{"id":2884,"date":"2025-11-10T12:29:59","date_gmt":"2025-11-10T15:29:59","guid":{"rendered":"https:\/\/confiden360.com\/blog\/?p=2884"},"modified":"2025-11-10T12:35:13","modified_gmt":"2025-11-10T15:35:13","slug":"owasp-top-10-2025-nuevos-riesgos-y-tendencias-en-seguridad-de-aplicaciones","status":"publish","type":"post","link":"https:\/\/confiden360.com\/blog\/iso27001\/owasp-top-10-2025-nuevos-riesgos-y-tendencias-en-seguridad-de-aplicaciones\/","title":{"rendered":"OWASP Top 10 2025: nuevos riesgos y tendencias en seguridad de aplicaciones"},"content":{"rendered":"<article><strong>OWASP<\/strong> ha lanzado su nueva versi\u00f3n del <strong>Top 10 de riesgos de seguridad en aplicaciones web para 2025<\/strong>, un referente mundial que gu\u00eda a empresas y desarrolladores en la protecci\u00f3n del software moderno.<br \/>\nEsta edici\u00f3n introduce <strong>dos nuevas categor\u00edas<\/strong>, una <strong>consolidaci\u00f3n importante<\/strong> y un enfoque centrado en la <strong>causa ra\u00edz<\/strong> de las vulnerabilidades m\u00e1s cr\u00edticas.<\/p>\n<h2>\ud83d\udd0d \u00bfQu\u00e9 ha cambiado en el Top 10 para 2025?<\/h2>\n<ul>\n<li>\u2795 <strong>Dos nuevas categor\u00edas:<\/strong> Fallos en la cadena de suministro de software y Manejo inadecuado de condiciones excepcionales.<\/li>\n<li>\ud83d\udd01 <strong>Una categor\u00eda consolidada:<\/strong> Control de acceso deficiente (ahora integra SSRF).<\/li>\n<li>\ud83d\udcca <strong>Reordenamiento de prioridades:<\/strong> La configuraci\u00f3n err\u00f3nea sube al puesto n.\u00ba 2, y se ajustan posiciones en criptograf\u00eda, inyecci\u00f3n y dise\u00f1o inseguro.<\/li>\n<\/ul>\n<h2>\ud83e\uddf1 A01:2025 &#8211; Control de acceso deficiente<\/h2>\n<p>Se mantiene como el riesgo m\u00e1s grave. Representa los fallos donde los usuarios acceden a funciones o datos sin autorizaci\u00f3n.<br \/>\nEsta categor\u00eda ahora incluye la vulnerabilidad <strong>SSRF (Server-Side Request Forgery)<\/strong>.<br \/>\nSeg\u00fan OWASP, el 3,73 % de las aplicaciones analizadas presentaban vulnerabilidades de este tipo.<\/p>\n<p><strong>Ejemplo:<\/strong> endpoints administrativos accesibles sin verificaci\u00f3n de rol.<br \/>\n<strong>Mitigaci\u00f3n:<\/strong> implementar RBAC, tokens seguros y auditor\u00edas peri\u00f3dicas de acceso.<\/p>\n<h2>\u2699\ufe0f A02:2025 &#8211; Configuraci\u00f3n err\u00f3nea de seguridad<\/h2>\n<p>Sube del puesto n.\u00ba 5 al n.\u00ba 2. Los errores de configuraci\u00f3n son cada vez m\u00e1s frecuentes, especialmente en entornos cloud, contenedores y microservicios.<\/p>\n<p><strong>Ejemplo:<\/strong> credenciales por defecto, buckets S3 p\u00fablicos, pol\u00edticas WAF deshabilitadas.<br \/>\n<strong>Mitigaci\u00f3n:<\/strong> automatizar revisiones, aplicar hardening y auditor\u00edas regulares.<\/p>\n<h2>\ud83d\udd17 A03:2025 &#8211; Fallos en la cadena de suministro de software (nueva categor\u00eda)<\/h2>\n<p>Ampl\u00eda la categor\u00eda de \u201ccomponentes vulnerables y obsoletos\u201d de 2021.<br \/>\nCubre todo el ciclo de dependencias: librer\u00edas, sistemas de compilaci\u00f3n, infraestructura CI\/CD y repositorios de software.<\/p>\n<p><strong>Ejemplo:<\/strong> dependencias sin firma o bibliotecas desactualizadas.