Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > OWASP Top 10 2025: ataques a la cadena de suministro, configuraciones incorrectas en la nube y la lista de vulnerabilidades que se resiste a cambiar

OWASP Top 10 2025: ataques a la cadena de suministro, configuraciones incorrectas en la nube y la lista de vulnerabilidades que se resiste a cambiar

by Patrick Spencer updated febrero 25, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 7 minutes

El OWASP Top 10 es el equivalente en seguridad de aplicaciones a un chequeo médico. Cada tres o cuatro años, el Open Worldwide Application Security Project recopila datos reales de vulnerabilidades de organizaciones de pruebas y proveedores de seguridad, los combina con una encuesta comunitaria de profesionales y produce una lista clasificada de los riesgos más críticos de seguridad en aplicaciones web.

Ya llegó la edición 2025. Basada en el análisis de más de 175,000 registros CVE que cubren casi 2.8 millones de aplicaciones, además de una encuesta a 221 expertos en seguridad, revela un panorama que ha evolucionado de formas importantes — y en otras, apenas ha cambiado.

Las fallas en la cadena de suministro de software debutan en el tercer puesto. La configuración de seguridad incorrecta saltó del quinto al segundo lugar. El mal manejo de condiciones excepcionales entró en el décimo puesto. Los riesgos del código generado por IA aparecen en una sección de «próximos pasos». Y el control de acceso roto mantiene el número uno — por vigésimo segundo año consecutivo.

Cinco conclusiones clave

  1. El control de acceso roto lidera la lista desde 2003. El control de acceso roto ocupa el primer lugar en el OWASP Top 10 desde que la lista se publicó por primera vez hace más de dos décadas. En promedio, el 3.73% de las aplicaciones evaluadas presentaron una o más de las 40 CWE asociadas a esta categoría. Las organizaciones siguen creando mecanismos personalizados de control de acceso que son propensos a errores, se prueban de forma inconsistente y están llenos de rutas de escalación de privilegios. Si la vulnerabilidad más crítica de aplicaciones web ha persistido durante 22 años, el sector tiene un problema sistémico — no un problema de parches.
  2. Las fallas en la cadena de suministro de software debutan en el puesto tres. El mayor cambio estructural es la llegada de las fallas en la cadena de suministro de software al tercer lugar. Esto reemplaza y amplía la antigua categoría de «componentes vulnerables y desactualizados» para cubrir ataques a toda la cadena de suministro de software: bibliotecas open-source comprometidas, mecanismos de actualización de proveedores vulnerados, pipelines CI/CD manipulados y ataques directos a estaciones de trabajo de desarrolladores. Como dijo Tanya Janca, autora principal de OWASP, «Ahora los desarrolladores se han convertido en un objetivo principal para muchos ataques en línea».
  3. La configuración de seguridad incorrecta salta del quinto al segundo lugar. La adopción de la nube ha convertido la mala configuración en una vulnerabilidad generalizada y catastrófica. Credenciales por defecto sin cambiar, buckets de almacenamiento en la nube accesibles públicamente y funciones innecesarias habilitadas son algo común. Todas las aplicaciones evaluadas en los datos mostraron algún tipo de mala configuración. No es un riesgo de nicho. Es casi universal.
  4. Los riesgos del código generado por IA llegan al radar de OWASP. La IA no entró en el top 10, pero sí se menciona en una sección de «próximos pasos». Titulada «Confianza inapropiada en código generado por IA» y conocida coloquialmente como el problema de «vibe coding», esta categoría reconoce que los desarrolladores están implementando código generado por IA sin revisarlo completamente. La tendencia es clara: los riesgos del código generado por IA están en camino de incluirse en futuras ediciones.
  5. Dos nuevas categorías reflejan un enfoque en causas raíz. La edición 2025 introduce las fallas en la cadena de suministro de software en el puesto tres y el mal manejo de condiciones excepcionales en el puesto diez. SSRF fue absorbido por control de acceso roto. Estos cambios muestran el movimiento deliberado de OWASP hacia la identificación de causas raíz en lugar de síntomas — y hacia el reconocimiento de que el software seguro también debe fallar de forma segura.

