El OWASP Top 10 lista las principales vulnerabilidades de seguridad en aplicaciones web. Ofrece consejos para protegerse de estos ataques comunes.1 Su última versión, del 2021, destaca fallos como la pérdida de control de acceso y las fallas criptográficas. También incluye la inyección, el diseño inseguro y configuraciones de seguridad incorrectas.2 Ayuda a desarrolladores y empresas a hacer más seguras sus aplicaciones web. Así, previenen ataques que podrían dañar los datos y los sistemas.
Aspectos clave:
- El OWASP Top 10 lista las principales vulnerabilidades de seguridad en aplicaciones web.
- La última versión (2021) identifica nuevas categorías como diseño inseguro y fallas en la integridad de datos y software.
- La pérdida de control de acceso y las fallas criptográficas son las principales preocupaciones de seguridad según los datos.
- Inyección, configuración de seguridad incorrecta y componentes vulnerables también se encuentran entre las principales vulnerabilidades.
- Esta guía es esencial para que desarrolladores y empresas mejoren la seguridad de sus aplicaciones web.
¿Qué es el OWASP Top 10?
El OWASP Top 10 es una lista importante. La creó la Fundación OWASP3. Incluye las 10 vulnerabilidades más peligrosas para apps web. Estas fallas se actualizan cada 2 o 3 años. Se basan en datos reales y encuestas a expertos.
Descripción del OWASP Top 10
El OWASP Top 10 ayuda a desarrolladores y firmas. Les muestra los peores problemas de seguridad en sus apps web.3 Al conocer estos peligros, OWASP busca que se tomen acciones para hacer apps más seguras.
Vulnerabilidades más comunes en aplicaciones web
Estas son las fallas más comunes, según el OWASP Top 10 de hace poco:1
- Pérdida de control de acceso
- Fallas criptográficas
- Inyección
- Diseño inseguro
- Configuración de seguridad incorrecta
- Componentes vulnerables y desactualizados
- Fallos de identificación y autenticación
- Fallas de integridad de datos y software
- Fallos de registro y monitoreo
- Falsificación de solicitudes del lado del servidor
Fallos de Control de Acceso
Los fallos de control de acceso son muy comunes en 2021, afectando al 94% de las aplicaciones.2 Esto significa que hay errores al verificar quién puede entrar a lugares donde no deberían ir.
Manipulación de identificadores
Para evitar estos errores, OWASP dice que hay que ser muy cuidadosos al dar permisos.2 Solo se deben otorgar los permisos necesarios a cada usuario. También, es clave no dar acceso a todos por defecto, sólo a lo que es público, y usar bien los controles de acceso por toda la aplicación.
Principio de mínimos privilegios
Además, OWASP da más consejos para evitar estos errores:
- Registrar y alertar sobre los fallos de control de acceso
- Limitar la tasa de acceso a la API y los controladores
- Invalidar los identificadores de sesión cuando ésta finalice
- Desactivar el listado de directorios y ocultar los metadatos de los archivos
Recomendaciones de OWASP
OWASP sigue recomendando el principio de mínimos privilegios.2 E insiste en no permitir el acceso a nada salvo lo público. Además, dice que hay que usar los controles de acceso por toda la aplicación de manera consistente.
Fallas Criptográficas
Las fallas criptográficas ocupan un lugar muy importante en el OWASP Top 10 de 2021.1 Incluyen temas como algoritmos de cifrado obsoletos y errores en la gestión de claves.
Algoritmos de cifrado obsoletos
Utilizar algoritmos viejos y débiles puede poner en riesgo la seguridad. Estos algoritmos ya no son seguros porque han sido comprometidos.
