OWASP Top 10 2025: Fallos en la cadena de suministro de software
Con la tan esperada llegada del Top Ten de OWASP de 2025, las empresas tienen un par de nuevas amenazas de las que deben ser especialmente precavidas, incluida una que acecha cerca del primer puesto de la lista. Los fallos en la cadena de suministro de software, que debuta como nueva categoría pero no lo es del todo, ocupa el puesto número 3 en la lista cuatrienal de los riesgos más graves para la seguridad de las aplicaciones web del Open Web Application Security Project. Es un riesgo que las empresas deben tomarse muy en serio, si no lo están haciendo ya.
Los fallos en la cadena de suministro de software surgieron de una categoría de la lista anterior de 2021, Componentes vulnerables y obsoletos, y ahora incluye una gama más amplia de compromisos en todo el ecosistema de software de dependencias, sistemas de compilación e infraestructura de distribución. Y su aparición en la lista no debería ser una sorpresa en particular, dado el daño causado por ataques de alto perfil a la cadena de suministro como SolarWinds en 2019, el hack de Bybit a principios de este año y la campaña en curso de Shai-Hulud, un gusano npm particularmente desagradable y autorreplicante que causa estragos en entornos de desarrolladores expuestos.
Los Diez Principales de OWASP han sido, por lo general, coherentes, como corresponde a una lista que aparece cada cuatro años, aunque con actualizaciones intermedias. Suele haber algunos cambios dentro de la lista: por ejemplo, la inyección, que lleva mucho tiempo en la lista, baja del puesto 3 al 5, y el diseño inseguro baja dos puestos hasta el 6, mientras que la desconfiguración de la seguridad salta del 5 al 2. El control de acceso defectuoso sigue ocupando la primera posición. El control de acceso defectuoso sigue ocupando la primera posición. La edición de 2025 cuenta con dos nuevas entradas, los ya mencionados Fallos en la cadena de suministro de software y la Mala gestión de condiciones excepcionales, que entra en la lista en el nº 10. A continuación, analizamos detenidamente la nueva entrada sobre vulnerabilidades de la cadena de suministro.
Las vulnerabilidades pueden aparecer casi en cualquier sitio
Fallos en la cadena de suministro de software es una categoría un tanto inusual en la lista, ya que, entre las 10 entradas, tiene el menor número de ocurrencias en los datos de investigación de OWASP, pero también tuvo el promedio más alto de exploits y puntuaciones de impacto resultantes de las cinco Enumeraciones de Debilidades Comunes (CWEs) en la categoría. OWASP sospecha que la escasa presencia de esta categoría se debe a las dificultades actuales para realizar pruebas, que podrían mejorar con el tiempo. En cualquier caso, los encuestados mencionaron de forma abrumadora los fallos en la cadena de suministro de software como una de las principales preocupaciones.
La mayoría de las vulnerabilidades de la cadena de suministro surgen de la naturaleza interconectada de hacer negocios, que implica a socios ascendentes y descendentes y a terceros. Cada interacción implica software cuyos componentes (también conocidos como dependencias o bibliotecas) podrían estar desprotegidos. Una empresa puede ser vulnerable si no rastrea todas las versiones de sus propios componentes (del lado del cliente, del lado del servidor o anidados), así como las dependencias transitivas (de otras bibliotecas) asegurándose de que no son vulnerables, no tienen soporte o están desactualizadas. Los componentes suelen tener los mismos privilegios que la aplicación, por lo que los componentes comprometidos, incluidos los que proceden de terceros o de repositorios de código abierto, pueden tener un impacto de gran alcance. La aplicación oportuna de parches y actualizaciones es esencial: incluso los programas de parches mensuales o trimestrales pueden dejar a una empresa expuesta durante días o meses.
Del mismo modo, la falta de un proceso de gestión de cambios en la cadena de suministro puede crear vulnerabilidades si no se realiza un seguimiento de los entornos de desarrollo integrados (IDE) o de los cambios en el repositorio de código, los repositorios de imágenes y bibliotecas u otras partes de la cadena de suministro. Una organización necesita reforzar la cadena de suministro aplicando políticas de control de acceso y de mínimos privilegios, garantizando que ninguna persona pueda crear código y desplegarlo en producción sin supervisión, y que nadie pueda descargar componentes de fuentes no fiables.
