OWASP TOP 10 RESUMEN

A01:2021: Pérdida de Control de Acceso

La categoría con el mayor riesgo en seguridad de aplicaciones web, cuando

las claves no se protegen convenientemente en promedio el 3,81%, referido a las ya
mencionadas aplicaciones web, cuentan con 1 o más debilidades comunes. Son 34
las debilidades relacionadas a la Perdida de Control de Acceso que tuvieron más
apariciones en las aplicaciones que cualquier otra categoría. Para la prevención de
este tipo de ataques es fundamental tener estos puntos en cuenta: contraseñas
robustas, versiones seguras y originales de todo, no dejar nada por defecto.

A02:2021: Fallas Criptográficas

Antes conocida como la exposición de Datos Sensibles, que era más una
característica que una causa raíz. Se centra en las fallas relacionadas con la
criptografía, frecuentemente conlleva a la exposición de datos confidenciales o al
compromiso del sistema. Es importante que las transacciones cumplan con el PCI
(Cumplimiento de la industria de tarjetas de pago) para la protección de los datos de
los dueños de tarjetas de crédito. Medidas a tener en cuenta para la prevención de
este tipo de vulnerabilidad: Cumplir con el Reglamento General de Protección de
Datos, Hosting RGPD y PCI, Eliminación de datos sensibles, SSL = HTTPS.

A03:2021: Inyección

Se refiere a la inserción no autorizada de código en puntos de entrada de

datos, lo que permite a los atacantes ejecutar comandos maliciosos en la aplicación.
Esto puede permitir a un atacante manipular o alterar el comportamiento normal del
sistema de maneras no autorizadas.

Ejemplos de ello son la Inyección SQL, donde se obtiene acceso a datos no

autorizados a través de la inserción de un comando SQL y la inyección HTML,
también conocida como Cross-Site Scripting consiste en insertar código HTML o
Script maliciosos en páginas web que luego son ejecutados en el navegador de
otros usuarios, lo que permite que un atacante robe información, realice acciones en
nombre del usuario o incluso secuestre sesiones.

A la fecha de la publicación del ranking se registraron 274 000 ocurrencias.

A04:2021: Diseño inseguro

Se refiere a las debilidades en el diseño y la arquitectura de una aplicación

web que pueden ser explotadas por un atacante. Esto es diferente a una
implementación insegura debido a que, incluso haciendo una implementación
perfecta, un diseño inseguro no tiene forma de defenderse ante un ataque. Además
de que muestra defectos en una de las partes más importantes del desarrollo de un
software, el diseño.

A05:2021 – Configuración de Seguridad Incorrecta

Las configuraciones de seguridad incorrectas son errores frecuentes que

pueden manifestarse en diferentes niveles, como la plataforma, el servidor web, el
servidor de aplicaciones, la base de datos e incluso el código fuente del software.
Los hackers malintencionados pueden identificar fácilmente deficiencias como falta
de actualizaciones de seguridad, configuraciones equivocadas, cuentas
predeterminadas activas o servicios no necesarios, junto con otras debilidades
potenciales.

Un ejemplo de escenario de ataque:

Un proveedor de servicios en la nube (CSP) posee permisos de uso compartido

predeterminados abiertos a Internet a otros usuarios. Esto permite acceder a los
datos confidenciales almacenados en el almacenamiento en la nube.

A06:2021 – Componentes Vulnerables y Desactualizados

A menudo, al construir sitios web, se utilizan versiones de componentes que

no han sido actualizados con los últimos parches de seguridad proporcionados por
sus desarrolladores. Estas deficiencias suelen ser catalogadas en la lista de
vulnerabilidades comunes (CVE) y, de igual manera, se acompañan de exploits que
los hackers malintencionados pueden aprovechar para infiltrarse y causar daños en
el sistema. Para identificar aplicaciones que utilizan componentes desactualizados,
tanto hackers maliciosos como investigadores de seguridad pueden utilizar
herramientas de escaneo.