Gestión de claves débiles
La forma en que se manejan las claves también es muy importante. Si estas son fáciles o se guardan de forma poco segura, los atacantes pueden llegar a la información confidencial.45
| Indicador | Valor |
|---|---|
| Tasa de incidencia máxima | 46.44% |
| Tasa de incidencia promedio | 4.49% |
| Explotabilidad ponderada promedio | 7.29 |
| Impacto ponderado promedio | 6.81 |
| Cobertura máxima | 79.33% |
| Cobertura promedio | 34.85% |
| Incidencias totales | 233,788 |
| Total CVEs | 3,075 |
Inyección
La inyección, con ataques como SQL Injection y Cross-Site Scripting (XSS), es común en aplicaciones web.6 Ocurre cuando los datos del usuario no se validan antes de usarlos en la aplicación.1
Falta de Validación de Entradas
Imagina una app web con un campo de búsqueda de usuarios. Si un atacante introduce un texto especial, puede cambiar la consulta a la base de datos. Así, la app puede mostrar datos secretos.6
Ejemplo de Ataque por Inyección
El 94% de las aplicaciones mostraron inyección en un estudio. La tasa máxima de problemas fue del 19%, con un promedio de 3.37%.1 También, se encontraron 274.000 casos de 33 tipos de inyección.6
Vincular Parámetros de Forma Segura
Para evitar estos ataques, OWASP sugiere vincular bien los datos de entrada. Si no se puede, asegúrate de validar y sanear los datos.1
Diseño Inseguro
En 2021, OWASP incluyó la vulnerabilidad de diseño inseguro en su Top 10.1 Esta nueva categoría se enfoca en los fallos de diseño que afectan la seguridad en el desarrollo.
Las vulnerabilidades de diseño pueden aparecer durante varias etapas de crear un software. Si el diseño no considera la seguridad, pueden aparecer errores.1 A veces, los desarrolladores, sin querer, crean más problemas si no siguen ciertas prácticas.
Seguridad en Aplicaciones Web: OWASP Top 10
En nuestra vida diaria, dependemos de aplicaciones web. Estas van desde redes sociales hasta banca en línea. Así, son esenciales en nuestra sociedad digital.2 Por eso, mantener su seguridad protege a los usuarios y sistemas.
Importancia de las aplicaciones web
El OWASP Top 10 guía a desarrolladores y empresas. Les alerta sobre las vulnerabilidades más críticas en aplicaciones web.2 Su objetivo es mejorar la seguridad al identificar riesgos.
Objetivos del OWASP Top 10
En 2021, la categoría A01 (Pérdida de Control de Acceso) evidenció alto riesgo. Un 3,81% de 318.000 aplicaciones tenía problemas.1 La A03 (Inyección) mostró que el 94% tenía riesgos de inyección. Con una incidencia del 3,37%, con 274.000 problemas.
Configuración de Seguridad Incorrecta
La configuración de seguridad es muy importante para proteger una aplicación web. Una configuración de seguridad incorrecta puede mostrar datos secretos. También permite usar funciones que no se necesitan o mantiene activas contraseñas preestablecidas.1
Tipos de configuraciones inseguras
Hay varias configuraciones de seguridad incorrectas:
- Habilitar aplicaciones o puertos innecesarios
- Dejar cuentas y contraseñas predeterminadas activas y sin cambios
- Configurar mensajes de error que revelen demasiada información a los usuarios
En el OWASP Top 10, la configuración de seguridad incorrecta subió de la sexta a la tercera posición.1 Un 90% de las aplicaciones tenían configuraciones incorrectas.1
En promedio, la tasa de incidencia de Configuración de Seguridad Incorrecta fue del 4,5%.1 Se encontraron más de 208,000 problemas de seguridad relacionados.1 Incluso, la Configuración de Seguridad Incorrecta incluye un nuevo riesgo en la última edición: CWE A4:2017-Entidades Externas XML (XXE).1
Es vital que desarrolladores y empresas se enfoquen en la configuración de seguridad de sus páginas web. Así, se evitará la exposición de datos importantes y se garantizará un nivel adecuado de seguridad.17
Componentes Vulnerables y Desactualizados
En los últimos años, la preocupación por la seguridad de los componentes vulnerables y desactualizados ha crecido mucho. Esto se debe, en parte, al incremento de los ataques en la cadena de suministro.2 Una organización que no vigile el código externo que usa en sus aplicaciones, está en riesgo. Esto es porque podrían ser blanco fácil de ataques aprovechando vulnerabilidades conocidas.
