OWASP Top 10 2025: Fallos en la cadena de suministro de software
Con la llegada tanesperada de 2025, las empresas deben prestar especial atención a varias amenazas nuevas, incluidas las que acechan cerca de los primeros puestos de la lista. Fallos en la cadena de suministro de softwareAunque ha aparecido como una nueva categoría en la lista de los riesgos más graves para la seguridad de las aplicaciones web que el Open Web Application Security Project elaboracada cuatro años, no se trata de una categoría totalmente nueva. Las empresas deben tomarse muy en serio este riesgo, aunque todavía no lo hayan hecho.
Los fallos en la cadena de suministro de software dejaron de figurar en la categoría anterior de la lista en 2021. Ahorase incluyen componentes vulnerables y obsoletos, así como una amplia gama de vulnerabilidades que afectan a todo el ecosistema de software, como las dependencias, los sistemas de compilación y la infraestructura de distribución. Y, teniendo en cuenta los daños causados por ataques a la cadena de suministro tan notorios como los siguientes, no es de extrañar que figuren en la lista. SolarWinds en 2019, el hackeo de Bybit a principios de este año y la operación Shai Flood, actualmente en curso, un gusano npm especialmente molesto y autorreplicante que causa estragos en los entornos de desarrollo públicos.
El Top 10 de OWASP es bastante coherente y, aunque se actualiza periódicamente, es adecuado que la lista se publique cada cuatro años. Por lo general, la lista sufre algunos cambios. Por ejemplo, la inyección, que ha sido un elemento constante durante muchos años, ha bajado del tercer al quinto puesto, el diseño inseguro ha bajado dos puestos hasta el sexto y la configuración de seguridad incorrecta ha subido del quinto al segundo puesto.El control de acceso roto sigue ocupando el primer puesto. En la edición de 2025 se han añadido dos nuevos elementos, «fallos en la cadena de suministro de software» y «manejo inadecuado de condiciones excepcionales», que ocupan el décimo puesto. A continuación, analizaremos en detalle la nueva entrada relativa a las vulnerabilidades de la cadena de suministro.
Las vulnerabilidades pueden surgir prácticamente en cualquier lugar.
Los fallos en la cadena de suministro de software son una categoría poco habitual en la lista, ya que, de las diez entradas, son los que menos casos se han registrado en los datos de la encuesta de OWASP. Sin embargo, como resultado de las cinco vulnerabilidades comunes enumeradas (CWE) en esta categoría, también obtuvieron la puntuación media más alta en cuanto a exploits e impacto.OWASP sospecha que la presencia limitada de esta categoría se debe a los retos actuales en las pruebas y que, en última instancia, es posible que mejore. En cualquier caso, la gran mayoría de los encuestados mencionan las fallas en la cadena de suministro de software como su mayor preocupación.
La mayor vulnerabilidad de la cadena de suministro Es crecer alejándose de los negocios interrelacionados en los que participan socios y terceros tanto en la parte superior como en la inferior de la cadena. Todas las interacciones implican software sin protección de componentes (también conocidos como dependencias o bibliotecas).Si las empresas no realizan un seguimiento de todas las versiones de sus componentes (del lado del cliente, del lado del servidor o anidados) y de las dependencias transitorias (de otras bibliotecas), no pueden asegurarse de que no sean vulnerables, no estén soportadas o estén obsoletas, lo que las hace vulnerables.Normalmente, los componentes tienen los mismos privilegios que las aplicaciones, por lo que los componentes comprometidos pueden tener un amplio alcance, incluidos los componentes proporcionados por terceros y los repositorios de código abierto. Es esencial aplicar parches y actualizaciones de forma oportuna. Incluso con un programa de parches mensual o trimestral, las empresas pueden estar expuestas a riesgos durante días o meses.
Del mismo modo, si el entorno de desarrollo integrado (IDE), repositorios de código, repositorios de imágenes y bibliotecas, u otras partes de la cadena de suministro, la falta de un proceso de control de cambios en la cadena de suministro puede dar lugar a vulnerabilidades. Las organizaciones deben reforzar la cadena de suministro aplicando políticas de control de acceso y de privilegios mínimos. De este modo, se garantiza que las personas no puedan crear código y desplegarlo en entornos de producción sin supervisión, ni descargar componentes de fuentes no fiables.
Los ataques a la cadena de suministro pueden adoptar diversas formas. El famoso ataque a SolarWinds comenzó cuando unos atacantes rusos inyectaron malware en la actualización del popular software de gestión de redes de la empresa.Afectó a unos 18 000 clientes. El número real de empresas afectadas fue de casi 100, entre las que se encontraban grandes empresas y organismos gubernamentales. El hackeo de Bybit, que ascendió a 1500 millones de dólares y se remonta a Corea del Norte, incluyó la aplicación de criptomonedas comprometida. El reciente ataque a la cadena de suministro de Glassworm incluyó código invisible y autorreplicante que infectó Open VSX Marketplace.
