{"id":28141,"date":"2022-04-07T13:11:25","date_gmt":"2022-04-07T11:11:25","guid":{"rendered":"https:\/\/www.mtp.es\/?p=28141"},"modified":"2022-04-07T13:11:25","modified_gmt":"2022-04-07T11:11:25","slug":"owasp-top-10-2021-un-proyecto-que-alerta-sobre-los-principales-riesgos-de-seguridad-en-aplicaciones","status":"publish","type":"post","link":"https:\/\/mtp.global\/es\/blog\/quality-assurance\/owasp-top-10-2021-un-proyecto-que-alerta-sobre-los-principales-riesgos-de-seguridad-en-aplicaciones\/","title":{"rendered":"OWASP Top 10 2021, un proyecto que alerta sobre los principales riesgos de seguridad en aplicaciones"},"content":{"rendered":"

[ez-toc]<\/p>\n

 <\/p>\n

OWASP<\/strong> es una organizaci\u00f3n sin \u00e1nimo de lucro que ayuda con la seguridad de las aplicaciones<\/strong>. Est\u00e1 formada por empresas, organizaciones, fabricantes de seguridad y particulares que aportan sus conocimientos para poder generar art\u00edculos, metodolog\u00edas, documentaci\u00f3n, herramientas y tecnolog\u00edas que son liberadas para ayudar al resto de los usuarios a implementar seguridad en sus aplicaciones.<\/p>\n

Desde esta organizaci\u00f3n, que tiene una trayectoria de m\u00e1s de 20 a\u00f1os, se genera un proyecto de referencia, <\/strong>Owasp Top 10<\/strong><\/a>. Este proyecto expone los diez principales riesgos de seguridad en aplicaciones<\/strong> que se deben de tener en cuenta, y se actualiza cada tres o cuatro a\u00f1os por los propios expertos de la comunidad de OWASP.<\/p>\n

En esta ocasi\u00f3n se ha actualizado hace unos meses a la versi\u00f3n 2021 desde la versi\u00f3n de 2017 con los siguientes cambios m\u00e1s relevantes:<\/p>\n

\"\"<\/a><\/p>\n

Se puede comprobar que a alguna categor\u00eda se le ha dado m\u00e1s o menos importancia en la clasificaci\u00f3n, que algunas se han fusionado con otras o, incluso, se han creado nuevas categor\u00edas debido al auge de algunas tendencias que se han producido en los \u00faltimos tiempos.<\/p>\n

Para garantizar que las aplicaciones web<\/em> minimicen sus riesgos en todas las organizaciones, el uso de OWASP Top 10<\/strong> debe ser el marco de referencia para comenzar a resolver los principales problemas de seguridad de las mismas.<\/p>\n

A continuaci\u00f3n, vamos a hacer un repaso de los diez riesgos de seguridad de la nueva lista Owasp Top 10 2021<\/strong> comentada:<\/p>\n

A1 \u2013 Ausencia de Control de Acceso<\/strong>:<\/h2>\n

La mayor\u00eda de las aplicaciones web<\/em> verifican los derechos de acceso a nivel de funci\u00f3n antes de hacerlo visible en la misma interfaz<\/em> de usuario. A pesar de esto, las aplicaciones necesitan verificar el control de acceso en el servidor cuando se accede a cada funci\u00f3n. Si las solicitudes de acceso no se verifican, los atacantes podr\u00e1n realizar peticiones sin la autorizaci\u00f3n apropiada.<\/p>\n

A2 \u2013 Errores criptogr\u00e1ficos<\/strong><\/h2>\n

Los fallos relacionados con la criptograf\u00eda que a menudo conducen a la exposici\u00f3n de datos sensibles (muchas aplicaciones web<\/em> no protegen adecuadamente datos sensibles tales como n\u00fameros de tarjetas de cr\u00e9dito o credenciales de autenticaci\u00f3n) o al compromiso del sistema.<\/p>\n

A3 – Inyecci\u00f3n<\/strong><\/h2>\n

Los fallos de inyecci\u00f3n, ocurridos en SQL, XSS, OS, y LDAP, ocurren cuando datos no confiables son enviados a un int\u00e9rprete como parte de un comando o consulta. Los datos hostiles del atacante pueden enga\u00f1ar al int\u00e9rprete al ejecutar comandos no intencionados o acceder datos no autorizados.<\/p>\n

A4 \u2013 Dise\u00f1o inseguro<\/strong><\/h2>\n

Esta categor\u00eda posee un enfoque en los riesgos relacionados con los defectos de dise\u00f1o. Si realmente queremos \u2018movernos a la izquierda\u2019 como industria, se requiere un mayor uso del modelado de amenazas, patrones y principios de dise\u00f1o seguro y arquitecturas de referencia.<\/p>\n

