El Top 10 OWASP ya está aquí oficialmente, con dos grandes novedades. Refleja cómo la seguridad del software ha evolucionado hacia riesgos complejos e interconectados, como la integridad de la cadena de suministro y la gestión de errores. Para los desarrolladores y los equipos de seguridad, comprender estos cambios es esencial para mantener la resiliencia de las aplicaciones.
OWASP hace hincapié en que el Top 10 es un documento de concienciación, no una norma completa. Está diseñado para destacar los riesgos más críticos, no para servir como un marco de seguridad completo. Para las organizaciones que deseen ir más allá, OWASP recomienda utilizar modelos de madurez y verificación como SAMM (Software Assurance Maturity Model), DSOMM (DevSecOps Model) y ASVS (Application Security Verification Standard).
Para Top 10 OWASP más información sobre el Top 10 OWASP , consulte este artículo.
¿Qué ha cambiado en el Top 10 OWASP 2025?
La edición de 2025 introduce dos nuevas categorías y una consolidación.
- A03: Fallos en la cadena de suministro de software amplía la categoría de 2021 «Componentes vulnerables y obsoletos», abarcando todo el ecosistema de software, incluidas las dependencias, los sistemas de compilación y la infraestructura de distribución.
- A10: El manejo incorrecto de condiciones excepcionales es completamente nuevo, lo que destaca la importancia del manejo seguro de errores y la resiliencia.
- Lo que era A10:2021: Falsificación de solicitudes del lado del servidor (SSRF) se ha consolidado en A01:2025: control de acceso roto
- Mientras tanto, A01: control de acceso roto y A02: configuración de seguridad incorrecta mantienen sus posiciones principales, lo que demuestra que las prácticas de seguridad fundamentales siguen siendo fundamentales.
En resumen, OWASP 2025 cambia el enfoque de los fallos aislados del código a las debilidades sistémicas que abarcan todo el ciclo de vida del desarrollo.
Las Top 10 OWASP amenazas Top 10 OWASP
A continuación se muestra la lista completa de categorías del Top 10 OWASP , junto con un breve resumen de cada una de ellas.
A03:2025 – Fallos en la cadena de suministro de software
El Top 10 OWASP destaca los fallos en la cadena de suministro de software como uno de los riesgos más urgentes en la seguridad del software moderno. OWASP ahora señala explícitamente el malware en los ecosistemas de software, incluidos los paquetes maliciosos, los mantenedores comprometidos y los procesos de compilación manipulados, como las principales amenazas para la seguridad de las aplicaciones.
Estos ataques rara vez comienzan en la producción. Comienzan en la estación de trabajo del desarrollador. Al comprometer las dependencias o inyectar malware en paquetes de uso generalizado, los atacantes pueden obtener acceso a entornos que son intrínsecamente confiables. Una vez dentro, una sola dependencia maliciosa puede moverse a través de sistemas de CI, contenedores y entornos en la nube en cuestión de horas, a menudo sin activar los escáneres tradicionales.
Aikido Security sido testigo directo de este cambio. A lo largo de 2025, identificamos y analizamos varios de los mayores compromisos de la cadena de suministro, cada uno de los cuales es un claro ejemplo de la aplicación práctica de A03:
- Shai Hulud, una campaña de malware sigilosa oculta en paquetes npm que extraía credenciales y tokens a través de dependencias transitivas.
- S1ngularity, una operación de confusión de dependencias que aprovechaba las colisiones de nombres y los espejos internos para infiltrarse en las estaciones de trabajo de los desarrolladores y en la integración continua (CI).
- El brote de malware npm de septiembre, en el que bibliotecas populares como chalk, debug y ansi-regex fueron infectadas y descargadas millones de veces antes de que Aikido detectara y alertara del ataque.
- El troyano React-Native-Aria, que insertaba una carga útil de acceso remoto en versiones legítimas de npm y fue detectado a tiempo gracias a detección de anomalías de Aikido Intel.
Durante estos incidentes, muchas organizaciones recurrieron a Aikido en busca de información precisa y orientación, utilizando nuestras actualizaciones para determinar la exposición, validar las dependencias y responder antes de que el daño se extendiera.
Esta ampliación del alcance de OWASP refleja lo que muchos responsables de seguridad ya están experimentando. El informe «State of AI in Security & Development 2026» (Estado de la IA en seguridad y desarrollo en 2026 ) de Aikido reveló que uno de cada tres responsables de seguridad ha pasado por alto riesgos debido a la mala integración entre herramientas, y el 38 % señala deficiencias en la visibilidad a lo largo del ciclo de vida del desarrollo o la implementación. El resultado es una brecha de visibilidad que los atacantes aprovechan a través de cadenas de suministro de confianza.
Aikido ayuda a cerrar esa brecha. Con Aikido Intel para feeds de amenazas en tiempo real, Safe Chain para la verificación de paquetes preinstalados y un gráfico de dependencias unificado para código, contenedores y nube, los equipos pueden ver exactamente dónde se cruzan las vulnerabilidades con la exposición real. Aikido no solo detecta los paquetes comprometidos, sino que también los bloquea antes de que lleguen a producción.
