OWASP Top 10 2025 – Versión revisada publicada con dos nuevas categorías

Satélites sin cifrar revelan secretos de la Guardia Nacional, la CFE, Telmex y más
23 de octubre de 2025
Ver todo
OWASP 2025

El Open Web Application Security Project (OWASP) ha dado a conocer la edición 2025 de su lista insignia OWASP Top 10, marcando su octavo lanzamiento y presentando actualizaciones relevantes para hacer frente a las crecientes amenazas en el ámbito de la seguridad de aplicaciones.

Publicado oficialmente el 6 de noviembre de 2025, este nueva versión incorpora aportes de la encuesta comunitaria así como un análisis de datos ampliado, e introduce dos nuevas categorías al tiempo que consolida otras, para reflejar mejor las causas raíz en lugar de únicamente los síntomas.

La lista sigue siendo un recurso crítico para desarrolladores, profesionales de seguridad y organizaciones que buscan priorizar los riesgos en aplicaciones web.

Cambios clave en OWASP Top 10 2025

Los principales cambios de esta edición incluyen:

  • Se incorporan dos entradas nuevas: A03:2025 – Software Supply Chain Failures y A10:2025 – Mishandling of Exceptional Conditions.
  • La categoría de cadena de suministro amplía el foco que antes tenía la versión 2021 bajo “Vulnerable and Outdated Components”, incluyendo ahora sistema de dependencias, sistemas de compilación y la infraestructura de distribución.
  • La nueva categoría de manejo incorrecto de condiciones excepcionales aborda flujos de error, fallos lógicos o estados inseguros de falla que pueden exponer datos sensibles o habilitar ataques de denegación de servicio.
  • La categoría A01:2025 – Broken Access Control sigue ocupando el primer lugar (contiene 40 CWEs y afecta en promedio al 3,73 % de las aplicaciones probadas) y absorbe la antigua categoría de SSRF de 2021. 
  • Otras variaciones incluyen que A02:2025 – Security Misconfiguration asciende al segundo lugar (impactando aproximadamente al 3,00 % de las aplicaciones) debido a la creciente complejidad de configuración. 
  • También se reordenan y renombran otras categorías para enfatizar causas raíz (por ejemplo, “Cryptographic Failures” en lugar de sólo “Sensitive Data Exposure”).


La tabla completa queda así:

RankCódigoNombreResumenCambio respecto a 2021
1A01:2025Broken Access ControlFallos que permiten a atacantes saltarse la autorización o acceder indebidamente a datos o funciones (40 CWEs, ~3,73 % apps)Mantiene #1; SSRF se consolida aquí. 
2A02:2025Security MisconfigurationAjustes débiles por defecto, servicios expuestos o controles de seguridad inconsistentes entre entornos. Impacta ~3,00 % de apps.Asciende desde #5 por mayor complejidad de configuración. 
3A03:2025Software Supply Chain FailuresVulnerabilidades en dependencias, sistemas CI/CD, procesos de compilación e infraestructura de distribución. (5 CWEs)Nueva; amplía A06:2021. 
4A04:2025Cryptographic FailuresPrácticas de cifrado inseguras o desactualizadas que provocan exposición de datos sensibles o compromiso de sistemas. (32 CWEs, ~3,80 % apps)Baja desde #2. 
5A05:2025InjectionFallos de validación de entrada como inyección SQL, comandos SO, XSS. (38 CWEs)Baja desde #3. 
6A06:2025Insecure DesignRiesgos derivados de decisiones de arquitectura débiles o de un modelado de amenazas inadecuado en fase de diseño.Baja desde #4; se observa mejora en la industria. 
7A07:2025Authentication FailuresProblemas en login, políticas de contraseña, manejo de sesiones que permiten acceso no autorizado. (36 CWEs)Mantiene #7; renombrada para mayor precisión. 
8A08:2025Software or Data Integrity FailuresFallos al verificar integridad de software, código o artefactos de datos que permiten su manipulación.Mantiene #8; enfoque en límites de confianza más bajos que Supply Chain. 
9A09:2025Logging & Alerting FailuresBrechas en monitoreo, registro o alertas que permiten que ataques pasen desapercibidos.Mantiene #9; renombrada para enfatizar alertas más que sólo monitoreo. 
10A10:2025Mishandling of Exceptional ConditionsManejo incorrecto de errores, fallos lógicos o estados inseguros que exponen datos o provocan DoS. (24 CWEs)Nueva categoría; antes dispersa bajo “poor code quality”. 

