⌘K
ENES
GitHub
conceptSeguridad Web~1 min de lecturaActualizado Apr 29, 2026#cybersecurity#web-security#owasp

OWASP Top 10

Definición

El OWASP Top 10 es un documento de concientización de alto nivel que resume las categorías de riesgo de seguridad de aplicaciones web más importantes. No es una metodología completa, pero es uno de los mejores mapas de partida para lo que repetidamente sale mal en aplicaciones reales.

Por qué importa

Esta nota importa porque ayuda a organizar el branch de web-security alrededor de causas raíz en vez de exploits al azar. Te da un vocabulario para las categorías de riesgo comunes y un marco compartido para discutir prioridades, testeo y mitigación.

Perspectiva del atacante

A los atacantes no les importa el Top 10 como checklist. Les importan las clases subyacentes de debilidad que nombra:

  • control de acceso roto
  • inyección
  • diseño inseguro
  • fallas de identificación y autenticación
  • mala configuración de seguridad

El valor de esta nota no es la memorización. Es aprender de dónde vienen familias enteras de errores explotables.

Perspectiva del defensor

Los defensores deberían usar el Top 10 como:

  • una ayuda de priorización
  • una herramienta de comunicación con los desarrolladores
  • un puente hacia estándares más profundos como WSTG y ASVS

Es útil para orientación, pero no alcanza por sí solo para testear o asegurar una aplicación.

Ejemplos prácticos

  • Un equipo dice "no tenemos inyección SQL", pero igual tiene control de acceso roto y diseño inseguro.
  • Una revisión nombra "XSS" como el problema, pero la causa raíz es un manejo de input/output más amplio y controles de seguridad faltantes.
  • Una hoja de ruta usa las categorías del Top 10 para decidir qué labs y playbooks construir primero.

Notas relacionadas

Referencias

  • Foundational: OWASP Top Ten Web Application Security Risks — https://owasp.org/www-project-top-ten/
  • Foundational: OWASP Top 10 2021 Introduction — https://owasp.org/Top10/2021/A00_2021_Introduction/
  • Foundational: OWASP Top 10 related cheat sheets — https://cheatsheetseries.owasp.org/IndexTopTen.html

Notas relacionadas

Seguridad WebFallas de autenticaciónLas fallas de autenticación son debilidades en cómo una aplicación verifica la identidad. Incluyen lógica de login débil, enumeración de usuarios, flujos de MFA rotos, debilidades en el reset de contraseña, exposición a credential stuffing y supuestos defectuosos alrededor de la emisión de sesiones/tokens. Seguridad WebBot Detection SignalsLas señales de detección de bots son atributos observables de requests HTTP, sesiones de navegador y patrones de comportamiento que diferencian el tráfico automatizado del tráfico humano legítimo. No existe una señal única suficiente — la detección efectiva puntúa múltiples familias de señales en conjunto. Seguridad WebControl de acceso rotoEl control de acceso roto (broken access control) ocurre cuando una aplicación no logra imponer a qué puede acceder o qué puede hacer un llamante. Seguridad WebFronteras de seguridad del navegadorLas "fronteras de seguridad del navegador" son el stack en capas de fronteras de aislamiento que un navegador moderno impone entre contenido web — no una sola regla sino cinco fronteras que operan a distintas granularidades: origen (acceso de script), sitio (estado), proceso (memoria), agent cluster (APIs poderosas) y partición de almacenamiento (estado cross-site). La política del mismo origen es la más interna de estas; las otras se agregaron (mayormente 2019–2025, aceleradas por Spectre y por el trabajo de privacidad) porque el aislamiento a nivel de origen por sí solo ya no aguanta contra los canales laterales especulativos y el tracking cross-site. Un "bypass de seguridad del navegador" es casi siempre encontrar la única capa de este stack que no aguantó. Seguridad WebBusiness Logic VulnerabilitiesLas vulnerabilidades de lógica de negocio son fallas en el flujo de trabajo previsto, suposiciones, invariantes o diseño de reglas de una aplicación, donde el sistema se comporta como fue codificado pero no de forma segura según la intención. Seguridad WebClickjackingClickjacking es un ataque de redirección de UI donde un atacante embebe una página objetivo en un frame y engaña al usuario para que haga clic o escriba en la UI real del objetivo mientras cree que está interactuando con otra página.