Skip to content
Open
Show file tree
Hide file tree
Changes from all commits
Commits
File filter

Filter by extension

Filter by extension

Conversations
Failed to load comments.
Loading
Jump to
Jump to file
Failed to load files.
Loading
Diff view
Diff view
113 changes: 113 additions & 0 deletions 2025/docs/es/0x00_2025-Introduction.md

Large diffs are not rendered by default.

35 changes: 35 additions & 0 deletions 2025/docs/es/0x01_2025-About_OWASP.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,35 @@
# Acerca de OWASP

El Proyecto Abierto Global de Seguridad de Aplicaciones (OWASP, por sus siglas en inglés: *Open Worldwide Application Security Project*) es una comunidad abierta dedicada a permitir que las organizaciones desarrollen, adquieran y mantengan aplicaciones y API en las que se pueda confiar.

En OWASP, encontrará recursos gratuitos y abiertos:

- Herramientas y estándares de seguridad de aplicaciones.
- Investigación de vanguardia.
- Controles de seguridad y bibliotecas estándar.
- Libros completos sobre pruebas de seguridad de aplicaciones, desarrollo de código seguro y revisión de código seguro.
- Presentaciones y [vídeos](https://www.youtube.com/user/OWASPGLOBAL).
- [Guías de referencia rápida](https://cheatsheetseries.owasp.org/) sobre varios temas comunes.
- [Reuniones de capítulos](https://owasp.org/chapters/) celebradas en todo el mundo y en línea.
- [Eventos, formación y conferencias](https://owasp.org/events/).
- [Google Groups](https://groups.google.com/g/owasp).

Obtenga más información en: [https://owasp.org](https://owasp.org).

Todas las herramientas, documentos, vídeos, presentaciones y capítulos de OWASP son gratuitos y están abiertos a cualquier persona interesada en mejorar la seguridad de las aplicaciones.

Abogamos por abordar la seguridad de las aplicaciones como un problema de personas, procesos y tecnología, ya que los enfoques más eficaces para la seguridad de las aplicaciones requieren mejoras en todas estas áreas.

OWASP es un tipo de organización diferente. Nuestra libertad de presiones comerciales nos permite proporcionar información imparcial, práctica y rentable sobre la seguridad de las aplicaciones.

OWASP no está afiliada a ninguna empresa tecnológica, aunque apoyamos el uso informado de la tecnología de seguridad comercial. OWASP produce muchos tipos de materiales de forma colaborativa, transparente y abierta.

La Fundación OWASP es la entidad sin ánimo de lucro que garantiza el éxito del proyecto a largo plazo. Casi todas las personas asociadas con OWASP son voluntarias, incluidos la junta directiva de OWASP, los líderes de capítulos, los líderes de proyectos y los miembros de proyectos. Apoyamos la investigación innovadora en seguridad con becas e infraestructura.

¡Únase a nosotros!

## Derechos de autor y licencia

![Licencia](../assets/license.png)

Copyright © 2003-2025 The OWASP® Foundation, Inc. Este documento se publica bajo la licencia Creative Commons Attribution Share-Alike 4.0. Para cualquier reutilización o distribución, debe dejar claros a los demás los términos de la licencia de este trabajo.
103 changes: 103 additions & 0 deletions 2025/docs/es/0x02_2025-What_are_Application_Security_Risks.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,103 @@
# ¿Qué son los Riesgos de Seguridad de Aplicaciones?
Los atacantes pueden utilizar potencialmente muchos caminos diferentes a través de su aplicación para dañar a su empresa u organización. Cada una de estas vías plantea un riesgo potencial que debe ser investigado.

