. Se añadieron dos categorías completamente nuevas por primera vez.
La tabla que aparece a continuación muestra la correspondencia completa entre las listas de 2021 y 2025. En 2025 aparecen dos nuevas categorías, como se indica más abajo. Además, una categoría de 2021 (SSRF) se integró en A01.
| Rango | OWASP Top 10:2021 | OWASP Top 10:2025 | CAMBIAR |
|---|---|---|---|
| #1 | Control de acceso roto | Control de acceso roto | Sin cambios |
| #2 | Fallas criptográficas | Configuración incorrecta de seguridad | ↑ desde el #5 |
| #3 | Inyección | Fallas en la cadena de suministro de software | ★ NUEVO |
| #4 | Diseño inseguro | Fallas criptográficas | ↓ desde el #2 |
| #5 | Configuración incorrecta de seguridad | Inyección | ↓ desde el #3 |
| #6 | Componentes vulnerables y obsoletos | Diseño inseguro | ↓ desde el #4 |
| #7 | Fallos de identificación y autenticación | Errores de autenticación | Renombrado |
| #8 | Fallos en la integridad del software y los datos | Fallas de integridad de software o datos | Cambio de nombre menor |
| #9 | Fallos en el registro y la monitorización de seguridad | Fallos en el registro y las alertas de seguridad | Renombrado |
| #10 | Falsificación de solicitudes del lado del servidor (SSRF) | Gestión inadecuada de situaciones excepcionales | ★ NUEVO / SSRF → A01 |
★ Dos nuevas categorías en 2025. SSRF (A10:2021) se ha integrado en A01:2025 Control de acceso interrumpido.
La denominación "Exposición de datos sensibles" fue la utilizada en la lista OWASP Top 10:2017. En la actualización de 2021, OWASP la renombró como "Fallos criptográficos" para identificar mejor la causa raíz (criptografía débil o inexistente) en lugar del síntoma.
En la lista de 2025, los fallos criptográficos siguen siendo un riesgo de primer orden, ocupando el puesto número 4 (frente al número 2 en 2021, lo que refleja una mayor adopción de TLS y conjuntos de cifrado predeterminados más robustos en todo el sector). Consulte la sección A04:2025 — Fallos criptográficos a continuación para obtener información sobre el alcance actual, las asignaciones de CWE y las directrices de remediación.
Las incorporaciones más significativas a la lista de 2025 son las dos nuevas categorías. Estas no representan clases de vulnerabilidades recién descubiertas, sino superficies de ataque que la comunidad de seguridad consideró demasiado importantes como para permanecer integradas en categorías más amplias.
El ataque a SolarWinds, Log4Shell y el aumento de los ataques de confusión de dependencias demostraron que comprometer la cadena de suministro suele ser más fácil que atacar directamente la aplicación.
La categoría "Fallos en la cadena de suministro de software" aborda los riesgos que surgen cuando los componentes, las bibliotecas, las herramientas de compilación y los mecanismos de distribución de los que dependen las aplicaciones modernas se ven comprometidos o no son fiables. A diferencia de las categorías de vulnerabilidades tradicionales, que se centran en los fallos del código que se escribe, esta categoría se centra en la integridad de todo lo que interviene en el proceso de compilación.
Esta categoría se corresponde con 5 CWE y abarca escenarios como: paquetes procedentes de registros no fiables o con nombres maliciosos, procesos de compilación sin verificación de integridad, artefactos sin firmar o sin verificar, y ataques de confusión de dependencias en los que los nombres internos de los paquetes son suplantados por entradas de registros públicos.
Implementar la generación de listas de materiales de software (SBOM) para todas las compilaciones. Exigir la firma y verificación de artefactos. Utilizar la fijación de dependencias y supervisar los registros para detectar el typosquatting. Auditar los permisos de la canalización de CI/CD y restringir lo que puede activar compilaciones o despliegues.
El 50% de los encuestados por OWASP clasificaron esto como su principal preocupación emergente en materia de seguridad; sin embargo, rara vez aparece en las bases de datos CVE porque se manifiesta bajo estrés, no durante el funcionamiento normal.
El manejo inadecuado de condiciones excepcionales abarca una clase de vulnerabilidad que durante mucho tiempo ha sido subestimada: qué sucede cuando una aplicación se encuentra con algo inesperado. Agotamiento de recursos, entradas mal formadas, condiciones de tiempo de espera, fallas en los servicios posteriores: las aplicaciones que manejan estos escenarios de forma insegura pueden filtrar datos confidenciales a través de mensajes de error extensos, eludir los controles de acceso mediante lógica de fallo abierto o convertirse en vectores para ataques de denegación de servicio.