Prevención de exploits en la cadena de suministro
Los ataques a la cadena de suministro implican una interdependencia entre los sistemas, por lo que se requiere un enfoque integral para defenderse de ellos. OWASP ofrece consejos para prevenir estos ataques, como la implementación de un proceso de gestión de parches.
- Se debe conocer la lista de componentes de software (SBOM) de todo el software y gestionarla de forma centralizada. En lugar de generar la SBOM posteriormente utilizando formatos estándar como SPDX o CycloneDX, lo mejor es generarla durante la compilación y publicar al menos una SBOM legible por máquina para cada lanzamiento.
- Rastreamos todas las dependencias, incluidas las dependencias transitorias, eliminamos las dependencias no utilizadas y eliminamos las funciones, componentes, archivos y documentos innecesarios.
- Utilice herramientas como OWASP Dependency Check o retire.jspara realizar un inventario continuo de los componentes del lado del cliente y del lado del servidor, así como de sus dependencias.
- Manténgase al tanto de las últimas novedades sobre vulnerabilidades mediante un seguimiento continuo de las siguientes causas. Suscríbase a las alertas por correo electrónico sobre vulnerabilidades de seguridad relacionadas con los componentes que utiliza a través del sitio web Common Vulnerabilities and Exposures (CVE) y la base de datos National Vulnerability Database (NVD).
- Utilice componentes obtenidos únicamente de fuentes fiables a través de enlaces seguros. Por ejemplo, un proveedor fiable colaborará con los investigadores y querrá divulgar los CVE que estos hayan descubierto en los componentes.
- Seleccione deliberadamente la versión de las dependencias que va a utilizar y actualícelas solo cuando sea necesario. Trabaje con bibliotecas de terceros cuyas vulnerabilidades se hayan publicado en fuentes conocidas, como NVD.
- Supervisa las bibliotecas y componentes que no se mantienen o no son compatibles. Si no es posible aplicar parches, considere la posibilidad de introducir parches virtuales para supervisar, detectar o proteger los problemas detectados.
- Actualizamos periódicamente las herramientas para desarrolladores.
- Tratamos los componentes de la canalización de CI/CD como parte de este proceso, y los reforzamos y supervisamos mientras documentamos los cambios.
El proceso de gestión o seguimiento de cambios también debe aplicarse a integraciones de terceros, como la configuración de CI/CD, repositorios de código, entornos de pruebas, entornos de desarrollo integrado (IDE), herramientas SBOM, artefactos creados, sistemas de registro y registros, SaaS, repositorios de artefactos y registros de contenedores.Además, es necesario reforzar el sistema desde las estaciones de trabajo de los desarrolladores hasta el canal de CI/CD. También se debe habilitar la autenticación multifactorial, al tiempo que se aplican políticas sólidas de gestión de identidades y control de acceso.
La protección contra las amenazas a la cadena de suministro de software es una tarea multifacética y continua en un mundo altamente interconectado. Las organizaciones deben implementar medidas de defensa sólidas a lo largo de todo el ciclo de vida de las aplicaciones y los componentes para protegerse de estas amenazas modernas en rápida evolución.
Notas sobre SCW Trust Score™ Usuario:
Al actualizar el contenido de la plataforma de aprendizaje de acuerdo con los estándares OWASP Top 10 2025, es posible que se produzcan algunos ajustes en la puntuación de confianza de los desarrolladores full stack. Si tiene alguna pregunta o necesita ayuda, póngase en contacto con su representante de éxito del cliente.
En el Top 10 de OWASP para 2025, las fallas en la cadena de suministro de software ocupan el tercer lugar. Reduzca este riesgo de gran impacto mediante el uso de SBOM rigurosas, el seguimiento de las dependencias y el fortalecimiento de los procesos de CI/CD.
Secure Code Warrior convierte la programación segura en una experiencia positiva y atractiva a medida que los desarrolladores mejoran sus habilidades. Guía a cada programador por la ruta de aprendizaje que desea, para que los desarrolladores con habilidades de seguridad puedan convertirse en superhéroes en el mundo conectado en el que vivimos.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Secure Code Warrior convierte la programación segura en una experiencia positiva y atractiva a medida que los desarrolladores mejoran sus habilidades. Guía a cada programador por la ruta de aprendizaje que desea, para que los desarrolladores con habilidades de seguridad puedan convertirse en superhéroes en el mundo conectado en el que vivimos.
