OWASP Top 10 2025: Fallos en la cadena de suministro de software
Con la esperada llegada del Top Ten de OWASP 2025, las empresas se enfrentan a una serie de nuevas amenazas a las que deben prestar especial atención, entre ellas una que ocupa el primer puesto de la lista. Los errores en la cadena de suministro de software, que se introducen como una nueva categoría, pero que no son del todo nuevos, ocupan el tercer lugar en la lista cuatrienal de los riesgos de seguridad más graves para las aplicaciones web del Open Web Application Security Project. Se trata de un riesgo que las empresas deben tomarse muy en serio, si es que aún no lo hacen.
Los errores en la cadena de suministro de software provienen de una categoría de la lista anterior de 2021. Componentes vulnerables y obsoletos, y ahora abarca una gama más amplia de compromisos en todo el ecosistema de software, desde dependencias, sistemas de compilación e infraestructuras de distribución. Y su aparición en la lista no debería sorprender demasiado, dado el daño causado por los ataques de alto perfil a la cadena de suministro, como SolarWinds en 2019, el hackeo de Bybit a principios de este año y la actual campaña Shai-Hulud, un gusano npm especialmente malicioso y autorreplicante que causa estragos en entornos de desarrollo expuestos.
Las diez principales amenazas de OWASP fueron, en general, coherentes, lo que se corresponde con una lista que se publica cada cuatro años, aunque con actualizaciones intermedias. Normalmente hay algunos cambios dentro de la lista: por ejemplo, la inyección, una amenaza habitual desde hace años, cae del tercer al quinto puesto, y el diseño inseguro baja dos puestos hasta el sexto, mientras que la configuración de seguridad incorrecta sube del quinto al segundo puesto. Broken Access Control sigue ocupando el primer puesto. La edición de 2025 incluye dos nuevas entradas: los ya mencionados errores en la cadena de suministro de software y el manejo incorrecto de condiciones excepcionales, que ocupan el décimo puesto de la lista. A continuación, analizaremos más detenidamente la nueva entrada sobre las vulnerabilidades en la cadena de suministro.
Las brechas de seguridad pueden aparecer prácticamente en cualquier lugar.
Los fallos en la cadena de suministro de software son una categoría algo inusual en la lista, ya que, de las 10 entradas, es la que menos apariciones tiene en los datos de investigación de OWASP, pero también la que presenta los valores medios más altos de explotación e impacto, según se desprende de las cinco enumeraciones de debilidades comunes (CWE) de esta categoría. OWASP parte de la base de que la presencia limitada de esta categoría se debe a los retos actuales a la hora de realizar pruebas en esta categoría, lo que en última instancia podría mejorar. Independientemente de ello, la inmensa mayoría de los participantes en la encuesta mencionaron los fallos en la cadena de suministro de software como el principal problema.
La mayoría de las vulnerabilidades de seguridad en la cadena de suministro surgen de la interconexión de las actividades comerciales en las que participan socios y terceros tanto upstream como downstream. Cada interacción implica software cuyos componentes (también conocidos como dependencias o bibliotecas) podrían estar desprotegidos. Una empresa puede ser vulnerable si no realiza un seguimiento de todas las versiones de sus propios componentes (del lado del cliente, del lado del servidor o anidados), así como de las dependencias transitivas (de otras bibliotecas), para asegurarse de que no sean vulnerables, no estén soportadas o estén obsoletas. Los componentes suelen tener los mismos derechos que la aplicación, por lo que los componentes comprometidos, incluidos los que provienen de terceros o de repositorios de código abierto, pueden tener un impacto de gran alcance. Es esencial aplicar parches y actualizaciones a tiempo. Incluso los planes de parches mensuales o trimestrales regulares pueden dejar a una empresa expuesta al peligro durante días o meses.
Del mismo modo, la falta de un proceso de gestión del cambio en su cadena de suministro puede dar lugar a brechas de seguridad si no realiza un seguimiento de los entornos de desarrollo integrados (IDE) o de los cambios en su repositorio de código, sus repositorios de imágenes y bibliotecas u otras partes de la cadena de suministro. Una empresa debe proteger la cadena de suministro aplicando controles de acceso y políticas de privilegios mínimos para garantizar que nadie pueda crear código y utilizarlo sin supervisión en la producción, y que nadie pueda descargar componentes de fuentes no fiables.
