¿Qué es el OWASP Top 10?
Respuesta breve
El OWASP Top 10 es un documento de concienciación impulsado por la comunidad que clasifica los riesgos de seguridad de aplicaciones web más críticos, actualizado cada pocos años con datos del mundo real. No es una lista de comprobación ni un estándar, sino un punto de partida — las entradas recientes incluyen Control de Acceso Roto (n.º 1), Fallos Criptográficos, Inyección y Diseño Inseguro.
El OWASP Top 10 existe para dar a toda la industria un vocabulario compartido y priorizado sobre el riesgo de las aplicaciones web. Antes de él, cada equipo discutía sobre qué importaba más. OWASP — el Open Worldwide Application Security Project — agrega periódicamente datos de vulnerabilidades procedentes de escáneres, programas de recompensas por errores y empresas colaboradoras, y luego clasifica las categorías de riesgo que aparecen con más frecuencia y causan más daño.
Qué es realmente
Es un documento de concienciación, no un estándar ni una lista de comprobación. Cada entrada es una categoría de debilidad, no un único error. La lista se actualiza aproximadamente cada tres o cuatro años porque el panorama de amenazas cambia — por ejemplo, las últimas revisiones ascendieron el Control de Acceso Roto al n.º 1 porque los fallos de autorización son generalizados y de alto impacto, y añadieron el Diseño Inseguro para impulsar a los equipos hacia el modelado de amenazas en lugar de solo parchear.
Algunas de las categorías
- Control de Acceso Roto — usuarios que actúan fuera de sus permisos previstos (IDOR, comprobaciones ausentes a nivel de función).
- Fallos Criptográficos — datos sensibles expuestos por cifrado débil o ausente.
- Inyección — entrada no confiable que cambia el significado de una consulta o comando (SQLi, inyección de comandos, XSS).
- Configuración de Seguridad Incorrecta — credenciales por defecto, errores verbosos, funciones innecesarias dejadas activas.
Por qué importa
El Top 10 es un suelo, no un techo. Superarlo no hace que una aplicación sea segura; significa que has abordado las formas más comunes en que las aplicaciones se rompen. Para una garantía más profunda, OWASP dirige a los equipos al ASVS (Application Security Verification Standard).
Los entrevistadores quieren ver que lo tratas como una ayuda de priorización y un vocabulario de riesgo — y que sabes que está basado en datos y evoluciona. Nombrar un par de categorías actuales con una explicación de una línea cada una indica familiaridad real en lugar de una lista memorizada.
Posibles preguntas de seguimiento
- ¿Qué categoría ocupa el n.º 1 en la última lista y por qué ascendió?
- ¿Por qué el Top 10 es una base y no un programa de seguridad completo?
- ¿Cuál es la diferencia entre el Top 10 y el OWASP ASVS?