El top 10 de OWASP de 2021:
La nueva ola del riesgo

  • Share to Facebook
  • Share to Twitter
  • Share to Linkedin
  • Share via AddThis

INTRODUCCIÓN

Las oportunidades para los atacantes se han disparado en la economía digital actual, que se basa en aplicaciones y arquitecturas modernas, despliegues en varias nubes e integraciones de terceros, incluidas las cadenas de suministro de software y los procesos de CI/CD. El top 10 de OWASP para 2021 aborda una nueva ola de riesgos como guía de lectura obligatoria para mejorar la seguridad en el diseño y la implementación de aplicaciones.

La actualización más importante en 20 años

El top 10 de OWASP, publicado por primera vez en 2003, representa un amplio consenso sobre los riesgos de seguridad más críticos para las aplicaciones web. Durante 20 años, los principales riesgos han permanecido prácticamente sin cambios, pero la actualización de 2021 introduce cambios significativos que abordan los riesgos de las aplicaciones en tres áreas temáticas:

Recategorización del riesgo para alinear los síntomas con las causas fundamentales

Nuevas categorías de riesgo que abarcan las arquitecturas y el desarrollo de aplicaciones modernas

Explotación de vulnerabilidades y abuso de la lógica empresarial

calavera en contraseña

¿Cuál es la causa principal de las infracciones?

Ataques de acceso


«Los ataques de acceso, es decir, los ataques contra las superficies de autenticación de los usuarios, fueron la causa más frecuente de las infracciones».1

— Informe sobre protección de aplicaciones de 2022: a la espera de la exfiltración

Novedades para 2021

Estos son los factores clave que influyeron en la actualización del top 10 de OWASP:

2017

Centrarse en las aplicaciones web tradicionales

Pequeño conjunto de datos (subconjunto prescrito de 30 CWE)

Variedad de factores de riesgo, impactos técnicos/empresariales

La inyección como principal riesgo durante más de 20 años

2021

Cambio a arquitecturas modernas

Proceso impulsado por los datos con 400 CWE

Recategorización en torno a los síntomas y las causas

Una nueva ola de riesgo: diseño e implementación poco seguros

El top 10 de OWASP de 2021 sobre los riesgos de seguridad

A01

Interrupción del control de acceso

A02

Fallos criptográficos

A03

Inyección

A04

Diseño poco seguro

A05

Configuración de seguridad defectuosa

A6

Componentes vulnerables y obsoletos

A7

Fallos de identificación y autentificación

A8

Fallos en el software y en la integridad de los datos

A9

Fallos en el acceso y la supervisión de la seguridad

A10

Server-Side Request Forgery (SSRF)

TEMA 1

Síntomas alineados con las causas

Seguridad OWASP Acceso a los dispositivos

¿Qué ha cambiado?

Los 10 principales riesgos según OWASP se corresponden con la Common Weakness Enumeration (CWE) (enumeración de debilidades comunes) que suelen convertirse en exploits de vulnerabilidades. La anterior recopilación de datos de OWASP se centraba en un conjunto prescrito de 30 CWE y no hacían una distinción significativa de los CWE que representaban las causas fundamentales y las debilidades más sintomáticas con diferentes causas potenciales. La lista de 2021 refleja 400 CWE y, por tanto, permite un análisis más amplio.

2017: Síntoma

A3:2017
Exposición de datos sensibles

A7:2017
Scripting entre sitios (XSS)

A4:2017
Entidades externas XML (XXE)

A9:2017
Usar componentes con vulnerabilidades conocidas

A8:2017
Deserialización poco segura

A10:2017
Acceso y supervisión insuficientes

2021: Causa principal

A02:2021
Fallos criptográficos

A03:2021
Inyección

A05:2021
Configuración de seguridad defectuosa

A06:2021
Componentes vulnerables y obsoletos

A08:2021
Fallos en el software y en la integridad de los datos

A09:2021
Fallos en el acceso y la supervisión de la seguridad

¿Por qué es importante?

La lista de 2021 ajusta mejor los síntomas a las causas subyacentes para ayudar a los equipos de seguridad a centrarse en la reducción de los riesgos en su origen.

calavera en contraseña

¿Cuál es la causa principal de las infracciones en la nube?