Los ataques a la cadena de suministro pueden adoptar muchas formas. El famoso ataque a SolarWinds comenzó cuando unos atacantes rusos introdujeron malware en una actualización del popular software de gestión de redes de la empresa. Afectó a unos 18 000 clientes. Aunque el número de empresas realmente afectadas fue más bien de 100, esta lista también incluía grandes empresas y organismos gubernamentales. El hackeo de Bybit, valorado en 1500 millones de dólares y atribuido a Corea del Norte, afectó a aplicaciones de criptomonedas comprometidas. El último ataque a la cadena de suministro, Glaswurm, implicó un código invisible y autorreplicante que infectó el Open VSX Marketplace.
Prevención de exploits en la cadena de suministro
Dado que los ataques a la cadena de suministro se basan en la interdependencia de los sistemas, la defensa contra estos ataques requiere un enfoque integral. OWASP ofrece consejos para prevenir ataques, incluida la implementación de procesos de gestión de parches para:
- Infórmese sobre su lista de componentes de software (SBOM) para todo el software y gestione la SBOM de forma centralizada. Se recomienda generar las SBOM durante la compilación y no posteriormente, utilizando formatos estándar como SPDX o CyclonedX, y publicar al menos una SBOM legible por máquina por cada versión.
- Realice un seguimiento de todas sus dependencias, incluidas las transitivas, y elimine las dependencias no utilizadas, así como las funciones, componentes, archivos y documentación innecesarios.
- Realice un inventario continuo de los componentes tanto del lado del cliente como del lado del servidor y sus dependencias utilizando herramientas como OWASP Dependency Scanner o retire.js.
- Manténgase al tanto de las vulnerabilidades de seguridad y supervise continuamente fuentes como el sitio web Frequent Vulnerabilities and Exploits (CVE) y la Base de datos nacional de vulnerabilidades (NVD), y suscríbase a las notificaciones por correo electrónico sobre vulnerabilidades relacionadas con los componentes que utiliza.
- Utilice componentes que obtenga únicamente de fuentes fiables a través de enlaces seguros. Un proveedor fiable estaría dispuesto, por ejemplo, a colaborar con un investigador para publicar un CVE que este haya descubierto en un componente.
- Seleccione cuidadosamente qué versión de una dependencia desea utilizar y realice la actualización solo cuando sea necesario. Trabaje con bibliotecas de terceros cuyas vulnerabilidades de seguridad se hayan publicado en una fuente conocida, como NVD.
- Compruebe si las bibliotecas y los componentes no reciben mantenimiento o no son compatibles. Si no es posible aplicar parches, considere la posibilidad de proporcionar un parche virtual para supervisar, detectar o proteger contra el problema detectado.
- Actualice regularmente las herramientas de desarrollo.
- Trate los componentes de su canalización CI/CD como parte de este proceso, fortaleciéndolos y supervisándolos, al tiempo que documenta los cambios.
La gestión del cambio o un proceso de seguimiento también deben aplicarse a sus configuraciones de CI/CD, repositorios de código, entornos de pruebas, entornos de desarrollo integrados (IDE), herramientas SBOM, artefactos creados, sistemas de registro y registros, integraciones de terceros como SaaS, repositorios de artefactos y su registro de contenedores. También debe proteger los sistemas, desde los puestos de trabajo de los desarrolladores hasta el canal de CI/CD. Asegúrese de habilitar la autenticación multifactorial y, al mismo tiempo, aplicar políticas estrictas de gestión de identidades y accesos.
La protección contra fallos en la cadena de suministro de software es una tarea compleja y continua, dado lo interconectado que está nuestro mundo. Las empresas deben adoptar medidas de defensa sólidas durante todo el ciclo de vida de sus aplicaciones y componentes para protegerse de esta amenaza moderna y en rápida evolución.
Aviso para los usuariosde SCW Trust Score™ :
Mientras actualizamos el contenido de nuestra plataforma de aprendizaje para adaptarlo al estándar OWASP Top 10 2025, es posible que observe ligeros ajustes en la puntuación de confianza de sus desarrolladores full stack. Si tiene alguna pregunta o necesita ayuda, póngase en contacto con su representante de atención al cliente.
