Esta edición introduce dos nuevas categorías, una consolidación importante y un enfoque centrado en la causa raíz de las vulnerabilidades más críticas.
🔍 ¿Qué ha cambiado en el Top 10 para 2025?
- ➕ Dos nuevas categorías: Fallos en la cadena de suministro de software y Manejo inadecuado de condiciones excepcionales.
- 🔁 Una categoría consolidada: Control de acceso deficiente (ahora integra SSRF).
- 📊 Reordenamiento de prioridades: La configuración errónea sube al puesto n.º 2, y se ajustan posiciones en criptografía, inyección y diseño inseguro.
🧱 A01:2025 – Control de acceso deficiente
Se mantiene como el riesgo más grave. Representa los fallos donde los usuarios acceden a funciones o datos sin autorización.
Esta categoría ahora incluye la vulnerabilidad SSRF (Server-Side Request Forgery).
Según OWASP, el 3,73 % de las aplicaciones analizadas presentaban vulnerabilidades de este tipo.
Ejemplo: endpoints administrativos accesibles sin verificación de rol.
Mitigación: implementar RBAC, tokens seguros y auditorías periódicas de acceso.
⚙️ A02:2025 – Configuración errónea de seguridad
Sube del puesto n.º 5 al n.º 2. Los errores de configuración son cada vez más frecuentes, especialmente en entornos cloud, contenedores y microservicios.
Ejemplo: credenciales por defecto, buckets S3 públicos, políticas WAF deshabilitadas.
Mitigación: automatizar revisiones, aplicar hardening y auditorías regulares.
🔗 A03:2025 – Fallos en la cadena de suministro de software (nueva categoría)
Amplía la categoría de “componentes vulnerables y obsoletos” de 2021.
Cubre todo el ciclo de dependencias: librerías, sistemas de compilación, infraestructura CI/CD y repositorios de software.
Ejemplo: dependencias sin firma o bibliotecas desactualizadas.
Mitigación: gestión de dependencias (SBOM), verificación de firmas y escaneo continuo (SCA).
🔐 A04:2025 – Fallos criptográficos
Desciende del puesto n.º 2 al n.º 4. Se relaciona con algoritmos inseguros, mala gestión de claves o contraseñas almacenadas sin hash.
Mitigación: usar algoritmos modernos (AES-256, SHA-256), rotación de claves y cifrado en tránsito y reposo.
💉 A05:2025 – Inyección de vulnerabilidades
Baja dos posiciones, pero sigue siendo una de las categorías más explotadas. Incluye SQL Injection, XSS, Command Injection, entre otras.
Mitigación: validación estricta de entradas, consultas parametrizadas y testing continuo en cada sprint (DevSecOps).
🧩 A06:2025 – Diseño inseguro
Desciende al puesto n.º 6, aunque OWASP destaca mejoras gracias al modelado de amenazas y a la adopción de prácticas de diseño seguro.
Mitigación: integrar revisiones de seguridad en la arquitectura y análisis de riesgo en etapas tempranas del desarrollo.
🔑 A07:2025 – Fallos de autenticación
Se mantiene en el puesto n.º 7. Aunque el uso de marcos estandarizados ha reducido su frecuencia, sigue siendo una debilidad común.
Mitigación: implementar MFA, restringir sesiones inactivas, proteger tokens JWT y usar frameworks seguros de autenticación.
🧾 A08:2025 – Fallos en la integridad del software o los datos
Permanece en el puesto n.º 8. Afecta la verificación de integridad del código o de los datos, clave para prevenir manipulaciones en pipelines.
Mitigación: aplicar firmas digitales, hashes y controles de integridad en repositorios y despliegues.
📊 A09:2025 – Fallos en el registro y las alertas
Se mantiene en el puesto n.º 9, con un nuevo nombre que enfatiza la importancia de las alertas ante incidentes.
Mitigación: habilitar monitoreo en tiempo real, integrar logs en SIEM y generar alertas automatizadas de alta prioridad.
⚠️ A10:2025 – Manejo inadecuado de condiciones excepcionales (nueva categoría)
Incorpora 24 CWE sobre errores de manejo de excepciones, condiciones anómalas y fallos lógicos que pueden generar exposición o inestabilidad del sistema.
Ejemplo: mensajes de error que revelan información sensible.
Mitigación: manejo seguro de excepciones, respuestas genéricas al usuario y logging controlado.
📈 Conclusión
El OWASP Top 10 2025 refleja un sector más maduro, pero con retos crecientes.
La atención ahora se centra en la integridad del ecosistema y la seguridad del ciclo de vida del software,
no solo en el código.
Las organizaciones deben priorizar la gestión de configuraciones, las dependencias de software y la detección temprana de incidentes para evitar brechas graves.
🛡️ Cómo puede ayudarte Confiden
En Confiden te ayudamos a fortalecer la seguridad de tus aplicaciones con:
- ✅ Pruebas de penetración (pentesting) basadas en OWASP.
- ✅ Implementación de ISO 27001 y cumplimiento de la Ley Marco de Ciberseguridad.
- ✅ Auditorías de código, infraestructura y pipelines DevSecOps.
- ✅ Formación técnica y cultura de seguridad para equipos de desarrollo.
🔗 Fortalece la seguridad de tus aplicaciones.
Solicita un diagnóstico gratuito → confiden.cl/contacto