Publicado el Top 10 2025 de OWASP – Lo que necesita saber
Publicado el: 28 Nov 2025
El Top 10 del OWASP ha sido reconocido desde hace tiempo como la referencia mundial para comprender y abordar los retos más críticos de la seguridad de las aplicaciones web. Actualizado cada pocos años, se adapta para poner de relieve las últimas tendencias de ataque, los cambios tecnológicos y las percepciones de los incidentes del mundo real.
La edición 2025 marca una de las actualizaciones más significativas de los últimos años. Mediante la introducción de dos nuevas categorías y la consolidación de las ya existentes, OWASP desplaza su enfoque hacia las causas profundas en lugar de hacia los síntomas aislados, lo que hace que esta versión esté más alineada con la forma en que se desarrollan realmente las amenazas actuales.
¿Qué hay de nuevo en OWASP Top 10 2025?
La lista actualizada incluye ahora diez categorías refinadas:
- Control de acceso roto
Cuando los usuarios pueden ver o hacer cosas que no deberían poder, a menudo es una de las principales causas de las filtraciones de datos. - Desconfiguración de la seguridad
Simples errores de configuración en servidores, servicios en la nube o marcos de trabajo que dejan puertas abiertas a los atacantes. - Fallos en la cadena de suministro del software (nuevo)
Riesgos que provienen de herramientas, bibliotecas y componentes de terceros en los que se basa su software, un objetivo cada vez mayor para los atacantes. - Fallos criptográficos
Problemas con la forma en que se protegen los datos sensibles, incluida una encriptación obsoleta o utilizada incorrectamente. - Inyección
Situaciones en las que los atacantes introducen código o comandos dañinos en una aplicación porque las entradas no se comprobaron correctamente. - Diseño inseguro
Lagunas de seguridad incorporadas desde el principio, a menudo porque se omitieron el modelado de amenazas o las prácticas de diseño seguro. - Fallos de autenticación
Procesos de inicio de sesión débiles o comprobaciones de identidad rotas que permiten a los atacantes hacerse pasar por usuarios reales. - Fallos de integridad del software o de los datos
Cuando los sistemas confían en datos o fuentes de actualización erróneos, dando a los atacantes la oportunidad de interferir en componentes clave. - Fallos en el registro y las alertas
Una supervisión ineficaz (o la falta de ella) que hace que los ataques pasen desapercibidos hasta que el daño real está hecho. - Mishandling of Exceptional Conditions (nuevo)
Cuando las aplicaciones no hacen frente bien a situaciones inesperadas -como tiempos muertos, sobrecargas o entradas extrañas- crean aperturas para los atacantes.
Guía práctica para desarrolladores, CISO y equipos de cumplimiento normativo
El Top 10 de OWASP es una guía práctica para que desarrolladores, CISO y equipos de cumplimiento prioricen los riesgos y refuercen las defensas. Con la incorporación de la seguridad de la cadena de suministro y la gestión de errores, la actualización de 2025 pone de relieve la evolución del panorama de las amenazas y la necesidad de una resistencia proactiva.
Estamos diseñando una serie de contenidos y recursos para ayudar a las organizaciones a comprender y abordar cada uno de estos riesgos, que se pondrán en marcha en el nuevo ejercicio financiero. El objetivo de estos recursos es proporcionar a los líderes empresariales y a sus equipos conocimientos prácticos y formación para adelantarse a la evolución de los riesgos.
Para mantenerse al día de las últimas tendencias en seguridad, visite nuestra página de recursos.
Preguntas frecuentes sobre OWASP Top 10 2025
¿Qué es OWASP?
OWASP (Open Web Application Security Project) es una organización mundial sin ánimo de lucro dedicada a mejorar la seguridad de las aplicaciones web. Proporciona mejores prácticas, herramientas y recursos para ayudar a las organizaciones a identificar y mitigar los riesgos de ciberseguridad.
¿Qué es OWASP Top 10 2025?
El OWASP Top 10 2025 es una lista curada de los diez riesgos más críticos para la seguridad de las aplicaciones web. Refleja las amenazas actuales, las vulnerabilidades emergentes y las últimas tendencias de ataque para ayudar a las organizaciones a reforzar sus defensas.
¿Por qué es importante la actualización OWASP 2025?
La actualización de 2025 introduce nuevas categorías y se centra en las causas fundamentales de los fallos de seguridad. Esto ayuda a las organizaciones a prevenir mejor los ataques, mejorar la gestión de riesgos y priorizar las medidas de ciberseguridad de forma eficaz.
¿Quién debe utilizar OWASP Top 10 2025?
Desarrolladores, responsables de seguridad, equipos informáticos y profesionales del cumplimiento de la normativa utilizan el OWASP Top 10 2025 para identificar vulnerabilidades, priorizar riesgos y aplicar estrategias sólidas de seguridad de las aplicaciones web.
¿Qué son los fallos en la cadena de suministro de software?
Los fallos en la cadena de suministro de software se producen cuando las vulnerabilidades de las bibliotecas, herramientas o servicios de terceros son aprovechadas por los atacantes. Esta creciente amenaza es un punto clave en el Top 10 2025 de OWASP, ya que los ataques a la cadena de suministro pueden comprometer sistemas enteros.
¿Dónde puedo obtener recursos para OWASP Top 10 2025?
Las organizaciones pueden acceder a guías, formación y herramientas prácticas para abordar los 10 principales riesgos 2025 de la OWASP en la página de recursos de MetaCompliance. Estos recursos apoyan la gestión proactiva de la seguridad de las aplicaciones web.