Los 10 principales de OWASP en 2025: Fallos en la cadena de suministro de software
Con la tan esperada llegada del Los diez mejores de OWASP de 2025, las empresas tienen un par de amenazas nuevas de las que deben tener más cuidado, incluida una que se encuentra en la parte superior de la lista. Fallos en la cadena de suministro de software, que se estrena como una categoría nueva pero no del todo nueva, ocupa el tercer lugar en la lista cuatrienal del Open Web Application Security Project de los riesgos más graves para la seguridad de las aplicaciones web. Es un riesgo que las empresas deben tomarse muy en serio, si es que aún no lo están haciendo.
Las fallas en la cadena de suministro de software salieron de una categoría de la lista anterior a partir de 2021, Componentes vulnerables y desactualizados, y ahora incluye una gama más amplia de compromisos en todo el ecosistema de dependencias de software, sistemas de construcción e infraestructura de distribución. Y su aparición en la lista no debería sorprendernos especialmente, dado el daño que causan los ataques más notorios a la cadena de suministro, como Vientos solares en 2019, el Hack de Bybit a principios de este año, y el actual Campaña de Shai-Hulud, un gusano npm particularmente desagradable y autorreplicante que causa estragos en los entornos de desarrolladores expuestos.
En general, el Top Ten de OWASP ha sido constante, lo que corresponde a una lista que aparece cada cuatro años, aunque con actualizaciones intermedias. Por lo general, hay algunos cambios en la lista: Injection, residente desde hace mucho tiempo, cae del puesto 3 al número 5, por ejemplo, e Insecure Design cae dos puestos hasta el número 6, mientras que Security Misconfiguration pasa del puesto 5 al número 2. Broken Access Control sigue ocupando la primera posición. La edición de 2025 cuenta con dos nuevos participantes, el ya mencionado Software Supply Chain Failures and Mishandling of Exceptional Conditions, que entra en la lista en el puesto número 10. A continuación, analizamos detenidamente la nueva entrada sobre las vulnerabilidades de la cadena de suministro.
Las vulnerabilidades pueden aparecer en casi cualquier lugar
Los fallos en la cadena de suministro de software son una categoría un tanto inusual en la lista, ya que, entre las 10 entradas, es la que tiene el menor número de casos en los datos de investigación de OWASP, pero también tiene la puntuación promedio más alta de exploits e impactos como resultado de las cinco enumeraciones de debilidades comunes (CWE) de la categoría. OWASP señaló que sospecha que la presencia limitada de esta categoría se debe a las dificultades actuales a la hora de probarla, lo que podría mejorar con el tiempo. En cualquier caso, los encuestados mencionaron de manera abrumadora que las fallas en la cadena de suministro de software son una de las principales preocupaciones.
La mayoría vulnerabilidades de la cadena de suministro surgen de la naturaleza interconectada de hacer negocios, involucrando a socios ascendentes y descendentes y a terceros. Cada interacción implica software cuyos componentes (también conocidos como dependencias o bibliotecas) podrían estar desprotegidos. Una empresa puede ser vulnerable si no rastrea todas las versiones de sus propios componentes (del lado del cliente, del lado del servidor o anidados), así como de las dependencias transitivas (de otras bibliotecas), asegurándose de que no son vulnerables, no son compatibles o están desactualizadas. Los componentes suelen tener los mismos privilegios que la aplicación, por lo que los componentes comprometidos, incluidos los que provienen de terceros o de repositorios de código abierto, pueden tener un impacto de gran alcance. Es fundamental aplicar los parches y las actualizaciones a tiempo; incluso los programas regulares de parches mensuales o trimestrales pueden dejar a una empresa expuesta durante días o meses.
Del mismo modo, la falta de un proceso de administración de cambios en su cadena de suministro puede crear vulnerabilidades si no está rastreando los entornos de desarrollo integrados (IDE) o los cambios en su repositorio de código, repositorios de imágenes y bibliotecas u otras partes de la cadena de suministro. Una organización necesita reforzar la cadena de suministro mediante la aplicación de políticas de control de acceso y mínimos privilegios, garantizando que ninguna persona pueda crear código e implementarlo en producción sin supervisión, y que nadie pueda descargar componentes de fuentes que no sean de confianza.