Los ataques a la cadena de suministro pueden adoptar muchas formas. El famoso ataque a SolarWinds comenzó cuando unos atacantes rusos inyectaron malware en una actualización del popular software de gestión de redes de la empresa. Afectó a unos 18.000 clientes. Aunque el número de empresas realmente afectadas se acercaba a 100, esa lista incluía grandes corporaciones y agencias gubernamentales. El pirateo de Bybit, por valor de 1.500 millones de dólares y cuya autoría se atribuye a Corea del Norte, afectó a aplicaciones de criptomoneda. El reciente ataque a la cadena de suministro de Glass Worm consistió en un código invisible y autorreplicante que infectó el mercado Open VSX.
Prevención de la explotación de la cadena de suministro
Dado que los ataques a la cadena de suministro implican la interdependencia de los sistemas, la defensa contra ellos implica un enfoque global. OWASP ofrece consejos para prevenir los ataques, como disponer de procesos de gestión de parches para:
- Conozca su lista de materiales de software (SBOM) para todo el software y gestione la SBOM de forma centralizada. Lo mejor es generar las listas de materiales durante la compilación, en lugar de hacerlo más tarde, utilizando formatos estándar como SPDX o CycloneDX, y publicar al menos una lista de materiales legible por máquina por versión.
- Realice un seguimiento de todas sus dependencias, incluidas las transitivas, eliminando las que no utilice, así como las funciones, componentes, archivos y documentación innecesarios.
- Realice un inventario continuo de los componentes tanto del lado del cliente como del lado del servidor y sus dependencias utilizando herramientas como OWASP Dependency Check o retire.js.
- Manténgase al día sobre las vulnerabilidades, supervisando continuamente fuentes como el sitio web Common Vulnerabilities and Exposures (CVE) y la National Vulnerability Database (NVD) y suscríbase a alertas por correo electrónico sobre vulnerabilidades de seguridad relacionadas con los componentes que utiliza.
- Utilice componentes obtenidos únicamente de fuentes de confianza a través de enlaces seguros. Un proveedor de confianza, por ejemplo, estaría dispuesto a colaborar con un investigador para revelar un CVE que el investigador haya descubierto en un componente.
- Elige deliberadamente qué versión de una dependencia vas a utilizar y actualízala sólo cuando sea necesario. Trabaje con bibliotecas de terceros cuyas vulnerabilidades se hayan publicado en una fuente conocida como NVD.
- Supervise las bibliotecas y componentes no mantenidos o no compatibles. Si no es posible aplicar parches, considere la posibilidad de desplegar un parche virtual para supervisar, detectar o proteger contra el problema descubierto.
- Actualizar periódicamente las herramientas para desarrolladores.
- Trate los componentes de su canalización CI/CD como parte de este proceso, reforzándolos y supervisándolos al tiempo que documenta los cambios.
La gestión de cambios o un proceso de seguimiento también deben aplicarse a su configuración de CI/CD, repositorios de código, sandboxes, entornos de desarrollo integrados (IDE), herramientas SBOM, artefactos creados, sistemas de registro y logs, integraciones de terceros como SaaS, repositorio de artefactos y su registro de contenedores. También es necesario reforzar los sistemas, desde las estaciones de trabajo de los desarrolladores hasta la canalización de CI/CD. Asegúrese también de habilitar la autenticación multifactor al tiempo que aplica políticas sólidas de gestión de identidades y accesos.
Protegerse contra los fallos de la cadena de suministro de software es una tarea polifacética y continua en nuestro mundo altamente interconectado. Las organizaciones deben emplear fuertes medidas defensivas para todo el ciclo de vida de sus aplicaciones y componentes con el fin de defenderse contra esta amenaza moderna en rápida evolución.
Nota para los usuarios deSCW Trust Score™ :
A medida que actualizamos el contenido de nuestra Learning Platform para alinearlo con el estándar OWASP Top 10 2025, es posible que observe pequeños ajustes en la puntuación de confianza de sus desarrolladores Full Stack. Póngase en contacto con su representante de Customer Success si tiene alguna pregunta o necesita ayuda.
OWASP Top 10 2025 sitúa los fallos de la cadena de suministro de software en el puesto número 3. Mitigue este riesgo de alto impacto mediante SBOM estrictos, seguimiento de dependencias y refuerzo de la canalización CI/CD.
