En este capítulo veremos el OWASP TOP 10 2025. Aprenderás a reconocer y comprender las principales vulnerabilidades de seguridad en aplicaciones web para el año 2025, según la prestigiosa organización OWASP. Explorarás cómo estas amenazas se clasifican, por qué representan un riesgo para los sistemas modernos y qué tendencias están marcando la evolución de la ciberseguridad.

Al finalizar, tendrás una visión clara de las causas raíz detrás de los fallos más críticos y entenderás cómo afectan al ciclo de vida del software, a la infraestructura y a la integridad de los datos.

Table of Contents

OWASP TOP 10 2025

En la lista de los Diez Principales para 2025, se han incorporado dos categorías nuevas y una consolidada. Esta versión según OWASP está centrada en la causa raíz, más que en los síntomas, en la medida de lo posible. Dada la complejidad de la ingeniería y la seguridad del software, resulta prácticamente imposible crear diez categorías sin cierto grado de superposición.

A01:2025 Control de acceso roto

Manteniendo su posición número 1 en el Top Ten, el 100% de las aplicaciones analizadas presentaron algún tipo de control de acceso deficiente. Entre las CWE más destacadas se encuentran CWE-200: Exposición de información confidencial a un agente no autorizado , CWE-201: Exposición de información confidencial a través de datos enviados , CWE-918: Falsificación de solicitud del lado del servidor (SSRF) y CWE-352: Falsificación de solicitud entre sitios (CSRF) . Esta categoría presenta el mayor número de incidencias en los datos aportados y la segunda mayor cantidad de CVE relacionados.

Tabla de puntuación.

CWE mapeados	Tasa máxima de incidencia	Tasa de incidencia promedio	Cobertura máxima	Cobertura promedio	Exploit ponderado promedio	Impacto ponderado promedio	Total de ocurrencias	Total de CVEs
40	20,15%	3,74%	100.00%	42,93%	7.04	3.84	1.839.701	32.654

Descripción.

El control de acceso aplica políticas diseñadas para impedir que los usuarios realicen acciones fuera de sus permisos asignados. Cuando este control falla, puede provocar la divulgación, modificación o destrucción no autorizada de información, o la ejecución de funciones empresariales fuera de los límites establecidos. Entre las vulnerabilidades más comunes del control de acceso se encuentran:

Violación del principio de mínimo privilegio o denegación por defecto: el acceso debería concederse únicamente a usuarios, roles o capacidades específicas, pero se otorga a cualquiera.
Evasión de controles de acceso: mediante la manipulación de URLs, parámetros, estados internos de la aplicación o solicitudes de API.
Referencias de objetos directos inseguras (IDOR): permitir acceder o modificar la cuenta de otro usuario proporcionando su identificador único.
Controles ausentes en la API: falta de restricciones adecuadas para operaciones POST, PUT o DELETE.
Elevación de privilegios: actuar como un usuario autenticado sin iniciar sesión o como administrador sin los permisos correspondientes.
Manipulación de metadatos: alterar tokens JWT, cookies o campos ocultos para obtener privilegios o abusar del mecanismo de invalidación.
Configuraciones incorrectas de CORS: permiten que orígenes no autorizados accedan a la API.
Navegación forzada: acceder a páginas autenticadas o privilegiadas sin los permisos necesarios.

Cómo prevenir.

El control de acceso solo es efectivo cuando se implementa en código del lado del servidor confiable o en API sin servidor, donde el atacante no puede modificar la verificación de control de acceso ni los metadatos.

Excepto para recursos públicos, denegar por defecto.
Implemente mecanismos de control de acceso una sola vez y reutilícelos en toda la aplicación, lo que incluye minimizar el uso de recursos compartidos de origen cruzado (CORS).
Los controles de acceso al modelo deben imponer la propiedad de los registros en lugar de permitir que los usuarios creen, lean, actualicen o eliminen cualquier registro.
Los modelos de dominio deben imponer requisitos de límites de negocio de aplicaciones únicas.
Deshabilite la lista de directorios del servidor web y asegúrese de que los metadatos de los archivos (por ejemplo, .git) y los archivos de respaldo no estén presentes en las raíces web.
Registrar los fallos de control de acceso y alertar a los administradores cuando corresponda (por ejemplo, fallos repetidos).
Implemente límites de velocidad en el acceso a API y controladores para minimizar el daño de las herramientas de ataque automatizadas.
Los identificadores de sesión con estado deben invalidarse en el servidor tras cerrar la sesión. Los tokens JWT sin estado deben tener una vida útil corta para minimizar la ventana de oportunidad para un atacante. Para los JWT de larga duración, se recomienda encarecidamente seguir los estándares de OAuth para revocar el acceso.
Utilice kits de herramientas o patrones bien establecidos que proporcionen controles de acceso simples y declarativos.

