A la hora de gestionar un sitio web, es importante conocer las vulnerabilidades y amenazas de seguridad más importantes. La clasificación OWASP Top 10 es un excelente punto de partida para familiarizarse con las amenazas más graves que existen actualmente para las aplicaciones web.
Todo sobre OWASP Top 10
¿Cómo Funciona un Ataque Web?
Los ataques web aprovechan los agujeros de seguridad de las aplicaciones web. También se conocen como vulnerabilidades. El OWASP Top Ten (OWASP Top 10) es un documento que ofrece una clasificación de los ataques web más comunes y las contramedidas asociadas.
A la hora de desarrollar aplicaciones, los desarrolladores no son necesariamente conscientes de las medidas de seguridad que deben aplicarse, y la seguridad suele ser una limitación presupuestaria y operativa.
Por eso es importante tener en cuenta la seguridad desde el principio del desarrollo. De hecho, la consideración tardía de la seguridad puede representar un coste adicional, por no mencionar el riesgo en que se incurre en caso de ataque.
¿Qué es OWASP?
El Open Web Application Security Project (OWASP) es una organización sin ánimo de lucro fundada en 2004 para prevenir de forma proactiva los ataques a las aplicaciones web. Es el primer esfuerzo por normalizar las prácticas de desarrollo seguro.
Este colectivo creció hasta convertirse en la fundación OWASP en 2004, con un estándar ético para mantener la neutralidad y la libertad frente a las presiones comerciales.
OWASP no está regulado por ninguna empresa. Ofrece una norma neutral para ayudar a las empresas en el proceso de garantizar o auditar su seguridad.
Qué es el OWASP Top 10
Uno de los proyectos más conocidos de esta organización es la creación del OWASP Top 10. Se han creado listas OWASP Top 10 para diferentes categorías. La lista OWASP Top 10 más utilizada es la de 2017 y se refiere a la seguridad de las aplicaciones web en particular La lista más actualizada es la OWASP Top 10:2021. Tiene en cuenta varios riesgos de seguridad que pueden encontrarse en un sitio web.
La clasificación de los 10 ataques más frecuentes a la ciberseguridad de las aplicaciones web no es exhaustiva. Además, no incluye todas las vulnerabilidades actuales que pueden encontrarse en un sitio web. Sólo enumera las vulnerabilidades más conocidas, pero también las más comunes. Por lo tanto, esta clasificación debe utilizarse con más precaución a la hora de planificar una prueba de despliegue o desarrollo.
OWASP Top 10 : Clasificación Actualizada
A continuación, se procesan y analizan todos los datos recopilados, lo que conduce finalmente a la compilación del Top 10 de OWASP.
La edición más reciente es la de 2021, que releva a la de 2017, y como es sabido informa de 10 de las vulnerabilidades más conocidas relacionadas con las aplicaciones web. Para dejar las cosas claras, el Top 10 de OWASP de 2021 está formado por:
- A01:2021 – Broken Access Control
- A02:2021 – Cryptographic Failures
- A03:2021 – Injection
- A04:2021 – Insecure Design
- A05:2021 – Security Misconfiguration
- A06:2021 – Vulnerabile and Outdated Components
- A07:2021 – Identification and Authentication Failures
- A08:2021 – Software and Data Integrity Failures
- A09:2021 – Security Logging and Monitoring Failures
- A10:2021 – Server-Side Request Forgery (SSRF)
Ahora bien, la clasificación se presta a debates y evaluaciones específicos de cada empresa, pero más allá de los resultados, hay que destacar que el OWASP va mucho más allá de un simple “gráfico” y ofrece mucha más información a la espera de ser utilizada.
En primer lugar, cada riesgo del gráfico remite a una ficha descriptiva específica con una sinopsis (Overview), una descripción técnica (Description), metodologías de prevención (How to Prevent), ejemplos de ataques específicos (Example Attack Scenario), referencias a otra documentación y una lista de CWEs asociados al riesgo (List of Mapped CWEs). Por ejemplo, puedes comprobar el A01:2021 – Broken Access Control.
Además de esta rica documentación, que tiene el don de la incisividad, el Top 10 de OWASP, en virtud del método de recopilación y análisis del que se deriva, puede sin embargo aportar otros elementos indispensables para una buena gestión de la ciberseguridad de las empresas.
Herramientas, Habilidades y Concienciación
Se tiende a pensar que la concienciación es una herramienta útil para aumentar los conocimientos y la sensibilización de quienes saben poco o nada sobre ciberseguridad, pero lo cierto es que hay concienciación para todos los niveles de competencia de una empresa. Y, por tanto, debe haber un plan de concienciación específico para cada grupo de empleados.
Consultar el Top 10 de OWASP con ojo crítico y mente abierta permite comprender la necesidad de este tipo de actividad, especialmente cuando se trata de evaluar aquellas amenazas que atañen, por ejemplo, a los principios de DevSecOps.
El Marco OWASP SAMM
El OWASP Top 10 es un punto de partida para realizar evaluaciones objetivas del estado de la ciberseguridad corporativa, pero debe considerarse como tal. El comienzo, es decir, de un camino más completo (y complejo), en el que ayudarse de marcos y modelos predefinidos y probados. Por ejemplo, uno de los mejores, para desarrolladores de software, lo ofrece OWASP y se llama Software Assurance Maturity Model (SAMM).
Planificar la Ciberseguridad
El OWASP Top 10 es una clasificación elaborada, como se ha mencionado, de forma híbrida, en la que 8 de las 10 posiciones están ocupadas por amenazas seleccionadas a partir de una base de más de medio millón de fuentes de datos diferentes. La clasificación, por tanto, ofrece una imagen precisa del estado actual, pero la comparación con ediciones anteriores y los detalles técnicos que describen cada entrada permiten hacerse una idea precisa y fiable de los retos a los que se enfrenta el departamento de ciberseguridad de la empresa. Sobre todo si se tiene la precaución de cotejarlas con otras tendencias fácilmente obtenibles en la Red.
Por ejemplo, en el OWASP Top 10 de 2017, en quinta posición, estaba Broken Access Control. La difusión concomitante de las arquitecturas en la nube, y la adopción rápida y masiva de nuevos modelos de trabajo a distancia debido a la pandemia a partir de 2020, sugerían claramente que este tipo de amenaza aumentaría en las clasificaciones.
Una clasificación que, por cierto, se basa más en el ratio de incidencia de cada tipo de riesgo que en adoptar una evaluación basada en la frecuencia.
Esta importante diferencia en la evaluación, combinada con análisis orgánicos y de otro tipo, permite que el OWASP Top 10 se convierta en una herramienta de planificación de estrategias de ciberseguridad sin parangón. Y, si lo deseas, sin coste alguno.
