Conozca la actualización más reciente del TOP 10 OWASP para desarrollo seguro de aplicaciones web

El Open Web Application Security Project® (OWASP) es una fundación sin ánimo de lucro que trabaja para mejorar la seguridad del software. Dentro de su inventario posee un gran número de aplicaciones orientadas a aumentar la seguridad en el desarrollo, uso y mantenimiento de las aplicaciones.

Uno de los proyectos más emblemáticos es el TOP 10 OWASP, el cual enlista los diez riesgos más críticos para las aplicaciones y servicios web, llamativamente esta semana actualizó su listado, quedando en su versión 2021 con los siguientes riesgos:

  • A01: 2021 Inadecuado control de acceso (anteriormente A05 OWASP Top 10 2017)
  • A02: 2021 Fallos criptográficos (anteriormente A03 OWASP Top 10 2017)
  • A03: 2021 Inyección (anteriormente A01 OWASP Top 10 2017)
  • A04: 2021 Diseño inseguro (NUEVO)
  • A05: 2021 Configuración incorrecta de seguridad (anteriormente A06 OWASP Top 10 2017)
  • A06: 2021 Componentes vulnerables y obsoletos
  • A07: 2021 Fallos de identificación y autenticación (anteriormente A02 OWASP Top 10 2017)
  • A08: 2021 Fallos de integridad de datos y software (NUEVO)
  • A09: 2021 Fallos de seguimiento y registro de seguridad (anteriormente A10 OWASP Top 10 2017)
  • A10: 2021 Falsificación de solicitudes del lado del servidor (NUEVO)
En el siguiente gráfico puedes ver la evolución de los riesgos desde la versión anterior 2017 hasta la versión actual, la 2021:

Un ítem bastante interesante a tener en cuenta, es la inclusión del riesgo 4, el cual tiene que ver con el diseño inseguro y el apartado 8, fallos de integridad de datos y software, la inclusión de estos dos elementos se alinean con el tema del ciclo de vida del desarrollo de software seguro.

Si desea tener más datos al respecto, por favor visite el sitio web www.owasp.org


Conoce las cinco clases de controles usadas para tratar los riesgos y mantener segura tu organización

En post anteriores revisamos lo que es un riesgo (Efecto de la incertidumbre sobre los objetivos), en este post vamos a ver cinco clases de controles que se utilizan para tratar los riesgos. Empecemos por definir lo que es un control:

Control: Medida por la que se modifica el riesgo.

Los controles incluyen procesos, políticas, dispositivos, prácticas, entre otras acciones que modifican el riesgo. Otros términos utilizados para referirse a control son: salvaguarda o contramedida.

Control correctivo: Control que corrige un riesgo, error, omisión o acto deliberado antes de que produzca pérdidas relevantes. Supone que la amenaza ya se ha materializado, pero que se corrige. Ejemplo: implementación de un sistema de prevención de intrusos IPS.

Control detectivo: Control que detecta la aparición de un riesgo, error, omisión o acto deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige. Ejemplo: implementación de un sistema de detección de intrusos IDS.

Control de acceso: Significa garantizar que el acceso a los activos esté autorizado y restringido según los requisitos comerciales y de seguridad. Ejemplo: implementación de un firewall.

Control disuasorio: Control que reduce la posibilidad de materialización de una amenaza. Ejemplo: carteles acerca de que el cliente está siendo monitoreado por cámara para que desista de su intención. 

Control preventivo: Control que evita que se produzca un riesgo, error, omisión o acto deliberado. Impide que una amenaza llegue siquiera a materializarse. Ejemplo: Implementación de un plan de recuperación de desastres DRP.

Estas son las cinco clases de controles usadas para tratar los riesgos junto con un ejemplo de cada una de ellas. Úsalas para tratar los riesgos en tu organización. 


Conoce que es un vector de ataque, cuales son los más comunes y para que sirven

En este post vamos a revisar que es un vector de ataque y conoceremos algunos de ellos.

En ciberseguridad, un vector de ataque es un método para conseguir un acceso no autorizado a un objetivo para lanzar un ciberataque.