OWASP Top 10 2025 incluye los errores en la cadena de suministro de software en el puesto n.º 3. Reduzca este grave riesgo mediante SBOM estrictas, el seguimiento de las dependencias y el refuerzo del proceso de CI/CD.
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
Con la esperada llegada del Top Ten de OWASP 2025, las empresas se enfrentan a una serie de nuevas amenazas a las que deben prestar especial atención, entre ellas una que ocupa el primer puesto de la lista. Los errores en la cadena de suministro de software, que se introducen como una nueva categoría, pero que no son del todo nuevos, ocupan el tercer lugar en la lista cuatrienal de los riesgos de seguridad más graves para las aplicaciones web del Open Web Application Security Project. Se trata de un riesgo que las empresas deben tomarse muy en serio, si es que aún no lo hacen.
Los errores en la cadena de suministro de software provienen de una categoría de la lista anterior de 2021. Componentes vulnerables y obsoletos, y ahora abarca una gama más amplia de compromisos en todo el ecosistema de software, desde dependencias, sistemas de compilación e infraestructuras de distribución. Y su aparición en la lista no debería sorprender demasiado, dado el daño causado por los ataques de alto perfil a la cadena de suministro, como SolarWinds en 2019, el hackeo de Bybit a principios de este año y la actual campaña Shai-Hulud, un gusano npm especialmente malicioso y autorreplicante que causa estragos en entornos de desarrollo expuestos.
Las diez principales amenazas de OWASP fueron, en general, coherentes, lo que se corresponde con una lista que se publica cada cuatro años, aunque con actualizaciones intermedias. Normalmente hay algunos cambios dentro de la lista: por ejemplo, la inyección, una amenaza habitual desde hace años, cae del tercer al quinto puesto, y el diseño inseguro baja dos puestos hasta el sexto, mientras que la configuración de seguridad incorrecta sube del quinto al segundo puesto. Broken Access Control sigue ocupando el primer puesto. La edición de 2025 incluye dos nuevas entradas: los ya mencionados errores en la cadena de suministro de software y el manejo incorrecto de condiciones excepcionales, que ocupan el décimo puesto de la lista. A continuación, analizaremos más detenidamente la nueva entrada sobre las vulnerabilidades en la cadena de suministro.
Las brechas de seguridad pueden aparecer prácticamente en cualquier lugar.
Los fallos en la cadena de suministro de software son una categoría algo inusual en la lista, ya que, de las 10 entradas, es la que menos apariciones tiene en los datos de investigación de OWASP, pero también la que presenta los valores medios más altos de explotación e impacto, según se desprende de las cinco enumeraciones de debilidades comunes (CWE) de esta categoría. OWASP parte de la base de que la presencia limitada de esta categoría se debe a los retos actuales a la hora de realizar pruebas en esta categoría, lo que en última instancia podría mejorar. Independientemente de ello, la inmensa mayoría de los participantes en la encuesta mencionaron los fallos en la cadena de suministro de software como el principal problema.
La mayoría de las vulnerabilidades de seguridad en la cadena de suministro surgen de la interconexión de las actividades comerciales en las que participan socios y terceros tanto upstream como downstream. Cada interacción implica software cuyos componentes (también conocidos como dependencias o bibliotecas) podrían estar desprotegidos. Una empresa puede ser vulnerable si no realiza un seguimiento de todas las versiones de sus propios componentes (del lado del cliente, del lado del servidor o anidados), así como de las dependencias transitivas (de otras bibliotecas), para asegurarse de que no sean vulnerables, no estén soportadas o estén obsoletas. Los componentes suelen tener los mismos derechos que la aplicación, por lo que los componentes comprometidos, incluidos los que provienen de terceros o de repositorios de código abierto, pueden tener un impacto de gran alcance. Es esencial aplicar parches y actualizaciones a tiempo. Incluso los planes de parches mensuales o trimestrales regulares pueden dejar a una empresa expuesta al peligro durante días o meses.
Del mismo modo, la falta de un proceso de gestión del cambio en su cadena de suministro puede dar lugar a brechas de seguridad si no realiza un seguimiento de los entornos de desarrollo integrados (IDE) o de los cambios en su repositorio de código, sus repositorios de imágenes y bibliotecas u otras partes de la cadena de suministro. Una empresa debe proteger la cadena de suministro aplicando controles de acceso y políticas de privilegios mínimos para garantizar que nadie pueda crear código y utilizarlo sin supervisión en la producción, y que nadie pueda descargar componentes de fuentes no fiables.