Control de acceso roto: 22 años en el número uno

El control de acceso roto es la vulnerabilidad que se niega a desaparecer. Ahora abarca 40 CWE — la mayor cantidad de cualquier categoría — e incluye escalación de privilegios, referencias directas inseguras a objetos, configuraciones incorrectas de CORS y manipulación de tokens. SSRF también se integró, reflejando la visión de que muchas vulnerabilidades SSRF son, en esencia, problemas de control de acceso.

Jeff Williams, creador del OWASP Top 10 original, explicó la persistencia: «Todos intentan crear sus propios mecanismos de autenticación y control de acceso». Una aplicación web típica puede tener cien endpoints accesibles por veinte roles distintos. «La mayoría escanea su aplicación pensando en un solo rol», dijo Williams. «Es muy difícil de verificar».

La conclusión es incómoda: este no es un problema que el sector esté resolviendo. Las organizaciones que dependen de mecanismos personalizados de control de acceso heredan un riesgo que ha persistido durante dos décadas porque siguen construyéndolo desde cero en vez de adoptar frameworks probados y diseñados para este fin como RBAC y ABAC.

Confías en que tu organización es segura. Pero ¿puedes comprobarlo?

Leer ahora

La configuración de seguridad incorrecta sube al número dos

La configuración de seguridad incorrecta saltó del quinto al segundo puesto porque la adopción de la nube ha hecho que los sistemas sean mucho más configurables — y más opciones de configuración significan más oportunidades para cometer errores.

La categoría abarca credenciales por defecto nunca cambiadas, funciones innecesarias habilitadas, mensajes de error detallados que revelan la arquitectura del sistema y buckets de almacenamiento en la nube accesibles públicamente. No son vectores de ataque sofisticados. Son descuidos de configuración que entregan las llaves a los atacantes.

A medida que los entornos en la nube se vuelven más complejos — abarcando múltiples proveedores, regiones y servicios — la superficie de riesgo por mala configuración crece junto con ellos. Las organizaciones deben tratar la configuración como una disciplina de seguridad: ajustes seguros por defecto, validación automatizada y cambios forzados de credenciales deben ser expectativas básicas.

Las fallas en la cadena de suministro de software debutan en el número tres

Este es el cambio estructural más relevante en la lista 2025. Las fallas en la cadena de suministro de software reemplazan la antigua categoría de «componentes vulnerables y desactualizados» y amplían el alcance para cubrir toda la cadena de construcción, distribución y actualización.

Tanya Janca describió el cambio: «Ya no es solo un problema de incluir una biblioteca con una dependencia dudosa». Ahora hay ataques activos contra el IDE, el pipeline CI/CD, plugins, repositorios y estaciones de trabajo de desarrolladores. «Toda la cadena de suministro de software es actualmente un objetivo para los atacantes».

El cincuenta por ciento de los expertos en seguridad encuestados clasificó los riesgos de la cadena de suministro como su principal preocupación — el mayor consenso entre todas las categorías. Defenderse ante estas fallas requiere listas de materiales de software, firma de código, entornos de construcción reforzados, escaneo de vulnerabilidades en dependencias transitivas y mecanismos de actualización seguros con verificación de integridad.

Qué más cambió — y qué es nuevo

Fallos criptográficos (número cuatro) bajó del segundo lugar — no porque los problemas de cifrado sean menos frecuentes, sino porque otros riesgos han crecido más rápido. La transmisión de datos confidenciales en texto claro, algoritmos débiles y validación deficiente de certificados siguen siendo frecuentes. El cifrado validado por FIPS y TLS 1.3 representan el estándar actual para una protección de datos sólida.

Inyección (número cinco) continúa su descenso gradual. Los frameworks modernos con consultas parametrizadas y codificación de salida han ayudado a reducir la incidencia, aunque el riesgo está lejos de desaparecer.