Este artículo ha sido escrito por el equipo de expertos del sector de Secure Code Warrior. Su objetivo es que los desarrolladores adquieran los conocimientos y habilidades necesarios para crear software seguro desde el principio. Aprovecha los profundos conocimientos especializados sobre la práctica de la codificación segura, las tendencias del sector y las perspectivas del mundo real.
Con la llegada tanesperada de 2025, las empresas deben prestar especial atención a varias amenazas nuevas, incluidas las que acechan cerca de los primeros puestos de la lista. Fallos en la cadena de suministro de softwareAunque ha aparecido como una nueva categoría en la lista de los riesgos más graves para la seguridad de las aplicaciones web que el Open Web Application Security Project elaboracada cuatro años, no se trata de una categoría totalmente nueva. Las empresas deben tomarse muy en serio este riesgo, aunque todavía no lo hayan hecho.
Los fallos en la cadena de suministro de software dejaron de figurar en la categoría anterior de la lista en 2021. Ahorase incluyen componentes vulnerables y obsoletos, así como una amplia gama de vulnerabilidades que afectan a todo el ecosistema de software, como las dependencias, los sistemas de compilación y la infraestructura de distribución. Y, teniendo en cuenta los daños causados por ataques a la cadena de suministro tan notorios como los siguientes, no es de extrañar que figuren en la lista. SolarWinds en 2019, el hackeo de Bybit a principios de este año y la operación Shai Flood, actualmente en curso, un gusano npm especialmente molesto y autorreplicante que causa estragos en los entornos de desarrollo públicos.
El Top 10 de OWASP es bastante coherente y, aunque se actualiza periódicamente, es adecuado que la lista se publique cada cuatro años. Por lo general, la lista sufre algunos cambios. Por ejemplo, la inyección, que ha sido un elemento constante durante muchos años, ha bajado del tercer al quinto puesto, el diseño inseguro ha bajado dos puestos hasta el sexto y la configuración de seguridad incorrecta ha subido del quinto al segundo puesto.El control de acceso roto sigue ocupando el primer puesto. En la edición de 2025 se han añadido dos nuevos elementos, «fallos en la cadena de suministro de software» y «manejo inadecuado de condiciones excepcionales», que ocupan el décimo puesto. A continuación, analizaremos en detalle la nueva entrada relativa a las vulnerabilidades de la cadena de suministro.
Las vulnerabilidades pueden surgir prácticamente en cualquier lugar.
Los fallos en la cadena de suministro de software son una categoría poco habitual en la lista, ya que, de las diez entradas, son los que menos casos se han registrado en los datos de la encuesta de OWASP. Sin embargo, como resultado de las cinco vulnerabilidades comunes enumeradas (CWE) en esta categoría, también obtuvieron la puntuación media más alta en cuanto a exploits e impacto.OWASP sospecha que la presencia limitada de esta categoría se debe a los retos actuales en las pruebas y que, en última instancia, es posible que mejore. En cualquier caso, la gran mayoría de los encuestados mencionan las fallas en la cadena de suministro de software como su mayor preocupación.
La mayor vulnerabilidad de la cadena de suministro Es crecer alejándose de los negocios interrelacionados en los que participan socios y terceros tanto en la parte superior como en la inferior de la cadena. Todas las interacciones implican software sin protección de componentes (también conocidos como dependencias o bibliotecas).Si las empresas no realizan un seguimiento de todas las versiones de sus componentes (del lado del cliente, del lado del servidor o anidados) y de las dependencias transitorias (de otras bibliotecas), no pueden asegurarse de que no sean vulnerables, no estén soportadas o estén obsoletas, lo que las hace vulnerables.Normalmente, los componentes tienen los mismos privilegios que las aplicaciones, por lo que los componentes comprometidos pueden tener un amplio alcance, incluidos los componentes proporcionados por terceros y los repositorios de código abierto. Es esencial aplicar parches y actualizaciones de forma oportuna. Incluso con un programa de parches mensual o trimestral, las empresas pueden estar expuestas a riesgos durante días o meses.
Del mismo modo, si el entorno de desarrollo integrado (IDE), repositorios de código, repositorios de imágenes y bibliotecas, u otras partes de la cadena de suministro, la falta de un proceso de control de cambios en la cadena de suministro puede dar lugar a vulnerabilidades. Las organizaciones deben reforzar la cadena de suministro aplicando políticas de control de acceso y de privilegios mínimos. De este modo, se garantiza que las personas no puedan crear código y desplegarlo en entornos de producción sin supervisión, ni descargar componentes de fuentes no fiables.