A5 \u2013 Configuraci\u00f3n de Seguridad Incorrecta<\/strong><\/h2>\n

Una buena seguridad requiere tener definida e implementada una configuraci\u00f3n segura para la aplicaci\u00f3n, marcos de trabajo, servidor de aplicaci\u00f3n, servidor web, base de datos, y plataforma. Todas estas configuraciones deben ser definidas, implementadas y mantenidas ya que por lo general no son seguras por defecto. Esto incluye mantener todo el software<\/em> actualizado, incluidas las librer\u00edas de c\u00f3digo utilizadas por la aplicaci\u00f3n.<\/p>\n

A6 – Componentes Vulnerables y Obsoletos<\/strong><\/h2>\n

Algunos componentes tales como las librer\u00edas, los Frameworks y otros m\u00f3dulos de software casi siempre funcionan con todos los privilegios. Si se ataca un componente vulnerable esto podr\u00eda facilitar la intrusi\u00f3n en el servidor o una p\u00e9rdida seria de datos. Las aplicaciones que utilicen componentes con vulnerabilidades conocidas debilitan las defensas de la aplicaci\u00f3n y permiten ampliar el rango de posibles ataques e impactos<\/p>\n

A7 – Fallos de identificaci\u00f3n y autenticaci\u00f3n<\/strong><\/h2>\n

Se debe de prestar mucha atenci\u00f3n a como se realiza la confirmaci\u00f3n de la identidad, la autenticaci\u00f3n y la administraci\u00f3n de sesiones del usuario ya que es fundamental para proteger contra los ataques relacionados con la autenticaci\u00f3n.<\/p>\n

A8 – Fallos de integridad del software y los datos<\/strong><\/h2>\n

Las fallos en la integridad del software<\/em> y los datos se relacionan con el c\u00f3digo y la infraestructura que no protegen contra las violaciones de la integridad. Un ejemplo de esto es cuando una aplicaci\u00f3n se basa en complementos, bibliotecas o m\u00f3dulos de fuentes, repositorios y redes de entrega de contenido (CDN) que no son de confianza.<\/p>\n

A9 – Fallos en el registro y la supervisi\u00f3n de la seguridad<\/strong><\/h2>\n

Esta categor\u00eda es para ayudar a detectar, escalar y responder a los incidentes de seguridad que se producen. Sin registro y monitoreo, los incidentes no se pueden detectar. En cualquier momento se produce un registro, detecci\u00f3n, supervisi\u00f3n y respuesta activa insuficientes<\/p>\n

A10 – Server-Side Request Forgery<\/strong><\/h2>\n

Los fallos de Server-Side Request Forgery<\/em> (SSRF) ocurren cuando una aplicaci\u00f3n web<\/em> est\u00e1 obteniendo un recurso remoto sin validar la URL proporcionada por el usuario. Permite que un atacante coaccione a la aplicaci\u00f3n para que env\u00ede una solicitud dise\u00f1ada al efecto a un destino distinto del esperado.<\/p>\n

Como se dec\u00eda anteriormente, estos son los diez principales riesgos, pero no los \u00fanicos. OWASP tiene mucho m\u00e1s proyectos dedicados a proteger las aplicaciones: por ejemplo, uno dedicado a las verificaciones de seguridad (OWASP Application Security Verification Standard<\/em>), y otro referente a las pruebas de seguridad (OWASP Web Security Testing Guide<\/em>) entre otros. Todos ellos, unidos, trasladan a las organizaciones unos est\u00e1ndares y unas metodolog\u00edas para que los niveles de seguridad en sus aplicaciones sean \u00f3ptimos.<\/p>\n

 <\/p>\n

Fernando Saavedra<\/strong><\/p>\n

Manager de Ciberseguridad MTP<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