A07:2021: Fallas de Identificación y Autenticación

La categoría A07:2021 aborda problemas de autenticación y fallas en la

identificación que pueden ser explotados por atacantes para comprometer la
seguridad de sistemas y aplicaciones.

Algunas de las debilidades de seguridad que abarca esta categoría incluyen:

Contraseñas Débiles o por Defecto, las contraseñas débiles son más susceptibles a
ataques de fuerza bruta y ataques de diccionario, lo que facilita a los atacantes el
acceso no autorizado a cuentas; así como, la Falta de Autenticación Multi-factor
(MFA), La autenticación multi-factor añade una capa adicional de seguridad
requerida para acceder a cuentas o sistemas, más allá de solo una contraseña.

A08:2021: Fallas en el Software y en la Integridad de los Datos

La categoría A08:2021 se centra en las vulnerabilidades que surgen cuando

no se verifica la integridad del software y los datos. Esto incluye la dependencia de
fuentes no confiables para el código, la falta de verificación de integridad en
actualizaciones de software y la deserialización insegura de datos. Esta categoría
está relacionada con problemas críticos de seguridad y tiene un alto impacto según
sistemas de ponderación de vulnerabilidades.

Para la prevención es esencial emplear firmas digitales o mecanismos similares

para verificar la procedencia y integridad del software y datos, evitando la
introducción de contenido malicioso. Asimismo, implementar un minucioso proceso
de revisión de cambios de código y configuraciones en el pipeline CI/CD es crucial
para detectar y evitar la inclusión de código dañino, asegurando la integridad del
código a lo largo de todo el ciclo de desarrollo y despliegue.

En relación con ataques, un escenario de riesgo incluye la explotación de

dispositivos sin verificación de firmas en sus actualizaciones de firmware. Esto
habilita a los atacantes a propagar actualizaciones maliciosas a gran escala,
poniendo en peligro la integridad del firmware y exponiendo a los usuarios a
posibles vulnerabilidades y compromisos. Además, se destaca un ataque similar al
de SolarWinds, el cual ejemplifica cómo los adversarios pueden comprometer
procesos de construcción seguros y distribuir actualizaciones maliciosas a gran
escala en organizaciones. Estos ataques podrían resultar en la ejecución de código
comprometido en sistemas vulnerables, causando un impacto significativo en la
seguridad de la infraestructura y los datos.

A09:2021: Fallas en el registro y monitoreo

Esto hace referencia a la incapacidad de una aplicación o sistema para

detectar y registrar adecuadamente eventos de seguridad, lo que podría resultar en
la falta de visibilidad sobre lo que está sucediendo y en la incapacidad de responder
a incidentes de manera efectiva.

Un ejemplo de esta falla sería el siguiente:

-Imaginemos que tenemos una página web que no cuenta con un registro y
monitoreo adecuado, entonces este no podrá rastrear intentos de inicio de sesión
fallidos, actividades sospechosas o accesos no permitidos a usuarios. Así no
tendrás forma de identificar si están intentando atacar o vulnerar de manera
temprana tu sistema.

A10:2021: Falsificación de solicitudes del lado del servidor

Esto ocurre cuando una aplicación web permite que un atacante manipule la
aplicación para enviar solicitudes a recursos remotos sin verificar adecuadamente la
validez de la URL proporcionada por el usuario. Esto puede dar lugar a que el
atacante acceda a recursos internos o privados a los que normalmente no tendría
acceso.

Un ejemplo de esta falla sería el siguiente:

-Imaginemos que existe un sitio web que permite a los usuarios proporcionar una
URL para obtener una vista previa de un sitio web. El usuario ingresa una URL en el
formulario, y la aplicación web carga la página y muestra el contenido. Sin embargo,
la aplicación no valida correctamente la URL proporcionada. Un atacante podría
intentar de manera maliciosa proporcionando una URL que apunte a un servidor
interno de la red para que así de información confidencial que no debería ser
público.