Los ataques a la cadena de suministro pueden adoptar diversas formas. El famoso ataque a SolarWinds comenzó cuando unos atacantes rusos inyectaron malware en la actualización del popular software de gestión de redes de la empresa.Afectó a unos 18 000 clientes. El número real de empresas afectadas fue de casi 100, entre las que se encontraban grandes empresas y organismos gubernamentales. El hackeo de Bybit, que ascendió a 1500 millones de dólares y se remonta a Corea del Norte, incluyó la aplicación de criptomonedas comprometida. El reciente ataque a la cadena de suministro de Glassworm incluyó código invisible y autorreplicante que infectó Open VSX Marketplace.
Prevención de exploits en la cadena de suministro
Los ataques a la cadena de suministro implican una interdependencia entre los sistemas, por lo que se requiere un enfoque integral para defenderse de ellos. OWASP ofrece consejos para prevenir estos ataques, como la implementación de un proceso de gestión de parches.
- Se debe conocer la lista de componentes de software (SBOM) de todo el software y gestionarla de forma centralizada. En lugar de generar la SBOM posteriormente utilizando formatos estándar como SPDX o CycloneDX, lo mejor es generarla durante la compilación y publicar al menos una SBOM legible por máquina para cada lanzamiento.
- Rastreamos todas las dependencias, incluidas las dependencias transitorias, eliminamos las dependencias no utilizadas y eliminamos las funciones, componentes, archivos y documentos innecesarios.
- Utilice herramientas como OWASP Dependency Check o retire.jspara realizar un inventario continuo de los componentes del lado del cliente y del lado del servidor, así como de sus dependencias.
- Manténgase al tanto de las últimas novedades sobre vulnerabilidades mediante un seguimiento continuo de las siguientes causas. Suscríbase a las alertas por correo electrónico sobre vulnerabilidades de seguridad relacionadas con los componentes que utiliza a través del sitio web Common Vulnerabilities and Exposures (CVE) y la base de datos National Vulnerability Database (NVD).
- Utilice componentes obtenidos únicamente de fuentes fiables a través de enlaces seguros. Por ejemplo, un proveedor fiable colaborará con los investigadores y querrá divulgar los CVE que estos hayan descubierto en los componentes.
- Seleccione deliberadamente la versión de las dependencias que va a utilizar y actualícelas solo cuando sea necesario. Trabaje con bibliotecas de terceros cuyas vulnerabilidades se hayan publicado en fuentes conocidas, como NVD.
- Supervisa las bibliotecas y componentes que no se mantienen o no son compatibles. Si no es posible aplicar parches, considere la posibilidad de introducir parches virtuales para supervisar, detectar o proteger los problemas detectados.
- Actualizamos periódicamente las herramientas para desarrolladores.
- Tratamos los componentes de la canalización de CI/CD como parte de este proceso, y los reforzamos y supervisamos mientras documentamos los cambios.
El proceso de gestión o seguimiento de cambios también debe aplicarse a integraciones de terceros, como la configuración de CI/CD, repositorios de código, entornos de pruebas, entornos de desarrollo integrado (IDE), herramientas SBOM, artefactos creados, sistemas de registro y registros, SaaS, repositorios de artefactos y registros de contenedores.Además, es necesario reforzar el sistema desde las estaciones de trabajo de los desarrolladores hasta el canal de CI/CD. También se debe habilitar la autenticación multifactorial, al tiempo que se aplican políticas sólidas de gestión de identidades y control de acceso.
La protección contra las amenazas a la cadena de suministro de software es una tarea multifacética y continua en un mundo altamente interconectado. Las organizaciones deben implementar medidas de defensa sólidas a lo largo de todo el ciclo de vida de las aplicaciones y los componentes para protegerse de estas amenazas modernas en rápida evolución.
Notas sobre SCW Trust Score™ Usuario:
Al actualizar el contenido de la plataforma de aprendizaje de acuerdo con los estándares OWASP Top 10 2025, es posible que se produzcan algunos ajustes en la puntuación de confianza de los desarrolladores full stack. Si tiene alguna pregunta o necesita ayuda, póngase en contacto con su representante de éxito del cliente.
Con la llegada tanesperada de 2025, las empresas deben prestar especial atención a varias amenazas nuevas, incluidas las que acechan cerca de los primeros puestos de la lista. Fallos en la cadena de suministro de softwareAunque ha aparecido como una nueva categoría en la lista de los riesgos más graves para la seguridad de las aplicaciones web que el Open Web Application Security Project elaboracada cuatro años, no se trata de una categoría totalmente nueva. Las empresas deben tomarse muy en serio este riesgo, aunque todavía no lo hayan hecho.