Los desarrolladores y el personal de control de calidad deben incluir control de acceso funcional en sus pruebas unitarias y de integración.

Ejemplos de escenarios de ataque.

Escenario n.° 1:

La aplicación utiliza datos no verificados en una llamada SQL que accede a la información de la cuenta:

pstmt.setString(1, request.getParameter(«acct»));
ResultSet results = pstmt.executeQuery( );

Un atacante puede simplemente modificar el parámetro «acct» del navegador para enviar cualquier número de cuenta. Si no se verifica correctamente, el atacante puede acceder a la cuenta de cualquier usuario.

https://example.com/app/accountInfo?acct=notmyacct

Escenario n.° 2

Un atacante simplemente fuerza a los navegadores a acceder a las URL objetivo. Se requieren derechos de administrador para acceder a la página de administración.

https://example.com/app/getappInfo
https://example.com/app/admin_getappInfo

Si un usuario no autenticado puede acceder a cualquiera de las páginas, se trata de una falla. Si un usuario no administrador puede acceder a la página de administración, se trata de una falla.

Escenario n.° 3

Una aplicación establece todo su control de acceso en su frontend. Aunque el atacante no puede acceder a él https://example.com/app/admin_getappInfodebido al código JavaScript que se ejecuta en el navegador, puede simplemente ejecutar:

$ curl https://example.com/app/admin_getappInfo

desde la línea de comandos.

A01:2025 – Control de Acceso Vulnerado (Broken Access Control)

Cuando un usuario accede a datos o funciones que no debería poder ver o usar.

En 2025 sigue siendo el puesto #1 porque es la causa más frecuente y crítica de compromisos reales.

Incluye: IDOR, BOLA, Insecure Direct Object Reference, fuerza bruta de recursos, privilegios mal validados, bypass de controles de frontend, APIs malas, diseño inseguro de permisos, etc.

🧩 Ejemplos típicos (2025)

Cambiar el ID de /api/v2/users/321 por otro y ver datos ajenos (IDOR clásico).
Llamar endpoints ocultos de API (v1, v2, legacy) que no tienen autorización.
Editar precios, saldos, claves o recursos enviando un PUT/POST modificado.
Escalada vertical: un usuario básico accede a /admin/*.
Escalada horizontal: un usuario accede a cosas de otros usuarios.
Bypass de controles por frontend mal implementado.
Roles mal definidos: oculto en UI pero permitido en backend.
Token mal validado que permite “convertirse” en otro usuario.
Servidores sin política “deny-by-default”.

🔍 Mini-guía de explotación (2025)

Enumerar rutas, IDs, tokens, parámetros “sospechosos”.
Probar secuencias numéricas: /api/v2/client/100, 101, 102…
Cambiar métodos HTTP: GET → POST, PUT → PATCH, DELETE.
Probar versiones antiguas de API: /v1/, /v2/, /mobile/.
Probar combinación de tokens (session + JWT + cookies).
Eliminar controles del lado cliente (JS, botones ocultos, HTML deshabilitado).
Saltar validaciones débiles (CORS permisivo, parámetros ignorados).
Validar filtraciones: responder diferente según usuario → diferencia de comportamiento.

🎯 Consecuencias

Exposición de información sensible (PII, tarjetas, IBAN, transacciones).
Robo de identidad y toma de cuentas (ATO).
Modificación directa de datos.
Escalada de privilegios total.
Compromiso completo de APIs y microservicios.
Fraude financiero.
Acceso a funciones administrativas no destinadas a usuarios normales.
Filtración de archivos internos u objetos de almacenamiento.
Acceso transversal entre tenants (multi-tenant inseguro).

🛡 Defensas modernas (2025)

Deny-by-default en TODA API y backend.
Autorización por objeto (object-level authorization) en cada endpoint.
Autorización por recurso y por acción (RBAC + ABAC).
Validar siempre en backend, nunca confiar en frontend.
ID no predecibles (UUID, Snowflake IDs, hashes).
Separar autenticación de autorización (AuthN vs AuthZ).
API Gateway con políticas por método y por path.
Revisiones de diseño inseguro (Threat Modeling).
Pruebas automatizadas de autorización por cada endpoint.
Multi-tenant seguro: nunca mezclar datos entre usuarios/organizaciones.
Límites estrictos de CORS (no wildcard).
Logs de acceso a recursos sensibles.