Los ataques a la cadena de suministro pueden adoptar muchas formas. El famoso ataque a SolarWinds comenzó cuando unos atacantes rusos introdujeron malware en una actualización del popular software de gestión de redes de la empresa. Afectó a unos 18 000 clientes. Aunque el número de empresas realmente afectadas fue más bien de 100, esta lista también incluía grandes empresas y organismos gubernamentales. El hackeo de Bybit, valorado en 1500 millones de dólares y atribuido a Corea del Norte, afectó a aplicaciones de criptomonedas comprometidas. El último ataque a la cadena de suministro, Glaswurm, implicó un código invisible y autorreplicante que infectó el Open VSX Marketplace.
Prevención de exploits en la cadena de suministro
Dado que los ataques a la cadena de suministro se basan en la interdependencia de los sistemas, la defensa contra estos ataques requiere un enfoque integral. OWASP ofrece consejos para prevenir ataques, incluida la implementación de procesos de gestión de parches para:
- Infórmese sobre su lista de componentes de software (SBOM) para todo el software y gestione la SBOM de forma centralizada. Se recomienda generar las SBOM durante la compilación y no posteriormente, utilizando formatos estándar como SPDX o CyclonedX, y publicar al menos una SBOM legible por máquina por cada versión.
- Realice un seguimiento de todas sus dependencias, incluidas las transitivas, y elimine las dependencias no utilizadas, así como las funciones, componentes, archivos y documentación innecesarios.
- Realice un inventario continuo de los componentes tanto del lado del cliente como del lado del servidor y sus dependencias utilizando herramientas como OWASP Dependency Scanner o retire.js.
- Manténgase al tanto de las vulnerabilidades de seguridad y supervise continuamente fuentes como el sitio web Frequent Vulnerabilities and Exploits (CVE) y la Base de datos nacional de vulnerabilidades (NVD), y suscríbase a las notificaciones por correo electrónico sobre vulnerabilidades relacionadas con los componentes que utiliza.
- Utilice componentes que obtenga únicamente de fuentes fiables a través de enlaces seguros. Un proveedor fiable estaría dispuesto, por ejemplo, a colaborar con un investigador para publicar un CVE que este haya descubierto en un componente.
- Seleccione cuidadosamente qué versión de una dependencia desea utilizar y realice la actualización solo cuando sea necesario. Trabaje con bibliotecas de terceros cuyas vulnerabilidades de seguridad se hayan publicado en una fuente conocida, como NVD.
- Compruebe si las bibliotecas y los componentes no reciben mantenimiento o no son compatibles. Si no es posible aplicar parches, considere la posibilidad de proporcionar un parche virtual para supervisar, detectar o proteger contra el problema detectado.
- Actualice regularmente las herramientas de desarrollo.
- Trate los componentes de su canalización CI/CD como parte de este proceso, fortaleciéndolos y supervisándolos, al tiempo que documenta los cambios.
La gestión del cambio o un proceso de seguimiento también deben aplicarse a sus configuraciones de CI/CD, repositorios de código, entornos de pruebas, entornos de desarrollo integrados (IDE), herramientas SBOM, artefactos creados, sistemas de registro y registros, integraciones de terceros como SaaS, repositorios de artefactos y su registro de contenedores. También debe proteger los sistemas, desde los puestos de trabajo de los desarrolladores hasta el canal de CI/CD. Asegúrese de habilitar la autenticación multifactorial y, al mismo tiempo, aplicar políticas estrictas de gestión de identidades y accesos.
La protección contra fallos en la cadena de suministro de software es una tarea compleja y continua, dado lo interconectado que está nuestro mundo. Las empresas deben adoptar medidas de defensa sólidas durante todo el ciclo de vida de sus aplicaciones y componentes para protegerse de esta amenaza moderna y en rápida evolución.
Aviso para los usuariosde SCW Trust Score™ :
Mientras actualizamos el contenido de nuestra plataforma de aprendizaje para adaptarlo al estándar OWASP Top 10 2025, es posible que observe ligeros ajustes en la puntuación de confianza de sus desarrolladores full stack. Si tiene alguna pregunta o necesita ayuda, póngase en contacto con su representante de atención al cliente.
