Blog
Nuevo OWASP Top 10:2025: qué cambió y por qué importa en la seguridad web
Conoce qué cambió en el nuevo OWASP Top 10:2025, cuáles son las nuevas categorías y por qué esta actualización importa para desarrolladores, pentesters y equipos de seguridad.
Nuevo OWASP Top 10:2025: qué cambió y por qué importa en la seguridad web
Durante mucho tiempo, hablar de seguridad en aplicaciones web era hablar del OWASP Top 10:2021. Sin embargo, la referencia oficial más reciente ya es OWASP Top 10:2025, una actualización que no solo reorganiza categorías, sino que también refleja mejor cómo se construye, despliega y ataca el software moderno.
Lo más interesante de esta nueva edición es que OWASP empuja a mirar la seguridad desde una perspectiva más estructural. Ya no se trata únicamente de pensar en vulnerabilidades aisladas, sino también en problemas de acceso, configuración, autenticación, cadena de suministro, integridad y manejo de condiciones anómalas.
La lista oficial del OWASP Top 10:2025
Estas son las diez categorías del nuevo OWASP Top 10:2025:
- A01:2025 - Broken Access Control
- A02:2025 - Security Misconfiguration
- A03:2025 - Software Supply Chain Failures
- A04:2025 - Cryptographic Failures
- A05:2025 - Injection
- A06:2025 - Insecure Design
- A07:2025 - Authentication Failures
- A08:2025 - Software or Data Integrity Failures
- A09:2025 - Security Logging & Alerting Failures
- A10:2025 - Mishandling of Exceptional Conditions
A simple vista puede parecer una actualización más, pero en realidad el nuevo ranking deja claro que los mayores riesgos actuales no dependen solo del código, sino también de cómo se diseñan, configuran, integran y operan las aplicaciones.
Qué cambió frente a OWASP Top 10:2021
1. Broken Access Control sigue siendo el riesgo número uno
El control de acceso roto se mantiene en la primera posición, lo que confirma que sigue siendo uno de los problemas más críticos en aplicaciones web. En la práctica, esto incluye fallas donde un usuario puede acceder a recursos, funciones o datos que no le corresponden.
En entornos modernos, este riesgo va mucho más allá de esconder botones o validar sesiones. Hoy también implica revisar permisos por rol, propiedad de registros, acceso entre servicios, validación en backend y límites entre usuarios autenticados. Además, OWASP integra aquí elementos como SSRF, reforzando la idea de que ciertos abusos de confianza entre sistemas deben entenderse dentro del problema de control de acceso.
2. Security Misconfiguration sube al puesto 2
Uno de los cambios más llamativos es el ascenso de Security Misconfiguration, que pasa a ocupar la segunda posición. Esto tiene mucho sentido en una época donde gran parte del comportamiento del software depende de configuraciones, variables de entorno, servicios cloud, contenedores, frameworks y pipelines.
Muchas brechas serias no nacen de una falla clásica de programación, sino de configuraciones débiles: cabeceras de seguridad ausentes, permisos excesivos, defaults inseguros, CORS mal definido, paneles administrativos expuestos o componentes habilitados innecesariamente.
3. La cadena de suministro gana más protagonismo
En 2021 existía la categoría Vulnerable and Outdated Components. En 2025, la visión se amplía con Software Supply Chain Failures, una categoría mucho más alineada con la realidad actual del desarrollo.
Hoy una aplicación no depende solo del código escrito por su equipo. También depende de librerías de terceros, paquetes, registros, artefactos, procesos de build, despliegues automáticos y herramientas externas. Por eso, hablar de seguridad ya no es solo revisar vulnerabilidades en dependencias, sino entender toda la confianza depositada en la cadena de suministro del software.
4. Hay cambios de nombre que reflejan mejor el riesgo real
OWASP también ajustó algunos nombres para hacerlos más precisos. Por ejemplo, ahora aparece Authentication Failures y Security Logging & Alerting Failures, un cambio que refuerza algo importante: registrar eventos no basta si no existe una capacidad real de detección, correlación y respuesta.