<br \/>\n<strong>Mitigaci\u00f3n:<\/strong> gesti\u00f3n de dependencias (SBOM), verificaci\u00f3n de firmas y escaneo continuo (SCA).<\/p>\n<h2>\ud83d\udd10 A04:2025 &#8211; Fallos criptogr\u00e1ficos<\/h2>\n<p>Desciende del puesto n.\u00ba 2 al n.\u00ba 4. Se relaciona con algoritmos inseguros, mala gesti\u00f3n de claves o contrase\u00f1as almacenadas sin hash.<\/p>\n<p><strong>Mitigaci\u00f3n:<\/strong> usar algoritmos modernos (AES-256, SHA-256), rotaci\u00f3n de claves y cifrado en tr\u00e1nsito y reposo.<\/p>\n<h2>\ud83d\udc89 A05:2025 &#8211; Inyecci\u00f3n de vulnerabilidades<\/h2>\n<p>Baja dos posiciones, pero sigue siendo una de las categor\u00edas m\u00e1s explotadas. Incluye <em>SQL Injection<\/em>, <em>XSS<\/em>, <em>Command Injection<\/em>, entre otras.<\/p>\n<p><strong>Mitigaci\u00f3n:<\/strong> validaci\u00f3n estricta de entradas, consultas parametrizadas y testing continuo en cada sprint (DevSecOps).<\/p>\n<h2>\ud83e\udde9 A06:2025 &#8211; Dise\u00f1o inseguro<\/h2>\n<p>Desciende al puesto n.\u00ba 6, aunque OWASP destaca mejoras gracias al modelado de amenazas y a la adopci\u00f3n de pr\u00e1cticas de dise\u00f1o seguro.<\/p>\n<p><strong>Mitigaci\u00f3n:<\/strong> integrar revisiones de seguridad en la arquitectura y an\u00e1lisis de riesgo en etapas tempranas del desarrollo.<\/p>\n<h2>\ud83d\udd11 A07:2025 &#8211; Fallos de autenticaci\u00f3n<\/h2>\n<p>Se mantiene en el puesto n.\u00ba 7. Aunque el uso de marcos estandarizados ha reducido su frecuencia, sigue siendo una debilidad com\u00fan.<\/p>\n<p><strong>Mitigaci\u00f3n:<\/strong> implementar MFA, restringir sesiones inactivas, proteger tokens JWT y usar frameworks seguros de autenticaci\u00f3n.<\/p>\n<h2>\ud83e\uddfe A08:2025 &#8211; Fallos en la integridad del software o los datos<\/h2>\n<p>Permanece en el puesto n.\u00ba 8. Afecta la verificaci\u00f3n de integridad del c\u00f3digo o de los datos, clave para prevenir manipulaciones en pipelines.<\/p>\n<p><strong>Mitigaci\u00f3n:<\/strong> aplicar firmas digitales, hashes y controles de integridad en repositorios y despliegues.<\/p>\n<h2>\ud83d\udcca A09:2025 &#8211; Fallos en el registro y las alertas<\/h2>\n<p>Se mantiene en el puesto n.\u00ba 9, con un nuevo nombre que enfatiza la importancia de las alertas ante incidentes.<\/p>\n<p><strong>Mitigaci\u00f3n:<\/strong> habilitar monitoreo en tiempo real, integrar logs en SIEM y generar alertas automatizadas de alta prioridad.<\/p>\n<h2>\u26a0\ufe0f A10:2025 &#8211; Manejo inadecuado de condiciones excepcionales (nueva categor\u00eda)<\/h2>\n<p>Incorpora 24 CWE sobre errores de manejo de excepciones, condiciones an\u00f3malas y fallos l\u00f3gicos que pueden generar exposici\u00f3n o inestabilidad del sistema.<\/p>\n<p><strong>Ejemplo:<\/strong> mensajes de error que revelan informaci\u00f3n sensible.<br \/>\n<strong>Mitigaci\u00f3n:<\/strong> manejo seguro de excepciones, respuestas gen\u00e9ricas al usuario y logging controlado.<\/p>\n<h2>\ud83d\udcc8 Conclusi\u00f3n<\/h2>\n<p>El <strong>OWASP Top 10 2025<\/strong> refleja un sector m\u00e1s maduro, pero con retos crecientes.<br \/>\nLa atenci\u00f3n ahora se centra en la <strong>integridad del ecosistema<\/strong> y la <strong>seguridad del ciclo de vida del software<\/strong>,<br \/>\nno solo en el c\u00f3digo.