Con la esperada llegada del Top Ten de OWASP 2025, las empresas se enfrentan a una serie de nuevas amenazas a las que deben prestar especial atención, entre ellas una que ocupa el primer puesto de la lista. Los errores en la cadena de suministro de software, que se introducen como una nueva categoría, pero que no son del todo nuevos, ocupan el tercer lugar en la lista cuatrienal de los riesgos de seguridad más graves para las aplicaciones web del Open Web Application Security Project. Se trata de un riesgo que las empresas deben tomarse muy en serio, si es que aún no lo hacen.
Los errores en la cadena de suministro de software provienen de una categoría de la lista anterior de 2021. Componentes vulnerables y obsoletos, y ahora abarca una gama más amplia de compromisos en todo el ecosistema de software, desde dependencias, sistemas de compilación e infraestructuras de distribución. Y su aparición en la lista no debería sorprender demasiado, dado el daño causado por los ataques de alto perfil a la cadena de suministro, como SolarWinds en 2019, el hackeo de Bybit a principios de este año y la actual campaña Shai-Hulud, un gusano npm especialmente malicioso y autorreplicante que causa estragos en entornos de desarrollo expuestos.
Las diez principales amenazas de OWASP fueron, en general, coherentes, lo que se corresponde con una lista que se publica cada cuatro años, aunque con actualizaciones intermedias. Normalmente hay algunos cambios dentro de la lista: por ejemplo, la inyección, una amenaza habitual desde hace años, cae del tercer al quinto puesto, y el diseño inseguro baja dos puestos hasta el sexto, mientras que la configuración de seguridad incorrecta sube del quinto al segundo puesto. Broken Access Control sigue ocupando el primer puesto. La edición de 2025 incluye dos nuevas entradas: los ya mencionados errores en la cadena de suministro de software y el manejo incorrecto de condiciones excepcionales, que ocupan el décimo puesto de la lista. A continuación, analizaremos más detenidamente la nueva entrada sobre las vulnerabilidades en la cadena de suministro.
Las brechas de seguridad pueden aparecer prácticamente en cualquier lugar.
Los fallos en la cadena de suministro de software son una categoría algo inusual en la lista, ya que, de las 10 entradas, es la que menos apariciones tiene en los datos de investigación de OWASP, pero también la que presenta los valores medios más altos de explotación e impacto, según se desprende de las cinco enumeraciones de debilidades comunes (CWE) de esta categoría. OWASP parte de la base de que la presencia limitada de esta categoría se debe a los retos actuales a la hora de realizar pruebas en esta categoría, lo que en última instancia podría mejorar. Independientemente de ello, la inmensa mayoría de los participantes en la encuesta mencionaron los fallos en la cadena de suministro de software como el principal problema.
La mayoría de las vulnerabilidades de seguridad en la cadena de suministro surgen de la interconexión de las actividades comerciales en las que participan socios y terceros tanto upstream como downstream. Cada interacción implica software cuyos componentes (también conocidos como dependencias o bibliotecas) podrían estar desprotegidos. Una empresa puede ser vulnerable si no realiza un seguimiento de todas las versiones de sus propios componentes (del lado del cliente, del lado del servidor o anidados), así como de las dependencias transitivas (de otras bibliotecas), para asegurarse de que no sean vulnerables, no estén soportadas o estén obsoletas. Los componentes suelen tener los mismos derechos que la aplicación, por lo que los componentes comprometidos, incluidos los que provienen de terceros o de repositorios de código abierto, pueden tener un impacto de gran alcance. Es esencial aplicar parches y actualizaciones a tiempo. Incluso los planes de parches mensuales o trimestrales regulares pueden dejar a una empresa expuesta al peligro durante días o meses.
Del mismo modo, la falta de un proceso de gestión del cambio en su cadena de suministro puede dar lugar a brechas de seguridad si no realiza un seguimiento de los entornos de desarrollo integrados (IDE) o de los cambios en su repositorio de código, sus repositorios de imágenes y bibliotecas u otras partes de la cadena de suministro. Una empresa debe proteger la cadena de suministro aplicando controles de acceso y políticas de privilegios mínimos para garantizar que nadie pueda crear código y utilizarlo sin supervisión en la producción, y que nadie pueda descargar componentes de fuentes no fiables.