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
Con la tan esperada llegada del Top Ten de OWASP de 2025, las empresas tienen un par de nuevas amenazas de las que deben ser especialmente precavidas, incluida una que acecha cerca del primer puesto de la lista. Los fallos en la cadena de suministro de software, que debuta como nueva categoría pero no lo es del todo, ocupa el puesto número 3 en la lista cuatrienal de los riesgos más graves para la seguridad de las aplicaciones web del Open Web Application Security Project. Es un riesgo que las empresas deben tomarse muy en serio, si no lo están haciendo ya.
Los fallos en la cadena de suministro de software surgieron de una categoría de la lista anterior de 2021, Componentes vulnerables y obsoletos, y ahora incluye una gama más amplia de compromisos en todo el ecosistema de software de dependencias, sistemas de compilación e infraestructura de distribución. Y su aparición en la lista no debería ser una sorpresa en particular, dado el daño causado por ataques de alto perfil a la cadena de suministro como SolarWinds en 2019, el hack de Bybit a principios de este año y la campaña en curso de Shai-Hulud, un gusano npm particularmente desagradable y autorreplicante que causa estragos en entornos de desarrolladores expuestos.
Los Diez Principales de OWASP han sido, por lo general, coherentes, como corresponde a una lista que aparece cada cuatro años, aunque con actualizaciones intermedias. Suele haber algunos cambios dentro de la lista: por ejemplo, la inyección, que lleva mucho tiempo en la lista, baja del puesto 3 al 5, y el diseño inseguro baja dos puestos hasta el 6, mientras que la desconfiguración de la seguridad salta del 5 al 2. El control de acceso defectuoso sigue ocupando la primera posición. El control de acceso defectuoso sigue ocupando la primera posición. La edición de 2025 cuenta con dos nuevas entradas, los ya mencionados Fallos en la cadena de suministro de software y la Mala gestión de condiciones excepcionales, que entra en la lista en el nº 10. A continuación, analizamos detenidamente la nueva entrada sobre vulnerabilidades de la cadena de suministro.
Las vulnerabilidades pueden aparecer casi en cualquier sitio
Fallos en la cadena de suministro de software es una categoría un tanto inusual en la lista, ya que, entre las 10 entradas, tiene el menor número de ocurrencias en los datos de investigación de OWASP, pero también tuvo el promedio más alto de exploits y puntuaciones de impacto resultantes de las cinco Enumeraciones de Debilidades Comunes (CWEs) en la categoría. OWASP sospecha que la escasa presencia de esta categoría se debe a las dificultades actuales para realizar pruebas, que podrían mejorar con el tiempo. En cualquier caso, los encuestados mencionaron de forma abrumadora los fallos en la cadena de suministro de software como una de las principales preocupaciones.
La mayoría de las vulnerabilidades de la cadena de suministro surgen de la naturaleza interconectada de hacer negocios, que implica a socios ascendentes y descendentes y a terceros. Cada interacción implica software cuyos componentes (también conocidos como dependencias o bibliotecas) podrían estar desprotegidos. Una empresa puede ser vulnerable si no rastrea todas las versiones de sus propios componentes (del lado del cliente, del lado del servidor o anidados), así como las dependencias transitivas (de otras bibliotecas) asegurándose de que no son vulnerables, no tienen soporte o están desactualizadas. Los componentes suelen tener los mismos privilegios que la aplicación, por lo que los componentes comprometidos, incluidos los que proceden de terceros o de repositorios de código abierto, pueden tener un impacto de gran alcance. La aplicación oportuna de parches y actualizaciones es esencial: incluso los programas de parches mensuales o trimestrales pueden dejar a una empresa expuesta durante días o meses.
Del mismo modo, la falta de un proceso de gestión de cambios en la cadena de suministro puede crear vulnerabilidades si no se realiza un seguimiento de los entornos de desarrollo integrados (IDE) o de los cambios en el repositorio de código, los repositorios de imágenes y bibliotecas u otras partes de la cadena de suministro. Una organización necesita reforzar la cadena de suministro aplicando políticas de control de acceso y de mínimos privilegios, garantizando que ninguna persona pueda crear código y desplegarlo en producción sin supervisión, y que nadie pueda descargar componentes de fuentes no fiables.