Las aplicaciones web suelen necesitar de bibliotecas y componentes de otros proveedores.2 Estos a su vez, pueden tener más dependencias. Si esas dependencias tienen fallas de seguridad y no se actualizan, la aplicación queda desprotegida ante ataques.
Fallas de Identificación y Autenticación
Las fallas en identificar y autenticar siguen siendo importantes en el OWASP Top 10.2 Han bajado un poco en la lista, comparado con el año pasado. Ocurren cuando las aplicaciones no tienen buenos métodos para saber si los usuarios son realmente quienes dicen ser.
Autenticación débil
Imagina una aplicación web sin autenticación de múltiples factores (MFA).2 Esto deja una puerta abierta a los ataques de relleno de credenciales. Son cuando un atacante prueba diferentes combinaciones de username y password. Lo hacen usando credenciales fáciles, muy usadas o que ya han sido comprometidas.
Falta de autenticación multifactor
Ignorar la autenticación de múltiples factores también da ventaja a los ataques de relleno de credenciales.2 En esta nueva versión del OWASP Top 10, también se destaca la importancia de hacer un buen registro y monitorización de la seguridad.2 Estos aspectos han aumentado en su importancia desde el año anterior.
| Métrica | Valor |
|---|---|
| CWEs mapeadas | 228 |
| Tasa de incidencia máxima | 14.84%8 |
| Tasa de incidencia promedio | 2.55%8 |
| Explotabilidad ponderada promedio | 7.408 |
| Impacto ponderado promedio | 6.508 |
| Cobertura máxima | 79.51%8 |
| Cobertura promedio | 45.72%8 |
| Incidencias totales | 132,1958 |
| Total CVEs | 3,8978 |
Fallas en la Integridad de Datos y Software
Un problema importante en la seguridad informática es la integridad de datos y software. Se enfoca en debilidades en los procesos de DevOps y actualización de software. Estas fallas permiten ataques como el de SolarWinds.9 Algunos problemas son la confianza en código de terceros no fiables y la seguridad descuidada en la canalización de CI/CD.
Canalización de CI/CD insegura
Una canalización de CI/CD desprotegida pone a las organizaciones en serio riesgo.10 Si las etapas de construcción y despliegue de software no están seguras, los hackers pueden insertar código malicioso.10 Esto daña la seguridad del software y puede amenazar los datos.
Para reducir estos peligros, es vital tener una canalización de CI/CD segura. Esta debe incluir medidas fuertes de seguridad y verificar la integridad del código.10 También, es importante conocer bien las dependencias de software y actualizar la seguridad a tiempo.9 Seguir estas recomendaciones es esencial para mantener seguro el entorno de desarrollo y despliegue.
Enlaces de origen
- https://owasp.org/Top10/es/
- https://www.checkpoint.com/es/cyber-hub/cloud-security/what-is-application-security-appsec/owasp-top-10-vulnerabilities/
- https://www.f5.com/es_es/glossary/owasp
- https://owasp.org/Top10/es/A09_2021-Security_Logging_and_Monitoring_Failures/
- https://owasp.org/Top10/es/A02_2021-Cryptographic_Failures/
- https://owasp.org/Top10/es/A03_2021-Injection/
- https://owasp.org/Top10/es/A05_2021-Security_Misconfiguration/
- https://owasp.org/Top10/es/A07_2021-Identification_and_Authentication_Failures/
- https://www.welivesecurity.com/es/recursos-herramientas/owasp-top-10-vulnerabilidades-criticas-aplicaciones-web/
- https://lab.wallarm.com/what/a08-2021-owasp-fallas-de-integridad-de-datos-y-software/?lang=es
