OWASP Top 10 2025 – Versión revisada publicada con dos nuevas categorías
Satélites sin cifrar revelan secretos de la Guardia Nacional, la CFE, Telmex y más
23 de octubre de 2025
El Open Web Application Security Project (OWASP) ha dado a conocer la edición 2025 de su lista insignia OWASP Top 10, marcando su octavo lanzamiento y presentando actualizaciones relevantes para hacer frente a las crecientes amenazas en el ámbito de la seguridad de aplicaciones.
Publicado oficialmente el 6 de noviembre de 2025, este nueva versión incorpora aportes de la encuesta comunitaria así como un análisis de datos ampliado, e introduce dos nuevas categorías al tiempo que consolida otras, para reflejar mejor las causas raíz en lugar de únicamente los síntomas.
La lista sigue siendo un recurso crítico para desarrolladores, profesionales de seguridad y organizaciones que buscan priorizar los riesgos en aplicaciones web.
Cambios clave en OWASP Top 10 2025
Los principales cambios de esta edición incluyen:
- Se incorporan dos entradas nuevas: A03:2025 – Software Supply Chain Failures y A10:2025 – Mishandling of Exceptional Conditions.
- La categoría de cadena de suministro amplía el foco que antes tenía la versión 2021 bajo “Vulnerable and Outdated Components”, incluyendo ahora sistema de dependencias, sistemas de compilación y la infraestructura de distribución.
- La nueva categoría de manejo incorrecto de condiciones excepcionales aborda flujos de error, fallos lógicos o estados inseguros de falla que pueden exponer datos sensibles o habilitar ataques de denegación de servicio.
- La categoría A01:2025 – Broken Access Control sigue ocupando el primer lugar (contiene 40 CWEs y afecta en promedio al 3,73 % de las aplicaciones probadas) y absorbe la antigua categoría de SSRF de 2021.
- Otras variaciones incluyen que A02:2025 – Security Misconfiguration asciende al segundo lugar (impactando aproximadamente al 3,00 % de las aplicaciones) debido a la creciente complejidad de configuración.
- También se reordenan y renombran otras categorías para enfatizar causas raíz (por ejemplo, “Cryptographic Failures” en lugar de sólo “Sensitive Data Exposure”).
La tabla completa queda así:
| Rank | Código | Nombre | Resumen | Cambio respecto a 2021 |
|---|---|---|---|---|
| 1 | A01:2025 | Broken Access Control | Fallos que permiten a atacantes saltarse la autorización o acceder indebidamente a datos o funciones (40 CWEs, ~3,73 % apps) | Mantiene #1; SSRF se consolida aquí. |
| 2 | A02:2025 | Security Misconfiguration | Ajustes débiles por defecto, servicios expuestos o controles de seguridad inconsistentes entre entornos. Impacta ~3,00 % de apps. | Asciende desde #5 por mayor complejidad de configuración. |
| 3 | A03:2025 | Software Supply Chain Failures | Vulnerabilidades en dependencias, sistemas CI/CD, procesos de compilación e infraestructura de distribución. (5 CWEs) | Nueva; amplía A06:2021. |
| 4 | A04:2025 | Cryptographic Failures | Prácticas de cifrado inseguras o desactualizadas que provocan exposición de datos sensibles o compromiso de sistemas. (32 CWEs, ~3,80 % apps) | Baja desde #2. |
| 5 | A05:2025 | Injection | Fallos de validación de entrada como inyección SQL, comandos SO, XSS. (38 CWEs) | Baja desde #3. |
| 6 | A06:2025 | Insecure Design | Riesgos derivados de decisiones de arquitectura débiles o de un modelado de amenazas inadecuado en fase de diseño. | Baja desde #4; se observa mejora en la industria. |
| 7 | A07:2025 | Authentication Failures | Problemas en login, políticas de contraseña, manejo de sesiones que permiten acceso no autorizado. (36 CWEs) | Mantiene #7; renombrada para mayor precisión. |
| 8 | A08:2025 | Software or Data Integrity Failures | Fallos al verificar integridad de software, código o artefactos de datos que permiten su manipulación. | Mantiene #8; enfoque en límites de confianza más bajos que Supply Chain. |
| 9 | A09:2025 | Logging & Alerting Failures | Brechas en monitoreo, registro o alertas que permiten que ataques pasen desapercibidos. | Mantiene #9; renombrada para enfatizar alertas más que sólo monitoreo. |
| 10 | A10:2025 | Mishandling of Exceptional Conditions | Manejo incorrecto de errores, fallos lógicos o estados inseguros que exponen datos o provocan DoS. (24 CWEs) | Nueva categoría; antes dispersa bajo “poor code quality”. |
Metodología de clasificación
La edición 2025 de OWASP Top 10 emplea una metodología que combina los datos con la percepción de la comunidad:
- Se trabajó con datos de más de 175 000 CVE mapeados a 643 CWE, ponderando la prevalencia en aplicaciones (una o más ocurrencias) por encima de la simple frecuencia de hallazgos.