Los ataques a la cadena de suministro pueden adoptar muchas formas. El famoso ataque a SolarWinds comenzó cuando unos atacantes rusos introdujeron malware en una actualización del popular software de gestión de redes de la empresa. Afectó a unos 18 000 clientes. Aunque el número de empresas realmente afectadas fue más bien de 100, esta lista también incluía grandes empresas y organismos gubernamentales. El hackeo de Bybit, valorado en 1500 millones de dólares y atribuido a Corea del Norte, afectó a aplicaciones de criptomonedas comprometidas. El último ataque a la cadena de suministro, Glaswurm, implicó un código invisible y autorreplicante que infectó el Open VSX Marketplace.
Prevención de exploits en la cadena de suministro
Dado que los ataques a la cadena de suministro se basan en la interdependencia de los sistemas, la defensa contra estos ataques requiere un enfoque integral. OWASP ofrece consejos para prevenir ataques, incluida la implementación de procesos de gestión de parches para:
- Infórmese sobre su lista de componentes de software (SBOM) para todo el software y gestione la SBOM de forma centralizada. Se recomienda generar las SBOM durante la compilación y no posteriormente, utilizando formatos estándar como SPDX o CyclonedX, y publicar al menos una SBOM legible por máquina por cada versión.
- Realice un seguimiento de todas sus dependencias, incluidas las transitivas, y elimine las dependencias no utilizadas, así como las funciones, componentes, archivos y documentación innecesarios.
- Realice un inventario continuo de los componentes tanto del lado del cliente como del lado del servidor y sus dependencias utilizando herramientas como OWASP Dependency Scanner o retire.js.
- Manténgase al tanto de las vulnerabilidades de seguridad y supervise continuamente fuentes como el sitio web Frequent Vulnerabilities and Exploits (CVE) y la Base de datos nacional de vulnerabilidades (NVD), y suscríbase a las notificaciones por correo electrónico sobre vulnerabilidades relacionadas con los componentes que utiliza.
- Utilice componentes que obtenga únicamente de fuentes fiables a través de enlaces seguros. Un proveedor fiable estaría dispuesto, por ejemplo, a colaborar con un investigador para publicar un CVE que este haya descubierto en un componente.
- Seleccione cuidadosamente qué versión de una dependencia desea utilizar y realice la actualización solo cuando sea necesario. Trabaje con bibliotecas de terceros cuyas vulnerabilidades de seguridad se hayan publicado en una fuente conocida, como NVD.
- Compruebe si las bibliotecas y los componentes no reciben mantenimiento o no son compatibles. Si no es posible aplicar parches, considere la posibilidad de proporcionar un parche virtual para supervisar, detectar o proteger contra el problema detectado.
- Actualice regularmente las herramientas de desarrollo.
- Trate los componentes de su canalización CI/CD como parte de este proceso, fortaleciéndolos y supervisándolos, al tiempo que documenta los cambios.
La gestión del cambio o un proceso de seguimiento también deben aplicarse a sus configuraciones de CI/CD, repositorios de código, entornos de pruebas, entornos de desarrollo integrados (IDE), herramientas SBOM, artefactos creados, sistemas de registro y registros, integraciones de terceros como SaaS, repositorios de artefactos y su registro de contenedores. También debe proteger los sistemas, desde los puestos de trabajo de los desarrolladores hasta el canal de CI/CD. Asegúrese de habilitar la autenticación multifactorial y, al mismo tiempo, aplicar políticas estrictas de gestión de identidades y accesos.
La protección contra fallos en la cadena de suministro de software es una tarea compleja y continua, dado lo interconectado que está nuestro mundo. Las empresas deben adoptar medidas de defensa sólidas durante todo el ciclo de vida de sus aplicaciones y componentes para protegerse de esta amenaza moderna y en rápida evolución.
