TL;DR

OWASP ASVS es una lista de comprobación detallada e impulsada por la comunidad para verificar la seguridad de las aplicaciones web, utilizada por desarrolladores, probadores y arquitectos.

Cubre áreas como AuthN, AuthZ, criptografía, seguridad API, divididas en L1 (básica) a L3 (aplicaciones críticas).

No es un certificado, pero es ideal para establecer líneas de base de seguridad, realizar pruebas de penetración o crear aplicaciones seguras desde cero.

Resumen de la tarjeta de puntuación ASVS de OWASP:

• Esfuerzo del desarrollador: Moderado a alto (Requiere comprender controles de seguridad detallados en muchos dominios e implementarlos correctamente durante el desarrollo; se utiliza como referencia durante las pruebas).
• Coste de las herramientas: De bajo a moderado (la norma en sí es gratuita; los costes se refieren a las herramientas utilizadas para comprobar los requisitos ASVS: SAST, DAST, IAST, herramientas de pen testing).
• Impacto en el mercado: alto (norma ampliamente respetada en el sector para la verificación de la seguridad de las aplicaciones web; a menudo se utiliza como base para definir los requisitos de seguridad y el alcance de las pruebas).
• Flexibilidad: Alta (los niveles permiten la adaptación en función del riesgo; los requisitos específicos pueden considerarse no aplicables).
• Intensidad de la auditoría: N/A (No es una norma de auditoría formal para la certificación, pero se utiliza durante las evaluaciones/pruebas de seguridad que pueden ser intensas).

¿Qué es OWASP ASVS?

OWASP Application Security Verification Standard (ASVS) es un proyecto de código abierto que proporciona un marco de requisitos y controles de seguridad específicos para verificar la seguridad de las aplicaciones web. Tiene dos objetivos principales:

1. Para desarrolladores: Proporciona una lista detallada de requisitos de seguridad para orientar las prácticas de desarrollo seguro.
2. Para probadores: Proporciona una base para probar los controles técnicos de seguridad de las aplicaciones web durante las evaluaciones de seguridad, las pruebas de penetración o las revisiones de código seguro.

El ASVS de OWASP está estructurado en capítulos que abarcan ámbitos clave de la seguridad:

• V1: Arquitectura, diseño y modelización de amenazas
• V2: Autenticación
• V3: Gestión de sesiones
• V4: Control de acceso
• V5: Validación, desinfección y codificación
• V6: Criptografía almacenada
• V7: Tratamiento de errores y registro
• V8: Protección de datos
• V9: Seguridad de las comunicaciones
• V10: Código malicioso
• V11: Lógica empresarial
• V12: Archivo y recursos
• V13: API y servicio web
• V14: Configuración

Dentro de cada capítulo, se enumeran los requisitos específicos de verificación (controles). Fundamentalmente, el ASVS de OWASP define tres niveles de verificación de seguridad (niveles ASVS), que indican niveles crecientes de profundidad y rigor:

• Nivel 1 (seguridad baja): Destinado a aplicaciones de bajo riesgo o como primer paso. Se centra en vulnerabilidades y controles fácilmente detectables que a menudo pueden comprobarse automáticamente (por ejemplo, pruebas de penetración básicas). Todas las aplicaciones deberían aspirar al menos al nivel 1.
• Nivel 2 (garantía estándar): Recomendado para la mayoría de las aplicaciones, especialmente las que manejan datos sensibles o realizan transacciones importantes. Requiere comprobaciones más exhaustivas que cubran la protección frente a los riesgos de seguridad habituales en las aplicaciones (como los 10 principales de OWASP). Requiere pruebas automatizadas y manuales, incluidos elementos de revisión del diseño/código.
• Nivel 3 (Alta seguridad): Para aplicaciones críticas que manejan datos muy sensibles (por ejemplo, financieras, sanitarias, gubernamentales). Requiere una verificación exhaustiva de la seguridad, que incluya una revisión en profundidad del diseño, una revisión del código y pruebas rigurosas para resistir a atacantes expertos.

El nivel exigido determina qué requisitos de verificación específicos de cada capítulo deben cumplirse.

¿Por qué es importante?