<\/p>\n<p>Las organizaciones deben priorizar la gesti\u00f3n de configuraciones, las dependencias de software y la detecci\u00f3n temprana de incidentes para evitar brechas graves.<\/p>\n<h2>\ud83d\udee1\ufe0f C\u00f3mo puede ayudarte Confiden<\/h2>\n<p>En <a href=\"https:\/\/confiden.cl\">Confiden<\/a> te ayudamos a fortalecer la seguridad de tus aplicaciones con:<\/p>\n<ul>\n<li>\u2705 <a href=\"https:\/\/confiden360.com\/blog\/auditorias\">Pruebas de penetraci\u00f3n (pentesting)<\/a> basadas en OWASP.<\/li>\n<li>\u2705 Implementaci\u00f3n de <a href=\"https:\/\/confiden360.com\/blog\/iso27001\">ISO 27001<\/a> y cumplimiento de la <a href=\"https:\/\/confiden360.com\/blog\/blog\/ley-ciberseguridad\/ley-marco-ciberseguridad-chile\">Ley Marco de Ciberseguridad<\/a>.<\/li>\n<li>\u2705 Auditor\u00edas de c\u00f3digo, infraestructura y pipelines DevSecOps.<\/li>\n<li>\u2705 Formaci\u00f3n t\u00e9cnica y cultura de seguridad para equipos de desarrollo.<\/li>\n<\/ul>\n<p>\ud83d\udd17 Fortalece la seguridad de tus aplicaciones.<br \/>\n<a href=\"https:\/\/confiden360.com\/blog\/contacto\"><strong>Solicita un diagn\u00f3stico gratuito \u2192 confiden.cl\/contacto<\/strong><\/a><\/p>\n<\/article>\n","protected":false},"excerpt":{"rendered":"<p>OWASP ha lanzado su nueva versi\u00f3n del Top 10 de riesgos de seguridad en aplicaciones web para 2025, un referente mundial que gu\u00eda a empresas y desarrolladores en la protecci\u00f3n del software moderno. Esta edici\u00f3n introduce dos nuevas categor\u00edas, una consolidaci\u00f3n importante y un enfoque centrado en la causa ra\u00edz de las vulnerabilidades m\u00e1s cr\u00edticas. [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"site-container-style":"default","site-container-layout":"default","site-sidebar-layout":"default","disable-article-header":"default","disable-site-header":"default","disable-site-footer":"default","disable-content-area-spacing":"default","footnotes":""},"categories":[37],"tags":[66,202,50,221,222,224,223],"class_list":["post-2884","post","type-post","status-publish","format-standard","hentry","category-iso27001","tag-ciberseguridad-chile","tag-confiden","tag-iso-27001","tag-owasp-2025","tag-owasp-top-10","tag-pentesting","tag-seguridad-de-aplicaciones"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/confiden360.com\/blog\/wp-json\/wp\/v2\/posts\/2884","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/confiden360.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/confiden360.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/confiden360.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/confiden360.com\/blog\/wp-json\/wp\/v2\/comments?post=2884"}],"version-history":[{"count":3,"href":"https:\/\/confiden360.com\/blog\/wp-json\/wp\/v2\/posts\/2884\/revisions"}],"predecessor-version":[{"id":2887,"href":"https:\/\/confiden360.com\/blog\/wp-json\/wp\/v2\/posts\/2884\/revisions\/2887"}],"wp:attachment":[{"href":"https:\/\/confiden360.com\/blog\/wp-json\/wp\/v2\/media?parent=2884"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/confiden360.com\/blog\/wp-json\/wp\/v2\/categories?post=2884"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/confiden360.com\/blog\/wp-json\/wp\/v2\/tags?post=2884"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}