Aitana Security Lab - Enterprise Security Training Platform
Filtros
Nivel
Artículos (116)
HTTP: El Protocolo de la Web10 min
Básico
Cookies y Sesiones15 min
Básico
Autenticación y Autorización18 min
Básico
Arquitectura Cliente-Servidor15 min
Básico
APIs REST y Seguridad20 min
Básico
CORS y Same-Origin Policy16 min
Básico
Triada CIA12 min
Básico
Criptografía Simétrica: AES16 min
Básico
Criptografía Asimétrica: RSA/ECC18 min
Intermedio
Funciones Hash y HMAC14 min
Básico
PKI y Certificados Digitales20 min
Intermedio
Modelo OSI y TCP/IP15 min
Básico
OWASP Cheat Sheet Series12 min
Básico
SQL Injection (SQLi)20 min
Básico
Cross-Site Scripting (XSS)22 min
Básico
Cross-Site Request Forgery (CSRF)18 min
Básico
Insecure Direct Object References15 min
Básico
Broken Authentication19 min
Intermedio
Command Injection20 min
Intermedio
XML External Entity (XXE)25 min
Intermedio
Server-Side Template Injection24 min
Intermedio
Validación de Entrada15 min
Básico
Output Encoding14 min
Básico
Parameterized Queries16 min
Básico
Password Hashing17 min
Intermedio
Content Security Policy (CSP)22 min
Intermedio
Security Headers18 min
Intermedio
Secure Session Management20 min
Intermedio
Mínimo Privilegio y Zero Trust14 min
Básico
Control de Acceso: DAC, MAC, RBAC16 min
Intermedio
MFA: Multifactor y FIDO215 min
Básico
SSO y Federación: SAML y OIDC20 min
Intermedio
Firewalls y Arquitecturas de Red16 min
Básico
IDS/IPS: Detección y Prevención18 min
Intermedio
VPN: IPsec, WireGuard y TLS16 min
Básico
Cifrado en Reposo y en Tránsito14 min
Básico
Seguridad WiFi: WPA2, WPA315 min
Básico
OWASP ZAP — DAST Scanner18 min
Intermedio
Gestión de Riesgos16 min
Básico
Clasificación de la Información12 min
Básico
Análisis de Impacto (BIA)18 min
Intermedio
BCP y Recuperación ante Desastres20 min
Intermedio
SIEM: Correlación de Logs22 min
Intermedio
Forense Digital20 min
Intermedio
Ingeniería Social y Phishing16 min
Básico
Malware: Tipos y Persistencia18 min
Básico
Segregación de Funciones12 min
Básico
IAM Empresarial22 min
Intermedio
Complejidad Algorítmica (Big O)12 min
Básico
Arrays y Listas Enlazadas10 min
Básico
Pilas y Colas (Stack & Queue)8 min
Básico
Árboles Binarios14 min
Básico
Binary Search Tree (BST)16 min
Intermedio
Grafos: BFS y DFS18 min
Intermedio
Algoritmos de Ordenación15 min
Básico
Tablas Hash (Hash Maps)12 min
Intermedio
Lógica Booleana y Álgebra de Boole10 min
Básico
Programación Dinámica y Recursión20 min
Avanzado
Patrones de Diseño (GoF)18 min
Intermedio
Bases de Datos: SQL vs NoSQL15 min
Básico
Cursor: Configuración y .cursorrules10 min
Básico
GitHub Copilot: Instrucciones12 min
Básico
Claude Code: CLI y Mejores Prácticas10 min
Básico
MCP: Model Context Protocol20 min
Intermedio
Arquitecturas de Agentes IA22 min
Intermedio
Skills y Prompts en GitHub Copilot15 min
Intermedio
Ingeniería de Prompts14 min
Básico
RAG: Retrieval Augmented Generation25 min
Avanzado
Context Window y Gestión de Tokens12 min
Intermedio
Arquitecturas Multi-Agente28 min
Avanzado
Aider, Continue, Codeium10 min
Básico
Windsurf y Otros Editores IA8 min
Básico
AWS: IAM, GuardDuty y WAF22 min
Intermedio
Azure: Defender, Sentinel y Entra ID22 min
Intermedio
Google Cloud: Security Command Center18 min
Intermedio
Costes OpenAI: GPT-4o, o1, o38 min
Básico
Costes Anthropic: Claude Sonnet/Opus8 min
Básico
Costes Google: Gemini 2.0 y 2.5 Pro8 min
Básico
Infrastructure as Code con Terraform20 min
Intermedio
Kubernetes: Hardening y RBAC25 min
Avanzado
CI/CD Seguro con GitHub Actions18 min
Intermedio
Serverless: Lambda y Functions16 min
Intermedio
SDL: Visión General y Fases15 min
Básico
Threat Modeling con STRIDE22 min
Intermedio
Requisitos de Seguridad14 min
Básico
Estándares de Codificación Segura18 min
Intermedio
Security Testing en el SDLC20 min
Intermedio
Fuzzing y Análisis Estático22 min
Avanzado
Gestión de Vulnerabilidades y CVSS16 min
Intermedio
Incident Response y PSIRT20 min
Avanzado
ISO/IEC 27001:2022 SGSI16 min
Básico
GDPR/RGPD14 min
Básico
Directiva NIS212 min
Básico
ENS — Esquema Nacional de Seguridad14 min
Básico
PCI DSS 4.014 min
Básico
NIST CSF 2.012 min
Básico
EU AI Act — Reglamento IA14 min
Básico
DORA (Finanzas)12 min
Básico
LOPDGDD y LSSI-CE12 min
Básico
HIPAA, SOX, ISO 2701714 min
Básico
OWASP SAMM — Madurez de AppSec20 min
Intermedio
OWASP ASVS — Verificación de Seguridad18 min
Intermedio
OWASP MASVS — Seguridad Móvil16 min
Intermedio
OWASP DSOMM — DevSecOps Maturity20 min
Avanzado
OWASP WSTG — Testing Guide22 min
Intermedio
OWASP API Security Top 10 202318 min
Intermedio
Mapa de Certificaciones10 min
Básico
CISSP16 min
Intermedio
CISM y CISA (ISACA)14 min
Básico
OSCP vs CEH14 min
Intermedio
Ruta CompTIA14 min
Básico
Certs Cloud Security14 min
Básico
ISO 27001 Lead Auditor/Implementer12 min
Básico
Certificación ENS y CSFP (España)10 min
Básico
Certificaciones de IA12 min
Básico
CSSLP y Desarrollo Seguro12 min
Básico
fundamentos