Los ataques a la cadena de suministro pueden adoptar muchas formas. El famoso ataque a SolarWinds comenzó cuando unos atacantes rusos inyectaron malware en una actualización del popular software de gestión de redes de la empresa. Afectó a unos 18.000 clientes. Aunque el número de empresas realmente afectadas se acercaba a 100, esa lista incluía grandes corporaciones y agencias gubernamentales. El pirateo de Bybit, por valor de 1.500 millones de dólares y cuya autoría se atribuye a Corea del Norte, afectó a aplicaciones de criptomoneda. El reciente ataque a la cadena de suministro de Glass Worm consistió en un código invisible y autorreplicante que infectó el mercado Open VSX.
Prevención de la explotación de la cadena de suministro
Dado que los ataques a la cadena de suministro implican la interdependencia de los sistemas, la defensa contra ellos implica un enfoque global. OWASP ofrece consejos para prevenir los ataques, como disponer de procesos de gestión de parches para:
- Conozca su lista de materiales de software (SBOM) para todo el software y gestione la SBOM de forma centralizada. Lo mejor es generar las listas de materiales durante la compilación, en lugar de hacerlo más tarde, utilizando formatos estándar como SPDX o CycloneDX, y publicar al menos una lista de materiales legible por máquina por versión.
- Realice un seguimiento de todas sus dependencias, incluidas las transitivas, eliminando las que no utilice, así como las funciones, componentes, archivos y documentación innecesarios.
- Realice un inventario continuo de los componentes tanto del lado del cliente como del lado del servidor y sus dependencias utilizando herramientas como OWASP Dependency Check o retire.js.
- Manténgase al día sobre las vulnerabilidades, supervisando continuamente fuentes como el sitio web Common Vulnerabilities and Exposures (CVE) y la National Vulnerability Database (NVD) y suscríbase a alertas por correo electrónico sobre vulnerabilidades de seguridad relacionadas con los componentes que utiliza.
- Utilice componentes obtenidos únicamente de fuentes de confianza a través de enlaces seguros. Un proveedor de confianza, por ejemplo, estaría dispuesto a colaborar con un investigador para revelar un CVE que el investigador haya descubierto en un componente.
- Elige deliberadamente qué versión de una dependencia vas a utilizar y actualízala sólo cuando sea necesario. Trabaje con bibliotecas de terceros cuyas vulnerabilidades se hayan publicado en una fuente conocida como NVD.
- Supervise las bibliotecas y componentes no mantenidos o no compatibles. Si no es posible aplicar parches, considere la posibilidad de desplegar un parche virtual para supervisar, detectar o proteger contra el problema descubierto.
- Actualizar periódicamente las herramientas para desarrolladores.
- Trate los componentes de su canalización CI/CD como parte de este proceso, reforzándolos y supervisándolos al tiempo que documenta los cambios.
La gestión de cambios o un proceso de seguimiento también deben aplicarse a su configuración de CI/CD, repositorios de código, sandboxes, entornos de desarrollo integrados (IDE), herramientas SBOM, artefactos creados, sistemas de registro y logs, integraciones de terceros como SaaS, repositorio de artefactos y su registro de contenedores. También es necesario reforzar los sistemas, desde las estaciones de trabajo de los desarrolladores hasta la canalización de CI/CD. Asegúrese también de habilitar la autenticación multifactor al tiempo que aplica políticas sólidas de gestión de identidades y accesos.
Protegerse contra los fallos de la cadena de suministro de software es una tarea polifacética y continua en nuestro mundo altamente interconectado. Las organizaciones deben emplear fuertes medidas defensivas para todo el ciclo de vida de sus aplicaciones y componentes con el fin de defenderse contra esta amenaza moderna en rápida evolución.
Nota para los usuarios deSCW Trust Score™ :
A medida que actualizamos el contenido de nuestra Learning Platform para alinearlo con el estándar OWASP Top 10 2025, es posible que observe pequeños ajustes en la puntuación de confianza de sus desarrolladores Full Stack. Póngase en contacto con su representante de Customer Success si tiene alguna pregunta o necesita ayuda.
Con la tan esperada llegada del Top Ten de OWASP de 2025, las empresas tienen un par de nuevas amenazas de las que deben ser especialmente precavidas, incluida una que acecha cerca del primer puesto de la lista. Los fallos en la cadena de suministro de software, que debuta como nueva categoría pero no lo es del todo, ocupa el puesto número 3 en la lista cuatrienal de los riesgos más graves para la seguridad de las aplicaciones web del Open Web Application Security Project. Es un riesgo que las empresas deben tomarse muy en serio, si no lo están haciendo ya.