Los ataques a la cadena de suministro pueden adoptar muchas formas. El famoso ataque a SolarWinds comenzó cuando unos atacantes rusos inyectaron malware en una actualización del popular software de administración de redes de la empresa. Afectó a unos 18.000 clientes. Si bien el número de empresas realmente afectadas se acercó a las 100, esa lista incluía a las principales empresas y agencias gubernamentales. El hackeo de Bybit, que costó 1.500 millones de dólares y que se remonta a Corea del Norte, involucró aplicaciones de criptomonedas comprometidas. El reciente Gusano de cristal El ataque a la cadena de suministro involucró un código invisible y autorreplicante que infectó el Open VSX Marketplace.
Prevención de las vulnerabilidades en la cadena de suministro
Dado que los ataques a la cadena de suministro implican la interdependencia de los sistemas, la defensa contra ellos implica un enfoque global. OWASP ofrece consejos para prevenir los ataques, incluida la implementación de procesos de administración de parches para:
- Conozca su lista de materiales de software (SBOM) para todo el software y administre la SBOM de forma centralizada. Es mejor generar los SBOM durante la compilación, en lugar de hacerlo más adelante, utilizando formatos estándar, como SPDX o CyclonedX, y publicar al menos un SBOM legible por máquina por versión.
- Realice un seguimiento de todas sus dependencias, incluidas las transitivas, eliminando las dependencias no utilizadas, así como las funciones, los componentes, los archivos y la documentación innecesarios.
- Realice un inventario continuo de los componentes del lado del cliente y del servidor y sus dependencias mediante herramientas como Comprobación de dependencias de OWASP o retire.js.
- Manténgase al día sobre las vulnerabilidades y supervise continuamente las fuentes, como Vulnerabilidades y exposiciones comunes (CVE) y el sitio web Base de datos nacional sobre vulnerabilidades (NVD) y suscríbase a las alertas por correo electrónico sobre las vulnerabilidades de seguridad relacionadas con los componentes que utiliza.
- Utilice componentes obtenidos únicamente de fuentes confiables a través de enlaces seguros. Un proveedor confiable, por ejemplo, estaría dispuesto a trabajar con un investigador para divulgar un CVE que el investigador haya descubierto en un componente.
- Elige deliberadamente qué versión de una dependencia utilizarás y actualízala solo cuando sea necesario. Trabaja con bibliotecas de terceros cuyas vulnerabilidades hayan sido publicadas en una fuente conocida, como NVD.
- Supervise las bibliotecas y los componentes no mantenidos o no compatibles. Si no es posible aplicar parches, considere la posibilidad de implementar un parche virtual para supervisar, detectar o proteger contra el problema descubierto.
- Actualiza periódicamente las herramientas para desarrolladores.
- Trate los componentes de su canalización de CI/CD como parte de este proceso, reforzándolos y supervisándolos mientras documenta los cambios.
La gestión de cambios o un proceso de seguimiento también deberían aplicarse a la configuración de CI/CD, los repositorios de código, los entornos de pruebas, los entornos de desarrollo integrados (IDE), las herramientas de SBOM, los artefactos creados, los sistemas de registro y los registros, las integraciones de terceros, como SaaS, el repositorio de artefactos y el registro de contenedores. También es necesario reforzar los sistemas, desde las estaciones de trabajo para desarrolladores hasta los procesos de CI/CD. Asegúrese también de habilitar la autenticación multifactor y, al mismo tiempo, aplicar políticas sólidas de administración de identidades y accesos.
La protección contra las fallas en la cadena de suministro de software es un esfuerzo continuo y multifacético frente a nuestro mundo altamente interconectado. Las organizaciones deben emplear medidas defensivas sólidas durante todo el ciclo de vida de sus aplicaciones y componentes a fin de defenderse de esta amenaza moderna y en rápida evolución.
Nota a SCW Trust Score™ Usuarios:
A medida que actualizamos el contenido de nuestra plataforma de aprendizaje para alinearlo con el estándar OWASP Top 10 2025, es posible que observe pequeños ajustes en la puntuación de confianza de sus desarrolladores de Full Stack. Ponte en contacto con tu representante de Customer Success si tienes alguna pregunta o necesitas ayuda.
OWASP Top 10 2025 sitúa las fallas en la cadena de suministro de software en el puesto #3. Mitigue este riesgo de alto impacto mediante la aplicación estricta de SBOM, el seguimiento de las dependencias y el fortalecimiento de las canalizaciones de CI/CD.
