La nueva lista de los 10 principales ataques según OWASP de 2025: qué ha cambiado y qué necesitas saber.
Director sénior de marketing de contenidos
La tan esperada lista de 10 principales ataques según OWASP 2025 está casi terminada: su versión «candidata a lanzamiento» o «borrador» se anunció el jueves 6 de noviembre de 2025 en la conferencia Global AppSec del proyecto de seguridad de aplicaciones web Open Worldwide Application Security Project (OWASP).
Los 10 principales ataques según OWASP se actualizan cada cuatro años aproximadamente y reflejan los cambios en el panorama de la ciberseguridad, además de destacar las amenazas emergentes. Enumera las enumeraciones de debilidades comunes (CWE) o debilidades comunes de software y hardware. La lista sirve de estándar de referencia, ya que proporciona una clasificación y orientación sobre las medidas correctivas de los diez riesgos de seguridad de las aplicaciones más críticos. El objetivo de OWASP es ayudar a los desarrolladores y profesionales de seguridad a comprender y navegar mejor por las amenazas.
** Publicaremos actualizaciones de este artículo si se realizan ajustes (poco probables) en la lista de 2025**
Entonces, ¿qué hay en la nueva lista (casi terminada) de los 10 principales ataques según OWASP para 2025?
Respuesta corta: muchos de los mismos CWE, pero dos grandes actualizaciones a tener en cuenta. Estos cambios, que profundizaremos en la siguiente sección, apuntan hacia la creciente complejidad e interconexión del software (y los riesgos asociados). Comprender estas actualizaciones de 2025 es esencial para todos los programas de AppSec.
A01:2025 - Controles de acceso no operativos (A01 en 2021)
Descripción de OWASP: El control de acceso aplica la política de modo que los usuarios no puedan actuar fuera de sus permisos previstos. Las fallas generalmente conducen a la divulgación no autorizada de información, modificación o destrucción de todos los datos, o al desempeño de una función comercial fuera de los límites del usuario.
A02:2025 - Configuración incorrecta de la seguridad (A05 en 2021)
Descripción de OWASP: La configuración incorrecta de la seguridad ocurre cuando un sistema, aplicación o service en la nube se configura incorrectamente desde una perspectiva de seguridad, creando vulnerabilidades.
A03:2025 - Fallos en la cadena de suministro de software (Nuevo en 2025)
Descripción de OWASP: Los fallos en la cadena de suministro de software son interrupciones u otros compromisos en el proceso de construcción, distribución o actualización de software. Suelen ser causados por vulnerabilidades o cambios maliciosos en el código, herramientas u otras dependencias de terceros en las que se basa el sistema.
A04:2025 - Fallos criptográficos (A02 en 2021)
Descripción de OWASP: Esta vulnerabilidad se centra en fallos relacionados con la falta de criptografía, una criptografía insuficiente, la filtración de claves criptográficas y errores relacionados.
A05:2025 - Inyección (A03 en 2021)
Descripción de OWASP: Una vulnerabilidad de inyección es un fallo del sistema que permite a un atacante insertar código o comandos maliciosos (por ejemplo, código SQL o shell) en los campos de entrada de un programa y engañar así al sistema para que los ejecute como si formaran parte de él. Esto puede tener consecuencias realmente nefastas.
A06:2025 - Diseño inseguro (A04 en 2021)
Descripción de OWASP: El diseño inseguro es una categoría amplia que representa diferentes debilidades, expresadas como «diseño de control ausente o ineficaz».
A07:2025 - Fallos de autenticación (A07 en 2021)
Descripción de OWASP: Cuando un atacante es capaz de engañar a un sistema para que reconozca como legítimo a un usuario no válido o incorrecto.
A08:2025 - Errores de integridad de software o datos (A08 en 2021)
Descripción de OWASP: Los fallos de integridad del software y los datos están relacionados con el código y la infraestructura que no protegen contra el código o los datos no válidos ni fiables, que se tratan como si lo fueran.
A09:2025 - Errores de creación de registros y alertas (A09 en 2021)
Descripción de OWASP: Sin registro y supervisión no es posible detectar ataques y violaciones de la seguridad, y sin alertas resulta muy difícil responder de forma rápida y eficaz durante un incidente de seguridad. El registro, la supervisión continua, la detección y las alertas para iniciar respuestas activas pueden producirse en cualquier momento.
A10:2025 - Mala gestión de condiciones excepcionales (Nuevo en 2025)
Descripción de OWASP: El manejo incorrecto de condiciones excepcionales en el software ocurre cuando los programas no logran prevenir, detectar y responder a situaciones inusuales e impredecibles, lo que provoca fallos, comportamientos inesperados y, a veces, vulnerabilidades. Esto puede implicar uno o más de los siguientes tres fallos: la aplicación no evita que se produzca una situación inusual, no identifica la situación mientras ocurre, y/o responde mal o no responde en absoluto a la situación después.
¿Qué ha cambiado en la lista de los 10 principales ataques según OWASP de 2025?