Los vectores de ataque permiten a los ciberdelincuentes aprovechar las vulnerabilidades de un sistema para acceder a datos sensibles, información personal identificable y otra información valiosa accesible tras una violación de datos.

Los vectores de ataque más comunes son: 

  • Phishing
  • Malware
  • Software sin parches
  • Ransomware
  • Credenciales débiles
  • Software desactualizado
  • Debilidad en el cifrado o encriptación
  • Debilidad en la configuración del sistema

La mayoría de los ataques que se realizan son con fines lucrativos, sin embargo, algunos de ellos son realizados para revelar información confidencial, dejar sin servicio alguna red o simplemente por el placer de afectar un objetivo.





Conoce los diez términos más utilizados de riesgos en seguridad de la información explicados de forma fácil de digerir.

En este post vamos a ver la principal terminología que se utiliza cuando se habla de riesgos de seguridad de la información. Ilustraremos estos términos con un ejemplo. 

Empecemos por la siguiente definición y vamos a revisar cada una de las palabras resaltadas para definir los primeros cinco términos:

El riesgo es la probabilidad de que una amenaza se aproveche de una vulnerabilidad en un activo para causar un impacto los objetivos del negocio. 

  • Riesgo: Efecto de la incertidumbre sobre los objetivos. 
  • Probabilidad: Posibilidad de que algo suceda.
  • Amenaza: Causa potencial de un incidente no deseado, que puede causar daños a un sistema u organización.
  • Vulnerabilidad: Debilidad de un activo o control que puede ser explotado por una o más amenazas.
  • Impacto: consecuencia de la materialización de una amenaza.

Un ejemplo que involucre estas definiciones puede ser este:

La organización no cuenta con protección de aplicaciones web, por lo tanto, la probabilidad de que un delincuente informático pueda dejar sin servicio el portal transaccional de la organización es alta y su impacto será catastrófico. 

Existe un gran número de metodologías para hacer gestión de riesgos, sin embargo, la mayoría de ellas concuerdan con las siguientes definiciones:

  • Criterios de riesgos: Términos de referencia contra los cuales se evalúa la importancia del riesgo.
  • Identificación de riesgos: Proceso de búsqueda, reconocimiento y descripción de riesgos.
  • Análisis de riesgos: Proceso para comprender la naturaleza del riesgo y para determinar el nivel de riesgo.
  • Evaluación de riesgos: Proceso de comparar los resultados del análisis de riesgo con los criterios de riesgo para determinar si el riesgo y / o su magnitud es aceptable o tolerable.
  • Gestión de riesgos: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.
El propósito de la gestión de riesgos es identificar anticipadamente los riesgos para tratarlos antes de que estos se materialicen y puedan impactar los objetivos del negocio.

Si desea conocer más términos relacionados con seguridad de la información, puede consultar el siguiente link https://normaiso27001.es/referencias-normativas-iso-27000/



Aprende con ejemplos que es la Tríada CID (Confidencialidad, Integridad y Disponibilidad)

En este post vamos a repasar que es confidencialidad, integridad y disponibilidad, con ejemplos para una mejor comprensión. 

Confidencialidad: Es la propiedad que determina que la información sólo esté disponible y sea revelada a las partes autorizadas. 

Integridad: Propiedad de salvaguardar la exactitud y estado completo de la información. Sin un dato es alterado sin autorización entonces pierde su integridad.

Disponibilidad: Esta propiedad garantiza que la información sea accesible y utilizable por las partes cuando éstas así lo requieran.

Un ejemplo para las tres propiedades puede ser la cuenta de ahorros, la información del saldo es información confidencial, el PIN de consulta de la tarjeta débito es información confidencial.

Que pasaría si su saldo se ve alterado sin causa alguna, esto es pérdida de integridad. Si los datos del propietario de la cuenta son modificados sin autorización, esto también es perdida de integridad.

Ahora, si el banco esta cerrado o si el cajero electrónico esta fuera de servicio y no consigues consultar el saldo, esto es perdida de disponibilidad, ya que no puedes consultar tus datos. 

Estas son las tres principales propiedades de la información, espero que los ejemplos te hayan ayudado a interiorizarlas.