Los fallos en la cadena de suministro de software dejaron de figurar en la categoría anterior de la lista en 2021. Ahorase incluyen componentes vulnerables y obsoletos, así como una amplia gama de vulnerabilidades que afectan a todo el ecosistema de software, como las dependencias, los sistemas de compilación y la infraestructura de distribución. Y, teniendo en cuenta los daños causados por ataques a la cadena de suministro tan notorios como los siguientes, no es de extrañar que figuren en la lista. SolarWinds en 2019, el hackeo de Bybit a principios de este año y la operación Shai Flood, actualmente en curso, un gusano npm especialmente molesto y autorreplicante que causa estragos en los entornos de desarrollo públicos.
El Top 10 de OWASP es bastante coherente y, aunque se actualiza periódicamente, es adecuado que la lista se publique cada cuatro años. Por lo general, la lista sufre algunos cambios. Por ejemplo, la inyección, que ha sido un elemento constante durante muchos años, ha bajado del tercer al quinto puesto, el diseño inseguro ha bajado dos puestos hasta el sexto y la configuración de seguridad incorrecta ha subido del quinto al segundo puesto.El control de acceso roto sigue ocupando el primer puesto. En la edición de 2025 se han añadido dos nuevos elementos, «fallos en la cadena de suministro de software» y «manejo inadecuado de condiciones excepcionales», que ocupan el décimo puesto. A continuación, analizaremos en detalle la nueva entrada relativa a las vulnerabilidades de la cadena de suministro.
Las vulnerabilidades pueden surgir prácticamente en cualquier lugar.
Los fallos en la cadena de suministro de software son una categoría poco habitual en la lista, ya que, de las diez entradas, son los que menos casos se han registrado en los datos de la encuesta de OWASP. Sin embargo, como resultado de las cinco vulnerabilidades comunes enumeradas (CWE) en esta categoría, también obtuvieron la puntuación media más alta en cuanto a exploits e impacto.OWASP sospecha que la presencia limitada de esta categoría se debe a los retos actuales en las pruebas y que, en última instancia, es posible que mejore. En cualquier caso, la gran mayoría de los encuestados mencionan las fallas en la cadena de suministro de software como su mayor preocupación.
La mayor vulnerabilidad de la cadena de suministro Es crecer alejándose de los negocios interrelacionados en los que participan socios y terceros tanto en la parte superior como en la inferior de la cadena. Todas las interacciones implican software sin protección de componentes (también conocidos como dependencias o bibliotecas).Si las empresas no realizan un seguimiento de todas las versiones de sus componentes (del lado del cliente, del lado del servidor o anidados) y de las dependencias transitorias (de otras bibliotecas), no pueden asegurarse de que no sean vulnerables, no estén soportadas o estén obsoletas, lo que las hace vulnerables.Normalmente, los componentes tienen los mismos privilegios que las aplicaciones, por lo que los componentes comprometidos pueden tener un amplio alcance, incluidos los componentes proporcionados por terceros y los repositorios de código abierto. Es esencial aplicar parches y actualizaciones de forma oportuna. Incluso con un programa de parches mensual o trimestral, las empresas pueden estar expuestas a riesgos durante días o meses.
Del mismo modo, si el entorno de desarrollo integrado (IDE), repositorios de código, repositorios de imágenes y bibliotecas, u otras partes de la cadena de suministro, la falta de un proceso de control de cambios en la cadena de suministro puede dar lugar a vulnerabilidades. Las organizaciones deben reforzar la cadena de suministro aplicando políticas de control de acceso y de privilegios mínimos. De este modo, se garantiza que las personas no puedan crear código y desplegarlo en entornos de producción sin supervisión, ni descargar componentes de fuentes no fiables.
Los ataques a la cadena de suministro pueden adoptar diversas formas. El famoso ataque a SolarWinds comenzó cuando unos atacantes rusos inyectaron malware en la actualización del popular software de gestión de redes de la empresa.Afectó a unos 18 000 clientes. El número real de empresas afectadas fue de casi 100, entre las que se encontraban grandes empresas y organismos gubernamentales. El hackeo de Bybit, que ascendió a 1500 millones de dólares y se remonta a Corea del Norte, incluyó la aplicación de criptomonedas comprometida. El reciente ataque a la cadena de suministro de Glassworm incluyó código invisible y autorreplicante que infectó Open VSX Marketplace.
Prevención de exploits en la cadena de suministro
Los ataques a la cadena de suministro implican una interdependencia entre los sistemas, por lo que se requiere un enfoque integral para defenderse de ellos. OWASP ofrece consejos para prevenir estos ataques, como la implementación de un proceso de gestión de parches.
