Glosario
Qué es el OWASP Top 10 — la lista estándar de los 10 mayores riesgos de las aplicaciones web
El OWASP Top 10 es la lista estándar de los riesgos de seguridad más críticos de las aplicaciones web. Explicamos qué significa realmente cada categoría — control de acceso roto, inyección, configuración incorrecta y más — y qué priorizar al defender tu propia aplicación, con enlaces a las explicaciones de este sitio.
El «OWASP Top 10» es el lenguaje común para hablar de seguridad de aplicaciones web. Aquí tienes qué significa cada apartado — planteado como lente de defensa, no como pasos de ataque — enlazado con las explicaciones más detalladas de este sitio.
Los 10 riesgos de un vistazo (2021)
Cada apartado es una categoría. Aplícala a tu propia aplicación y ve bajando como lente de auditoría.
| # | Riesgo | Grosso modo, qué significa | Relacionado en este sitio |
|---|---|---|---|
| A01 | Control de acceso roto | «autenticado = permitido»; faltan comprobaciones de propietario | autenticación vs autorización / IDOR |
| A02 | Fallos criptográficos | secretos en texto plano, criptografía débil, huecos de TLS | criptografía de clave pública / hashing de contraseñas |
| A03 | Inyección | la entrada secuestra una consulta/comando | inyección SQL / XSS |
| A04 | Diseño inseguro | no se consideraron las amenazas en la fase de diseño | la lista de verificación mínima |
| A05 | Configuración incorrecta de seguridad | debug en producción, valores por defecto, funciones expuestas | CORS |
| A06 | Componentes vulnerables y obsoletos | CVE conocidos ignorados en las dependencias | monitorizar CVE en dependencias |
| A07 | Fallos de autenticación | autenticación débil, sin resistencia a fuerza bruta, sin MFA | 2FA / passkeys |
| A08 | Fallos de integridad de software y datos | cadena de suministro / ruta de actualización manipulada | historia de la seguridad (cadena de suministro) |
| A09 | Fallos de registro y monitorización | no se puede detectar ni rastrear un incidente | por qué importan los registros de auditoría |
| A10 | SSRF | se fuerza al servidor a solicitar destinos internos | SSRF |
Cómo usarlo: un punto de partida para priorizar, no una lista de verificación
No trates 'cubrir' el Top 10 como algo terminado
El Top 10 son las diez categorías más representativas, no una garantía de suficiencia. Úsalo como punto de partida para priorizar y encontrar huecos, y refuerza además los cimientos que no cubre directamente — monitorización de CVE en dependencias, gestión de secretos, copias de seguridad y detección.
Empieza por lo alto (A01–A03) en tu propia aplicación
Audita primero el control de acceso, la criptografía y la inyección en tu propio código — las fuentes de incidentes más frecuentes se concentran aquí.
Comprueba configuración y dependencias (A05, A06) de forma mecánica
Ajusta la configuración de producción (sin exposición de debug) y convierte la monitorización de CVE en dependencias en un mecanismo.
Ten detección (A09) antes de un incidente
Sin registros ni monitorización no puedes darte cuenta de un incidente ni rastrearlo. Conserva al menos registros básicos de auditoría y de acceso.
La visión de este sitio: una herramienta para aplicarlo a tu propio código
El valor del Top 10 no está en memorizar números — está en aplicar cada categoría a tu propia aplicación y auditarla. Este sitio mantiene explicaciones por riesgo traducidas a «cómo lo defiendes». Usa el Top 10 como puerta de entrada y empieza por lo alto — control de acceso, criptografía, inyección — en tu propio código.
Sigue leyendo
- Fundamentos: autenticación vs autorización (el núcleo de A01) · la lista de verificación mínima de seguridad
- Glosario: inyección SQL · IDOR · SSRF
- Historia: la historia de la seguridad (cronología)
FAQ
Q¿Qué es el OWASP Top 10?
Es una lista que la organización sin ánimo de lucro OWASP (Open Worldwide Application Security Project) publica cada pocos años con los 'riesgos de seguridad más críticos de las aplicaciones web', organizada en diez categorías. No es un conjunto de recetas de ataque — es un lenguaje común que desarrolladores y responsables de operación usan para comprobar 'dónde tengo que mirar como mínimo'. La edición actual es la versión de 2021.
Q¿Cuál es el número uno del OWASP Top 10?
La edición de 2021 la encabeza el control de acceso roto (Broken Access Control) — el fallo de diseño donde estar autenticado se trata como estar autorizado, sin comprobar si ese usuario puede realmente realizar esa acción o tocar esos datos. IDOR (llegar a los datos de otra persona indicando su ID) es un ejemplo clásico de esta categoría.
QSi cubro el OWASP Top 10, ¿estoy seguro?
No. El Top 10 son las diez categorías más representativas, no una lista de verificación que garantice suficiencia. Úsalo como punto de partida para priorizar y encontrar huecos, y refuerza además los cimientos que no cubre directamente — monitorización de CVE en dependencias, gestión de secretos, copias de seguridad y detección.