¿Qué es el OWASP?

El Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP, por sus siglas en inglés) es una fundación sin ánimo de lucro dedicada a mejorar la seguridad del software. Inicialmente conocido como el Proyecto Abierto de Seguridad de Aplicaciones Web, OWASP se fundó en 2001 con la misión de "ser la comunidad abierta global que impulse el software seguro a través de la educación, las herramientas y la colaboración". A partir de 2024, la fundación OWASP cuenta con más de 250 capítulos locales en todo el mundo, incluidos África, Asia, el Caribe, Centroamérica, Europa, Norteamérica, Oceanía y Sudamérica. 

OWASP coordina una serie de proyectos de software de código abierto dirigidos por la comunidad y conferencias educativas y de formación líderes del sector. Los proyectos, herramientas, documentos, foros y capítulos de la organización son gratuitos y accesibles para cualquier persona interesada en mejorar la seguridad de las aplicaciones.

Las 10 principales vulnerabilidades según OWASP son una lista de los riesgos de seguridad más importantes para las aplicaciones web, según lo determinado por un amplio consenso de expertos en seguridad de todo el mundo. Las 10 principales vulnerabilidades según OWASP sirven de guía para empresas, equipos de DevOps, reguladores y otras partes interesadas encargadas de garantizar la seguridad de las aplicaciones web y cambiar la cultura del desarrollo de software para producir código más seguro.

La lista de las 10 principales amenazas de seguridad según OWASP se basa en la experiencia y los conocimientos de una comunidad abierta de colaboradores y en el consenso de los expertos en seguridad de todo el mundo. Los riesgos se clasifican según varios factores, incluida la frecuencia con la que se produce cada vulnerabilidad de seguridad y la gravedad y magnitud de su posible impacto.

Descargue el white paper sobre las 10 principales vulnerabilidades según OWASP de Akamai.

1. A01:2021 Control de acceso comprometido: permite a los atacantes obtener acceso a las cuentas de usuario y actuar como usuarios o administradores. También puede permitir que los usuarios habituales tengan funciones con privilegios no deseados.
2. A02:2021 Fallos criptográficos: se producen cuando los datos importantes o confidenciales se ven comprometidos a medida que se almacenan o transmiten.
3. A03:2021 Ataques de inyección de código como la inyección SQL se producen cuando un atacante envía datos no válidos o código malicioso a una aplicación web para hacer que la aplicación haga algo que se supone que no debe hacer.
4. A04:2021 Defectos de diseño inseguro: se produce cuando una aplicación se desarrolla en torno a procesos que no son seguros, como una aplicación con procesos de autenticación inadecuados o un sitio web que no está diseñado para evitar bots.
5. A05:2021 Configuración de seguridad incorrecta: incluye una configuración inadecuada de los permisos de servicio en la nube, el uso de contraseñas de administrador predeterminadas o la instalación de funciones que no son necesarias.
6. A06:2021 Componentes vulnerables y obsoletos es una vulnerabilidad causada por software o componentes internos no compatibles u obsoletos.
7. A07:2021 Fallos de identificación y autenticación: se producen cuando las aplicaciones no pueden confirmar y verificar correctamente las identidades de los usuarios ni establecer una gestión segura de las sesiones.
8. A08:2021 Fallos de integridad de datos y software: ocurren cuando el código y la infraestructura de una aplicación no pueden proteger completamente la integridad del software o los datos.
9. A09:2021 Fallos de registro y de supervisión de la seguridad: son puntos débiles en la capacidad de una aplicación para detectar y responder a los riesgos de seguridad.
10. A10:2021 Falsificación de solicitudes del lado del servidor: ocurre cuando una aplicación web extrae datos de un recurso remoto en función de una URL especificada por el usuario, sin validar la URL.

Además de clasificar los 10 principales riesgos de seguridad de las aplicaciones web, OWASP produce las 10 principales vulnerabilidades de API, una lista de los problemas y vulnerabilidades más peligrosos para las interfaces de programación de aplicaciones (API). La lista se elaboró originalmente en 2019 y se actualizó en 2023.

