Open Web Application Security Project (OWASP) está cumpliendo su segunda década de vida y para conmemorar la ocasión se ha organizado un seminario web de 24 horas continuas para presentar diversos temas. Uno de los principales temas de mayor interés fue la presentación de las 10 vulnerabilidades de OWASP más explotadas en 2021.
Durante la presentación, el director ejecutivo de OWASP Andrew van der Stock señaló que la lista de este año incluye cambios significativos en la forma que las organizaciones sin fines de lucro clasifican las amenazas de seguridad web, algo que no había sucedido al menos desde 2017.
Acorde a van der Stock, durante los años más recientes se consideró a los ataques de inyección como la más importante amenaza de seguridad web, representando un riesgo de seguridad para desarrolladores de todo el mundo; en la más reciente lista, el primer puesto lo ocupa el “Control de Acceso Roto”, anteriormente considerado como un riesgo menor.
Otro cambio llamativo está en la categoría de “Fallas Criptográficas”, antes conocida como “Exposición de Datos Confidenciales”, que ahora ocupa el segundo lugar en la lista. OWASP menciona que el cambio de nombre involucra un enfoque más claro en fallas relacionadas con el cifrado, considerando el nombre anterior como algo ambiguo.
Finalmente, los ataques de scripts entre sitios (XSS) dejaron de ser una categoría única y se agregaron a la categoría de “Ataques de Inyección”. A continuación se presenta la lista actualizada de riesgos de seguridad en OWASP:
- Control de Acceso Roto
- Fallas Criptográficas
- Ataques de Inyección
- Diseño Inseguro
- Configuración de Seguridad Incorrecta
- Componentes Vulnerables y Obsoletos
- Fallas de Identificación y Autenticación
- Fallas de Integridad de Datos y Software
- Fallas de Seguimiento y Registro de Seguridad
- Falsificación de Solicitudes del Lado del Servidor (SSRF)
Múltiples miembros de la comunidad de la ciberseguridad consideran que estos son cambios pertinentes, ya que una de las principales características del cibercrimen es su capacidad de desarrollo y adaptación, por lo que una clasificación de amenazas de seguridad no podía permanecer inmutable.
Otros esfuerzos de OWASP están enfocados en la divulgación de información, para lo cual han lanzado una versión de la lista en formato PDF compatible con prácticamente cualquier dispositivo móvil, además de que se realizarán otras actividades de difusión.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