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostración
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
This article was written by Secure Code Warrior's team of industry experts, committed to empowering developers with the knowledge and skills to build secure software from the start. Drawing on deep expertise in secure coding practices, industry trends, and real-world insights.
Con la tan esperada llegada del Los diez mejores de OWASP de 2025, las empresas tienen un par de amenazas nuevas de las que deben tener más cuidado, incluida una que se encuentra en la parte superior de la lista. Fallos en la cadena de suministro de software, que se estrena como una categoría nueva pero no del todo nueva, ocupa el tercer lugar en la lista cuatrienal del Open Web Application Security Project de los riesgos más graves para la seguridad de las aplicaciones web. Es un riesgo que las empresas deben tomarse muy en serio, si es que aún no lo están haciendo.
Las fallas en la cadena de suministro de software salieron de una categoría de la lista anterior a partir de 2021, Componentes vulnerables y desactualizados, y ahora incluye una gama más amplia de compromisos en todo el ecosistema de dependencias de software, sistemas de construcción e infraestructura de distribución. Y su aparición en la lista no debería sorprendernos especialmente, dado el daño que causan los ataques más notorios a la cadena de suministro, como Vientos solares en 2019, el Hack de Bybit a principios de este año, y el actual Campaña de Shai-Hulud, un gusano npm particularmente desagradable y autorreplicante que causa estragos en los entornos de desarrolladores expuestos.
En general, el Top Ten de OWASP ha sido constante, lo que corresponde a una lista que aparece cada cuatro años, aunque con actualizaciones intermedias. Por lo general, hay algunos cambios en la lista: Injection, residente desde hace mucho tiempo, cae del puesto 3 al número 5, por ejemplo, e Insecure Design cae dos puestos hasta el número 6, mientras que Security Misconfiguration pasa del puesto 5 al número 2. Broken Access Control sigue ocupando la primera posición. La edición de 2025 cuenta con dos nuevos participantes, el ya mencionado Software Supply Chain Failures and Mishandling of Exceptional Conditions, que entra en la lista en el puesto número 10. A continuación, analizamos detenidamente la nueva entrada sobre las vulnerabilidades de la cadena de suministro.
Las vulnerabilidades pueden aparecer en casi cualquier lugar
Los fallos en la cadena de suministro de software son una categoría un tanto inusual en la lista, ya que, entre las 10 entradas, es la que tiene el menor número de casos en los datos de investigación de OWASP, pero también tiene la puntuación promedio más alta de exploits e impactos como resultado de las cinco enumeraciones de debilidades comunes (CWE) de la categoría. OWASP señaló que sospecha que la presencia limitada de esta categoría se debe a las dificultades actuales a la hora de probarla, lo que podría mejorar con el tiempo. En cualquier caso, los encuestados mencionaron de manera abrumadora que las fallas en la cadena de suministro de software son una de las principales preocupaciones.
La mayoría vulnerabilidades de la cadena de suministro surgen de la naturaleza interconectada de hacer negocios, involucrando a socios ascendentes y descendentes y a terceros. Cada interacción implica software cuyos componentes (también conocidos como dependencias o bibliotecas) podrían estar desprotegidos. Una empresa puede ser vulnerable si no rastrea todas las versiones de sus propios componentes (del lado del cliente, del lado del servidor o anidados), así como de las dependencias transitivas (de otras bibliotecas), asegurándose de que no son vulnerables, no son compatibles o están desactualizadas. Los componentes suelen tener los mismos privilegios que la aplicación, por lo que los componentes comprometidos, incluidos los que provienen de terceros o de repositorios de código abierto, pueden tener un impacto de gran alcance. Es fundamental aplicar los parches y las actualizaciones a tiempo; incluso los programas regulares de parches mensuales o trimestrales pueden dejar a una empresa expuesta durante días o meses.
Del mismo modo, la falta de un proceso de administración de cambios en su cadena de suministro puede crear vulnerabilidades si no está rastreando los entornos de desarrollo integrados (IDE) o los cambios en su repositorio de código, repositorios de imágenes y bibliotecas u otras partes de la cadena de suministro. Una organización necesita reforzar la cadena de suministro mediante la aplicación de políticas de control de acceso y mínimos privilegios, garantizando que ninguna persona pueda crear código e implementarlo en producción sin supervisión, y que nadie pueda descargar componentes de fuentes que no sean de confianza.