📚 Subtipos/patrones modernos (2025)

Subtipo 2025	Definición	Ejemplo bancario	Pentesting (qué probar)	Ataque / PoC	Consecuencia	Defensa	Tips examen
IDOR / BOLA / OLaP	Cambiar ID y acceder a objetos ajenos	Ver cuenta X cambiando /1234 por /1235	Cambiar IDs numéricos, UUID, tokens	GET /account/0002 con token de 0001	Exposición de PII, fraude	Chequeo por objeto	“Si el usuario cambia un ID y accede, es IDOR/BOLA”
BAC en funciones (FLoA)	Acceso a funciones no permitidas	Usuario básico accede a /admin/payments	Probar rutas ocultas	GET /admin/…	Escalada vertical	RBAC/ABAC	Buscar palabras “admin”, “manage”, “config”
Mass Assignment	Backend asigna más campos de los esperados	Cambiar “role”: “user” → “admin”	Enviar JSON con campos ocultos	{“role”:”admin”}	Escalada total	DTOs estrictos	Si un campo oculto cambia rol → Mass Assignment
Forced Browsing	Acceder a rutas ocultas sin permiso	/exports/2024/data.csv	Enumerar /backup/, /old/	/secret/report.pdf	Filtración	Whitelist de rutas	Si la ruta existe sin rol → forced browsing
Métodos HTTP inseguros	Permitir DELETE/PUT sin control	DELETE /users/13	Cambiar método	DELETE /users/44	Borrado/modificación	Autorizar por método	Atención a “DELETE permitido”
Multi-tenant inseguro	Usuarios acceden a datos de otro tenant	Banco A ve datos de Banco B	Cambiar tenant_id	/tenant/2/cards	Exposición masiva	Aislamiento por tenant	“Si mezcla datos entre clientes → 0/10”
CORS inseguro	CORS abierto permite robar datos	Origin mal configurado	Probar con origin arbitrario	CORS con *	Robo de tokens, CSRF	Políticas estrictas	“Si CORS acepta todo → falso seguro”

🧪 Check-list rápida para pentesting A01:2025

Probar IDOR en TODOS los endpoints que tengan IDs.
Verificar vertical: /admin/*, /superuser/*.
Verificar horizontal: recursos de otros usuarios.
Cambiar método HTTP.
Enumerar rutas ocultas, backups, endpoints viejos.
Probar versiones v1/v2/mobile/internal/legacy.
Probar parámetros ocultos: role, isAdmin, balance, price.
Probar tokens mezclados (session + JWT).
Revisar CORS y bypasses.
Revisar multi-tenant.
Revisar mass assignment.
Revisar APIs GraphQL (schema abierto).

🧾 Resumen ejecutivo (1 párrafo para slides o curso)

A01:2025 Broken Access Control sigue siendo el riesgo más crítico del OWASP Top 10 porque ocurre cuando una aplicación no valida correctamente lo que un usuario puede ver o hacer. Esto permite acceder a datos de otros usuarios, editar información sensible, escalar privilegios y acceder a funciones administrativas. Incluye IDOR/BOLA, rutas ocultas accesibles, métodos HTTP inseguros, mass assignment, fallas multi-tenant y bypass de controles de frontend. La mitigación exige autorización estricta por objeto, políticas deny-by-default, RBAC/ABAC, validación siempre en backend, CORS seguro, aislamiento por tenant y pruebas automatizadas de permisos para cada endpoint. Es el problema más común y el más explotado en APIs modernas.

A02:2025 Configuración incorrecta de seguridad

A partir del puesto n.° 5 de la edición anterior, se detectó algún tipo de configuración incorrecta en el 100 % de las aplicaciones analizadas, con una tasa de incidencia promedio del 3 % y más de 719 000 casos de una Enumeración de Debilidades Comunes (CWE) en esta categoría de riesgo. Con la creciente adopción de software altamente configurable, no sorprende ver un ascenso en esta categoría. Entre las CWE más destacadas se incluyen la CWE-16 Configuración y la CWE-611 Restricción incorrecta de la referencia a entidades externas XML (XXE).

Se debe definir e implementar una configuración de seguridad para la aplicación, los marcos, el servidor de aplicaciones, el servidor web, el servidor de bases de datos y la plataforma. Si se configuran correctamente, un atacante puede tener acceso no autorizado a datos o funciones confidenciales.

A veces, estos fallos pueden comprometer por completo el sistema. Mantener el software actualizado también es una buena medida de seguridad.

Implicación

Aprovechando esta vulnerabilidad, el atacante puede enumerar la tecnología subyacente y la información de la versión del servidor de aplicaciones, información de la base de datos y obtener información sobre la aplicación para montar algunos ataques más.

Objetos vulnerables

URL
Campos de formulario
Campos de entrada