Esta categoría consolida 24 vulnerabilidades CWE, entre ellas CWE-209 (generación de mensajes de error con información confidencial), CWE-476 (desreferenciación de puntero nulo) y CWE-636 (fallo no seguro). Estas vulnerabilidades suelen ser invisibles para los análisis SAST y DAST estándar, ya que solo se manifiestan en condiciones que no forman parte de las ejecuciones de prueba habituales.
Defina modos de fallo explícitos para cada límite del sistema. Implemente un marco centralizado de gestión de excepciones que registre internamente el contexto detallado del error y devuelva externamente solo mensajes genéricos. Realice pruebas bajo condiciones de estrés e inyección de fallos, no solo en escenarios normales. Aplique el principio de cierre por fallo: ante la duda, deniegue el acceso.
Además de las dos nuevas categorías, cuatro categorías existentes experimentaron cambios sustanciales en su clasificación. Estos cambios reflejan transformaciones reales en el panorama de amenazas, donde los datos muestran que los atacantes están teniendo éxito.
La mala configuración de seguridad sube tres puestos hasta el número 2, el mayor ascenso en la lista de 2025. Este aumento refleja la drástica expansión de la infraestructura en la nube, las cargas de trabajo en contenedores y la arquitectura de microservicios, cada una de las cuales introduce nuevas superficies de configuración que los equipos a menudo no refuerzan.
Las configuraciones incorrectas en la nube siguen siendo una de las principales causas de filtraciones de datos empresariales. A medida que la infraestructura como código y el aprovisionamiento automático se convierten en la norma, los errores de configuración pueden propagarse silenciosamente a través de cientos de recursos.
Abarca 20 vulnerabilidades comunes. Ejemplos frecuentes: credenciales predeterminadas sin modificar, funciones innecesarias habilitadas, encabezados de seguridad faltantes, políticas de almacenamiento en la nube demasiado permisivas, mensajes de error demasiado detallados en producción.
Consulte la sección correspondiente más arriba.
La inyección SQL desciende dos puestos, continuando su declive desde el primer lugar que ocupó durante una década. Esto refleja un progreso real en la industria: las consultas parametrizadas son ahora estándar, los frameworks modernos sanitizan las entradas por defecto y la concienciación de los desarrolladores sobre la inyección SQL es casi universal. La categoría sigue siendo altamente peligrosa y aún se corresponde con 1 274,000 vulnerabilidades detectadas en el conjunto de datos de OWASP.
No permitas que el descenso en el ranking genere complacencia. La inyección sigue siendo una de las clases de vulnerabilidades más explotadas en ataques activos. El descenso refleja una mejor prevención en las fases iniciales, no un menor interés por parte de los atacantes.
Abarca 33 vulnerabilidades CWE. Ejemplos clave: inyección SQL (CWE-89), secuencias de comandos entre sitios (CWE-79), inyección de comandos del sistema operativo (CWE-78).
Los fallos criptográficos descienden del puesto número 2 al número 4, lo que refleja una mayor adopción de TLS por defecto en la industria, estándares de conjuntos de cifrado más estrictos y una mayor concienciación sobre esta categoría (que en 2021 pasó a llamarse "Exposición de datos sensibles" para identificar mejor las causas raíz). Sigue siendo un riesgo crítico; este descenso indica progreso, no una solución definitiva.
La criptografía débil o inexistente sigue siendo la causa de algunas de las mayores filtraciones de datos registradas. Esta categoría abarca no solo la elección de algoritmos de cifrado, sino también las prácticas de gestión de claves, el manejo de certificados y la protección de datos en tránsito.
Abarca 29 CWE. Ejemplos clave: selección de algoritmos débiles, claves codificadas, HSTS faltante, transmisión de datos sensibles en texto plano.
Tres categorías sufrieron cambios de nombre en 2025. Estos cambios no son meramente estéticos: cada cambio de nombre precisa la definición del problema y, lo que es más importante, afecta la forma en que las herramientas asignan reglas a las categorías.
El nombre más corto elimina la palabra "Identificación" para centrarse directamente en los mecanismos de autenticación: gestión de credenciales, administración de sesiones y deficiencias en la autenticación multifactor. Esto permite alinear la categoría con mayor precisión con los CWE a los que se corresponde.
Un simple cambio de palabra —"y" por "o"—, pero significativo. Aclara que la integridad del software y la integridad de los datos son aspectos independientes: un fallo en cualquiera de ellas es suficiente para activar esta categoría. Esto es importante para las herramientas y los marcos de cumplimiento que utilizan el nombre de la categoría para definir su alcance.
