El Top 10 OWASP 2025 ha llegado oficialmente, trayendo dos grandes actualizaciones. Refleja cómo la seguridad del software se ha desplazado hacia riesgos complejos e interconectados como la integridad de la cadena de suministro y el manejo de errores. Para los desarrolladores y equipos de seguridad, comprender estos cambios es esencial para mantener las aplicaciones resilientes.
OWASP subraya que el Top 10 OWASP es un documento de concienciación, no un estándar completo. Está diseñado para destacar los riesgos más críticos, no para servir como un marco de seguridad exhaustivo. Para las organizaciones que buscan ir más allá, OWASP recomienda utilizar modelos de madurez y verificación como SAMM (Software Assurance Maturity Model), DSOMM (DevSecOps Maturity Model) y ASVS (Application Security Verification Standard).
Para más información sobre el Top 10 OWASP, consulta este artículo.
¿Qué ha cambiado en el Top 10 OWASP para 2025?
La edición de 2025 introduce dos nuevas categorías y una consolidación.
- A03: Fallos en la cadena de suministro de software amplía la categoría de 2021 “Componentes vulnerables y obsoletos”, cubriendo todo el ecosistema de software, incluyendo dependencias, sistemas de compilación e infraestructura de distribución.
- A10: Gestión inadecuada de condiciones excepcionales es completamente nueva, destacando la importancia de una gestión segura de errores y la resiliencia.
- Lo que era A10:2021: Falsificación de Solicitudes del Lado del Servidor (SSRF) se ha consolidado en A01:2025 - control de acceso roto
- Mientras tanto, A01: control de acceso roto y A02: configuración de seguridad incorrecta mantienen sus primeras posiciones, demostrando que las prácticas de seguridad fundamentales siguen siendo críticas.
En resumen, OWASP 2025 cambia el enfoque de los fallos de código aislados a las debilidades sistémicas que abarcan todo el ciclo de vida del desarrollo.
El Top 10 OWASP 2025
A continuación se presenta la lista completa de categorías del Top 10 OWASP 2025, junto con un breve resumen de cada una.
A03:2025 – Fallos en la Cadena de Suministro de Software
El Top 10 OWASP 2025 destaca los Fallos en la Cadena de Suministro de Software como uno de los riesgos más urgentes en la seguridad del software moderno. OWASP ahora señala explícitamente el malware en los ecosistemas de software, incluyendo paquetes maliciosos, mantenedores comprometidos y procesos de compilación manipulados, como amenazas principales para la seguridad de las aplicaciones.
Estos ataques rara vez comienzan en producción. Comienzan en la estación de trabajo del desarrollador. Al comprometer dependencias o inyectar malware en paquetes ampliamente utilizados, los atacantes pueden obtener acceso a entornos que son inherentemente confiables. Una vez dentro, una única dependencia maliciosa puede moverse a través de sistemas CI, contenedores y entornos cloud en cuestión de horas, a menudo sin activar los escáneres tradicionales.
Aikido Security ha visto este cambio de cerca. A lo largo de 2025, identificamos y analizamos varios de los mayores compromisos de la cadena de suministro, cada uno un claro ejemplo de A03 en la práctica:
- Shai Hulud, una sigilosa campaña de malware oculta en paquetes npm que exfiltró credenciales y tokens a través de dependencias transitivas.
- S1ngularity, una operación de confusión de dependencias que explotó colisiones de nombres y espejos internos para infiltrarse en estaciones de trabajo de desarrolladores y en CI.
- El brote de malware de npm de septiembre, donde librerías populares como chalk, debug y ansi-regex fueron infectadas y descargadas millones de veces antes de que Aikido detectara y escalara el compromiso.
- El troyano React-Native-Aria, que insertó una carga útil de acceso remoto en lanzamientos legítimos de npm y fue detectado tempranamente a través de la detección de anomalías de Aikido Intel.
Durante estos incidentes, muchas organizaciones recurrieron a Aikido para obtener inteligencia y orientación precisas, utilizando nuestras actualizaciones para determinar la exposición, validar las dependencias y responder antes de que el daño se propagara.
Esta expansión en el alcance de OWASP refleja lo que muchos líderes de seguridad ya están experimentando. El informe State of AI in Security & Development 2026 de Aikido encontró que 1 de cada 3 líderes de seguridad ha pasado por alto riesgos debido a una mala integración entre herramientas, y el 38% reporta lagunas en la visibilidad a lo largo del ciclo de vida de desarrollo o despliegue. El resultado es una brecha de visibilidad que los atacantes explotan a través de cadenas de suministro confiables.
Aikido ayuda a cerrar esa brecha. Con Aikido Intel para fuentes de amenazas en tiempo real, Safe Chain para la verificación de paquetes previa a la instalación, y un grafo de dependencias unificado a través de código, contenedores y la nube, los equipos pueden ver exactamente dónde las vulnerabilidades se cruzan con la exposición real. Aikido no solo detecta paquetes comprometidos, sino que también los bloquea antes de que lleguen a producción.