Los ataques a la cadena de suministro pueden adoptar muchas formas. El famoso ataque a SolarWinds comenzó cuando unos atacantes rusos inyectaron malware en una actualización del popular software de administración de redes de la empresa. Afectó a unos 18.000 clientes. Si bien el número de empresas realmente afectadas se acercó a las 100, esa lista incluía a las principales empresas y agencias gubernamentales. El hackeo de Bybit, que costó 1.500 millones de dólares y que se remonta a Corea del Norte, involucró aplicaciones de criptomonedas comprometidas. El reciente Gusano de cristal El ataque a la cadena de suministro involucró un código invisible y autorreplicante que infectó el Open VSX Marketplace.
Prevención de las vulnerabilidades en la cadena de suministro
Dado que los ataques a la cadena de suministro implican la interdependencia de los sistemas, la defensa contra ellos implica un enfoque global. OWASP ofrece consejos para prevenir los ataques, incluida la implementación de procesos de administración de parches para:
- Conozca su lista de materiales de software (SBOM) para todo el software y administre la SBOM de forma centralizada. Es mejor generar los SBOM durante la compilación, en lugar de hacerlo más adelante, utilizando formatos estándar, como SPDX o CyclonedX, y publicar al menos un SBOM legible por máquina por versión.
- Realice un seguimiento de todas sus dependencias, incluidas las transitivas, eliminando las dependencias no utilizadas, así como las funciones, los componentes, los archivos y la documentación innecesarios.
- Realice un inventario continuo de los componentes del lado del cliente y del servidor y sus dependencias mediante herramientas como Comprobación de dependencias de OWASP o retire.js.
- Manténgase al día sobre las vulnerabilidades y supervise continuamente las fuentes, como Vulnerabilidades y exposiciones comunes (CVE) y el sitio web Base de datos nacional sobre vulnerabilidades (NVD) y suscríbase a las alertas por correo electrónico sobre las vulnerabilidades de seguridad relacionadas con los componentes que utiliza.
- Utilice componentes obtenidos únicamente de fuentes confiables a través de enlaces seguros. Un proveedor confiable, por ejemplo, estaría dispuesto a trabajar con un investigador para divulgar un CVE que el investigador haya descubierto en un componente.
- Elige deliberadamente qué versión de una dependencia utilizarás y actualízala solo cuando sea necesario. Trabaja con bibliotecas de terceros cuyas vulnerabilidades hayan sido publicadas en una fuente conocida, como NVD.
- Supervise las bibliotecas y los componentes no mantenidos o no compatibles. Si no es posible aplicar parches, considere la posibilidad de implementar un parche virtual para supervisar, detectar o proteger contra el problema descubierto.
- Actualiza periódicamente las herramientas para desarrolladores.
- Trate los componentes de su canalización de CI/CD como parte de este proceso, reforzándolos y supervisándolos mientras documenta los cambios.
La gestión de cambios o un proceso de seguimiento también deberían aplicarse a la configuración de CI/CD, los repositorios de código, los entornos de pruebas, los entornos de desarrollo integrados (IDE), las herramientas de SBOM, los artefactos creados, los sistemas de registro y los registros, las integraciones de terceros, como SaaS, el repositorio de artefactos y el registro de contenedores. También es necesario reforzar los sistemas, desde las estaciones de trabajo para desarrolladores hasta los procesos de CI/CD. Asegúrese también de habilitar la autenticación multifactor y, al mismo tiempo, aplicar políticas sólidas de administración de identidades y accesos.
La protección contra las fallas en la cadena de suministro de software es un esfuerzo continuo y multifacético frente a nuestro mundo altamente interconectado. Las organizaciones deben emplear medidas defensivas sólidas durante todo el ciclo de vida de sus aplicaciones y componentes a fin de defenderse de esta amenaza moderna y en rápida evolución.
Nota a SCW Trust Score™ Usuarios:
A medida que actualizamos el contenido de nuestra plataforma de aprendizaje para alinearlo con el estándar OWASP Top 10 2025, es posible que observe pequeños ajustes en la puntuación de confianza de sus desarrolladores de Full Stack. Ponte en contacto con tu representante de Customer Success si tienes alguna pregunta o necesitas ayuda.