Aviso para los usuariosde SCW Trust Score™ :
Mientras actualizamos el contenido de nuestra plataforma de aprendizaje para adaptarlo al estándar OWASP Top 10 2025, es posible que observe ligeros ajustes en la puntuación de confianza de sus desarrolladores full stack. Si tiene alguna pregunta o necesita ayuda, póngase en contacto con su representante de atención al cliente.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
Con la esperada llegada del Top Ten de OWASP 2025, las empresas se enfrentan a una serie de nuevas amenazas a las que deben prestar especial atención, entre ellas una que ocupa el primer puesto de la lista. Los errores en la cadena de suministro de software, que se introducen como una nueva categoría, pero que no son del todo nuevos, ocupan el tercer lugar en la lista cuatrienal de los riesgos de seguridad más graves para las aplicaciones web del Open Web Application Security Project. Se trata de un riesgo que las empresas deben tomarse muy en serio, si es que aún no lo hacen.
Los errores en la cadena de suministro de software provienen de una categoría de la lista anterior de 2021. Componentes vulnerables y obsoletos, y ahora abarca una gama más amplia de compromisos en todo el ecosistema de software, desde dependencias, sistemas de compilación e infraestructuras de distribución. Y su aparición en la lista no debería sorprender demasiado, dado el daño causado por los ataques de alto perfil a la cadena de suministro, como SolarWinds en 2019, el hackeo de Bybit a principios de este año y la actual campaña Shai-Hulud, un gusano npm especialmente malicioso y autorreplicante que causa estragos en entornos de desarrollo expuestos.
Las diez principales amenazas de OWASP fueron, en general, coherentes, lo que se corresponde con una lista que se publica cada cuatro años, aunque con actualizaciones intermedias. Normalmente hay algunos cambios dentro de la lista: por ejemplo, la inyección, una amenaza habitual desde hace años, cae del tercer al quinto puesto, y el diseño inseguro baja dos puestos hasta el sexto, mientras que la configuración de seguridad incorrecta sube del quinto al segundo puesto. Broken Access Control sigue ocupando el primer puesto. La edición de 2025 incluye dos nuevas entradas: los ya mencionados errores en la cadena de suministro de software y el manejo incorrecto de condiciones excepcionales, que ocupan el décimo puesto de la lista. A continuación, analizaremos más detenidamente la nueva entrada sobre las vulnerabilidades en la cadena de suministro.
Las brechas de seguridad pueden aparecer prácticamente en cualquier lugar.
Los fallos en la cadena de suministro de software son una categoría algo inusual en la lista, ya que, de las 10 entradas, es la que menos apariciones tiene en los datos de investigación de OWASP, pero también la que presenta los valores medios más altos de explotación e impacto, según se desprende de las cinco enumeraciones de debilidades comunes (CWE) de esta categoría. OWASP parte de la base de que la presencia limitada de esta categoría se debe a los retos actuales a la hora de realizar pruebas en esta categoría, lo que en última instancia podría mejorar. Independientemente de ello, la inmensa mayoría de los participantes en la encuesta mencionaron los fallos en la cadena de suministro de software como el principal problema.
La mayoría de las vulnerabilidades de seguridad en la cadena de suministro surgen de la interconexión de las actividades comerciales en las que participan socios y terceros tanto upstream como downstream. Cada interacción implica software cuyos componentes (también conocidos como dependencias o bibliotecas) podrían estar desprotegidos. Una empresa puede ser vulnerable si no realiza un seguimiento de todas las versiones de sus propios componentes (del lado del cliente, del lado del servidor o anidados), así como de las dependencias transitivas (de otras bibliotecas), para asegurarse de que no sean vulnerables, no estén soportadas o estén obsoletas. Los componentes suelen tener los mismos derechos que la aplicación, por lo que los componentes comprometidos, incluidos los que provienen de terceros o de repositorios de código abierto, pueden tener un impacto de gran alcance. Es esencial aplicar parches y actualizaciones a tiempo. Incluso los planes de parches mensuales o trimestrales regulares pueden dejar a una empresa expuesta al peligro durante días o meses.
Del mismo modo, la falta de un proceso de gestión del cambio en su cadena de suministro puede dar lugar a brechas de seguridad si no realiza un seguimiento de los entornos de desarrollo integrados (IDE) o de los cambios en su repositorio de código, sus repositorios de imágenes y bibliotecas u otras partes de la cadena de suministro. Una empresa debe proteger la cadena de suministro aplicando controles de acceso y políticas de privilegios mínimos para garantizar que nadie pueda crear código y utilizarlo sin supervisión en la producción, y que nadie pueda descargar componentes de fuentes no fiables.