OWASP ASVS es una piedra angular de la seguridad de las aplicaciones web modernas porque:

• Proporciona normalización: Ofrece una norma coherente y repetible de lo que constituye una aplicación web segura, que va más allá de las pruebas ad hoc.
• Orientación práctica: Proporciona a los desarrolladores requisitos concretos y a los evaluadores elementos específicos que deben verificar, salvando la distancia entre los principios de alto nivel y la aplicación.
• Enfoque basado en el riesgo: El sistema de niveles permite a las organizaciones adaptar los esfuerzos de verificación en función del perfil de riesgo de la aplicación.
• Complementa el Top 10 de OWASP: Mientras que el Top 10 enumera los riesgos comunes, ASVS proporciona los controles detallados necesarios para mitigar esos riesgos (y muchos otros).
• Reconocimiento del sector: Ampliamente respetado y utilizado en todo el mundo por desarrolladores, profesionales de la seguridad y organizaciones que adquieren software.
• Admite el SDLC seguro: Puede integrarse en todo el SDLC: definir requisitos, guiar el diseño/codificación y formar la base para las pruebas de verificación.
• Código abierto e impulsado por la comunidad: Disponible gratuitamente y actualizado constantemente por una comunidad mundial de expertos en seguridad.

El uso de OWASP ASVS ayuda a garantizar que las pruebas de seguridad sean exhaustivas, coherentes y se centren en los controles que realmente importan para proteger las aplicaciones web.

Qué y cómo aplicar (técnica y política)

La implementación de OWASP ASVS no consiste en obtener la certificación, sino en utilizar el estándar para crear y verificar aplicaciones seguras:

1. Determine el nivel requerido: En función de la sensibilidad de los datos de la aplicación, la criticidad del negocio y los requisitos normativos, elija el nivel ASVS objetivo (1, 2 o 3).
2. Integración en los requisitos (fase de diseño): Utilice los requisitos ASVS para el nivel elegido (y los capítulos pertinentes) como entrada para los requisitos de seguridad durante las fases de diseño y planificación.
   
   • Ejemplo (Control de acceso V4): Si está creando una aplicación que requiere diferentes roles de usuario, revise los requisitos del capítulo V4 de ASVS, como V4.1.1 ("Verifique que la aplicación aplique reglas de control de acceso en una capa de servicio de confianza...") y diseñe el sistema en consecuencia.
3. Desarrollo de guías (fase de codificación): Los desarrolladores utilizan los requisitos del ASVS como lista de comprobación para garantizar que se siguen prácticas de codificación seguras.
   
   • Ejemplo (validación de entradas V5): Cuando construya formularios de entrada, consulte requisitos V5 como V5.1.1 ("Verificar que la aplicación tiene defensas contra la contaminación de parámetros HTTP...") y V5.2.1 ("Verificar que los datos estructurados están fuertemente tipados..."). Implemente bibliotecas y rutinas de validación de entradas que cumplan estos requisitos.
4. Informar sobre las pruebas de seguridad (fase de verificación): Los evaluadores de seguridad (pen testers, revisores de código) utilizan la lista de comprobación ASVS del nivel objetivo para estructurar su evaluación. Verifican si se cumple cada uno de los requisitos aplicables.
   
   • Ejemplo (Autenticación V2): Un evaluador que verifique el Nivel 2 comprobaría requisitos como V2.2.1 ("Comprobar que la longitud mínima de la contraseña es de 12 caracteres..."), V2.1.1 ("Comprobar que las credenciales nunca se almacenan de forma recuperable...") y V2.4.1 ("Comprobar que existe un mecanismo de bloqueo de cuentas...").
5. Integración de herramientas:
   
   • Herramientas SAST/DAST: Configurar los escáneres para que comprueben las infracciones relacionadas con los requisitos ASVS (por ejemplo, encontrar posibles fallos de inyección relacionados con V5).
   • Gestión de listas de comprobación: Utilice hojas de cálculo o herramientas como SecurityRAT para gestionar los requisitos ASVS, realizar un seguimiento de la aplicabilidad y registrar los resultados de la verificación.
6. Documentación: Documente cómo se cumplieron los requisitos ASVS (o por qué se consideraron no aplicables) como parte de los documentos de diseño, comentarios de código e informes de pruebas.

La implantación consiste en utilizar activamente la lista ASVS a lo largo del SDLC, como guía para construir de forma segura y como lista de comprobación para verificar la seguridad.