Diseño inseguro (número seis) ha bajado ligeramente, reflejando mejoras en el modelado de amenazas. La categoría recuerda que añadir seguridad después del desarrollo no puede arreglar un sistema que nunca fue diseñado para ser seguro.

Fallos de autenticación (número siete) abarca fuerza bruta, contraseñas débiles, IDs de sesión expuestos y ausencia de MFA. En una era de phishing potenciado por IA, la falta de autenticación multifactor para funciones sensibles es una brecha cada vez más injustificable.

Fallos de integridad de software o datos (número ocho) se centra en la confianza sin verificación — actualizaciones sin firmar, plugins no validados y pipelines CI/CD que aceptan artefactos sin comprobaciones de integridad.

Fallos en el registro y alertas de seguridad (número nueve) mantiene su posición con una actualización clave: «alertas» se añadió explícitamente al nombre de la categoría. OWASP envía un mensaje claro: registrar sin alertar aporta poco valor. Las organizaciones necesitan registros de auditoría combinados con alertas en tiempo real e integración con SIEM para convertir la recolección de datos en detección accionable.

Mal manejo de condiciones excepcionales (número diez) es completamente nuevo. Cubre fallos en el manejo de errores y casos límite que provocan divulgación de información o elusión de controles de seguridad. El líder del proyecto OWASP, Brian Glas, señaló que esta categoría había estado cerca del top 10 durante años. «Si fuera puramente impulsado por datos», dijo, «no tendríamos una lista precisa porque solo miraríamos al pasado».

La advertencia del «vibe coding»

La IA no llegó al top 10. Pero la entrada dedicada de OWASP en «próximos pasos» — «Confianza inapropiada en código generado por IA» — es una señal que hay que tomar en serio.

Tanya Janca fue clara: «Aunque no teníamos datos que respaldaran que el código generado por IA está causando significativamente más riesgos que el escrito por humanos, gracias a los comentarios de la comunidad, la experiencia profesional y la constante publicación de estos datos en línea, consideramos prudente añadir una sección».

Su consejo: lee y comprende completamente el código generado por IA antes de aprobarlo. Si la adopción de generación de código por IA sigue acelerándose, esta categoría probablemente entrará en el top 10 en futuras ediciones. Las organizaciones que establezcan prácticas de revisión para código generado por IA ahora estarán por delante de la curva.

Kiteworks: seguridad diseñada para las vulnerabilidades que persisten

El OWASP Top 10 revela un patrón persistente: la mayoría de las aplicaciones web se construyen priorizando la funcionalidad y dejando la seguridad en segundo plano. Kiteworks lo soluciona desde el diseño.

Para el control de acceso roto, Kiteworks ofrece verificación de confianza cero en cada solicitud, controles de acceso basados en roles y atributos, aplicación de privilegios mínimos por defecto y registros de auditoría completos. A diferencia de las aplicaciones que crean controles personalizados, Kiteworks entrega controles preconstruidos y probados para comunicaciones de datos confidenciales — eliminando la vulnerabilidad número uno de OWASP por arquitectura.

Para las fallas en la cadena de suministro, Kiteworks opera un SDLC reforzado con pipelines CI/CD aislados, firma de código, SBOMs y escaneo continuo de vulnerabilidades — y regula el intercambio de datos de terceros mediante permisos limitados en tiempo y alcance.

Para la mala configuración, la plataforma se entrega segura por defecto con validación automatizada y cambios forzados de credenciales. Para fallos criptográficos, proporciona cifrado validado FIPS 140-3 y TLS 1.3. Para autenticación, aplica MFA, políticas de contraseñas robustas y SSO empresarial. Para registros, ofrece registros de auditoría inviolables con integración SIEM, alertas en tiempo real e informes de cumplimiento preconstruidos para GDPR, HIPAA, CMMC y otros marcos.