- Se agruparon los CWE por categoría enfocándose tanto en la causa raíz como en el síntoma, dando preferencia a la causa raíz (por ejemplo, “Cryptographic Failures” en lugar de “Sensitive Data Exposure”).
- También se recolectaron aportes de la encuesta comunitaria de OWASP para identificar riesgos emergentes que aún pueden no estar plenamente representados en los datos.
- Para cada categoría se calculó la tasa de incidencia (porcentaje de aplicaciones con al menos una instancia del CWE asociado), cobertura de prueba, promedio ponderado de explotabilidad e impacto (usando CVSS v2/v3/v4).
El enfoque está claramente dirigido a que las organizaciones utilicen esta lista no sólo como referencia de hallazgos, sino como guía para incorporar principios de secure-by-design y priorizar controles que mitiguen los riesgos más relevantes en entornos modernos (por ejemplo, cloud-native, CI/CD, supply-chain).
¿Qué implica esto para arquitectos, desarrolladores y pentesters?
Para profesionales —que realizan análisis de código, pentests, integración en entornos AWS, y tienen un enfoque orientado a seguridad operacional y desarrollo seguro— estas novedades tienen relevancia directa:
- La persistencia de Broken Access Control en el primer puesto reafirma la necesidad de revisar permisos, roles, rutas de acceso, APIs internas, SSRF implícito, etc. En tus pentests semanales, conviene dedicar tiempo a comprobar bypasses de control de acceso, abuso de roles, escalamiento horizontal/vertical, etc.
- El ascenso de Security Misconfiguration al segundo lugar destaca que hoy la configuración es un riesgo mayor: comprobar entornos AWS, reglas WAF, NGFW, segmentación, políticas IAM mal configuradas, servidores con servicios innecesarios activos, etc.
- La nueva categoría de Software Supply Chain Failures indica que no basta asegurar el código que analizas: también debes evaluar dependencias, librerías externas, pipeline de build, distribuciones de artefactos, integraciones de terceros. Esto se conecta con tus tareas de revisión de dependencias (como usas Snyk) y de plataformas Cloud.
- Mishandling of Exceptional Conditionsimplica que los errores, excepciones, fallos lógicos o estados de error mal gestionados pueden ser vectores de ataque (exposición de datos, DoS). En tus informes de pentest, conviene incluir pruebas de fallo: qué pasa cuando falla un servicio, se rompe una conexión, se reciben entradas inesperadas, etc.
- El énfasis en causas raíz en lugar de síntomas refuerza tu enfoque de threat-modelling y arquitecturas seguras: por ejemplo, en lugar de únicamente «expuesto» o «vulnerable», preguntar ¿por qué ocurre ese fallo? ¿Qué diseño permitió ese acceso no autorizado? ¿Qué fase del SDLC lo dejó pasar?
La edición 2025 del OWASP Top 10 refuerza que, aunque algunas áreas clásicas siguen siendo críticas (como el control de acceso y la inyección), el panorama de seguridad de aplicaciones no se detiene: ahora se ponen en primer plano aspectos como la cadena de suministro de software y el manejo incorrecto de fallos/excepciones.