Configuración de seguridad defectuosa


«Lo que queremos es que piense en esas causas y en lo que puede hacer al respecto, y no que se dedique a poner tiritas sobre los síntomas».2

—Andrew van der Stock, director ejecutivo, OWASP Foundation

TEMA #2

Nuevas categorías de riesgo

Seguridad OWASP Hacker de dispositivos

¿Qué ha cambiado?

Las tres nuevas categorías de riesgo ponen de relieve la necesidad de abordar la seguridad desde el inicio del diseño de las aplicaciones y de hacer que la seguridad forme parte del ciclo de vida del software.

A04: 2021
Diseño poco seguro

A08: 2021
Fallos en el software y en la integridad de los datos

A10: 2021
Falsificación de solicitudes del lado del servidor

¿Por qué es importante?

La reciente publicación de la vulnerabilidad log4j2 pone de manifiesto la importancia de los exploits de software de código abierto. Las debilidades de la utilidad de acceso log4j2 se corresponden con dos de las 10 principales categorías de riesgo de OWASP, y una CVE con exploits reales la convierten en una trifecta: fallos de inyección, de software y de integridad de datos, y componentes vulnerables y obsoletos.

Breve infografía de OWASP

Figura 1: El exploit Log4Shell en la utilidad de acceso de código abierto Apache Log4j2 es un ejemplo de ataque que abarca múltiples categorías de riesgo. Permite la ejecución de código arbitrario cargado desde servidores LDAP cuando la sustitución de la búsqueda de mensajes está activada.

«Un diseño seguro puede seguir teniendo defectos de implementación que den lugar a vulnerabilidades que puedan ser explotadas».

-Top 10 de OWASP para 2021

TEMA 3

Protección para aplicaciones y arquitecturas modernas

Seguridad OWASP Usuario Centro de datos Tablet

¿Qué ha cambiado?

Las arquitecturas de las aplicaciones han evolucionado, con implementaciones en la nube, contenedorizaciones, aplicaciones móviles y una proliferación de API e integraciones de terceros. Las páginas de inicio de sesión, los carritos de la compra y otras lógicas de negocio no son deficiencias, pero sí son vulnerables al abuso. El top 10 de OWASP para 2021 ofrece una guía para la seguridad proactiva y preventiva en este nuevo orden mundial.

Breve infografía de OWASP

Figura 2: Las prácticas recomendadas de ayer no son suficientes para las modernas aplicaciones y arquitecturas distribuidas de hoy en día.

¿Por qué es importante?

La seguridad debe integrarse en todo el proceso de desarrollo de aplicaciones, incluidos los procesos seguros de CI/CD, los inventarios de componentes, el modelado de amenazas y la gestión de riesgos. El último top 10 de OWASP ofrece un recurso para los profesionales de la seguridad y de AppDev/DevOps que trabajan para que la seguridad se convierta en un principio de diseño fundamental.

1 Informe sobre la protección de aplicaciones de 2022 de F5.

2 Van der Stock, Andrew, Top 10 de OWASP, YouTube. 8 de octubre de 2021.

Más información

Informe

INFORME

Informe sobre la protección de aplicaciones de 2022 de F5 Labs

Comprenda cómo han evolucionado las amenazas en el último año y cómo se pueden ajustar las defensas de seguridad para detener los ataques más recientes.

Obtener el informe ›

eBook

EBOOK

El top 10 de OWASP de 2021: La nueva ola de riesgo

Aprenda a utilizar el top 10 de OWASP como base para conseguir un desarrollo más seguro y una mejor seguridad para las aplicaciones.

Obtener el eBook ›

Webinar

Webinar

El top 10 de OWASP de 2021: El nuevo orden de los riesgos

Vea qué ha cambiado en el top 10 de OWASP y cómo soluciones como F5 Distributed Cloud WAAP mitigan esos riesgos.

Ver ahora ›

Simulador de soluciones

Simulador de soluciones

F5 Distributed Cloud Web App and API Protection (WAAP)

Explore una demostración interactiva de la protección holística como servicio para las aplicaciones, dondequiera que se ejecuten.

Ver cómo funciona ›

Vídeos

VÍDEO

Serie de vídeos de Lightboard del Top 10 de OWASP de 2021

Obtenga un desglose detallado de los nuevos 10 principales riesgos para la seguridad de las aplicaciones web según OWASP.

Ver ahora ›