Saltar al contenido
>_ITDITDPlataforma de seguridad web

Glosario

Qué es el OWASP Top 10 — la lista estándar de los 10 mayores riesgos de las aplicaciones web

El OWASP Top 10 es la lista estándar de los riesgos de seguridad más críticos de las aplicaciones web. Explicamos qué significa realmente cada categoría — control de acceso roto, inyección, configuración incorrecta y más — y qué priorizar al defender tu propia aplicación, con enlaces a las explicaciones de este sitio.

Publicado 2026-07-04 Actualizado 2026-07-04 4 min de lectura

El «OWASP Top 10» es el lenguaje común para hablar de seguridad de aplicaciones web. Aquí tienes qué significa cada apartado — planteado como lente de defensa, no como pasos de ataque — enlazado con las explicaciones más detalladas de este sitio.

Los 10 riesgos de un vistazo (2021)

Cada apartado es una categoría. Aplícala a tu propia aplicación y ve bajando como lente de auditoría.

#RiesgoGrosso modo, qué significaRelacionado en este sitio
A01Control de acceso roto«autenticado = permitido»; faltan comprobaciones de propietarioautenticación vs autorización / IDOR
A02Fallos criptográficossecretos en texto plano, criptografía débil, huecos de TLScriptografía de clave pública / hashing de contraseñas
A03Inyecciónla entrada secuestra una consulta/comandoinyección SQL / XSS
A04Diseño insegurono se consideraron las amenazas en la fase de diseñola lista de verificación mínima
A05Configuración incorrecta de seguridaddebug en producción, valores por defecto, funciones expuestasCORS
A06Componentes vulnerables y obsoletosCVE conocidos ignorados en las dependenciasmonitorizar CVE en dependencias
A07Fallos de autenticaciónautenticación débil, sin resistencia a fuerza bruta, sin MFA2FA / passkeys
A08Fallos de integridad de software y datoscadena de suministro / ruta de actualización manipuladahistoria de la seguridad (cadena de suministro)
A09Fallos de registro y monitorizaciónno se puede detectar ni rastrear un incidentepor qué importan los registros de auditoría
A10SSRFse fuerza al servidor a solicitar destinos internosSSRF

Cómo usarlo: un punto de partida para priorizar, no una lista de verificación

No trates 'cubrir' el Top 10 como algo terminado

El Top 10 son las diez categorías más representativas, no una garantía de suficiencia. Úsalo como punto de partida para priorizar y encontrar huecos, y refuerza además los cimientos que no cubre directamente — monitorización de CVE en dependencias, gestión de secretos, copias de seguridad y detección.

1

Empieza por lo alto (A01–A03) en tu propia aplicación

Audita primero el control de acceso, la criptografía y la inyección en tu propio código — las fuentes de incidentes más frecuentes se concentran aquí.

2

Comprueba configuración y dependencias (A05, A06) de forma mecánica

Ajusta la configuración de producción (sin exposición de debug) y convierte la monitorización de CVE en dependencias en un mecanismo.

3

Ten detección (A09) antes de un incidente

Sin registros ni monitorización no puedes darte cuenta de un incidente ni rastrearlo. Conserva al menos registros básicos de auditoría y de acceso.

La visión de este sitio: una herramienta para aplicarlo a tu propio código

El valor del Top 10 no está en memorizar números — está en aplicar cada categoría a tu propia aplicación y auditarla. Este sitio mantiene explicaciones por riesgo traducidas a «cómo lo defiendes». Usa el Top 10 como puerta de entrada y empieza por lo alto — control de acceso, criptografía, inyección — en tu propio código.

Sigue leyendo

FAQ

Q¿Qué es el OWASP Top 10?
A

Es una lista que la organización sin ánimo de lucro OWASP (Open Worldwide Application Security Project) publica cada pocos años con los 'riesgos de seguridad más críticos de las aplicaciones web', organizada en diez categorías. No es un conjunto de recetas de ataque — es un lenguaje común que desarrolladores y responsables de operación usan para comprobar 'dónde tengo que mirar como mínimo'. La edición actual es la versión de 2021.

Q¿Cuál es el número uno del OWASP Top 10?
A

La edición de 2021 la encabeza el control de acceso roto (Broken Access Control) — el fallo de diseño donde estar autenticado se trata como estar autorizado, sin comprobar si ese usuario puede realmente realizar esa acción o tocar esos datos. IDOR (llegar a los datos de otra persona indicando su ID) es un ejemplo clásico de esta categoría.

QSi cubro el OWASP Top 10, ¿estoy seguro?
A

No. El Top 10 son las diez categorías más representativas, no una lista de verificación que garantice suficiencia. Úsalo como punto de partida para priorizar y encontrar huecos, y refuerza además los cimientos que no cubre directamente — monitorización de CVE en dependencias, gestión de secretos, copias de seguridad y detección.