La lista de 2025 vio la adición de dos nuevas categorías: fallos en la cadena de suministro de software y mala gestión de condiciones excepcionales, además de una consolidación donde el A10 de 2021: falsificación de peticiones del lado del servidor (SSRF) se ha integrado en A01:2025 control de acceso roto.
Las CWE A02, A03 y A04 de la edición de 2021 han bajado algunos puestos, pero se han mantenido en el mismo orden, lo que indica que, aunque siguen siendo comunes, hay otras CWE que son más urgentes en la nueva lista de 2025.
El tema general de los cambios de 2025 fue un guiño a la visión global: en lugar de centrarse en defectos específicos, surgieron temas relacionados con la visión del ciclo de vida del desarrollo de software en su conjunto.
NUEVO A03 - Fallos en la cadena de suministro de software
La primera, A03 - Fallos en la cadena de suministro de software, amplía la categoría de 2021 denominada «Componentes vulnerables y obsoletos». El objetivo de esta ampliación era incluir toda la cadena de suministro de software y no solo los efectos limitados de los componentes en dicha cadena. En 2025, esta categoría abarca todo lo relacionado con el «proceso de creación, distribución o actualización de software».
OWASP señala que «los fallos en la cadena de suministro siguen siendo difíciles de identificar». La ampliación de esta categoría pone de manifiesto la complejidad de la cadena de suministro de software, de modo que cualquier elemento que afecte a cualquier parte del proceso de desarrollo puede tener un impacto negativo en el resultado, lo que supone un amplio ámbito de seguridad que cubrir.
NUEVO A10 - Manejo inadecuado de condiciones excepcionales
La segunda categoría nueva, A10 - Mala gestión de condiciones excepcionales, se refiere a la importancia de centrarse en la resiliencia. OWASP insiste en que «detectar y gestionar las condiciones excepcionales garantiza que la infraestructura subyacente de nuestros programas no se vea obligada a hacer frente a situaciones impredecibles». Recomiendan a las organizaciones que «esperen lo peor» a la hora de detectar todos los posibles errores del sistema.
Esta adición indica la necesidad de un cambio cultural en los equipos para prepararse para el fracaso; es decir, que las organizaciones prevean cuándo y cómo pueden salir mal las cosas (y asuman que así será). Esto implica establecer prácticas y procedimientos para gestionar los fallos de manera eficaz (es decir, desarrollar resiliencia). OWASP recomienda a las organizaciones que evalúen sus programas de AppSec en comparación con marcos de referencia estándar para determinar su nivel de madurez y realizar los ajustes necesarios.
FUSIONADO: A10:2021 Falsificación de peticiones del lado del servidor en A01:2025 Control de acceso defectuoso
En la lista de 2021, A10:2021 Falsificación de peticiones del lado del servidor era una categoría en sí. En 2025, Falsificación de peticiones del lado del servidor (SSRF) se integró en la categoría de Controles de acceso defectuosos de 2025.
Esto refleja la idea de que muchos problemas de SSRF se deben, en última instancia, a un control de acceso inadecuado que permite a un atacante forzar a un servidor a realizar solicitudes que no debería poder realizar (por ejemplo, a servicios internos o puntos finales de metadatos). En lugar de analizar el SSRF por separado, OWASP ahora lo considera una manifestación específica de un control de acceso defectuoso.
¿Qué significa esto para tu programa de seguridad?
Los cambios en la lista de los 10 principales problemas ponen de manifiesto la necesidad de adoptar una visión de la seguridad más integral a lo largo de todo el ciclo de vida del desarrollo de software. A nivel general, OWASP recomienda establecer y utilizar procesos de seguridad repetibles y controles de seguridad estándar en todos los entornos. Más concretamente, se proporcionaron cinco áreas de mejora basadas en los resultados de la lista de 2025.
Establece un enfoque basado en el riesgo
OWASP insta a las organizaciones a analizar el riesgo desde una perspectiva empresarial, desde el cumplimiento de los requisitos normativos hasta la identificación de las necesidades de la cartera de aplicaciones, para lo que se debe establecer un nivel de tolerancia al riesgo. A partir de este nivel de tolerancia, el uso de un modelo común de calificación del riesgo puede ayudar a proporcionar una forma estructurada de evaluarlo.
Crea una base sólida para el programa de seguridad
OWASP recomienda a las organizaciones que establezcan políticas y normas de referencia para todos los equipos de seguridad y desarrollo.
Integra la seguridad en los procesos existentes
Al integrar la seguridad en los procesos de desarrollo y operativos existentes, puedes mantener la velocidad de desarrollo y, al mismo tiempo, tomar nota de las áreas de mejora en los procesos y herramientas existentes.
Prioriza la educación en seguridad de aplicaciones
Los programas de promoción de la seguridad, o al menos la formación general en esta materia, deberían ser obligatorios, ya que la seguridad es responsabilidad de todos.
Da visibilidad a las partes interesadas de alto nivel
OWASP afirma que las organizaciones deben aspirar a «gestionar con métricas». Esto significa tomar decisiones basadas en una visibilidad clara de la funcionalidad del programa de AppSec.