Con la tan esperada llegada del Los diez mejores de OWASP de 2025, las empresas tienen un par de amenazas nuevas de las que deben tener más cuidado, incluida una que se encuentra en la parte superior de la lista. Fallos en la cadena de suministro de software, que se estrena como una categoría nueva pero no del todo nueva, ocupa el tercer lugar en la lista cuatrienal del Open Web Application Security Project de los riesgos más graves para la seguridad de las aplicaciones web. Es un riesgo que las empresas deben tomarse muy en serio, si es que aún no lo están haciendo.
Las fallas en la cadena de suministro de software salieron de una categoría de la lista anterior a partir de 2021, Componentes vulnerables y desactualizados, y ahora incluye una gama más amplia de compromisos en todo el ecosistema de dependencias de software, sistemas de construcción e infraestructura de distribución. Y su aparición en la lista no debería sorprendernos especialmente, dado el daño que causan los ataques más notorios a la cadena de suministro, como Vientos solares en 2019, el Hack de Bybit a principios de este año, y el actual Campaña de Shai-Hulud, un gusano npm particularmente desagradable y autorreplicante que causa estragos en los entornos de desarrolladores expuestos.
En general, el Top Ten de OWASP ha sido constante, lo que corresponde a una lista que aparece cada cuatro años, aunque con actualizaciones intermedias. Por lo general, hay algunos cambios en la lista: Injection, residente desde hace mucho tiempo, cae del puesto 3 al número 5, por ejemplo, e Insecure Design cae dos puestos hasta el número 6, mientras que Security Misconfiguration pasa del puesto 5 al número 2. Broken Access Control sigue ocupando la primera posición. La edición de 2025 cuenta con dos nuevos participantes, el ya mencionado Software Supply Chain Failures and Mishandling of Exceptional Conditions, que entra en la lista en el puesto número 10. A continuación, analizamos detenidamente la nueva entrada sobre las vulnerabilidades de la cadena de suministro.
Las vulnerabilidades pueden aparecer en casi cualquier lugar
Los fallos en la cadena de suministro de software son una categoría un tanto inusual en la lista, ya que, entre las 10 entradas, es la que tiene el menor número de casos en los datos de investigación de OWASP, pero también tiene la puntuación promedio más alta de exploits e impactos como resultado de las cinco enumeraciones de debilidades comunes (CWE) de la categoría. OWASP señaló que sospecha que la presencia limitada de esta categoría se debe a las dificultades actuales a la hora de probarla, lo que podría mejorar con el tiempo. En cualquier caso, los encuestados mencionaron de manera abrumadora que las fallas en la cadena de suministro de software son una de las principales preocupaciones.
La mayoría vulnerabilidades de la cadena de suministro surgen de la naturaleza interconectada de hacer negocios, involucrando a socios ascendentes y descendentes y a terceros. Cada interacción implica software cuyos componentes (también conocidos como dependencias o bibliotecas) podrían estar desprotegidos. Una empresa puede ser vulnerable si no rastrea todas las versiones de sus propios componentes (del lado del cliente, del lado del servidor o anidados), así como de las dependencias transitivas (de otras bibliotecas), asegurándose de que no son vulnerables, no son compatibles o están desactualizadas. Los componentes suelen tener los mismos privilegios que la aplicación, por lo que los componentes comprometidos, incluidos los que provienen de terceros o de repositorios de código abierto, pueden tener un impacto de gran alcance. Es fundamental aplicar los parches y las actualizaciones a tiempo; incluso los programas regulares de parches mensuales o trimestrales pueden dejar a una empresa expuesta durante días o meses.
Del mismo modo, la falta de un proceso de administración de cambios en su cadena de suministro puede crear vulnerabilidades si no está rastreando los entornos de desarrollo integrados (IDE) o los cambios en su repositorio de código, repositorios de imágenes y bibliotecas u otras partes de la cadena de suministro. Una organización necesita reforzar la cadena de suministro mediante la aplicación de políticas de control de acceso y mínimos privilegios, garantizando que ninguna persona pueda crear código e implementarlo en producción sin supervisión, y que nadie pueda descargar componentes de fuentes que no sean de confianza.