- Se debe conocer la lista de componentes de software (SBOM) de todo el software y gestionarla de forma centralizada. En lugar de generar la SBOM posteriormente utilizando formatos estándar como SPDX o CycloneDX, lo mejor es generarla durante la compilación y publicar al menos una SBOM legible por máquina para cada lanzamiento.
- Rastreamos todas las dependencias, incluidas las dependencias transitorias, eliminamos las dependencias no utilizadas y eliminamos las funciones, componentes, archivos y documentos innecesarios.
- Utilice herramientas como OWASP Dependency Check o retire.jspara realizar un inventario continuo de los componentes del lado del cliente y del lado del servidor, así como de sus dependencias.
- Manténgase al tanto de las últimas novedades sobre vulnerabilidades mediante un seguimiento continuo de las siguientes causas. Suscríbase a las alertas por correo electrónico sobre vulnerabilidades de seguridad relacionadas con los componentes que utiliza a través del sitio web Common Vulnerabilities and Exposures (CVE) y la base de datos National Vulnerability Database (NVD).
- Utilice componentes obtenidos únicamente de fuentes fiables a través de enlaces seguros. Por ejemplo, un proveedor fiable colaborará con los investigadores y querrá divulgar los CVE que estos hayan descubierto en los componentes.
- Seleccione deliberadamente la versión de las dependencias que va a utilizar y actualícelas solo cuando sea necesario. Trabaje con bibliotecas de terceros cuyas vulnerabilidades se hayan publicado en fuentes conocidas, como NVD.
- Supervisa las bibliotecas y componentes que no se mantienen o no son compatibles. Si no es posible aplicar parches, considere la posibilidad de introducir parches virtuales para supervisar, detectar o proteger los problemas detectados.
- Actualizamos periódicamente las herramientas para desarrolladores.
- Tratamos los componentes de la canalización de CI/CD como parte de este proceso, y los reforzamos y supervisamos mientras documentamos los cambios.
El proceso de gestión o seguimiento de cambios también debe aplicarse a integraciones de terceros, como la configuración de CI/CD, repositorios de código, entornos de pruebas, entornos de desarrollo integrado (IDE), herramientas SBOM, artefactos creados, sistemas de registro y registros, SaaS, repositorios de artefactos y registros de contenedores.Además, es necesario reforzar el sistema desde las estaciones de trabajo de los desarrolladores hasta el canal de CI/CD. También se debe habilitar la autenticación multifactorial, al tiempo que se aplican políticas sólidas de gestión de identidades y control de acceso.
La protección contra las amenazas a la cadena de suministro de software es una tarea multifacética y continua en un mundo altamente interconectado. Las organizaciones deben implementar medidas de defensa sólidas a lo largo de todo el ciclo de vida de las aplicaciones y los componentes para protegerse de estas amenazas modernas en rápida evolución.
Notas sobre SCW Trust Score™ Usuario:
Al actualizar el contenido de la plataforma de aprendizaje de acuerdo con los estándares OWASP Top 10 2025, es posible que se produzcan algunos ajustes en la puntuación de confianza de los desarrolladores full stack. Si tiene alguna pregunta o necesita ayuda, póngase en contacto con su representante de éxito del cliente.
Haga clic en el siguiente enlace para descargar el PDF de este recurso.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Mostrar informeReservar una demostración
Secure Code Warrior convierte la programación segura en una experiencia positiva y atractiva a medida que los desarrolladores mejoran sus habilidades. Guía a cada programador por la ruta de aprendizaje que desea, para que los desarrolladores con habilidades de seguridad puedan convertirse en superhéroes en el mundo conectado en el que vivimos.
Este artículo ha sido escrito por el equipo de expertos del sector de Secure Code Warrior. Su objetivo es que los desarrolladores adquieran los conocimientos y habilidades necesarios para crear software seguro desde el principio. Aprovecha los profundos conocimientos especializados sobre la práctica de la codificación segura, las tendencias del sector y las perspectivas del mundo real.
Con la llegada tanesperada de 2025, las empresas deben prestar especial atención a varias amenazas nuevas, incluidas las que acechan cerca de los primeros puestos de la lista. Fallos en la cadena de suministro de softwareAunque ha aparecido como una nueva categoría en la lista de los riesgos más graves para la seguridad de las aplicaciones web que el Open Web Application Security Project elaboracada cuatro años, no se trata de una categoría totalmente nueva. Las empresas deben tomarse muy en serio este riesgo, aunque todavía no lo hayan hecho.
Los fallos en la cadena de suministro de software dejaron de figurar en la categoría anterior de la lista en 2021. Ahorase incluyen componentes vulnerables y obsoletos, así como una amplia gama de vulnerabilidades que afectan a todo el ecosistema de software, como las dependencias, los sistemas de compilación y la infraestructura de distribución. Y, teniendo en cuenta los daños causados por ataques a la cadena de suministro tan notorios como los siguientes, no es de extrañar que figuren en la lista. SolarWinds en 2019, el hackeo de Bybit a principios de este año y la operación Shai Flood, actualmente en curso, un gusano npm especialmente molesto y autorreplicante que causa estragos en los entornos de desarrollo públicos.
El Top 10 de OWASP es bastante coherente y, aunque se actualiza periódicamente, es adecuado que la lista se publique cada cuatro años. Por lo general, la lista sufre algunos cambios. Por ejemplo, la inyección, que ha sido un elemento constante durante muchos años, ha bajado del tercer al quinto puesto, el diseño inseguro ha bajado dos puestos hasta el sexto y la configuración de seguridad incorrecta ha subido del quinto al segundo puesto.El control de acceso roto sigue ocupando el primer puesto. En la edición de 2025 se han añadido dos nuevos elementos, «fallos en la cadena de suministro de software» y «manejo inadecuado de condiciones excepcionales», que ocupan el décimo puesto. A continuación, analizaremos en detalle la nueva entrada relativa a las vulnerabilidades de la cadena de suministro.
Las vulnerabilidades pueden surgir prácticamente en cualquier lugar.
Los fallos en la cadena de suministro de software son una categoría poco habitual en la lista, ya que, de las diez entradas, son los que menos casos se han registrado en los datos de la encuesta de OWASP. Sin embargo, como resultado de las cinco vulnerabilidades comunes enumeradas (CWE) en esta categoría, también obtuvieron la puntuación media más alta en cuanto a exploits e impacto.OWASP sospecha que la presencia limitada de esta categoría se debe a los retos actuales en las pruebas y que, en última instancia, es posible que mejore. En cualquier caso, la gran mayoría de los encuestados mencionan las fallas en la cadena de suministro de software como su mayor preocupación.
La mayor vulnerabilidad de la cadena de suministro Es crecer alejándose de los negocios interrelacionados en los que participan socios y terceros tanto en la parte superior como en la inferior de la cadena. Todas las interacciones implican software sin protección de componentes (también conocidos como dependencias o bibliotecas).Si las empresas no realizan un seguimiento de todas las versiones de sus componentes (del lado del cliente, del lado del servidor o anidados) y de las dependencias transitorias (de otras bibliotecas), no pueden asegurarse de que no sean vulnerables, no estén soportadas o estén obsoletas, lo que las hace vulnerables.Normalmente, los componentes tienen los mismos privilegios que las aplicaciones, por lo que los componentes comprometidos pueden tener un amplio alcance, incluidos los componentes proporcionados por terceros y los repositorios de código abierto. Es esencial aplicar parches y actualizaciones de forma oportuna. Incluso con un programa de parches mensual o trimestral, las empresas pueden estar expuestas a riesgos durante días o meses.
Del mismo modo, si el entorno de desarrollo integrado (IDE), repositorios de código, repositorios de imágenes y bibliotecas, u otras partes de la cadena de suministro, la falta de un proceso de control de cambios en la cadena de suministro puede dar lugar a vulnerabilidades. Las organizaciones deben reforzar la cadena de suministro aplicando políticas de control de acceso y de privilegios mínimos. De este modo, se garantiza que las personas no puedan crear código y desplegarlo en entornos de producción sin supervisión, ni descargar componentes de fuentes no fiables.
Los ataques a la cadena de suministro pueden adoptar diversas formas. El famoso ataque a SolarWinds comenzó cuando unos atacantes rusos inyectaron malware en la actualización del popular software de gestión de redes de la empresa.Afectó a unos 18 000 clientes. El número real de empresas afectadas fue de casi 100, entre las que se encontraban grandes empresas y organismos gubernamentales. El hackeo de Bybit, que ascendió a 1500 millones de dólares y se remonta a Corea del Norte, incluyó la aplicación de criptomonedas comprometida. El reciente ataque a la cadena de suministro de Glassworm incluyó código invisible y autorreplicante que infectó Open VSX Marketplace.
Prevención de exploits en la cadena de suministro
Los ataques a la cadena de suministro implican una interdependencia entre los sistemas, por lo que se requiere un enfoque integral para defenderse de ellos. OWASP ofrece consejos para prevenir estos ataques, como la implementación de un proceso de gestión de parches.