El término "alertas" reemplaza a "monitoreo" para enfatizar que el registro pasivo sin alertas activas ni respuesta a incidentes es insuficiente. Se puede registrar todo y aun así pasar por alto un ataque si no se activa ninguna alerta cuando ocurren anomalías.
Control de acceso roto Se mantiene en el puesto número 1 por cuarto ciclo de evaluación consecutivo, consolidando su estatus como la vulnerabilidad de seguridad de aplicaciones más extendida. La actualización de 2025 amplía su cobertura de CWE de 34 a 40, e incorpora notablemente la falsificación de solicitudes del lado del servidor (SSRF), que anteriormente constituía una categoría propia. OWASP reconoció la SSRF como una manifestación específica del control de acceso inadecuado, en lugar de una clase distinta, lo que refleja cómo ambas vulnerabilidades suelen explotarse conjuntamente en entornos de nube.
La persistencia del problema del control de acceso defectuoso en el primer puesto es una señal clara: la industria no está resolviendo este problema. La lógica de autorización sigue siendo uno de los aspectos más difíciles de implementar correctamente a gran escala, y uno de los objetivos más atractivos para los atacantes.
La lista de 2025 no es solo un documento de referencia, sino un marco de priorización. A continuación, se explica cómo deben interpretar la actualización los diferentes roles:
La aparición de los fallos en la cadena de suministro de software como una de las tres categorías principales implica que la codificación segura ahora va más allá del código que se escribe. La procedencia, la integridad y la confianza de las dependencias ahora son aspectos fundamentales. Revise sus prácticas de gestión de dependencias, comprenda en qué confía implícitamente su canalización de CI/CD y comience a tratar la integridad de los artefactos de compilación con el mismo rigor que la validación de entrada.
Dos categorías que antes se encontraban en zonas grises —la integridad de la cadena de suministro y el manejo de excepciones— ahora cuentan con definiciones claras de OWASP, asignaciones a CWE y documentación de la comunidad. Esto proporciona el lenguaje y el marco necesarios para formalizar los requisitos de cobertura, actualizar las configuraciones de reglas en las herramientas de análisis estático y establecer criterios de prueba que antes no estaban estandarizados.
El ascenso de la configuración de seguridad incorrecta al puesto número 2 indica una necesidad de asignación de recursos. Si su organización utiliza una infraestructura en la nube significativa y no ha invertido proporcionalmente en gestión de configuración, políticas como código y herramientas para evaluar la postura de seguridad de la infraestructura, los datos de 2025 sugieren que ahí es donde se concentra el riesgo. De manera similar, la nueva categoría de manejo inadecuado de condiciones excepcionales señala la necesidad de incorporar prácticas de inyección de fallos e ingeniería del caos en su estrategia de pruebas, y no solo pruebas funcionales y de seguridad en condiciones normales.
Herramientas de análisis estático de Parasoft—Prueba C / C ++, jprueba y puntoPRUEBA—se actualizan para reflejar la categorización OWASP Top 10:2025. Cada producto incluye paquetes de cumplimiento preconfigurados que asignan las reglas de análisis directamente a las categorías de 2025, incluidas las dos nuevas.
La versión de 2025 introduce dos nuevas categorías y reordena otras ocho. Los paquetes de cumplimiento de Parasoft reflejan estos cambios automáticamente: las reglas que antes se asignaban a A10:2021 (SSRF) ahora se asignan a A01:2025 (Control de acceso defectuoso), y los nuevos conjuntos de comprobadores cubren específicamente las categorías de Fallos en la cadena de suministro de software y Manejo inadecuado de condiciones excepcionales.
Adaptarse a una nueva versión de la lista puede generar un gran volumen inicial de hallazgos. El sistema de clasificación basado en IA de Parasoft ayuda a los equipos a priorizar qué infracciones abordar primero según su vulnerabilidad, gravedad y contexto del código. Para los tipos de reglas compatibles, las sugerencias de corrección automatizadas reducen la carga de trabajo manual, lo que permite a los desarrolladores revisar y aceptar las correcciones sin salir de su entorno de desarrollo integrado (IDE).
Para las organizaciones que gestionan múltiples bases de código o lenguajes, la plataforma de pruebas de desarrollo (DTP) de Parasoft ofrece una visión centralizada del cumplimiento de OWASP en todos los proyectos. Los equipos pueden realizar un seguimiento de la cobertura con respecto a la lista de 2025, identificar las categorías más vulnerables en toda la cartera de proyectos y generar informes de cumplimiento vinculados directamente a los identificadores de categoría de OWASP y las asignaciones de CWE.