![Diagrama de cálculo](../assets/2025-algorithm-diagram.png)

<table>
<tr>
<td>
<strong>Agentes de Amenaza</strong>
</td>
<td>
<strong>Vectores de Ataque</strong>
</td>
<td>
<strong>Explotabilidad</strong>
</td>
<td>
<strong>Probabilidad de Ausencia de Controles</strong>
<p style="text-align: center">

<strong>de Seguridad</strong>
</td>
<td>
<strong>Impactos Técnicos</strong>
</td>
<td>
<strong>Impactos de Negocio</strong>
</td>
</tr>
<tr>
<td>
<strong>Por entorno, dinámicos según el panorama de la situación</strong>
</td>
<td>
<strong>Por exposición de la Aplicación (por entorno)</strong>
</td>
<td>
<strong>Promedio Ponderado de Explotación</strong>
</td>
<td>
<strong>Controles Ausentes por tasa media de Incidencia Ponderada por cobertura</strong>
</td>
<td>
<strong>Promedio Ponderado de Impacto</strong>
</td>
<td>
<strong>Por Negocio</strong>
</td>
</tr>
</table>


En nuestra Calificación de Riesgo hemos tenido en cuenta los parámetros universales de explotabilidad, la probabilidad media de ausencia de controles de seguridad para una debilidad y sus impactos técnicos.

Cada organización es única, al igual que los actores de amenazas para esa organización, sus objetivos y el impacto de cualquier brecha de seguridad. Si una organización de interés público utiliza un sistema de gestión de contenidos (CMS) para información pública y un sistema de salud utiliza exactamente el mismo CMS para registros médicos sensibles, los actores de amenazas y los impactos de negocio pueden ser muy diferentes para el mismo software. Es fundamental comprender el riesgo para su organización basándose en la exposición de la aplicación, los agentes de amenaza aplicables según el panorama de la situación (para ataques dirigidos y no dirigidos por negocio y ubicación) y los impactos de negocio individuales.


## Cómo se utilizan los datos para seleccionar y clasificar las categorías

En 2017, seleccionamos las categorías por tasa de incidencia para determinar la probabilidad, y luego las clasificamos mediante una discusión del equipo basada en décadas de experiencia para Explotabilidad, Detectabilidad (también probabilidad) e Impacto Técnico. Para 2021, utilizamos datos de Explotabilidad e Impacto (Técnico) de las puntuaciones CVSSv2 y CVSSv3 en la Base de Datos Nacional de Vulnerabilidades (NVD). Para 2025, continuamos con la misma metodología que creamos en 2021.

Descargamos OWASP Dependency Check y extrajimos las puntuaciones de Explotación e Impacto de CVSS agrupadas por CWE relacionadas. Requirió bastante investigación y esfuerzo, ya que todos los CVE tienen puntuaciones CVSSv2, pero existen fallas en CVSSv2 que CVSSv3 debería abordar. A partir de cierto momento, a todos los CVE se les asigna también una puntuación CVSSv3. Además, los rangos de puntuación y las fórmulas se actualizaron entre CVSSv2 y CVSSv3.

En CVSSv2, tanto la Explotación como el Impacto (Técnico) podían ser de hasta 10.0, pero la fórmula los reducía al 60% para Explotación y al 40% para Impacto. En CVSSv3, el máximo teórico se limitó a 6,0 para Explotación y 4,0 para Impacto. Teniendo en cuenta la ponderación, la puntuación de Impacto se desplazó hacia arriba, casi un punto y medio de media en CVSSv3, y la explotabilidad se desplazó casi medio punto hacia abajo de media cuando realizamos el análisis para el Top Ten de 2021.

Existen aproximadamente 175.000 registros (frente a los 125.000 de 2021) de CVE mapeados a CWE en la Base de Datos Nacional de Vulnerabilidades (NVD), extraídos de OWASP Dependency Check. Además, hay 643 CWE únicas mapeadas a CVE (frente a las 241 de 2021). Dentro de los casi 220.000 CVE que se extrajeron, 160.000 tenían puntuaciones CVSS v2, 156.000 tenían puntuaciones CVSS v3 y 6.000 tenían puntuaciones CVSS v4. Muchos CVE tienen múltiples puntuaciones, razón por la cual el total es superior a 220.000.