Las plataformas de uso compartido de archivos para consumidores exponen enlaces compartidos que evitan los controles de acceso y ofrecen registros de auditoría limitados. Las plataformas de correo electrónico siguen siendo vulnerables al reenvío que elude la gobernanza y al phishing potenciado por IA. Las soluciones MFT heredadas presentan configuraciones complejas que aumentan el riesgo de mala configuración. Kiteworks proporciona la arquitectura de seguridad por diseño que el OWASP Top 10 lleva 22 años pidiendo al sector.

Para saber cómo Kiteworks puede ayudarte, agenda una demo personalizada hoy.

Preguntas frecuentes

El OWASP Top 10 2025 identifica el control de acceso roto como la vulnerabilidad de aplicaciones web más crítica — posición que mantiene desde 2003. La configuración de seguridad incorrecta subió al segundo lugar y las fallas en la cadena de suministro de software debutaron en el tercero. Juntas, estas tres categorías representan la mayoría de las brechas reales. Las organizaciones que no implementan controles de acceso diseñados para este fin y configuraciones seguras por defecto siguen expuestas a los mismos riesgos que han dominado la lista durante dos décadas.

Los ataques a la cadena de suministro de software comprometen el proceso de construcción, distribución o actualización en vez de atacar directamente las aplicaciones. Los atacantes inyectan código malicioso en bibliotecas open-source, manipulan pipelines CI/CD o vulneran estaciones de trabajo de desarrolladores. El cincuenta por ciento de los expertos en seguridad ya considera el riesgo de la cadena de suministro como su principal preocupación. La defensa requiere listas de materiales de software, firma de código, entornos de construcción reforzados y una rigurosa administración de riesgos de terceros para cada dependencia — no solo las directas.

La configuración de seguridad incorrecta aparece en prácticamente todas las aplicaciones evaluadas porque la adopción de la nube ha hecho que los sistemas sean mucho más configurables — y hay más oportunidades de configurarlos mal. Credenciales por defecto sin cambiar, buckets de almacenamiento públicos y mensajes de error detallados que revelan la arquitectura del sistema son causas comunes. El problema se agrava a medida que las organizaciones usan múltiples proveedores de nube y entornos de infraestructura como código. Ajustes seguros por defecto y validación automatizada de la configuración son las únicas defensas escalables ante este nivel de complejidad.

La sección de «próximos pasos» de OWASP 2025 señala la «Confianza inapropiada en código generado por IA» — conocida como el problema de «vibe coding» — como un riesgo emergente que probablemente entrará en el top 10. Los desarrolladores están implementando código generado por IA sin revisarlo completamente, introduciendo vulnerabilidades que ningún escáner automatizado detectó porque ningún humano entendió la lógica. La solución es sencilla: trata el código generado por IA como cualquier entrada no confiable. Léelo, entiéndelo y pruébalo antes de ponerlo en producción. Los registros de auditoría que capturen el origen del código serán cada vez más importantes a medida que este riesgo evolucione.

Mapear los controles de seguridad con el OWASP Top 10 empieza por los tres primeros: aplica controles de acceso de privilegio mínimo usando frameworks probados en vez de implementaciones personalizadas, valida las configuraciones contra ajustes seguros por defecto e inventaría todas las dependencias de terceros en tu pipeline de construcción. Aborda los fallos criptográficos estandarizando en cifrado validado por FIPS y TLS 1.3. Aplica MFA en todos los flujos de autenticación. Y cierra la brecha de registro combinando registros de auditoría con alertas en tiempo real e integración SIEM — registrar sin alertar no es una capacidad de detección.

Recursos adicionales

  • Artículo del Blog Arquitectura Zero Trust: nunca confíes, siempre verifica
  • Video Microsoft GCC High: desventajas que impulsan a los contratistas de defensa hacia ventajas más inteligentes
  • Artículo del Blog Cómo proteger datos clasificados una vez que DSPM los detecta
  • Artículo del Blog Generar confianza en la IA generativa con un enfoque Zero Trust
  • Video Guía definitiva para el almacenamiento seguro de datos sensibles para líderes de TI

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks