Blog

Seguridad web: OWASP Top 10

Los riesgos más comunes en apps web y cómo reducirlos con buenas prácticas.

Seguridad web OWASP Top 10

¿Por qué el OWASP Top 10 es importante para tu negocio?

El OWASP Top 10 es la lista definitiva de los 10 riesgos de seguridad más críticos en aplicaciones web, publicada por la Open Worldwide Application Security Project. Se actualiza cada 3-4 años basándose en datos reales de brechas y vulnerabilidades. No es solo para grandes corporaciones: cualquier negocio con presencia web, usuarios, formularios, pagos o datos sensibles está en riesgo.

Datos alarmantes (2024):

  • El 81% de los ataques web explotan vulnerabilidades del OWASP Top 10.
  • Costo promedio de una brecha: $4.24 millones (según IBM Security).
  • Multas GDPR: hasta €20 millones o 4% de ingresos anuales.
  • Tiempo de recuperación promedio: 280 días.
  • Pérdida de confianza cliente: 60% de usuarios abandona sitios comprometidos.

OWASP Top 10 2021: Los 10 Riesgos Críticos

1. Broken Access Control (Control de Acceso Roto)

¿Qué es? Usuarios acceden a recursos o datos que no deberían (facturas de clientes, panel admin, reportes confidenciales, datos personales).

Ejemplos reales:

  • Cambiar URL de /usuarios/1/perfil a /usuarios/2/perfil y ver datos de otro usuario.
  • IDs predecibles: /order/1001, /order/1002... sin validar permisos en backend.
  • Cliente ve botón "eliminar" en frontend pero sin validación de permisos en servidor.
  • Cookies de sesión sin expiración: empleado despedido sigue accediendo meses después.
  • Acceso horizontal: gerente ve datos de otros gerentes sin estar autorizado.

Impacto: Robo de datos sensibles, pérdida financiera, cumplimiento regulatorio.

Mitigación:

  • ✅ Implementar matriz de roles y permisos (RBAC) clara.
  • ✅ Validar permisos en backend (NUNCA confiar solo en frontend).
  • ✅ Usar UUIDs en lugar de IDs secuenciales (predecibles).
  • ✅ Configurar CORS restrictivamente (no permitir cualquier origen).
  • ✅ Revisar accesos cada 3 meses, desactivar cuentas de empleados que se van.

2. Cryptographic Failures (Fallos Criptográficos)

¿Qué es? Datos sensibles (contraseñas, DNI, tarjetas de crédito, información médica) no están cifrados en reposo o en tránsito.

Ejemplos reales:

  • Guardar contraseñas en texto plano en la base de datos.
  • Usar HTTP en lugar de HTTPS: datos viajando sin cifrar por internet.
  • Algoritmos débiles para hashing: MD5, SHA1 (pueden romperse en segundos).
  • Claves de cifrado hardcodeadas en el código o débiles.
  • Backups sin cifrar almacenados en servidores públicos.

Impacto: Robo de identidad, fraude financiero, responsabilidad legal.

Mitigación:

  • ✅ HTTPS obligatorio (certificado SSL/TLS válido). Let's Encrypt es gratuito.
  • ✅ Usar bcrypt o Argon2 para hashear contraseñas.
  • ✅ Cifrar datos sensibles con AES-256 en reposo.
  • ✅ Usar HSTS header para forzar HTTPS.
  • ✅ Backups cifrados en múltiples ubicaciones.

3. Injection (Inyección de Código)

¿Qué es? Atacante inyecta código malicioso (SQL, comandos OS, LDAP) aprovechando validación débil.

SQL Injection ejemplo: Campo de búsqueda recibe: ' OR '1'='1 resultando en SELECT * FROM users.

Impacto: Acceso no autorizado, pérdida de datos, ejecución de comandos maliciosos.

Mitigación:

  • ✅ Usar prepared statements / parameterized queries.
  • ✅ Validar y sanitizar TODO input del usuario.
  • ✅ Usar ORMs (Doctrine, Eloquent) que previenen inyecciones.
  • ✅ Principle of least privilege en BD.

4. Insecure Design (Diseño Inseguro)

¿Qué es? La aplicación se diseña sin considerar seguridad desde el inicio.

Ejemplos:

  • Sin recuperación de contraseña segura (preguntas débiles).
  • Sin rate limiting en login: fuerza bruta sin restricción.
  • Sin notificaciones de cambio de cuenta.
  • Sin auditoría de acciones sensibles.

Mitigación:

  • ✅ Diseño de seguridad desde fase de planificación (threat modeling).
  • ✅ MFA (Multi-Factor Authentication) obligatorio en accesos sensibles.
  • ✅ Rate limiting agresivo en login/API.
  • ✅ Logging completo de cambios sensibles (quién, qué, cuándo).

5. Security Misconfiguration (Configuración Insegura)

¿Qué es? Servidores, frameworks, bases de datos configurados inseguramente.

Ejemplos:

  • Puertos por defecto abiertos (3306 MySQL, 27017 MongoDB visible).
  • Directorios públicos exponiendo archivos sensitivos (.git, .env, backups).
  • Headers de seguridad faltantes (CSP, X-Frame-Options).
  • Versiones antiguas de software con vulnerabilidades conocidas.
  • Mensajes de error revelando tecnología usada (ej: "PHP 7.4.3").

Mitigación:

  • ✅ Auditoría de configuración post-deployment.
  • ✅ Deshabilitar servicios innecesarios.
  • ✅ Usar .gitignore para archivos sensitivos.
  • ✅ Headers de seguridad HTTP obligatorios.
  • ✅ Mantener software actualizado.

6. Vulnerable and Outdated Components (Componentes Vulnerables)

¿Qué es? Usar librerías, frameworks o dependencias con vulnerabilidades conocidas.

Ejemplos:

  • npm packages con CVE publicados hace 2 años sin actualizar.
  • WordPress con plugins desactualizados.
  • Biblioteca de autenticación con bug crítico reportado.

Mitigación:

  • ✅ Auditar dependencias regularmente (npm audit, composer audit).
  • ✅ Monitorear CVE databases (CVE.org, NVD).
  • ✅ CI/CD con validación de seguridad automática.
  • ✅ Usar herramientas como Snyk, Dependabot.

7. Identification and Authentication Failures (Fallos de Autenticación)

¿Qué es? Debilidad en cómo se verifica la identidad del usuario.

Ejemplos:

  • Contraseñas débiles sin validación (123456, password).
  • Sin MFA (solo contraseña).
  • Sesiones que no expiran.
  • Password reset vulnerable (preguntas de seguridad débiles).

Mitigación:

  • ✅ Validar contraseñas fuertes (min 12 caracteres, mayúsculas, números, símbolos).
  • ✅ MFA obligatorio (Google Authenticator, SMS, biometría).
  • ✅ Sesiones con expiración (30 minutos inactividad).
  • ✅ Regenerar sesión post-login.

8. Software and Data Integrity Failures (Integridad de Software)

¿Qué es? Actualizaciones o datos modificados sin verificación.

Ejemplos:

  • Descarga de dependencias sin verificar firma digital.
  • CI/CD pipeline sin validación de código.
  • Datos en tránsito sin checksum verificable.

Mitigación:

  • ✅ Verificar firmas digitales de librerías.
  • ✅ Code review obligatorio pre-commit.
  • ✅ Usar checksums/hashes para verificar integridad.

9. Logging and Monitoring Failures (Falta de Registros)

¿Qué es? No registrar eventos de seguridad, imposibilitando detectar ataques.

Ejemplos:

  • Intentos de login fallidos no registrados.
  • Sin alertas de cambios en datos sensibles.
  • Logs borrados sin retención.
  • Sin auditoría de quién accedió qué y cuándo.

Mitigación:

  • ✅ Logs centralizados (ELK Stack, Datadog, Splunk).
  • ✅ Retención mínimo 90 días.
  • ✅ Alertas en tiempo real para eventos críticos.
  • ✅ Auditoría de cambios en datos sensibles.

10. Server-Side Request Forgery (SSRF)

¿Qué es? Aplicación hace peticiones HTTP a URLs controladas por atacante.

Ejemplos:

  • Generar reporte desde URL: atacante envía http://localhost/admin.
  • Acceder a servicios internos: http://192.168.1.1, http://169.254.169.254 (AWS metadata).

Mitigación:

  • ✅ Whitelist de URLs permitidas.
  • ✅ Bloquear IPs privadas (127.0.0.1, 192.168.x.x, 10.0.0.0/8).
  • ✅ Validar DNS rebinding.

Caso de Estudio: E-commerce Vulnerable

Situación: Plataforma de ventas online generaba $150K/mes pero sufrió brecha de seguridad.

Vulnerabilidades encontradas:

  1. SQL Injection: /productos?nombre=pepas' OR '1'='1 mostraba todos los productos.
  2. Broken Access Control: /api/pedidos/123 → 124, 125... acceso a pedidos de otros clientes.
  3. Sin HTTPS: Credenciales viajando en texto plano.
  4. Sin logs: Imposible saber quién borró datos.

Impacto:

  • 30,000 emails de clientes robados.
  • Sitio offline 8 días (pérdida: $40K).
  • Multa GDPR: $12K.
  • Remediación: $15K.

Solución: Prepared statements, RBAC, HTTPS + Let's Encrypt, ELK Stack logging, rate limiting, auditoría semestral.

Plan de Acción para tu PYME

Fase 1 (Mes 1): Auditoría de seguridad (identificar top 5 riesgos).

Fase 2 (Meses 2-3): Implementar fixes críticos (SQL injection, XSS, HTTPS, MFA).

Fase 3 (Meses 4-6): Logging centralizado, SAST, testing de seguridad.

Fase 4 (Continuo): Monitoreo, actualizaciones de dependencias, red team anual.

Herramientas recomendadas:

  • SAST (análisis estático): SonarQube, Checkmarx, Semgrep.
  • Dependencias: Snyk, Dependabot, WhiteSource.
  • Testing: OWASP ZAP, Burp Suite Community, Nuclei.
  • Logging: ELK Stack, Datadog, Splunk.
  • Monitoreo: Prometheus + Grafana, New Relic.

La implementación correcta de seguridad web requiere inversión en herramientas y expertise, pero es fundamental para proteger tu negocio, datos de clientes y reputación contra amenazas en línea cada vez más sofisticadas.

Auditar mi seguridad web Volver al blog