Los ataques a la cadena de suministro pueden adoptar muchas formas. El famoso ataque a SolarWinds comenzó cuando unos atacantes rusos inyectaron malware en una actualización del popular software de administración de redes de la empresa. Afectó a unos 18.000 clientes. Si bien el número de empresas realmente afectadas se acercó a las 100, esa lista incluía a las principales empresas y agencias gubernamentales. El hackeo de Bybit, que costó 1.500 millones de dólares y que se remonta a Corea del Norte, involucró aplicaciones de criptomonedas comprometidas. El reciente Gusano de cristal El ataque a la cadena de suministro involucró un código invisible y autorreplicante que infectó el Open VSX Marketplace.
Prevención de las vulnerabilidades en la cadena de suministro
Dado que los ataques a la cadena de suministro implican la interdependencia de los sistemas, la defensa contra ellos implica un enfoque global. OWASP ofrece consejos para prevenir los ataques, incluida la implementación de procesos de administración de parches para:
- Conozca su lista de materiales de software (SBOM) para todo el software y administre la SBOM de forma centralizada. Es mejor generar los SBOM durante la compilación, en lugar de hacerlo más adelante, utilizando formatos estándar, como SPDX o CyclonedX, y publicar al menos un SBOM legible por máquina por versión.
- Realice un seguimiento de todas sus dependencias, incluidas las transitivas, eliminando las dependencias no utilizadas, así como las funciones, los componentes, los archivos y la documentación innecesarios.
- Realice un inventario continuo de los componentes del lado del cliente y del servidor y sus dependencias mediante herramientas como Comprobación de dependencias de OWASP o retire.js.
- Manténgase al día sobre las vulnerabilidades y supervise continuamente las fuentes, como Vulnerabilidades y exposiciones comunes (CVE) y el sitio web Base de datos nacional sobre vulnerabilidades (NVD) y suscríbase a las alertas por correo electrónico sobre las vulnerabilidades de seguridad relacionadas con los componentes que utiliza.
- Utilice componentes obtenidos únicamente de fuentes confiables a través de enlaces seguros. Un proveedor confiable, por ejemplo, estaría dispuesto a trabajar con un investigador para divulgar un CVE que el investigador haya descubierto en un componente.
- Elige deliberadamente qué versión de una dependencia utilizarás y actualízala solo cuando sea necesario. Trabaja con bibliotecas de terceros cuyas vulnerabilidades hayan sido publicadas en una fuente conocida, como NVD.
- Supervise las bibliotecas y los componentes no mantenidos o no compatibles. Si no es posible aplicar parches, considere la posibilidad de implementar un parche virtual para supervisar, detectar o proteger contra el problema descubierto.
- Actualiza periódicamente las herramientas para desarrolladores.
- Trate los componentes de su canalización de CI/CD como parte de este proceso, reforzándolos y supervisándolos mientras documenta los cambios.
La gestión de cambios o un proceso de seguimiento también deberían aplicarse a la configuración de CI/CD, los repositorios de código, los entornos de pruebas, los entornos de desarrollo integrados (IDE), las herramientas de SBOM, los artefactos creados, los sistemas de registro y los registros, las integraciones de terceros, como SaaS, el repositorio de artefactos y el registro de contenedores. También es necesario reforzar los sistemas, desde las estaciones de trabajo para desarrolladores hasta los procesos de CI/CD. Asegúrese también de habilitar la autenticación multifactor y, al mismo tiempo, aplicar políticas sólidas de administración de identidades y accesos.
La protección contra las fallas en la cadena de suministro de software es un esfuerzo continuo y multifacético frente a nuestro mundo altamente interconectado. Las organizaciones deben emplear medidas defensivas sólidas durante todo el ciclo de vida de sus aplicaciones y componentes a fin de defenderse de esta amenaza moderna y en rápida evolución.
Nota a SCW Trust Score™ Usuarios:
A medida que actualizamos el contenido de nuestra plataforma de aprendizaje para alinearlo con el estándar OWASP Top 10 2025, es posible que observe pequeños ajustes en la puntuación de confianza de sus desarrolladores de Full Stack. Ponte en contacto con tu representante de Customer Success si tienes alguna pregunta o necesitas ayuda.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserva una demostración
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
This article was written by Secure Code Warrior's team of industry experts, committed to empowering developers with the knowledge and skills to build secure software from the start. Drawing on deep expertise in secure coding practices, industry trends, and real-world insights.