¿Más información? Lea las publicaciones de blog de Akamai sobre este tema:

• What Proposed New Changes in the OWASP API Security Top 10 Mean for You (Qué significan para usted los nuevos cambios propuestos en los 10 principales riesgos de seguridad de API según OWASP)

• 10 principales riesgos de seguridad de las API según OWASP: la edición de 2023 ya está aquí

• Akamai permite defenderse contra los 10 riesgos de seguridad de las API según OWASP

1. API1:2023 Autorización de nivel de objeto comprometida (Broken Object Level Authorization, BOLA): se produce cuando no hay controles de acceso adecuados en los terminales de API, lo que da lugar a la exposición de datos confidenciales y permite que los usuarios no autorizados accedan a los datos confidenciales y los cambien.
2. API2:2023 Autenticación comprometida (Broken Authentication, BA): se produce cuando los mecanismos de autenticación se implementan de forma incorrecta, lo que permite a los atacantes comprometer los tokens de autenticación o explotar los defectos de implementación para asumir las identidades de otros usuarios.
3. API3:2023 Autorización a nivel de propiedad de objeto comprometida (Broken Object Property Level Authorization, BOPLA): se produce cuando las API no validan correctamente la autorización en el nivel de propiedad de objeto.
4. API4:2023 Uso de recursos sin restricciones: implica solicitudes que utilizan grandes cantidades de ancho de banda de red, CPU, memoria y almacenamiento, lo que puede dar lugar a una denegación de servicio o a un aumento de los costes.
5. API5:2023 Autorización de nivel de función comprometida (Broken Function Level Authorization, BFLA): se debe a fallos de autorización derivados de políticas de control de acceso demasiado complejas con diferentes jerarquías, grupos y funciones, así como a una separación poco clara entre las funciones administrativas y las habituales.
6. API6:2023 Acceso sin restricciones a flujos empresariales confidenciales: se produce cuando las API exponen un flujo empresarial sin restringirlo ni compensar el posible riesgo de que la función se pueda utilizar de forma excesiva de forma automatizada.
7. API7:2023 Falsificación de solicitudes del lado del servidor: se produce cuando una API recupera un recurso remoto sin validar el URI proporcionado por el usuario, lo que permite a un atacante forzar la aplicación para que envíe una solicitud especialmente diseñada a un destino inesperado.
8. API8:2023 Configuración de seguridad incorrecta: se produce cuando los ingenieros de software y DevOps no configuran correctamente las API y los sistemas asociados.
9. API9:2023 Gestión inadecuada del inventario: ocurre cuando los administradores de TI no documentan y actualizan correctamente un inventario de hosts y versiones de API implementadas.
10. API10:2023 Uso inseguro de API: se produce cuando los desarrolladores confían en las API de terceros sin someterlas a un examen, lo que se traduce en una estrategia de seguridad más débil.

OWASP coordina y supervisa una serie de proyectos de gran relevancia.

• Dependency Track es una plataforma inteligente de análisis de componentes que ayuda a las organizaciones a identificar y reducir el riesgo en la cadena de suministro de software. Dependency Track supervisa el uso de componentes en todas las versiones de una aplicación para identificar de forma proactiva los riesgos en toda una organización.
• Juice Shop es una aplicación web muy insegura diseñada para su uso en formación sobre seguridad, demostraciones de concienciación, ejercicios de CTF (Capture The Flag) y como conejillo de indias para herramientas de seguridad. Juice Shop se ha escrito con todos los riesgos de seguridad de las 10 principales vulnerabilidades según OWASP, así como muchos defectos de seguridad adicionales que se encuentran con frecuencia en las aplicaciones reales.
• El Proyecto de seguridad de aplicaciones móviles de OWASP es un estándar de seguridad para aplicaciones móviles y una completa guía de pruebas. Abarca los procesos, las técnicas y las herramientas que se utilizan en las pruebas de seguridad de aplicaciones móviles, y proporciona un conjunto exhaustivo de casos de prueba que ayudan a los evaluadores a obtener resultados uniformes y completos.
• El conjunto de reglas básicas de OWASP ModSecurity es un conjunto de reglas genéricas de detección de ataques para su uso con ModSecurity o firewalls de aplicaciones webcompatibles.
• El modelo de madurez de garantía de software ofrece una forma eficaz y cuantificable de analizar y mejorar los ciclos de vida de desarrollo seguros.
• El proyecto Web Security Testing Guide es el principal recurso de pruebas de ciberseguridad para desarrolladores de aplicaciones web y profesionales de la seguridad.

Las organizaciones y sus equipos de seguridad pueden obtener información útil de las listas de las 10 principales vulnerabilidades según OWASP. Las listas sirven como una lista de comprobación importante para los equipos de seguridad y como estándar de seguridad para los equipos de DevOps. Los auditores utilizan las listas para evaluar si las organizaciones cumplen con las prácticas recomendadas y los estándares de desarrollo relativos a la protección de API y la seguridad de las aplicaciones web.