Los Riesgos del OWASP Top 10 Más Ignorados en 2025

Múnich, Alemania - 19 de septiembre de 2025

Por qué las organizaciones siguen sin abordar vulnerabilidades críticas en la web

A pesar de la amplia difusión del OWASP Top 10, las recientes pruebas de penetración en aplicaciones web realizadas por Rasotec muestran que muchas organizaciones siguen sin detectar varios de los riesgos más importantes. Estos descuidos rara vez se deben a falta de conocimiento, sino a la complejidad, prioridades desalineadas y una excesiva dependencia de herramientas automatizadas de análisis.

El OWASP Top 10 representa los riesgos de seguridad web más comunes y críticos. Sin embargo, incluso organizaciones maduras suelen subestimar ciertas categorías, dejando brechas explotables. Estos riesgos ignorados no suelen ser errores técnicos de configuración, sino fallos en la lógica de negocio, problemas de control de acceso e integraciones inseguras que solo pueden detectarse mediante pruebas dirigidas por expertos.

El Control de Acceso Defectuoso (A01:2021) sigue siendo el riesgo menos abordado de manera consistente según los hallazgos de Rasotec. Muchas aplicaciones dependen de comprobaciones en el lado del cliente o de una aplicación incompleta de roles, lo que permite la escalada de privilegios, el acceso horizontal a datos o la ejecución de acciones administrativas sin autorización. Los escáneres automatizados rara vez detectan estos problemas, ya que requieren comprensión contextual de la lógica de la aplicación.

El Diseño Inseguro (A04:2021) es otro riesgo que las organizaciones tienden a pasar por alto. A menudo, la seguridad se añade después del desarrollo en lugar de integrarse desde el inicio. Esto da lugar a flujos de autorización frágiles, límites de confianza inseguros y controles de seguridad ausentes. Estos fallos son invisibles para el análisis estático y requieren modelado de amenazas y evaluaciones manuales para descubrirse.

"Las herramientas automatizadas no detectan lo que más explotan los atacantes: fallos de lógica y carencias de diseño. Nuestras pruebas los revelan antes de que se conviertan en incidentes", afirmó Rick Grassmann, Director Ejecutivo en Rasotec.

Los Componentes Vulnerables y Obsoletos (A06:2021) son ampliamente conocidos, pero con frecuencia subestimados. Los equipos asumen que los gestores de paquetes y las imágenes base de contenedores están actualizados, pero Rasotec suele encontrar librerías sin parches o componentes abandonados en producción. Los atacantes explotan estas brechas porque son predecibles, bien documentadas y fáciles de automatizar.

Las Fallas en el Registro y la Monitorización de Seguridad (A09:2021) resultan especialmente problemáticas durante la respuesta a incidentes. Sin registros adecuados, las organizaciones no pueden detectar ni reconstruir ataques, lo que genera largos tiempos de exposición. Rasotec observa con frecuencia la ausencia de trazas de auditoría de inicio de sesión, la falta de registro de acciones administrativas y la inexistencia de alertas sobre actividades sospechosas, lo que ofrece cobertura operativa a los atacantes.

Estos hallazgos reflejan un patrón recurrente: las organizaciones invierten en medidas de seguridad superficiales, pero descuidan debilidades estructurales que requieren análisis manual. Las herramientas automatizadas son útiles, pero no pueden evaluar la lógica de negocio, las reglas contextuales de acceso ni los supuestos de diseño. Solo las pruebas de penetración dirigidas por expertos pueden descubrir estos fallos de forma fiable.

El enfoque especializado de Rasotec se centra en un análisis profundo y manual de aplicaciones web complejas, simulando el comportamiento real de atacantes en lugar de depender únicamente de escáneres para identificar los riesgos del OWASP Top 10 más ignorados que suponen el mayor impacto en la práctica.

Acerca de Rasotec: Rasotec es uno de los socios más cercanos de CypSec y una empresa de seguridad especializada en pruebas de penetración manual de entornos web, móviles e infraestructurales complejos. Su equipo se centra en descubrir fallos de lógica, rutas de ataque encadenadas y vulnerabilidades de alto impacto que las herramientas automatizadas no detectan. Para más información, visite rasotec.com.

Contacto de prensa: Rick Grassmann, Director Ejecutivo en Rasotec - rick.grassmann@rasotec.com.