Errores comunes que hay que evitar

Cuando utilice OWASP ASVS, tenga en cuenta estos errores comunes:

1. Elección del nivel equivocado: Seleccionar el Nivel 1 para una aplicación de alto riesgo, o aspirar al Nivel 3 cuando los recursos sólo permiten la verificación del Nivel 2, lo que da lugar a evaluaciones inadecuadas o incompletas.
2. Tratarlo sólo como una lista de comprobación de Pentest: ASVS es más amplio que sólo pentesting; los niveles 2 y 3 requieren aspectos de diseño y revisión de código. Confiar únicamente en el escaneo dinámico pasa por alto vulnerabilidades cruciales.
3. Ignorar la aplicabilidad: Intentar aplicar ciegamente todos y cada uno de los requisitos sin tener en cuenta si son relevantes para la arquitectura, la pila tecnológica o las características de la aplicación específica.
4. Falta de formación de los desarrolladores: Esperar que los desarrolladores cumplan los requisitos del ASVS sin formarles en los conceptos de seguridad subyacentes y en las prácticas de codificación segura necesarias.
5. Aplicación incoherente: Aplicar ASVS rigurosamente durante una prueba pero superficialmente durante la siguiente, lo que lleva a una postura de seguridad inconsistente.
6. Falta de integración temprana: Utilizar el ASVS sólo al final para realizar pruebas, en lugar de utilizarlo para informar sobre el diseño y el desarrollo seguros desde el principio (lo cual es mucho más eficaz).
7. Interpretación errónea de los requisitos: No comprender el matiz o la intención de los requisitos específicos de verificación del ASVS.

Qué preguntarán los auditores/probadores (Enfoque en el desarrollador)

Los evaluadores de seguridad que utilicen OWASP ASVS pedirán esencialmente a los desarrolladores (directamente o a través de la revisión del código/diseño) que demuestren cómo se cumplen los requisitos específicos:

• (V1) "¿Puede mostrarme el modelo de amenaza para esta aplicación?" (1.1.1 - L2+)
• (V2) "¿Cómo se almacenan las contraseñas de los usuarios? ¿Puedes mostrar la implementación del hashing?" (2.2.2 - L1+)
• (V3) "¿Cómo se generan los testigos de sesión y se protegen contra el secuestro?" (3.1.1, 3.3.1 - L1+)
• (V4) "Demuestre cómo la aplicación impide que un usuario estándar acceda a las funciones de administrador". (4.1.1, 4.1.2 - L1+)
• (V5) "Muéstreme las rutinas de validación de entrada utilizadas para este punto final de API crítico". (5.1.3, 5.2.1 - L1+)
• (V6) "¿Dónde y cómo se gestionan las claves criptográficas dentro de la aplicación?" (6.2.1 - L2+)
• (V7) "¿Cómo gestiona la aplicación los errores sin filtrar información sensible?" (7.1.1 - L1+)
• (V8) "¿Cómo se protegen los datos sensibles cuando se almacenan en la base de datos (cifrado, enmascaramiento)?" (8.1.1 - L2+)
• (V13) "¿Cómo se gestionan la autenticación y la autorización para las solicitudes API?" (13.1.1, 13.2.1 - L1+)

Buscarán pruebas concretas en el código, la configuración, los documentos de diseño o la aplicación en ejecución para verificar el cumplimiento de cada requisito ASVS pertinente para el nivel objetivo.

Ganancias rápidas para los equipos de desarrollo

Los desarrolladores pueden empezar a incorporar los principios ASVS de OWASP fácilmente:

1. Céntrese en los aspectos básicos del Nivel 1: Empiece por revisar y aplicar los requisitos de Nivel 1 en áreas clave como Autenticación (V2), Control de Acceso (V4) y Validación de Entrada (V5). Estos cubren muchos fallos comunes.
2. Utilice los valores predeterminados del marco de seguridad: Aproveche las funciones de seguridad integradas de su marco web (por ejemplo, para la gestión de sesiones, protección CSRF, codificación de salida) que a menudo se alinean con ASVS.
3. Validación y codificación: Valide sistemáticamente todos los datos de entrada y codifique todos los datos de salida destinados a navegadores, API o bases de datos. (Núcleo de V5)
4. Implantar el registro básico: Garantizar que se registran los eventos de seguridad clave (inicios de sesión, fallos, transacciones significativas). (Núcleo de V7).
5. Revise OWASP Top 10: Comprenda los 10 riesgos principales y cómo los controles ASVS ayudan a mitigarlos.
6. Utilizar herramientas SAST: Configure las herramientas SAST para señalar las infracciones relacionadas con los requisitos ASVS comunes (por ejemplo, gestión insegura de contraseñas, posibles puntos de inyección).