MTP, como empresa de aseguramiento de negocios digitales, tiene en la ciberseguridad un amplio campo de trabajo. Para desarrollar con eficacia las propuestas y soluciones de Ciberseguridad, MTP est\u00e1 muy al tanto de la informaci\u00f3n que generan organizaciones como OWASP, que alerta sobre los principales riesgos de ciberseguridad para aplicaciones y actualiza peri\u00f3dicamente ese listado de amenazas.<\/p>\n","protected":false},"author":9,"featured_media":28139,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[206],"tags":[],"class_list":["post-28141","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-quality-assurance"],"acf":[],"yoast_head":"\nOWASP Top 10 2021: alerta sobre riesgos de seguridad | MTP<\/title>\n<meta name=\"description\" content=\"MTP est\u00e1 muy al tanto de la informaci\u00f3n que generan organizaciones como OWASP, que alerta sobre los principales riesgos de ciberseguridad.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/mtp.global\/es\/blog\/quality-assurance\/owasp-top-10-2021-un-proyecto-que-alerta-sobre-los-principales-riesgos-de-seguridad-en-aplicaciones\/\" \/>\n<meta property=\"og:locale\" content=\"es_ES\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"OWASP Top 10 2021: alerta sobre riesgos de seguridad | MTP\" \/>\n<meta property=\"og:description\" content=\"MTP est\u00e1 muy al tanto de la informaci\u00f3n que generan organizaciones como OWASP, que alerta sobre los principales riesgos de ciberseguridad.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/mtp.global\/es\/blog\/quality-assurance\/owasp-top-10-2021-un-proyecto-que-alerta-sobre-los-principales-riesgos-de-seguridad-en-aplicaciones\/\" \/>\n<meta property=\"og:site_name\" content=\"MTP Espa\u00f1a\" \/>\n<meta property=\"article:published_time\" content=\"2022-04-07T11:11:25+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/mtp.global\/es\/wp-content\/uploads\/2022\/04\/riesgos-ciberseguridad_Blog-MTP.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"1080\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"MTP\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"MTP\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tiempo de lectura\" \/>\n\t<meta name=\"twitter:data2\" content=\"5 minutos\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"OWASP Top 10 2021: alerta sobre riesgos de seguridad | MTP","description":"MTP est\u00e1 muy al tanto de la informaci\u00f3n que generan organizaciones como OWASP, que alerta sobre los principales riesgos de ciberseguridad.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/mtp.global\/es\/blog\/quality-assurance\/owasp-top-10-2021-un-proyecto-que-alerta-sobre-los-principales-riesgos-de-seguridad-en-aplicaciones\/","og_locale":"es_ES","og_type":"article","og_title":"OWASP Top 10 2021: alerta sobre riesgos de seguridad | MTP","og_description":"MTP est\u00e1 muy al tanto de la informaci\u00f3n que generan organizaciones como OWASP, que alerta sobre los principales riesgos de ciberseguridad.","og_url":"https:\/\/mtp.global\/es\/blog\/quality-assurance\/owasp-top-10-2021-un-proyecto-que-alerta-sobre-los-principales-riesgos-de-seguridad-en-aplicaciones\/","og_site_name":"MTP Espa\u00f1a","article_published_time":"2022-04-07T11:11:25+00:00","og_image":[{"width":1920,"height":1080,"url":"https:\/\/mtp.global\/es\/wp-content\/uploads\/2022\/04\/riesgos-ciberseguridad_Blog-MTP.jpg","type":"image\/jpeg"}],"author":"MTP","twitter_card":"summary_large_image","twitter_misc":{"Escrito por":"MTP","Tiempo de lectura":"5 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/mtp.global\/es\/blog\/quality-assurance\/owasp-top-10-2021-un-proyecto-que-alerta-sobre-los-principales-riesgos-de-seguridad-en-aplicaciones\/#article","isPartOf":{"@id":"https:\/\/mtp.global\/es\/blog\/quality-assurance\/owasp-top-10-2021-un-proyecto-que-alerta-sobre-los-principales-riesgos-de-seguridad-en-aplicaciones\/"},"author":{"name":"MTP","@id":"https:\/\/mtp.global\/es\/#\/schema\/person\/1186350db6f59e8360dd481150654813"},"headline":"OWASP Top 10 2021, un proyecto que alerta sobre los principales riesgos de seguridad en aplicaciones","datePublished":"2022-04-07T11:11:25+00:00","mainEntityOfPage":{"@id":"https:\/\/mtp.global\/es\/blog\/quality-assurance\/owasp-top-10-2021-un-proyecto-que-alerta-sobre-los-principales-riesgos-de-seguridad-en-aplicaciones\/"},"wordCount":965,"publisher":{"@id":"https:\/\/mtp.global\/es\/#organization"},"image":{"@id":"https:\/\/mtp.global\/es\/blog\/quality-assurance\/owasp-top-10-2021-un-proyecto-que-alerta-sobre-los-principales-riesgos-de-seguridad-en-aplicaciones\/#primaryimage"},"thumbnailUrl":"https:\/\/mtp.global\/es\/wp-content\/uploads\/2022\/04\/riesgos-ciberseguridad_Blog-MTP.jpg","articleSection":["Quality