Con la tan esperada llegada del Los diez mejores de OWASP de 2025, las empresas tienen un par de amenazas nuevas de las que deben tener más cuidado, incluida una que se encuentra en la parte superior de la lista. Fallos en la cadena de suministro de software, que se estrena como una categoría nueva pero no del todo nueva, ocupa el tercer lugar en la lista cuatrienal del Open Web Application Security Project de los riesgos más graves para la seguridad de las aplicaciones web. Es un riesgo que las empresas deben tomarse muy en serio, si es que aún no lo están haciendo.
Las fallas en la cadena de suministro de software salieron de una categoría de la lista anterior a partir de 2021, Componentes vulnerables y desactualizados, y ahora incluye una gama más amplia de compromisos en todo el ecosistema de dependencias de software, sistemas de construcción e infraestructura de distribución. Y su aparición en la lista no debería sorprendernos especialmente, dado el daño que causan los ataques más notorios a la cadena de suministro, como Vientos solares en 2019, el Hack de Bybit a principios de este año, y el actual Campaña de Shai-Hulud, un gusano npm particularmente desagradable y autorreplicante que causa estragos en los entornos de desarrolladores expuestos.
En general, el Top Ten de OWASP ha sido constante, lo que corresponde a una lista que aparece cada cuatro años, aunque con actualizaciones intermedias. Por lo general, hay algunos cambios en la lista: Injection, residente desde hace mucho tiempo, cae del puesto 3 al número 5, por ejemplo, e Insecure Design cae dos puestos hasta el número 6, mientras que Security Misconfiguration pasa del puesto 5 al número 2. Broken Access Control sigue ocupando la primera posición. La edición de 2025 cuenta con dos nuevos participantes, el ya mencionado Software Supply Chain Failures and Mishandling of Exceptional Conditions, que entra en la lista en el puesto número 10. A continuación, analizamos detenidamente la nueva entrada sobre las vulnerabilidades de la cadena de suministro.
Las vulnerabilidades pueden aparecer en casi cualquier lugar
Los fallos en la cadena de suministro de software son una categoría un tanto inusual en la lista, ya que, entre las 10 entradas, es la que tiene el menor número de casos en los datos de investigación de OWASP, pero también tiene la puntuación promedio más alta de exploits e impactos como resultado de las cinco enumeraciones de debilidades comunes (CWE) de la categoría. OWASP señaló que sospecha que la presencia limitada de esta categoría se debe a las dificultades actuales a la hora de probarla, lo que podría mejorar con el tiempo. En cualquier caso, los encuestados mencionaron de manera abrumadora que las fallas en la cadena de suministro de software son una de las principales preocupaciones.
La mayoría vulnerabilidades de la cadena de suministro surgen de la naturaleza interconectada de hacer negocios, involucrando a socios ascendentes y descendentes y a terceros. Cada interacción implica software cuyos componentes (también conocidos como dependencias o bibliotecas) podrían estar desprotegidos. Una empresa puede ser vulnerable si no rastrea todas las versiones de sus propios componentes (del lado del cliente, del lado del servidor o anidados), así como de las dependencias transitivas (de otras bibliotecas), asegurándose de que no son vulnerables, no son compatibles o están desactualizadas. Los componentes suelen tener los mismos privilegios que la aplicación, por lo que los componentes comprometidos, incluidos los que provienen de terceros o de repositorios de código abierto, pueden tener un impacto de gran alcance. Es fundamental aplicar los parches y las actualizaciones a tiempo; incluso los programas regulares de parches mensuales o trimestrales pueden dejar a una empresa expuesta durante días o meses.
Del mismo modo, la falta de un proceso de administración de cambios en su cadena de suministro puede crear vulnerabilidades si no está rastreando los entornos de desarrollo integrados (IDE) o los cambios en su repositorio de código, repositorios de imágenes y bibliotecas u otras partes de la cadena de suministro. Una organización necesita reforzar la cadena de suministro mediante la aplicación de políticas de control de acceso y mínimos privilegios, garantizando que ninguna persona pueda crear código e implementarlo en producción sin supervisión, y que nadie pueda descargar componentes de fuentes que no sean de confianza.