OWASP Top 10

Las 10 vulnerabilidades más críticas en aplicaciones web según OWASP.

Estudiante
20 minutos
Enero 2026
🌐

Content Available in Spanish Only

This article is currently available only in Spanish. We're working on translations.

Available in: ES Tip: Use your browser's translation feature or visit the Spanish version

¿Qué es el OWASP Top 10?

El OWASP Top 10 es la lista de las diez categorías de riesgo más críticas en aplicaciones web, publicada por el Open Worldwide Application Security Project (OWASP). La edición 2025 incorpora nuevas amenazas derivadas de la adopción masiva de IA, arquitecturas de microservicios y supply chain attacks, basándose en datos de más de 500.000 aplicaciones analizadas en los últimos cuatro años.

¿Por qué importa la edición 2025?

La versión 2025 actualiza las métricas de prevalencia, añade referencias explícitas a amenazas de LLM/IA y refuerza la categoría de Supply Chain. Regulaciones como PCI-DSS 4.0, ISO 27001:2022 y NIS2 ya referencian directamente el OWASP Top 10. Si cubres estas 10 categorías, eliminas más del 90 % de los vectores de ataque más explotados.

Cambios clave respecto a la edición 2021

  • A03 Injection (2025): incorpora explícitamente LLM Prompt Injection como subtipo.
  • A04 Insecure Design: mayor énfasis en Threat Modeling y AI system design.
  • A08 Software & Data Integrity: referencia directa a SLSA y Sigstore para supply chain.
  • Nuevas métricas: datos actualizados de CVE y NVD 2022–2024 para tasas de incidencia.