Los fallos en la cadena de suministro de software surgieron de una categoría de la lista anterior de 2021, Componentes vulnerables y obsoletos, y ahora incluye una gama más amplia de compromisos en todo el ecosistema de software de dependencias, sistemas de compilación e infraestructura de distribución. Y su aparición en la lista no debería ser una sorpresa en particular, dado el daño causado por ataques de alto perfil a la cadena de suministro como SolarWinds en 2019, el hack de Bybit a principios de este año y la campaña en curso de Shai-Hulud, un gusano npm particularmente desagradable y autorreplicante que causa estragos en entornos de desarrolladores expuestos.
Los Diez Principales de OWASP han sido, por lo general, coherentes, como corresponde a una lista que aparece cada cuatro años, aunque con actualizaciones intermedias. Suele haber algunos cambios dentro de la lista: por ejemplo, la inyección, que lleva mucho tiempo en la lista, baja del puesto 3 al 5, y el diseño inseguro baja dos puestos hasta el 6, mientras que la desconfiguración de la seguridad salta del 5 al 2. El control de acceso defectuoso sigue ocupando la primera posición. El control de acceso defectuoso sigue ocupando la primera posición. La edición de 2025 cuenta con dos nuevas entradas, los ya mencionados Fallos en la cadena de suministro de software y la Mala gestión de condiciones excepcionales, que entra en la lista en el nº 10. A continuación, analizamos detenidamente la nueva entrada sobre vulnerabilidades de la cadena de suministro.
Las vulnerabilidades pueden aparecer casi en cualquier sitio
Fallos en la cadena de suministro de software es una categoría un tanto inusual en la lista, ya que, entre las 10 entradas, tiene el menor número de ocurrencias en los datos de investigación de OWASP, pero también tuvo el promedio más alto de exploits y puntuaciones de impacto resultantes de las cinco Enumeraciones de Debilidades Comunes (CWEs) en la categoría. OWASP sospecha que la escasa presencia de esta categoría se debe a las dificultades actuales para realizar pruebas, que podrían mejorar con el tiempo. En cualquier caso, los encuestados mencionaron de forma abrumadora los fallos en la cadena de suministro de software como una de las principales preocupaciones.
La mayoría de las vulnerabilidades de la cadena de suministro surgen de la naturaleza interconectada de hacer negocios, que implica a socios ascendentes y descendentes y a terceros. Cada interacción implica software cuyos componentes (también conocidos como dependencias o bibliotecas) podrían estar desprotegidos. Una empresa puede ser vulnerable si no rastrea todas las versiones de sus propios componentes (del lado del cliente, del lado del servidor o anidados), así como las dependencias transitivas (de otras bibliotecas) asegurándose de que no son vulnerables, no tienen soporte o están desactualizadas. Los componentes suelen tener los mismos privilegios que la aplicación, por lo que los componentes comprometidos, incluidos los que proceden de terceros o de repositorios de código abierto, pueden tener un impacto de gran alcance. La aplicación oportuna de parches y actualizaciones es esencial: incluso los programas de parches mensuales o trimestrales pueden dejar a una empresa expuesta durante días o meses.
Del mismo modo, la falta de un proceso de gestión de cambios en la cadena de suministro puede crear vulnerabilidades si no se realiza un seguimiento de los entornos de desarrollo integrados (IDE) o de los cambios en el repositorio de código, los repositorios de imágenes y bibliotecas u otras partes de la cadena de suministro. Una organización necesita reforzar la cadena de suministro aplicando políticas de control de acceso y de mínimos privilegios, garantizando que ninguna persona pueda crear código y desplegarlo en producción sin supervisión, y que nadie pueda descargar componentes de fuentes no fiables.
Los ataques a la cadena de suministro pueden adoptar muchas formas. El famoso ataque a SolarWinds comenzó cuando unos atacantes rusos inyectaron malware en una actualización del popular software de gestión de redes de la empresa. Afectó a unos 18.000 clientes. Aunque el número de empresas realmente afectadas se acercaba a 100, esa lista incluía grandes corporaciones y agencias gubernamentales. El pirateo de Bybit, por valor de 1.500 millones de dólares y cuya autoría se atribuye a Corea del Norte, afectó a aplicaciones de criptomoneda. El reciente ataque a la cadena de suministro de Glass Worm consistió en un código invisible y autorreplicante que infectó el mercado Open VSX.