Puedes encontrar una explicación más detallada de las recomendaciones de OWASP aquí.
Cómo Fastly puede ayudarte a protegerte contra los 10 principales ataques según OWASP
Para resolver los riesgos de seguridad de los 10 principales ataques según OWASP, es necesario adoptar un enfoque de seguridad por capas y tener una visión holística del programa de seguridad existente. En términos generales, las organizaciones deben garantizar que la seguridad se tenga en cuenta en todas las fases, desde la codificación hasta la infraestructura y los componentes de terceros.
Clasificación | Categoría | Solución de Fastly |
|---|---|---|
A01:2025 | Controles de acceso no operativos | - El WAF de última generación de Fastly bloquea las peticiones maliciosas (como el recorrido de directorios) antes de que puedan llegar al origen. |
A02:2025 | Configuración incorrecta de la seguridad | - La plataforma de edge cloud de Fastly también se puede configurar para añadir encabezados de seguridad como Content-Security-Policy y Strict-Transport-Security. La configuración automática de los encabezados de respuesta devueltos a los clientes desde el borde puede proporcionar otro nivel de protección contra aplicaciones o servidores de origen configurados incorrectamente. |
A03:2025 | Fallos en la cadena de suministro de software | - Para el resto de tu cadena de suministro de software, el WAF de última generación ofrece parches virtuales para amenazas emergentes y nuevos CVE. Los parches virtuales ofrecen una solución temporal a las nuevas vulnerabilidades, ya que bloquean los intentos de explotarlas mientras se parchea el software subyacente. - Fastly, como parte de tu cadena de suministro de software, se puede actualizar automáticamente a la última versión, lo que garantiza que tus servicios estén protegidos contra errores y otros problemas |
A04:2025 | Errores criptográficos | - La plataforma de edge cloud de Fastly gestiona la terminación y la aceleración de la seguridad de la capa de transporte (TLS) a escala mundial con valores predeterminados seguros (como la seguridad de la capa de transporte (TLS) 1.3 y la eliminación de los cifrados débiles) para los clientes. Nos aseguramos de que no se admitan cifrados y protocolos débiles para el envío de peticiones a zonas vulnerables de la aplicación o para cualquier tipo de petición a la misma.- El WAF de última generación de Fastly puede registrar las peticiones y avisar si alguna vez faltan los encabezados de seguridad de respuesta necesarios. |
A05:2025 | Inyección | - El WAF de última generación de Fastly detecta de forma predeterminada los ataques de inyección, por lo que no es necesario definir reglas adicionales ni realizar ajustes. - El WAF de última generación de Fastly utiliza SmartParse, su tecnología de detección patentada, diseñada para tomar decisiones instantáneas en línea y determinar si hay cargas útiles maliciosas o anómalas. Al examinar el contexto de la petición y cómo se ejecutaría realmente, SmartParse es capaz de tomar decisiones muy acertadas. |
A06:2025 | Diseño inseguro | - El WAF de última generación permite crear señales personalizadas para supervisar la actividad en las rutas o los flujos propensos a ataques de una aplicación. Por ejemplo, si una aplicación tiene un sistema de pagos que puede considerarse vulnerable, se puede asignar una señal personalizada a las peticiones que envían los clientes a esta parte concreta. La señal personalizada permitirá supervisar la actividad y crear reglas de bloqueo o limitación de frecuencia en función de las propiedades de la petición ante comportamientos abusivos. |
A07:2025 | Fallos de autenticación | - El WAF de última generación se puede configurar para proteger contra ataques de fuerza bruta, como el relleno de credenciales, ya que detecta dichos ataques y bloquea los intentos de inicio de sesión de los atacantes. Todos los inicios de sesión fallidos se registran y los administradores reciben una alerta en cuanto se detecta a un atacante. - El WAF de última generación puede detectar intentos de autenticación inseguros, como el uso de tokens web JSON con el algoritmo None. |
A08:2025 | Fallos de software o de integridad de datos | - El WAF de última generación inspecciona todas las peticiones de ataques como el ataque por inyección. |
AO9:2025 | Creación de registros y alerta de fallos | - El WAF de última generación supervisa todas las peticiones HTTP entrantes para detectar ataques y anomalías. Esto incluye la supervisión y el registro de todos los intentos de inicio de sesión, tanto los correctos como los fallidos. - El WAF de última generación envía notificaciones de eventos en tiempo real a una lista de integraciones de webhook predeterminadas en el panel. |
A10:2025 | Mala gestión de condiciones excepcionales | - Fastly ofrece protección automática contra ataques DDoS (DDoS Protection), límites de velocidad configurables, alertas ante condiciones anómalas y la creación de fuentes de información veraces para tu programa AppSec a través de paneles completos que te permiten evaluar rápidamente si algo ha salido mal. |
Si estás analizando los 10 principales ataques según OWASP y te preguntas qué significan realmente para tus aplicaciones, estamos aquí para ayudarte. Ponte en contacto con nuestro equipo de expertos en seguridad o contacta con tu equipo de cuentas de Fastly.