OWASP Top 10 – Edición 2025

A01:2025 – Broken Access Control

Mantiene el puesto n.º 1 desde 2021. Prevalencia del 55 % en las aplicaciones analizadas. Un atacante accede a recursos o funciones restringidos: IDOR, escalada de privilegios vertical/horizontal, CORS mal configurado que permite orígenes no autorizados, falta de comprobación de autorización en APIs.

IDOR — acceso a recurso ajeno
bash
El 55 % de las aplicaciones web tiene al menos un fallo de acceso no autorizado. Implementa verificaciones de autorización en el servidor para cada petición.

A02:2025 – Cryptographic Failures

Antes "Sensitive Data Exposure". Incluye: datos PII transmitidos sin TLS, contraseñas almacenadas con MD5/SHA-1 sin sal, claves hard-codeadas en código fuente, uso de CBC sin autenticación de mensaje, generadores de números aleatorios no criptográficos. En 2024–2025, los ataques de cosecha de datos cifrados (harvest-now-decrypt-later) para futura descifrado con computación cuántica son una amenaza emergente.

Patrón inseguro vs. seguro
python

A03:2025 – Injection

SQL, NoSQL, OS Command, LDAP, XSS, y en 2025 se incorpora explícitamente el LLM Prompt Injection: un atacante inyecta instrucciones en el prompt de un modelo de lenguaje para alterar su comportamiento, exfiltrar datos o eludir controles.

SQL Injection clásico
sql
LLM Prompt Injection (nuevo en 2025)
text

A04:2025 – Insecure Design

Fallos de diseño y arquitectura que no se pueden corregir solo con buena implementación. En 2025 se enfatiza el diseño seguro de sistemas de IA: falta de guardrails, ausencia de human-in-the-loop en decisiones críticas, modelos entrenados con datos sin validar.

  • Ejemplos: recuperación de contraseña por preguntas secretas, lógica de negocio explotable (comprar artículos a precio negativo), ausencia de rate-limiting por diseño.
  • Solución: Threat Modeling (STRIDE/PASTA) desde la fase de diseño, Design Review, OWASP ASVS como checklist de requisitos.

A05:2025 – Security Misconfiguration

90 % de las aplicaciones tienen al menos una configuración incorrecta. Ejemplos habituales: credenciales por defecto activas, stack traces expuestos en producción, cloud storage buckets públicos, puertos administrativos accesibles desde internet, headers de seguridad ausentes (CSP, HSTS, X-Content-Type-Options).

Verificar headers de seguridad
bash

A06:2025 – Vulnerable & Outdated Components

Librerías, frameworks o módulos con CVEs conocidos. Log4Shell (CVE-2021-44228), XZ Utils backdoor (CVE-2024-3094), y el creciente riesgo de supply chain attacks vía paquetes npm/PyPI maliciosos son los casos más notorios de 2021-2025.

Auditoría de dependencias
bash
El 84 % del código en producción es código de terceros (librerías). Activa Dependabot o Renovate para parches automáticos.

A07:2025 – Identification & Authentication Failures

Autenticación débil o rota: sin protección ante fuerza bruta, sesiones que no expiran al cerrar sesión, tokens JWT con algoritmo none, restablecimiento de contraseña que filtra si el email existe, ausencia de MFA. En 2025 se suman ataques de passkey fatigue y bypass de biometría en móviles.

JWT con alg:none (inseguro)
javascript

A08:2025 – Software & Data Integrity Failures

Pipelines CI/CD sin verificación de integridad, dependencias instaladas sin verificar hash/firma, deserialización insegura (Java, Python pickle, PHP unserialize). En 2025 la referencia clave es el framework SLSA (Supply-chain Levels for Software Artifacts) y herramientas como Sigstore/cosign para firmar imágenes.

El ataque XZ Utils (2024): un colaborador malicioso introdujo una backdoor en liblzma durante 2 años hasta ser descubierta. Afectó a distribuciones Linux con OpenSSH habilitado. Ejemplo perfecto de A08.
Verificar integridad con cosign
bash

A09:2025 – Security Logging & Monitoring Failures

Sin logs adecuados, los atacantes operan meses sin ser detectados. El tiempo medio de detección en 2024 es de 194 días(IBM Cost of Data Breach 2024). Exige: logging de eventos de autenticación, alertas sobre anomalías, correlación en SIEM, y pruebas regulares de que las alertas funcionan.