Prevención de la explotación de la cadena de suministro
Dado que los ataques a la cadena de suministro implican la interdependencia de los sistemas, la defensa contra ellos implica un enfoque global. OWASP ofrece consejos para prevenir los ataques, como disponer de procesos de gestión de parches para:
- Conozca su lista de materiales de software (SBOM) para todo el software y gestione la SBOM de forma centralizada. Lo mejor es generar las listas de materiales durante la compilación, en lugar de hacerlo más tarde, utilizando formatos estándar como SPDX o CycloneDX, y publicar al menos una lista de materiales legible por máquina por versión.
- Realice un seguimiento de todas sus dependencias, incluidas las transitivas, eliminando las que no utilice, así como las funciones, componentes, archivos y documentación innecesarios.
- Realice un inventario continuo de los componentes tanto del lado del cliente como del lado del servidor y sus dependencias utilizando herramientas como OWASP Dependency Check o retire.js.
- Manténgase al día sobre las vulnerabilidades, supervisando continuamente fuentes como el sitio web Common Vulnerabilities and Exposures (CVE) y la National Vulnerability Database (NVD) y suscríbase a alertas por correo electrónico sobre vulnerabilidades de seguridad relacionadas con los componentes que utiliza.
- Utilice componentes obtenidos únicamente de fuentes de confianza a través de enlaces seguros. Un proveedor de confianza, por ejemplo, estaría dispuesto a colaborar con un investigador para revelar un CVE que el investigador haya descubierto en un componente.
- Elige deliberadamente qué versión de una dependencia vas a utilizar y actualízala sólo cuando sea necesario. Trabaje con bibliotecas de terceros cuyas vulnerabilidades se hayan publicado en una fuente conocida como NVD.
- Supervise las bibliotecas y componentes no mantenidos o no compatibles. Si no es posible aplicar parches, considere la posibilidad de desplegar un parche virtual para supervisar, detectar o proteger contra el problema descubierto.
- Actualizar periódicamente las herramientas para desarrolladores.
- Trate los componentes de su canalización CI/CD como parte de este proceso, reforzándolos y supervisándolos al tiempo que documenta los cambios.
La gestión de cambios o un proceso de seguimiento también deben aplicarse a su configuración de CI/CD, repositorios de código, sandboxes, entornos de desarrollo integrados (IDE), herramientas SBOM, artefactos creados, sistemas de registro y logs, integraciones de terceros como SaaS, repositorio de artefactos y su registro de contenedores. También es necesario reforzar los sistemas, desde las estaciones de trabajo de los desarrolladores hasta la canalización de CI/CD. Asegúrese también de habilitar la autenticación multifactor al tiempo que aplica políticas sólidas de gestión de identidades y accesos.
Protegerse contra los fallos de la cadena de suministro de software es una tarea polifacética y continua en nuestro mundo altamente interconectado. Las organizaciones deben emplear fuertes medidas defensivas para todo el ciclo de vida de sus aplicaciones y componentes con el fin de defenderse contra esta amenaza moderna en rápida evolución.
Nota para los usuarios deSCW Trust Score™ :
A medida que actualizamos el contenido de nuestra Learning Platform para alinearlo con el estándar OWASP Top 10 2025, es posible que observe pequeños ajustes en la puntuación de confianza de sus desarrolladores Full Stack. Póngase en contacto con su representante de Customer Success si tiene alguna pregunta o necesita ayuda.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
Con la tan esperada llegada del Top Ten de OWASP de 2025, las empresas tienen un par de nuevas amenazas de las que deben ser especialmente precavidas, incluida una que acecha cerca del primer puesto de la lista. Los fallos en la cadena de suministro de software, que debuta como nueva categoría pero no lo es del todo, ocupa el puesto número 3 en la lista cuatrienal de los riesgos más graves para la seguridad de las aplicaciones web del Open Web Application Security Project. Es un riesgo que las empresas deben tomarse muy en serio, si no lo están haciendo ya.
Los fallos en la cadena de suministro de software surgieron de una categoría de la lista anterior de 2021, Componentes vulnerables y obsoletos, y ahora incluye una gama más amplia de compromisos en todo el ecosistema de software de dependencias, sistemas de compilación e infraestructura de distribución. Y su aparición en la lista no debería ser una sorpresa en particular, dado el daño causado por ataques de alto perfil a la cadena de suministro como SolarWinds en 2019, el hack de Bybit a principios de este año y la campaña en curso de Shai-Hulud, un gusano npm particularmente desagradable y autorreplicante que causa estragos en entornos de desarrolladores expuestos.