Metodología de clasificación

La edición 2025 de OWASP Top 10 emplea una metodología que combina los datos con la percepción de la comunidad:

  • Se trabajó con datos de más de 175 000 CVE mapeados a 643 CWE, ponderando la prevalencia en aplicaciones (una o más ocurrencias) por encima de la simple frecuencia de hallazgos. 
  • Se agruparon los CWE por categoría enfocándose tanto en la causa raíz como en el síntoma, dando preferencia a la causa raíz (por ejemplo, “Cryptographic Failures” en lugar de “Sensitive Data Exposure”). 
  • También se recolectaron aportes de la encuesta comunitaria de OWASP para identificar riesgos emergentes que aún pueden no estar plenamente representados en los datos. 
  • Para cada categoría se calculó la tasa de incidencia (porcentaje de aplicaciones con al menos una instancia del CWE asociado), cobertura de prueba, promedio ponderado de explotabilidad e impacto (usando CVSS v2/v3/v4). 

El enfoque está claramente dirigido a que las organizaciones utilicen esta lista no sólo como referencia de hallazgos, sino como guía para incorporar principios de secure-by-design y priorizar controles que mitiguen los riesgos más relevantes en entornos modernos (por ejemplo, cloud-native, CI/CD, supply-chain).

¿Qué implica esto para arquitectos, desarrolladores y pentesters?

Para profesionales —que realizan análisis de código, pentests, integración en entornos AWS, y tienen un enfoque orientado a seguridad operacional y desarrollo seguro— estas novedades tienen relevancia directa:

  • La persistencia de Broken Access Control en el primer puesto reafirma la necesidad de revisar permisos, roles, rutas de acceso, APIs internas, SSRF implícito, etc. En tus pentests semanales, conviene dedicar tiempo a comprobar bypasses de control de acceso, abuso de roles, escalamiento horizontal/vertical, etc.
  • El ascenso de Security Misconfiguration al segundo lugar destaca que hoy la configuración es un riesgo mayor: comprobar entornos AWS, reglas WAF, NGFW, segmentación, políticas IAM mal configuradas, servidores con servicios innecesarios activos, etc.
  • La nueva categoría de Software Supply Chain Failures indica que no basta asegurar el código que analizas: también debes evaluar dependencias, librerías externas, pipeline de build, distribuciones de artefactos, integraciones de terceros. Esto se conecta con tus tareas de revisión de dependencias (como usas Snyk) y de plataformas Cloud.
  • Mishandling of Exceptional Conditionsimplica que los errores, excepciones, fallos lógicos o estados de error mal gestionados pueden ser vectores de ataque (exposición de datos, DoS). En tus informes de pentest, conviene incluir pruebas de fallo: qué pasa cuando falla un servicio, se rompe una conexión, se reciben entradas inesperadas, etc.
  • El énfasis en causas raíz en lugar de síntomas refuerza tu enfoque de threat-modelling y arquitecturas seguras: por ejemplo, en lugar de únicamente «expuesto» o «vulnerable», preguntar ¿por qué ocurre ese fallo? ¿Qué diseño permitió ese acceso no autorizado? ¿Qué fase del SDLC lo dejó pasar?


La edición 2025 del OWASP Top 10 refuerza que, aunque algunas áreas clásicas siguen siendo críticas (como el control de acceso y la inyección), el panorama de seguridad de aplicaciones no se detiene: ahora se ponen en primer plano aspectos como la cadena de suministro de software y el manejo incorrecto de fallos/excepciones.

Artículos relacionados

2 de agosto de 2025

PayloadCollection: Repositorio esencial de payloads para pentesters y bug bounty hunters

Leer más
zero trust
5 de junio de 2025

Zero Trust en Ciberseguridad: Estrategia clave para proteger a las PYMES con enfoque en cumplimiento

Leer más
23 de abril de 2025

¿Qué es el Esquema Nacional de Seguridad (ENS) y por qué es crucial para la ciberseguridad pública en España?

Leer más
ISO-27001
14 de abril de 2025

ISO 27001:2013 dejará de ser válida en octubre de 2025: ¿Estás listo para la transición?

Leer más
auditoria basada en riesgos
6 de marzo de 2025

Auditoría basada en Riesgos: Un enfoque inteligente para garantizar la eficacia del sistema de Gestión

Leer más
opsec
3 de marzo de 2025

Seguridad Operacional (OPSEC): Protegiendo la Información crítica

Leer más