Muchas organizaciones tienen logs, pero aun así no detectan incidentes a tiempo. Por eso, el problema no es solo la ausencia de monitoreo, sino la falta de alertamiento útil y accionable.
5. Aparece una nueva categoría: Mishandling of Exceptional Conditions
Una de las incorporaciones más interesantes de 2025 es Mishandling of Exceptional Conditions. Esta categoría pone el foco en lo que ocurre cuando el sistema entra en estados anómalos: errores inesperados, condiciones de fallo, comportamientos fail-open, timeouts, respuestas incompletas, lógica inconsistente o rutas no contempladas.
Este punto es especialmente valioso porque muchas aplicaciones parecen seguras en condiciones normales, pero fallan de forma peligrosa cuando algo sale mal. Y justamente esos escenarios fuera de lo común son los que un atacante suele intentar provocar.
Por qué este nuevo Top 10 importa de verdad
El nuevo OWASP Top 10:2025 importa porque muestra una evolución clara en la manera de entender la seguridad web. Durante años, muchas conversaciones se centraron en vulnerabilidades puntuales. Eso sigue siendo útil, pero ya no es suficiente.
Hoy importa tanto detectar una inyección como revisar si la arquitectura permite un abuso de privilegios, si la configuración expone servicios innecesarios, si la autenticación resiste escenarios reales, si el pipeline de despliegue es confiable y si la aplicación falla de forma segura cuando algo se rompe.
En otras palabras, la seguridad ya no puede tratarse como una revisión superficial al final del proyecto. Tiene que formar parte del diseño, del desarrollo, del despliegue y de la operación diaria.
Qué deberían revisar hoy los equipos técnicos
A la luz de OWASP Top 10:2025, hay varias preguntas que cualquier equipo debería hacerse:
- ¿El backend valida correctamente permisos y propiedad de recursos?
- ¿Existen configuraciones inseguras por defecto en desarrollo o producción?
- ¿Se controlan y actualizan adecuadamente las dependencias y artefactos?
- ¿La autenticación es resistente a abuso, enumeración o bypass?
- ¿La aplicación detecta y alerta eventos realmente importantes?
- ¿El sistema falla de forma segura ante errores, excepciones o caídas parciales?
Responder bien estas preguntas puede aportar más seguridad real que simplemente corregir hallazgos aislados sin contexto.
Conclusión
El OWASP Top 10:2025 no solo actualiza una lista conocida. También redefine la conversación sobre seguridad en aplicaciones web. La nueva edición deja claro que los riesgos actuales están profundamente ligados al acceso, la configuración, la autenticación, la integridad del software y la manera en que una aplicación se comporta cuando algo no sale como se esperaba.
Memorizar las diez categorías puede servir como guía inicial, pero lo realmente importante es entender el mensaje de fondo: la seguridad moderna exige menos enfoque en síntomas aislados y más atención a las causas estructurales que vuelven vulnerable a una aplicación.
Bibliografía
- OWASP Top 10:2025 - Página principal
- OWASP Top Ten Web Application Security Risks - Proyecto oficial
- Introduction - OWASP Top 10:2025
- A01:2025 - Broken Access Control
- A02:2025 - Security Misconfiguration
- A03:2025 - Software Supply Chain Failures
- A09:2025 - Security Logging & Alerting Failures
- A10:2025 - Mishandling of Exceptional Conditions
- Establishing a Modern Application Security Program
¿Qué opinas?
¿Crees que el OWASP Top 10:2025 refleja mejor los riesgos actuales del desarrollo moderno? Déjame tu opinión en los comentarios y conversemos sobre qué categorías te parecen más relevantes hoy.
Comentarios
Comparte una idea, pregunta o aporte sobre este articulo.
Todavia no hay comentarios. Puedes abrir la conversacion.