Assurance"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/mtp.global\/es\/blog\/quality-assurance\/owasp-top-10-2021-un-proyecto-que-alerta-sobre-los-principales-riesgos-de-seguridad-en-aplicaciones\/","url":"https:\/\/mtp.global\/es\/blog\/quality-assurance\/owasp-top-10-2021-un-proyecto-que-alerta-sobre-los-principales-riesgos-de-seguridad-en-aplicaciones\/","name":"OWASP Top 10 2021: alerta sobre riesgos de seguridad | MTP","isPartOf":{"@id":"https:\/\/mtp.global\/es\/#website"},"primaryImageOfPage":{"@id":"https:\/\/mtp.global\/es\/blog\/quality-assurance\/owasp-top-10-2021-un-proyecto-que-alerta-sobre-los-principales-riesgos-de-seguridad-en-aplicaciones\/#primaryimage"},"image":{"@id":"https:\/\/mtp.global\/es\/blog\/quality-assurance\/owasp-top-10-2021-un-proyecto-que-alerta-sobre-los-principales-riesgos-de-seguridad-en-aplicaciones\/#primaryimage"},"thumbnailUrl":"https:\/\/mtp.global\/es\/wp-content\/uploads\/2022\/04\/riesgos-ciberseguridad_Blog-MTP.jpg","datePublished":"2022-04-07T11:11:25+00:00","description":"MTP est\u00e1 muy al tanto de la informaci\u00f3n que generan organizaciones como OWASP, que alerta sobre los principales riesgos de ciberseguridad.","breadcrumb":{"@id":"https:\/\/mtp.global\/es\/blog\/quality-assurance\/owasp-top-10-2021-un-proyecto-que-alerta-sobre-los-principales-riesgos-de-seguridad-en-aplicaciones\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/mtp.global\/es\/blog\/quality-assurance\/owasp-top-10-2021-un-proyecto-que-alerta-sobre-los-principales-riesgos-de-seguridad-en-aplicaciones\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/mtp.global\/es\/blog\/quality-assurance\/owasp-top-10-2021-un-proyecto-que-alerta-sobre-los-principales-riesgos-de-seguridad-en-aplicaciones\/#primaryimage","url":"https:\/\/mtp.global\/es\/wp-content\/uploads\/2022\/04\/riesgos-ciberseguridad_Blog-MTP.jpg","contentUrl":"https:\/\/mtp.global\/es\/wp-content\/uploads\/2022\/04\/riesgos-ciberseguridad_Blog-MTP.jpg","width":1920,"height":1080},{"@type":"BreadcrumbList","@id":"https:\/\/mtp.global\/es\/blog\/quality-assurance\/owasp-top-10-2021-un-proyecto-que-alerta-sobre-los-principales-riesgos-de-seguridad-en-aplicaciones\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/mtp.global\/es\/home\/"},{"@type":"ListItem","position":2,"name":"OWASP Top 10 2021, un proyecto que alerta sobre los principales riesgos de seguridad en aplicaciones"}]},{"@type":"WebSite","@id":"https:\/\/mtp.global\/es\/#website","url":"https:\/\/mtp.global\/es\/","name":"MTP Global","description":"","publisher":{"@id":"https:\/\/mtp.global\/es\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/mtp.global\/es\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Organization","@id":"https:\/\/mtp.global\/es\/#organization","name":"MTP Global","url":"https:\/\/mtp.global\/es\/","logo":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/mtp.global\/es\/#\/schema\/logo\/image\/","url":"https:\/\/mtp.global\/es\/wp-content\/uploads\/2024\/07\/MTP-global.png","contentUrl":"https:\/\/mtp.global\/es\/wp-content\/uploads\/2024\/07\/MTP-global.png","width":1200,"height":400,"caption":"MTP Global"},"image":{"@id":"https:\/\/mtp.global\/es\/#\/schema\/logo\/image\/"}},{"@type":"Person","@id":"https:\/\/mtp.global\/es\/#\/schema\/person\/1186350db6f59e8360dd481150654813","name":"MTP","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/mtp.global\/es\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/9f80fcebb065607a1066a38846083841707346cf76ca0c1df24aea7a0c5d4047?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/9f80fcebb065607a1066a38846083841707346cf76ca0c1df24aea7a0c5d4047?s=96&d=mm&r=g","caption":"MTP"},"url":"https:\/\/mtp.global\/es\/blog\/author\/marketing\/"}]}},"fimg_url":"https:\/\/mtp.global\/es\/wp-content\/uploads\/2022\/04\/riesgos-ciberseguridad_Blog-MTP.jpg","_links":{"self":[{"href":"https:\/\/mtp.global\/es\/wp-json\/wp\/v2\/posts\/28141","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/mtp.global\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/mtp.global\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/mtp.global\/es\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/mtp.global\/es\/wp-json\/wp\/v2\/comments?post=28141"}],"version-history":[{"count":0,"href":"https:\/\/mtp.global\/es\/wp-json\/wp\/v2\/posts\/28141\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/mtp.global\/es\/wp-json\/wp\/v2\/media\/28139"}],"wp:attachment":[{"href":"https:\/\/mtp.global\/es\/wp-json\/wp\/v2\/media?parent=28141"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/mtp.global\/es\/wp-json\/wp\/v2\/categories?post=28141"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/mtp.global\/es\/wp-json\/wp\/v2\/tags?post=28141"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}