Para el Top Ten 2025, calculamos las puntuaciones medias de explotación e impacto de la siguiente manera. Agrupamos todos los CVE con puntuaciones CVSS por CWE y ponderamos tanto las puntuaciones de explotación como las de impacto por el porcentaje de la población que tenía CVSSv3, así como la población restante con puntuaciones CVSSv2, para obtener una media global. Mapeamos estos promedios a las CWE en el conjunto de datos para utilizarlos como puntuación de Explotación e Impacto (Técnico) para la otra mitad de la ecuación de riesgo.

¿Por qué no utilizar CVSS v4.0?, se preguntarán. Esto se debe a que el algoritmo de puntuación cambió fundamentalmente y ya no proporciona fácilmente las puntuaciones de *Explotación* o *Impacto* como lo hacen CVSSv2 y CVSSv3. Intentaremos encontrar una manera de utilizar la puntuación CVSS v4.0 para futuras versiones del Top Ten, pero no pudimos determinar una manera oportuna de hacerlo para la edición de 2025.

Para la tasa de incidencia, calculamos el porcentaje de aplicaciones vulnerables a cada CWE a partir de la población analizada por una organización durante un periodo de tiempo. Como recordatorio, no estamos utilizando la frecuencia (o cuántas veces aparece un problema en una aplicación), nos interesa qué porcentaje de la población de aplicaciones se encontró que tenía cada CWE.

Para la cobertura, observamos el porcentaje de aplicaciones probadas por todas las organizaciones para una CWE determinada. Cuanto mayor sea la cobertura calculada, mayor será la seguridad de que la tasa de incidencia es precisa, ya que el tamaño de la muestra es más representativo de la población.

La fórmula que utilizamos para esta iteración es similar a la de 2021, con algunos cambios en la ponderación:
(Tasa de Incidencia Máxima % * 1000) + (Cobertura Máxima % * 100) + (Promedio de Explotación * 10) + (Promedio de Impacto * 20) + (Suma de Ocurrencias / 10000) = Puntuación de Riesgo

Las puntuaciones calculadas oscilaron entre 621,60 para la categoría de Pérdida de Control de Acceso y 271,08 para Errores de Gestión de Memoria.

Este no es un sistema perfecto, pero es valioso para clasificar las categorías de riesgo.

Un desafío adicional que está creciendo es la definición de una "aplicación". A medida que la industria se desplaza hacia diferentes arquitecturas compuestas por microservicios y otras implementaciones que son más pequeñas que una aplicación tradicional, los cálculos son más difíciles. Por ejemplo, si una organización está probando repositorios de código, ¿qué considera una aplicación? Al igual que el crecimiento de CVSSv4, la próxima edición del Top Ten podría necesitar ajustar el análisis y la puntuación para tener en cuenta una industria en constante cambio.

## Factores de Datos

Existen factores de datos que se enumeran para cada una de las categorías del Top Ten; esto es lo que significan:

**CWE Mapeadas:** El número de CWE mapeadas a una categoría por el equipo del Top Ten.

**Tasa de Incidencia:** La tasa de incidencia es el porcentaje de aplicaciones vulnerables a esa CWE de la población analizada por esa organización para ese año.

**Explotación Ponderada:** La subpuntuación de Explotación de las puntuaciones CVSSv2 y CVSSv3 asignadas a los CVE mapeados a las CWE, normalizada y colocada en una escala de 10 puntos.

**Impacto Ponderado:** La subpuntuación de Impacto de las puntuaciones CVSSv2 y CVSSv3 asignadas a los CVE mapeados a las CWE, normalizada y colocada en una escala de 10 puntos.

**Cobertura (de Pruebas):** El porcentaje de aplicaciones probadas por todas las organizaciones para una CWE determinada.

**Ocurrencias Totales:** Número total de aplicaciones que se encontró que tenían las CWE mapeadas a una categoría.

**CVE Totales:** Número total de CVE en la base de datos NVD que fueron mapeados a las CWE mapeadas a una categoría.

**Fórmula:** (Tasa de Incidencia Máxima % * 1000) + (Cobertura Máxima % * 100) + (Promedio de Explotación * 10) + (Promedio de Impacto * 20) + (Suma de Ocurrencias / 10000) = Puntuación de Riesgo
Loading