Parasoft se integra en entornos IDE y pipelines de CI/CD, lo que permite obtener retroalimentación en tiempo real mientras se escribe el código. Los desarrolladores pueden ver las infracciones de las categorías de OWASP (incluida la categoría de 2025 a la que pertenece) directamente en el código, antes de confirmarlo. Este enfoque detecta los problemas en el momento en que su solución es menos costosa y reduce la carga de cumplimiento en las etapas posteriores de revisión de seguridad.
Si su organización ya cuenta con procesos de cumplimiento de OWASP Top 10:2021, la transición a 2025 es manejable, pero requiere acciones deliberadas, no solo una actualización del número de versión en su documentación. Para equipos que comienzan desde cero, nuestra Guía para comenzar con el cumplimiento de OWASP Este documento abarca las prácticas fundamentales previas a las actualizaciones específicas de 2025 que se detallan a continuación.
Las cláusulas A03 (Fallo en la cadena de suministro de software) y A10 (Gestión inadecuada de situaciones excepcionales) no tienen precedentes directos en 2021. Evalúe su cobertura actual para cada una.
Si utiliza pruebas de seguridad de aplicaciones estáticas (SAST)Confirme que se han actualizado para reflejar las asignaciones de categorías de 2025. Las reglas que se asignaban a A10:2021 (SSRF) ahora deben asignarse a A01:2025. Se deben habilitar las nuevas reglas para la cadena de suministro y el manejo de excepciones.
La formación en seguridad para desarrolladores, vinculada al Top 10 de OWASP, necesita actualizarse. Los cambios en la clasificación son lo suficientemente significativos como para que el orden de prioridad en el contenido de la formación sea importante: los desarrolladores deben comprender que los fallos en la cadena de suministro ahora figuran entre las tres principales preocupaciones, no en un segundo plano.
Que el control de acceso defectuoso ocupe el primer puesto durante cuatro ediciones consecutivas no es un simple ruido de fondo, sino un fallo persistente. Esta constancia en su posición debería orientar la concentración de los esfuerzos de revisión de diseño, modelado de amenazas y pruebas.
¿Con qué frecuencia se actualiza el Top 10 de OWASP?
Aproximadamente cada tres o cuatro años. Ediciones: 2003, 2004, 2007, 2010, 2013, 2017, 2021, 2025. La periodicidad depende de los ciclos de recopilación de datos de la comunidad y de cambios significativos en el panorama de amenazas.
¿Dónde puedo descargar el OWASP Top 10:2025?
La lista completa de OWASP Top 10:2025 está disponible gratuitamente en owasp.org/Top10/2025/ en formato HTML y PDF. OWASP también publica ediciones traducidas y páginas de análisis en profundidad por categoría con mapeos de vulnerabilidades comunes y guías de remediación.
¿Cuántos CWE (Critical Wealths) se encuentran en el Top 10:2025 de OWASP?
En 2025, se han identificado 248 enumeraciones de debilidades comunes en las 10 categorías, frente a las 218 de 2021. El control de acceso deficiente (A01) es la categoría más grande, con 40 enumeraciones de debilidades comunes identificadas.
¿Cumple la lista OWASP Top 10:2025 con los requisitos de PCI DSS, SOC 2 o HIPAA?
Ninguna norma considera el cumplimiento de OWASP Top 10 como cumplimiento normativo automático, pero PCI DSS 4.0 (Requisito 6.2.4), los criterios de desarrollo seguro de SOC 2 y las salvaguardas técnicas de HIPAA hacen referencia a la cobertura de OWASP Top 10 como evidencia aceptada de prácticas de codificación seguras. Considere OWASP Top 10:2025 como una capa fundamental, no como un conjunto completo de controles.
¿En qué se diferencia el OWASP API Security Top 10 del OWASP Top 10?
La lista OWASP API Security Top 10 se centra en riesgos específicos de las API, como la autorización a nivel de objeto (BOLA) defectuosa y la asignación masiva. La lista estándar OWASP Top 10 abarca vulnerabilidades más generales de las aplicaciones web, como la inyección y el XSS. Se trata de listas independientes mantenidas por distintas comunidades de OWASP con ciclos de publicación independientes.
¿Existe un Top 10 de OWASP para aplicaciones móviles?
Sí. La lista OWASP Mobile Top 10 es una lista independiente centrada en riesgos específicos para dispositivos móviles, como el almacenamiento inseguro de datos, la criptografía débil y las comunicaciones inseguras. Se mantiene de forma independiente de la lista web Top 10:2025 y su última actualización fue en 2024.
Comenzando con una herramienta de análisis estático
