OWASP Top 10: vulnerabilidades web críticas

El control de acceso roto ocupa el primer puesto porque es la vulnerabilidad más encontrada en aplicaciones reales. Se produce cuando un usuario puede acceder a recursos o ejecutar acciones que no le corresponden: ver datos de otros usuarios, modificar permisos o acceder a funciones administrativas.

La prevención pasa por denegar acceso por defecto, implementar controles de acceso en el servidor (nunca confiar en el cliente), aplicar el principio de mínimo privilegio y registrar todos los fallos de control de acceso para detectar patrones de ataque.

Esta categoría cubre la exposición de datos sensibles por uso incorrecto o ausencia de criptografía. Incluye transmitir datos sin TLS, almacenar contraseñas en texto plano, usar algoritmos obsoletos (MD5, SHA-1, DES) o generar claves criptográficas débiles.

Clasifica todos los datos que tu aplicación maneja y aplica cifrado apropiado tanto en tránsito (TLS 1.2+) como en reposo (AES-256). Usa bcrypt o Argon2 para contraseñas. No almacenes datos sensibles que no necesites.

Las vulnerabilidades de inyección —SQL, NoSQL, OS command, LDAP— ocurren cuando datos no confiables se envían a un intérprete como parte de un comando o consulta. El atacante puede leer, modificar o eliminar datos, o incluso ejecutar comandos en el servidor.

Introducida en la edición 2021, esta categoría señala que muchos problemas de seguridad nacen en la fase de diseño, no en la implementación. Un diseño inseguro no se puede arreglar con una implementación perfecta: si el flujo de recuperación de contraseña depende solo del email, por ejemplo, ningún código puede compensar esa debilidad arquitectónica.

La prevención requiere modelado de amenazas desde el inicio del proyecto, revisión de requisitos de seguridad y uso de patrones de diseño seguros. Frameworks como STRIDE o PASTA ayudan a identificar riesgos de diseño antes de escribir código.

Cross-Site Scripting (XSS) permite a un atacante inyectar scripts maliciosos en páginas que ven otros usuarios. Puede robar sesiones, redirigir a sitios de phishing o manipular el contenido de la página. Existen tres variantes: reflected, stored y DOM-based.

Cross-Site Request Forgery (CSRF) engaña al navegador del usuario para que ejecute acciones no deseadas en un sitio donde está autenticado. La prevención de XSS requiere escapar toda salida según su contexto y usar Content-Security-Policy. Para CSRF, implementa tokens anti-CSRF y valida el header Origin.

La configuración por defecto de la mayoría de servidores, frameworks y servicios cloud no es segura. Puertos abiertos innecesarios, credenciales por defecto, mensajes de error verbosos, listado de directorios habilitado o cabeceras de seguridad ausentes son errores de configuración explotables.

Las aplicaciones modernas dependen de decenas o cientos de librerías de terceros. Si alguna tiene una vulnerabilidad conocida (CVE) y no se actualiza, tu aplicación hereda ese riesgo. El ataque a Log4j en 2021 demostró el impacto devastador de una sola dependencia vulnerable.

Mantén un inventario actualizado de dependencias con sus versiones. Usa herramientas como Dependabot, Snyk o Renovate para recibir alertas automáticas de vulnerabilidades. Establece un SLA interno para parchear dependencias críticas en menos de 48 horas.