Evento de seguridad bien estructurado
json

A10:2025 – Server-Side Request Forgery (SSRF)

El servidor hace peticiones HTTP a URLs controladas por el atacante, permitiendo acceso a metadatos de cloud, servicios internos, escaneo de red o pivoting. En 2025 el SSRF mediante modelos de IA que hacen fetch de URLs de usuario es un vector emergente.

SSRF hacia metadata de AWS
bash

Comparativa 2021 → 2025

Terminal
Posición │ OWASP Top 10 2021 │ OWASP Top 10 2025 ──────────┼─────────────────────────────────┼────────────────────────────────── A01 │ Broken Access Control │ Broken Access Control (=) A02 │ Cryptographic Failures │ Cryptographic Failures (=) A03 │ Injection │ Injection + LLM Prompt Injection ↑ A04 │ Insecure Design │ Insecure Design + AI Design ↑ A05 │ Security Misconfiguration │ Security Misconfiguration (=) A06 │ Vulnerable Components │ Vulnerable Components + Supply Chain ↑ A07 │ Auth Failures │ Auth Failures (=) A08 │ Software Integrity Failures │ SW Integrity + SLSA/Sigstore refs ↑ A09 │ Logging Failures │ Logging Failures (=) A10 │ SSRF │ SSRF + AI/LLM SSRF vectors ↑

Cómo usar el OWASP Top 10 en tu proyecto

En el SDLC

  • Diseño: Threat modeling (STRIDE/PASTA) para A01, A04
  • Desarrollo: SAST con Semgrep/SonarQube para A03, A06
  • Testing: DAST con OWASP ZAP/Burp Suite para A05, A07, A10
  • Build: SCA con Dependency-Check/Snyk para A06, A08; firmar artefactos con cosign
  • Deploy: IaC scanning (Checkov, tfsec) para A02, A05
  • Operación: SIEM + alertas en tiempo real para A09

Priorización por impacto

Con recursos limitados, prioriza A01 (Broken Access Control), A03 (Injection) y A02 (Cryptographic Failures): estas tres categorías suman más del 50 % de los hallazgos en auditorías reales. Usa el OWASP ASVS como checklist detallado para cada categoría.

Herramientas por categoría

Terminal
A01 Broken Access Control → Burp Suite, OWASP ZAP, manual testing A02 Cryptographic Failures → testssl.sh, SSL Labs, sslscan A03 Injection → SQLMap, Semgrep, Bandit, Brakeman, Garak (LLM) A04 Insecure Design → Threat modeling: STRIDE, PASTA, IriusRisk A05 Security Misconfig → Lynis, ScoutSuite, Prowler, Trivy (IaC) A06 Outdated Components → npm audit, pip-audit, OWASP Dependency-Check, Snyk A07 Auth Failures → Hydra, Medusa, OWASP ASVS nivel 2 A08 Integrity Failures → cosign, Sigstore, SLSA, SBOM (Syft/CycloneDX) A09 Logging Failures → Splunk, Elastic SIEM, Falco, Wazuh A10 SSRF → Burp Collaborator, SSRFmap, interactsh

El ecosistema OWASP más allá del Top 10

El OWASP Top 10 es solo la puerta de entrada. Para un programa de seguridad completo, explora los demás proyectos OWASP documentados en esta wiki:

  • OWASP ASVS — Checklist de verificación de seguridad para aplicaciones web (niveles 1–3)
  • OWASP SAMM — Modelo de madurez para medir y mejorar tu programa de AppSec
  • OWASP DSOMM — Modelo de madurez específico para DevSecOps
  • OWASP MASVS — Estándar de verificación para aplicaciones móviles
  • OWASP WSTG — Guía metodológica completa para testing de seguridad web
  • OWASP API Security Top 10 — Las 10 categorías de riesgo específicas de APIs REST/GraphQL
  • OWASP Cheat Sheet Series — Referencia práctica para desarrolladores por tema
  • OWASP ZAP — Proxy de interceptación y scanner DAST open source
Por Aitana Security Team
Volver a la Wiki