OWASP Top 10: Los 10 errores que destruyen aplicaciones web

1. Control de acceso roto

Los atacantes acceden a funciones o datos restringidos.

Prevención: Implementar controles de acceso en cada punto, usar principios de "mínimo privilegio", validar permisos en cada solicitud.

2. Fallos criptográficos

Exposición de datos sensibles por cifrado débil o mal configurado.

Prevención: Usar algoritmos fuertes (AES, RSA), gestionar claves de forma segura, cifrar datos en tránsito y reposo.

3. Inyección

Inserción de código malicioso en entradas de datos (SQL, comandos).

Prevención: Usar consultas parametrizadas, ORMs, validar y sanitizar todas las entradas.

4. Diseño inseguro

Falta de controles de seguridad en la arquitectura.

Prevención: Integrar seguridad desde el diseño (Shift-Left), usar patrones seguros, modelado de amenazas.

5. Configuración incorrecta

Configuraciones por defecto, servicios innecesarios expuestos.

Prevención: Hardening de servidores, configuración segura por defecto, revisiones periódicas.

6. Componentes vulnerables

Librerías y frameworks con vulnerabilidades conocidas.

Prevención: Gestión de dependencias, actualizaciones automáticas, escaneo continuo.

7. Fallos de identificación y autenticación

Gestión débil de sesiones, contraseñas o MFA.

Prevención: Implementar MFA, contraseñas fuertes, límites de intentos, gestión segura de sesiones.

8. Fallos de integridad de datos y software

Código o datos alterados sin verificación.

Prevención: Firmas digitales, checksums, verificación de integridad, supply chain segura.

9. Fallos en registro y monitorización

Falta de detección y respuesta ante incidentes.

Prevención: Logging centralizado, alertas automáticas, formatos estandarizados, retención adecuada.

10. Falsificación de solicitudes del lado del servidor (SSRF)

Ataques que hacen que el servidor acceda a recursos internos.

Prevención: Validar y sanitizar URLs, usar listas blancas, segmentar redes internas.