Los Diez Principales de OWASP han sido, por lo general, coherentes, como corresponde a una lista que aparece cada cuatro años, aunque con actualizaciones intermedias. Suele haber algunos cambios dentro de la lista: por ejemplo, la inyección, que lleva mucho tiempo en la lista, baja del puesto 3 al 5, y el diseño inseguro baja dos puestos hasta el 6, mientras que la desconfiguración de la seguridad salta del 5 al 2. El control de acceso defectuoso sigue ocupando la primera posición. El control de acceso defectuoso sigue ocupando la primera posición. La edición de 2025 cuenta con dos nuevas entradas, los ya mencionados Fallos en la cadena de suministro de software y la Mala gestión de condiciones excepcionales, que entra en la lista en el nº 10. A continuación, analizamos detenidamente la nueva entrada sobre vulnerabilidades de la cadena de suministro.
Las vulnerabilidades pueden aparecer casi en cualquier sitio
Fallos en la cadena de suministro de software es una categoría un tanto inusual en la lista, ya que, entre las 10 entradas, tiene el menor número de ocurrencias en los datos de investigación de OWASP, pero también tuvo el promedio más alto de exploits y puntuaciones de impacto resultantes de las cinco Enumeraciones de Debilidades Comunes (CWEs) en la categoría. OWASP sospecha que la escasa presencia de esta categoría se debe a las dificultades actuales para realizar pruebas, que podrían mejorar con el tiempo. En cualquier caso, los encuestados mencionaron de forma abrumadora los fallos en la cadena de suministro de software como una de las principales preocupaciones.
La mayoría de las vulnerabilidades de la cadena de suministro surgen de la naturaleza interconectada de hacer negocios, que implica a socios ascendentes y descendentes y a terceros. Cada interacción implica software cuyos componentes (también conocidos como dependencias o bibliotecas) podrían estar desprotegidos. Una empresa puede ser vulnerable si no rastrea todas las versiones de sus propios componentes (del lado del cliente, del lado del servidor o anidados), así como las dependencias transitivas (de otras bibliotecas) asegurándose de que no son vulnerables, no tienen soporte o están desactualizadas. Los componentes suelen tener los mismos privilegios que la aplicación, por lo que los componentes comprometidos, incluidos los que proceden de terceros o de repositorios de código abierto, pueden tener un impacto de gran alcance. La aplicación oportuna de parches y actualizaciones es esencial: incluso los programas de parches mensuales o trimestrales pueden dejar a una empresa expuesta durante días o meses.
Del mismo modo, la falta de un proceso de gestión de cambios en la cadena de suministro puede crear vulnerabilidades si no se realiza un seguimiento de los entornos de desarrollo integrados (IDE) o de los cambios en el repositorio de código, los repositorios de imágenes y bibliotecas u otras partes de la cadena de suministro. Una organización necesita reforzar la cadena de suministro aplicando políticas de control de acceso y de mínimos privilegios, garantizando que ninguna persona pueda crear código y desplegarlo en producción sin supervisión, y que nadie pueda descargar componentes de fuentes no fiables.
Los ataques a la cadena de suministro pueden adoptar muchas formas. El famoso ataque a SolarWinds comenzó cuando unos atacantes rusos inyectaron malware en una actualización del popular software de gestión de redes de la empresa. Afectó a unos 18.000 clientes. Aunque el número de empresas realmente afectadas se acercaba a 100, esa lista incluía grandes corporaciones y agencias gubernamentales. El pirateo de Bybit, por valor de 1.500 millones de dólares y cuya autoría se atribuye a Corea del Norte, afectó a aplicaciones de criptomoneda. El reciente ataque a la cadena de suministro de Glass Worm consistió en un código invisible y autorreplicante que infectó el mercado Open VSX.
Prevención de la explotación de la cadena de suministro
Dado que los ataques a la cadena de suministro implican la interdependencia de los sistemas, la defensa contra ellos implica un enfoque global. OWASP ofrece consejos para prevenir los ataques, como disponer de procesos de gestión de parches para:
- Conozca su lista de materiales de software (SBOM) para todo el software y gestione la SBOM de forma centralizada. Lo mejor es generar las listas de materiales durante la compilación, en lugar de hacerlo más tarde, utilizando formatos estándar como SPDX o CycloneDX, y publicar al menos una lista de materiales legible por máquina por versión.
