OWASP ASVS — Verificación de Seguridad

¿Qué es el OWASP ASVS?

El Application Security Verification Standard (ASVS) es una lista de requisitos de seguridad para el diseño, desarrollo y prueba de aplicaciones web modernas. La versión actual es ASVS 5.0 (2024), una revisión mayor que reestructura los capítulos y añade requisitos para APIs, GraphQL, WebSockets y seguridad de IA.

ASVS como checklist de requisitos

ASVS no es una metodología de testing (para eso está el WSTG), es un catálogo de qué debe cumplir tu aplicación para ser considerada segura. Es la base ideal para escribir historias de usuario de seguridad, criterios de aceptación, y para contractualizar requisitos con proveedores de software.

Los 3 niveles de verificación

ASVS define tres niveles de seguridad progresivos:

Nivel 1 — Básico (Opportunistic)

El mínimo recomendado para cualquier aplicación. Cubre los riesgos más comunes del OWASP Top 10. Se puede verificar principalmente con herramientas automáticas: DAST (OWASP ZAP), SAST (Semgrep), y revisión de código básica.

Objetivo: todas las aplicaciones de la organización
Verificación: automática + revisión básica
Tiempo estimado: 1–2 semanas por aplicación

Nivel 2 — Estándar (Standard)

Para aplicaciones que manejan datos sensibles o transacciones de negocio. Requiere testing manual además de herramientas automáticas. Es el nivel mínimo exigido por PCI-DSS, HIPAA y la mayoría de auditorías ISO 27001.

Objetivo: aplicaciones con datos de usuarios, pagos, salud
Verificación: pentesting + revisión de código + DAST/SAST
Tiempo estimado: 2–4 semanas por aplicación

Nivel 3 — Avanzado (Advanced)

Para sistemas críticos: infraestructura médica, fintech, defensa, sistemas de control industrial. Requiere un análisis exhaustivo de arquitectura, criptografía, y revisión de código línea a línea.

Objetivo: sistemas de alta criticidad y seguridad nacional
Verificación: arquitectura + código + pentesting avanzado + red team
Tiempo estimado: 4–12 semanas por sistema

Capítulos del ASVS 5.0

Terminal

ASVS 5.0 — 14 capítulos de verificación ══════════════════════════════════════════════════════════════ V1 Architecture, Design and Threat Modeling (Nivel 1–3) V2 Authentication (Nivel 1–3) V3 Session Management (Nivel 1–3) V4 Access Control (Nivel 1–3) V5 Input Validation and Sanitization (Nivel 1–3) V6 Stored Cryptography (Nivel 1–3) V7 Error Handling and Logging (Nivel 1–3) V8 Data Protection (Nivel 1–3) V9 Communication (Nivel 1–3) V10 Malicious Code (Nivel 2–3) V11 Business Logic (Nivel 2–3) V12 Files and Resources (Nivel 1–3) V13 API and Web Services (Nivel 1–3) ← nuevo en 5.0 V14 Configuration (Nivel 1–3) NUEVO en ASVS 5.0: V15 AI/ML Security (Nivel 2–3) ← añadido 2024

Ejemplos de requisitos por capítulo

V2 — Authentication (ejemplos)

text

V4 — Access Control (ejemplos)

text

Cómo usar ASVS en el día a día

1. Como criterios de aceptación en tickets

Historia de usuario con requisitos ASVS

markdown

2. Como contrato con proveedores

Incluye en los contratos de desarrollo externalizado: "La aplicación debe cumplir OWASP ASVS 5.0 Nivel 2 antes de la entrega final."El proveedor debe entregar un informe de verificación ASVS firmado.

3. Como base de pentest scoping

Script para extraer requisitos L2 del ASVS

bash

Herramientas de verificación ASVS

Terminal

Capítulo ASVS Herramienta de verificación ───────────────────────────────────────────────────────────────── V2 Authentication → Burp Suite, OWASP ZAP, hydra (fuerza bruta testing) V3 Sessions → Burp Suite, jwt_tool (JWT attacks) V4 Access Control → Burp Suite autorización, manuall testing V5 Input Validation → Semgrep, Bandit (Python), Brakeman (Rails) V6 Cryptography → testssl.sh, Cryptosense, manual code review V7 Error/Logging → Revisión de código, grep de stack traces V9 Communication → testssl.sh, SSL Labs API, sslyze V13 API/Web Services → Postman + scripts, OWASP ZAP API scan V14 Configuration → Checkov, tfsec, Trivy (IaC), ScoutSuite (cloud) Plataformas integradas de ASVS: - DefectDojo: gestión de hallazgos mapeados a ASVS - ThreadFix: tracking de vulnerabilidades con mappings ASVS - Security Knowledge Framework (SKF): training + ASVS testing

La Security Knowledge Framework (SKF) de OWASP incluye una aplicación web que guía paso a paso la verificación ASVS con código de ejemplo vulnerable y la solución segura para cada requisito. Es ideal para training de developers.

ASVS vs. otros estándares

Terminal

Estándar Propósito Relación con ASVS ──────────────────────────────────────────────────────────── ASVS Requisitos de seguridad Base (este documento) WSTG Metodología de testing Cómo verificar los requisitos ASVS OWASP T10 Top vulnerabilidades Subconjunto de ASVS (ASVS es más completo) PCI-DSS Requisitos para pagos ASVS L2 cubre ~60% de PCI DSS req.6 NIST SSDF Secure development framework Mapeo parcial con ASVS disponible en owasp.org

Por Aitana Security Team

Volver a la Wiki