Los ataques a la cadena de suministro pueden adoptar muchas formas. El famoso ataque a SolarWinds comenzó cuando unos atacantes rusos introdujeron malware en una actualización del popular software de gestión de redes de la empresa. Afectó a unos 18 000 clientes. Aunque el número de empresas realmente afectadas fue más bien de 100, esta lista también incluía grandes empresas y organismos gubernamentales. El hackeo de Bybit, valorado en 1500 millones de dólares y atribuido a Corea del Norte, afectó a aplicaciones de criptomonedas comprometidas. El último ataque a la cadena de suministro, Glaswurm, implicó un código invisible y autorreplicante que infectó el Open VSX Marketplace.
Prevención de exploits en la cadena de suministro
Dado que los ataques a la cadena de suministro se basan en la interdependencia de los sistemas, la defensa contra estos ataques requiere un enfoque integral. OWASP ofrece consejos para prevenir ataques, incluida la implementación de procesos de gestión de parches para:
- Infórmese sobre su lista de componentes de software (SBOM) para todo el software y gestione la SBOM de forma centralizada. Se recomienda generar las SBOM durante la compilación y no posteriormente, utilizando formatos estándar como SPDX o CyclonedX, y publicar al menos una SBOM legible por máquina por cada versión.
- Realice un seguimiento de todas sus dependencias, incluidas las transitivas, y elimine las dependencias no utilizadas, así como las funciones, componentes, archivos y documentación innecesarios.
- Realice un inventario continuo de los componentes tanto del lado del cliente como del lado del servidor y sus dependencias utilizando herramientas como OWASP Dependency Scanner o retire.js.
- Manténgase al tanto de las vulnerabilidades de seguridad y supervise continuamente fuentes como el sitio web Frequent Vulnerabilities and Exploits (CVE) y la Base de datos nacional de vulnerabilidades (NVD), y suscríbase a las notificaciones por correo electrónico sobre vulnerabilidades relacionadas con los componentes que utiliza.
- Utilice componentes que obtenga únicamente de fuentes fiables a través de enlaces seguros. Un proveedor fiable estaría dispuesto, por ejemplo, a colaborar con un investigador para publicar un CVE que este haya descubierto en un componente.
- Seleccione cuidadosamente qué versión de una dependencia desea utilizar y realice la actualización solo cuando sea necesario. Trabaje con bibliotecas de terceros cuyas vulnerabilidades de seguridad se hayan publicado en una fuente conocida, como NVD.
- Compruebe si las bibliotecas y los componentes no reciben mantenimiento o no son compatibles. Si no es posible aplicar parches, considere la posibilidad de proporcionar un parche virtual para supervisar, detectar o proteger contra el problema detectado.
- Actualice regularmente las herramientas de desarrollo.
- Trate los componentes de su canalización CI/CD como parte de este proceso, fortaleciéndolos y supervisándolos, al tiempo que documenta los cambios.
La gestión del cambio o un proceso de seguimiento también deben aplicarse a sus configuraciones de CI/CD, repositorios de código, entornos de pruebas, entornos de desarrollo integrados (IDE), herramientas SBOM, artefactos creados, sistemas de registro y registros, integraciones de terceros como SaaS, repositorios de artefactos y su registro de contenedores. También debe proteger los sistemas, desde los puestos de trabajo de los desarrolladores hasta el canal de CI/CD. Asegúrese de habilitar la autenticación multifactorial y, al mismo tiempo, aplicar políticas estrictas de gestión de identidades y accesos.
La protección contra fallos en la cadena de suministro de software es una tarea compleja y continua, dado lo interconectado que está nuestro mundo. Las empresas deben adoptar medidas de defensa sólidas durante todo el ciclo de vida de sus aplicaciones y componentes para protegerse de esta amenaza moderna y en rápida evolución.
Aviso para los usuariosde SCW Trust Score™ :
Mientras actualizamos el contenido de nuestra plataforma de aprendizaje para adaptarlo al estándar OWASP Top 10 2025, es posible que observe ligeros ajustes en la puntuación de confianza de sus desarrolladores full stack. Si tiene alguna pregunta o necesita ayuda, póngase en contacto con su representante de atención al cliente.
Índice
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