- Se debe conocer la lista de componentes de software (SBOM) de todo el software y gestionarla de forma centralizada. En lugar de generar la SBOM posteriormente utilizando formatos estándar como SPDX o CycloneDX, lo mejor es generarla durante la compilación y publicar al menos una SBOM legible por máquina para cada lanzamiento.
- Rastreamos todas las dependencias, incluidas las dependencias transitorias, eliminamos las dependencias no utilizadas y eliminamos las funciones, componentes, archivos y documentos innecesarios.
- Utilice herramientas como OWASP Dependency Check o retire.jspara realizar un inventario continuo de los componentes del lado del cliente y del lado del servidor, así como de sus dependencias.
- Manténgase al tanto de las últimas novedades sobre vulnerabilidades mediante un seguimiento continuo de las siguientes causas. Suscríbase a las alertas por correo electrónico sobre vulnerabilidades de seguridad relacionadas con los componentes que utiliza a través del sitio web Common Vulnerabilities and Exposures (CVE) y la base de datos National Vulnerability Database (NVD).
- Utilice componentes obtenidos únicamente de fuentes fiables a través de enlaces seguros. Por ejemplo, un proveedor fiable colaborará con los investigadores y querrá divulgar los CVE que estos hayan descubierto en los componentes.
- Seleccione deliberadamente la versión de las dependencias que va a utilizar y actualícelas solo cuando sea necesario. Trabaje con bibliotecas de terceros cuyas vulnerabilidades se hayan publicado en fuentes conocidas, como NVD.
- Supervisa las bibliotecas y componentes que no se mantienen o no son compatibles. Si no es posible aplicar parches, considere la posibilidad de introducir parches virtuales para supervisar, detectar o proteger los problemas detectados.
- Actualizamos periódicamente las herramientas para desarrolladores.
- Tratamos los componentes de la canalización de CI/CD como parte de este proceso, y los reforzamos y supervisamos mientras documentamos los cambios.
El proceso de gestión o seguimiento de cambios también debe aplicarse a integraciones de terceros, como la configuración de CI/CD, repositorios de código, entornos de pruebas, entornos de desarrollo integrado (IDE), herramientas SBOM, artefactos creados, sistemas de registro y registros, SaaS, repositorios de artefactos y registros de contenedores.Además, es necesario reforzar el sistema desde las estaciones de trabajo de los desarrolladores hasta el canal de CI/CD. También se debe habilitar la autenticación multifactorial, al tiempo que se aplican políticas sólidas de gestión de identidades y control de acceso.
La protección contra las amenazas a la cadena de suministro de software es una tarea multifacética y continua en un mundo altamente interconectado. Las organizaciones deben implementar medidas de defensa sólidas a lo largo de todo el ciclo de vida de las aplicaciones y los componentes para protegerse de estas amenazas modernas en rápida evolución.
Notas sobre SCW Trust Score™ Usuario:
Al actualizar el contenido de la plataforma de aprendizaje de acuerdo con los estándares OWASP Top 10 2025, es posible que se produzcan algunos ajustes en la puntuación de confianza de los desarrolladores full stack. Si tiene alguna pregunta o necesita ayuda, póngase en contacto con su representante de éxito del cliente.
Índice
Secure Code Warrior convierte la programación segura en una experiencia positiva y atractiva a medida que los desarrolladores mejoran sus habilidades. Guía a cada programador por la ruta de aprendizaje que desea, para que los desarrolladores con habilidades de seguridad puedan convertirse en superhéroes en el mundo conectado en el que vivimos.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración[Descargar]Recursos para empezar
Temas y contenidos de la formación en código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo siempre en cuenta las funciones de nuestros clientes. Abarca todo tipo de temas, desde la inteligencia artificial hasta la inyección de XQuery, y está diseñado para satisfacer las necesidades de diversos perfiles, desde arquitectos e ingenieros hasta gestores de productos y responsables de control de calidad. Echemos un vistazo al contenido que ofrece nuestro catálogo, clasificado por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.
Ahora se puede jugar a «Cybermon 2025 Beat the Boss» en SCW durante todo el año. Introduzca retos de seguridad avanzados de IA/LLM y refuerce a gran escala el desarrollo seguro de la IA.
Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Resiliencia Cibernética (CRA) de la UE, a quién se aplica y cómo puede prepararse el equipo de ingeniería para las prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el desarrollo de las capacidades de los desarrolladores.
Enable 1: Criterios de éxito predefinidos y medibles
Enabler 1 es la primera parte de la serie Enablers of Success, compuesta por diez partes, y presenta cómo madurar un programa a largo plazo vinculando la codificación segura con resultados empresariales como la reducción de riesgos y la velocidad.