Ignore esto y... (Consecuencias del incumplimiento)

Ignorar los principios y requisitos descritos en OWASP ASVS significa descuidar los controles de seguridad fundamentales de las aplicaciones web. Las consecuencias son directas:

• Mayor probabilidad de infracciones: Las aplicaciones serán más vulnerables a ataques comunes como XSS, SQL Injection, Broken Authentication, Broken Access Control, etc. (directamente relacionados con los capítulos ASVS).
• Pérdida/robo de datos: Las vulnerabilidades permiten a los atacantes robar datos sensibles de los usuarios, lo que conduce a violaciones de la privacidad y multas reglamentarias (por ejemplo, GDPR).
• Interrupción del servicio: Los ataques pueden dejar las aplicaciones fuera de línea, causando interrupciones en el negocio y pérdidas de ingresos.
• Daños a la reputación: Los incidentes de seguridad erosionan la confianza de los clientes y dañan la marca de la empresa.
• Auditorías/pruebas de seguridad fallidas: Si los clientes o socios exigen pruebas de seguridad, es probable que una aplicación que no se haya creado teniendo en cuenta los principios de ASVS falle, lo que podría bloquear acuerdos o implantaciones.
• Mayores costes de reparación: Encontrar y corregir vulnerabilidades en una fase tardía del ciclo o después de una brecha es mucho más costoso que crear seguridad utilizando ASVS como guía.

Esencialmente, no adherirse a OWASP ASVS significa construir aplicaciones web intrínsecamente inseguras.

PREGUNTAS FRECUENTES

¿Es OWASP ASVS una norma de cumplimiento como SOC 2 o ISO 27001?

No. OWASP ASVS es un estándar de verificación, esencialmente una lista de comprobación detallada para probar la seguridad de las aplicaciones web. No implica auditorías formales o certificaciones como SOC 2 o ISO 27001, que cubren sistemas de gestión más amplios. Sin embargo, el cumplimiento de los niveles ASVS puede ayudar a satisfacer los requisitos de control técnico dentro de esos marcos más amplios.

¿Cuál es la diferencia entre OWASP ASVS y OWASP Top 10?

El Top 10 de OWASP enumera los diez riesgos de seguridad de aplicaciones web más críticos basándose en el consenso y los datos de la comunidad. OWASP ASVS proporciona los controles de seguridad detallados y los requisitos de verificación necesarios para prevenir y probar esos riesgos (y muchos otros). Top 10 le dice cuáles son los principales problemas; ASVS le dice cómo verificar sus defensas contra ellos.

¿A qué nivel del ASVS debemos aspirar?

Depende del riesgo. El nivel 1 es la base mínima para todas las aplicaciones. El nivel 2 se recomienda para la mayoría de las aplicaciones que manejan datos o transacciones sensibles. El nivel 3 es para aplicaciones muy críticas en las que un fallo tiene graves consecuencias (por ejemplo, datos financieros o sanitarios).

¿Es necesario cumplir el 100% de los requisitos para un nivel específico?

En general, sí, para todos los requisitos aplicables. La norma permite marcar los requisitos como "No aplicable" si realmente no se aplican a la tecnología o funcionalidad de la aplicación, pero esto requiere una justificación. A veces pueden aceptarse controles compensatorios si un requisito específico no puede cumplirse directamente.

¿El ASVS es sólo para pruebas de penetración?

No. Aunque se utiliza mucho en las pruebas de penetración (especialmente en el nivel 1), los niveles 2 y 3 del ASVS requieren explícitamente una verificación que va más allá de las pruebas dinámicas e incluye revisiones de la arquitectura, el diseño y el código fuente. Está pensado para la verificación holística de la seguridad de las aplicaciones.

¿Con qué frecuencia debemos verificar el ASVS?

La verificación debe integrarse en el SDLC. Esto podría significar la comprobación de los requisitos pertinentes durante las revisiones del código, la ejecución de pruebas automatizadas alineadas con ASVS en CI/CD, y la realización de evaluaciones completas de ASVS (en el nivel objetivo) antes de los lanzamientos importantes o periódicamente (por ejemplo, anualmente) para aplicaciones críticas.

¿Puede utilizarse el ASVS para API y aplicaciones móviles?

El capítulo V13 del ASVS de OWASP aborda específicamente la verificación de API y servicios web. Aunque se centra principalmente en las aplicaciones web, muchos principios se aplican ampliamente. Para aplicaciones móviles específicas, OWASP también tiene el Mobile Application Security Verification Standard (MASVS).