- Realice un seguimiento de todas sus dependencias, incluidas las transitivas, eliminando las que no utilice, así como las funciones, componentes, archivos y documentación innecesarios.
- Realice un inventario continuo de los componentes tanto del lado del cliente como del lado del servidor y sus dependencias utilizando herramientas como OWASP Dependency Check o retire.js.
- Manténgase al día sobre las vulnerabilidades, supervisando continuamente fuentes como el sitio web Common Vulnerabilities and Exposures (CVE) y la National Vulnerability Database (NVD) y suscríbase a alertas por correo electrónico sobre vulnerabilidades de seguridad relacionadas con los componentes que utiliza.
- Utilice componentes obtenidos únicamente de fuentes de confianza a través de enlaces seguros. Un proveedor de confianza, por ejemplo, estaría dispuesto a colaborar con un investigador para revelar un CVE que el investigador haya descubierto en un componente.
- Elige deliberadamente qué versión de una dependencia vas a utilizar y actualízala sólo cuando sea necesario. Trabaje con bibliotecas de terceros cuyas vulnerabilidades se hayan publicado en una fuente conocida como NVD.
- Supervise las bibliotecas y componentes no mantenidos o no compatibles. Si no es posible aplicar parches, considere la posibilidad de desplegar un parche virtual para supervisar, detectar o proteger contra el problema descubierto.
- Actualizar periódicamente las herramientas para desarrolladores.
- Trate los componentes de su canalización CI/CD como parte de este proceso, reforzándolos y supervisándolos al tiempo que documenta los cambios.
La gestión de cambios o un proceso de seguimiento también deben aplicarse a su configuración de CI/CD, repositorios de código, sandboxes, entornos de desarrollo integrados (IDE), herramientas SBOM, artefactos creados, sistemas de registro y logs, integraciones de terceros como SaaS, repositorio de artefactos y su registro de contenedores. También es necesario reforzar los sistemas, desde las estaciones de trabajo de los desarrolladores hasta la canalización de CI/CD. Asegúrese también de habilitar la autenticación multifactor al tiempo que aplica políticas sólidas de gestión de identidades y accesos.
Protegerse contra los fallos de la cadena de suministro de software es una tarea polifacética y continua en nuestro mundo altamente interconectado. Las organizaciones deben emplear fuertes medidas defensivas para todo el ciclo de vida de sus aplicaciones y componentes con el fin de defenderse contra esta amenaza moderna en rápida evolución.
Nota para los usuarios deSCW Trust Score™ :
A medida que actualizamos el contenido de nuestra Learning Platform para alinearlo con el estándar OWASP Top 10 2025, es posible que observe pequeños ajustes en la puntuación de confianza de sus desarrolladores Full Stack. Póngase en contacto con su representante de Customer Success si tiene alguna pregunta o necesita ayuda.
Índice
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
.png)
.png)
El poder de la marca en AppSec DevSec DevSecOps (¿Qué hay en un acrónimo?)
En AppSec, el impacto duradero de un programa exige algo más que tecnología: necesita una marca fuerte. Una identidad poderosa garantiza que sus iniciativas resuenen e impulsen un compromiso sostenido dentro de su comunidad de desarrolladores.
Recursos para empezar
Nueva categoría de riesgo en el Top Ten de OWASP: Esperar lo inesperado
OWASP Top 10 2025 añade la gestión incorrecta de condiciones excepcionales en el número 10. Mitigue los riesgos mediante una lógica "fail closed", gestores de errores globales y una estricta validación de entradas.
.png)
¡Adopte RÁPIDAMENTE la IA Agéntica en el Desarrollo de Software! (Spoiler: Probablemente no deberías.)
¿Va el mundo de la ciberseguridad demasiado rápido con la IA agéntica? El futuro de la seguridad de la IA ya está aquí, y es hora de que los expertos pasen de la reflexión a la realidad.
Resolver la crisis de visibilidad: cómo Trust Agent salva la distancia entre aprendizaje y código
Trust Agent de Secure Code Warrior resuelve la crisis de la codificación segura, validando la competencia de los desarrolladores en cada commit. Descubre a todos los colaboradores y automatiza la gobernanza en su flujo de trabajo de desarrollo.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