Para muchas organizaciones, A03 es la categoría más relevante del Top 10 OWASP , ya que refleja cómo se crea y se ataca realmente el software hoy en día. La cadena de suministro se ha convertido en el nuevo perímetro, y Aikido proporciona a los equipos la visibilidad, la automatización y la inteligencia necesarias para defenderla.
A10:2025 – Manejo inadecuado de condiciones excepcionales
La categoría más reciente, A10: Manejo incorrecto de condiciones excepcionales, se centra en cómo fallan los sistemas. Un manejo deficiente de los errores, fallos lógicos y estados de fallo inseguros pueden dar lugar a la exposición de datos confidenciales o a condiciones de denegación de servicio.
OWASP señala que muchas de estas debilidades solían agruparse bajo el término «mala calidad del código», pero ahora merecen una categoría específica.
Entre los problemas más comunes se incluyen:
- Mensajes de error que revelan información confidencial
- Lógica de gestión de privilegios que falla al abrirse
- Manejo inconsistente de excepciones
- Errores de memoria o de entrada no gestionados
Esta categoría refuerza la idea de que el software seguro no solo consiste en prevenir ataques, sino también en fallar de forma segura y predecible cuando algo sale mal.
El enfoque de OWASP en la resiliencia y el fallo seguro también aborda una cuestión cultural más amplia. El mismo informe de Aikido reveló que los desarrolladores y los equipos de seguridad suelen discrepar sobre quién es responsable de las prácticas de codificación segura. Esa falta de claridad suele dar lugar a un tratamiento inconsistente de los errores o a pruebas incompletas, el tipo de fallos que A10 pretende evitar.
OWASP también recomienda que las organizaciones midan la madurez de sus programas de seguridad de aplicaciones utilizando marcos como SAMM o DSOMM. El objetivo no es cumplir todos los requisitos, sino identificar dónde la visibilidad, la automatización y la coherencia pueden tener un mayor impacto.
Cómo puede ayudar el aikido
El Top 10 OWASP destaca la necesidad de visibilidad en todas las capas del desarrollo de software. Aikido proporciona esa claridad a los equipos al unificar las señales del código, las dependencias, los contenedores y la infraestructura en la nube.
- Aikido Intel proporciona inteligencia de amenazas en tiempo real, señalando los paquetes comprometidos y las vulnerabilidades CVE a medida que aparecen.
- Safe Chain, el verificador de paquetes de código abierto de Aikido, comprueba las dependencias de npm, yarn y pnpm antes de la instalación, bloqueando las versiones maliciosas.
- Gráficos de dependencia unificados Gráficos de dependencias conectan su código, contenedores y nube para mostrar cómo las dependencias transitivas interactúan con sus sistemas de producción, reduciendo los falsos positivos y revelando las rutas de explotación reales.
- SBOM ayuda a los equipos a visualizar al instante toda su cadena de suministro de software, lo que mejora la transparencia y el cumplimiento normativo.
- Top 10 OWASP le ofrece una visión clara de cómo se comporta su entorno en cada categoría, con consejos prácticos para mejorar.
El aikido te ayuda a gestionar los riesgos que señala el Top 10 OWASP , proporcionándote contexto sobre lo que importa y automatización para actuar en consecuencia.
Creación de un programa moderno de seguridad de aplicaciones
Para establecer una AppSec sólida AppSec , OWASP recomienda adoptar un enfoque basado en el riesgo para su cartera de software, crear controles y políticas de seguridad reutilizables, integrar la seguridad en todas las fases del ciclo de vida del desarrollo de software (SDLC), invertir en la formación de los desarrolladores y realizar un seguimiento del progreso mediante métricas. En conjunto, estas medidas crean una cultura en la que el desarrollo seguro forma parte de la práctica diaria, en lugar de ser un proceso independiente.
Por qué sigue siendo importante el Top 10 OWASP
El Top 10 OWASP uno de los recursos más valiosos para los equipos de desarrollo y seguridad. No es solo una lista de verificación, sino un reflejo de dónde están surgiendo los riesgos en el mundo real. Al alinear sus procesos de seguridad con él, puede fortalecer su cadena de suministro de software, mejorar la calidad del código y hacer que la seguridad sea una parte natural del desarrollo. Para las organizaciones que desean un estándar medible y comprobable, OWASP recomienda combinar el Top 10 con el Estándar de Verificación de Seguridad de Aplicaciones (ASVS), que traduce la concienciación en prácticas de seguridad verificables. Aikido lo hace más fácil al mapear automáticamente su cobertura OWASP, detectar vulnerabilidades críticas y ayudarle a solucionarlas más rápidamente.
Analice su entorno con Aikido Security para ver cómo se compara su pila con el Top 10 OWASP y en qué debe centrarse a continuación.
Protege tu software ahora.
.avif)