Los ataques a la cadena de suministro pueden adoptar muchas formas. El famoso ataque a SolarWinds comenzó cuando unos atacantes rusos inyectaron malware en una actualización del popular software de administración de redes de la empresa. Afectó a unos 18.000 clientes. Si bien el número de empresas realmente afectadas se acercó a las 100, esa lista incluía a las principales empresas y agencias gubernamentales. El hackeo de Bybit, que costó 1.500 millones de dólares y que se remonta a Corea del Norte, involucró aplicaciones de criptomonedas comprometidas. El reciente Gusano de cristal El ataque a la cadena de suministro involucró un código invisible y autorreplicante que infectó el Open VSX Marketplace.
Prevención de las vulnerabilidades en la cadena de suministro
Dado que los ataques a la cadena de suministro implican la interdependencia de los sistemas, la defensa contra ellos implica un enfoque global. OWASP ofrece consejos para prevenir los ataques, incluida la implementación de procesos de administración de parches para:
- Conozca su lista de materiales de software (SBOM) para todo el software y administre la SBOM de forma centralizada. Es mejor generar los SBOM durante la compilación, en lugar de hacerlo más adelante, utilizando formatos estándar, como SPDX o CyclonedX, y publicar al menos un SBOM legible por máquina por versión.
- Realice un seguimiento de todas sus dependencias, incluidas las transitivas, eliminando las dependencias no utilizadas, así como las funciones, los componentes, los archivos y la documentación innecesarios.
- Realice un inventario continuo de los componentes del lado del cliente y del servidor y sus dependencias mediante herramientas como Comprobación de dependencias de OWASP o retire.js.
- Manténgase al día sobre las vulnerabilidades y supervise continuamente las fuentes, como Vulnerabilidades y exposiciones comunes (CVE) y el sitio web Base de datos nacional sobre vulnerabilidades (NVD) y suscríbase a las alertas por correo electrónico sobre las vulnerabilidades de seguridad relacionadas con los componentes que utiliza.
- Utilice componentes obtenidos únicamente de fuentes confiables a través de enlaces seguros. Un proveedor confiable, por ejemplo, estaría dispuesto a trabajar con un investigador para divulgar un CVE que el investigador haya descubierto en un componente.
- Elige deliberadamente qué versión de una dependencia utilizarás y actualízala solo cuando sea necesario. Trabaja con bibliotecas de terceros cuyas vulnerabilidades hayan sido publicadas en una fuente conocida, como NVD.
- Supervise las bibliotecas y los componentes no mantenidos o no compatibles. Si no es posible aplicar parches, considere la posibilidad de implementar un parche virtual para supervisar, detectar o proteger contra el problema descubierto.
- Actualiza periódicamente las herramientas para desarrolladores.
- Trate los componentes de su canalización de CI/CD como parte de este proceso, reforzándolos y supervisándolos mientras documenta los cambios.
La gestión de cambios o un proceso de seguimiento también deberían aplicarse a la configuración de CI/CD, los repositorios de código, los entornos de pruebas, los entornos de desarrollo integrados (IDE), las herramientas de SBOM, los artefactos creados, los sistemas de registro y los registros, las integraciones de terceros, como SaaS, el repositorio de artefactos y el registro de contenedores. También es necesario reforzar los sistemas, desde las estaciones de trabajo para desarrolladores hasta los procesos de CI/CD. Asegúrese también de habilitar la autenticación multifactor y, al mismo tiempo, aplicar políticas sólidas de administración de identidades y accesos.
La protección contra las fallas en la cadena de suministro de software es un esfuerzo continuo y multifacético frente a nuestro mundo altamente interconectado. Las organizaciones deben emplear medidas defensivas sólidas durante todo el ciclo de vida de sus aplicaciones y componentes a fin de defenderse de esta amenaza moderna y en rápida evolución.
Nota a SCW Trust Score™ Usuarios:
A medida que actualizamos el contenido de nuestra plataforma de aprendizaje para alinearlo con el estándar OWASP Top 10 2025, es posible que observe pequeños ajustes en la puntuación de confianza de sus desarrolladores de Full Stack. Ponte en contacto con tu representante de Customer Success si tienes alguna pregunta o necesitas ayuda.
Tabla de contenido
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Habilitador 1: Criterios de éxito definidos y medibles
Enabler 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