Para muchas organizaciones, A03 es la categoría más relevante en el Top 10 OWASP 2025 porque refleja cómo se construye y ataca realmente el software hoy en día. La cadena de suministro se ha convertido en el nuevo perímetro, y Aikido proporciona a los equipos la visibilidad, automatización e inteligencia para defenderlo.
A10:2025 – Manejo Incorrecto de Condiciones Excepcionales
La categoría más reciente, A10: Manejo Inadecuado de Condiciones Excepcionales, se centra en cómo fallan los sistemas. Un manejo deficiente de errores, fallos lógicos y estados de fallo inseguros pueden conducir a la exposición de datos sensibles o a condiciones de denegación de servicio.
OWASP señala que muchas de estas debilidades solían agruparse bajo el concepto de «mala calidad del código», pero ahora merecen una categoría dedicada.
Los problemas comunes incluyen:
- Mensajes de error que revelan detalles sensibles
- Lógica de manejo de privilegios que falla de forma abierta
- Manejo inconsistente de excepciones
- Errores de memoria o de entrada no gestionados
Esta categoría refuerza la idea de que el software seguro no solo consiste en prevenir ataques, sino también en fallar de forma segura y predecible cuando algo sale mal.
El enfoque de OWASP en la resiliencia y el fallo seguro también aborda un problema cultural más amplio. El mismo informe de Aikido reveló que los desarrolladores y los equipos de seguridad a menudo discrepan sobre quién es responsable de las prácticas de codificación segura. Esa falta de claridad suele conducir a un manejo inconsistente de errores o a pruebas incompletas, los tipos de fallos que A10 pretende evitar.
OWASP también recomienda que las organizaciones midan la madurez de sus programas de seguridad de aplicaciones utilizando marcos de trabajo como SAMM o DSOMM. El objetivo no es cumplir todos los requisitos, sino identificar dónde la visibilidad, la automatización y la coherencia pueden generar el mayor impacto.
Cómo puede ayudar Aikido
El Top 10 OWASP 2025 subraya la necesidad de visibilidad en cada capa del desarrollo de software. Aikido proporciona esa claridad a los equipos unificando las señales del código, las dependencias, los contenedores y la infraestructura en la nube.
- Aikido Intel proporciona inteligencia de amenazas en tiempo real, señalando paquetes comprometidos y CVEs a medida que aparecen.
- Safe Chain, el verificador de paquetes de código abierto de Aikido, comprueba las dependencias de npm, yarn y pnpm antes de la instalación, bloqueando las versiones maliciosas.
- Unificados grafos de dependencia conectan su código, contenedores y la nube para mostrar cómo las dependencias transitivas interactúan con sus sistemas de producción, reduciendo los falsos positivos y revelando rutas de explotación reales.
- La generación de SBOM ayuda a los equipos a ver al instante su cadena de suministro de software completa, mejorando la transparencia y el cumplimiento.
- La puntuación del Top 10 OWASP le ofrece una visión clara de cómo su entorno se compara con cada categoría, con orientación práctica para mejorar.
Aikido le ayuda a gestionar los riesgos que el Top 10 OWASP 2025 señala, proporcionándole contexto sobre lo que importa y automatización para actuar en consecuencia.
Creación de un programa moderno de seguridad de aplicaciones
Para establecer una base sólida de AppSec, OWASP recomienda adoptar un enfoque basado en riesgos para su cartera de software, crear controles y políticas de seguridad reutilizables, integrar la seguridad en cada fase del SDLC, invertir en la formación de desarrolladores y hacer un seguimiento del progreso con métricas. Juntos, estos pasos construyen una cultura en la que el desarrollo seguro forma parte de la práctica diaria en lugar de un proceso separado.
Por qué el Top 10 OWASP 2025 sigue siendo relevante
El Top 10 OWASP sigue siendo uno de los recursos más valiosos para los equipos de desarrollo y seguridad. No es solo una lista de verificación, sino un reflejo de dónde están surgiendo los riesgos del mundo real. Al alinear sus procesos de seguridad con él, puede fortalecer su cadena de suministro de software, mejorar la calidad del código y hacer de la seguridad una parte natural del desarrollo. Para las organizaciones que desean un estándar medible y verificable, OWASP recomienda combinar el Top 10 con el Estándar de Verificación de Seguridad de Aplicaciones (ASVS), que traduce la concienciación en prácticas de seguridad verificables. Aikido lo facilita mapeando automáticamente su cobertura OWASP, detectando vulnerabilidades críticas y ayudándole a solucionarlas más rápido.
Escanee su entorno con Aikido Security hoy mismo para ver cómo su stack se compara con el Top 10 OWASP 2025 y dónde centrarse a continuación.
