Temario del curso
A01:2025 - Control de acceso roto
A02:2025 - Configuración incorrecta de seguridad
A03:2025 - Fallos en la cadena de suministro de software
A04:2025 - Fallos criptográficos
A05:2025 - Inyección
A06:2025 - Diseño inseguro
A07:2025 - Fallos de autenticación
A08:2025 - Fallos en la integridad del software o los datos
A09:2025 - Fallos en el registro y las alertas de seguridad
A10:2025 - Manejo incorrecto de condiciones excepcionales
A01:2025 Control de acceso roto - El control de acceso aplica políticas para que los usuarios no puedan actuar fuera de sus permisos previstos. Los fallos suelen conducir a la divulgación, modificación o destrucción no autorizada de todos los datos, o a la ejecución de funciones de negocio fuera de los límites del usuario.
A02:2025 Configuración incorrecta de seguridad - La configuración incorrecta de seguridad ocurre cuando un sistema, aplicación o servicio en la nube está configurado incorrectamente desde el punto de vista de la seguridad, creando vulnerabilidades.
A03:2025 Fallos en la cadena de suministro de software - Los fallos en la cadena de suministro de software son interrupciones u otras compromisiones en el proceso de construcción, distribución o actualización del software. Suelen ser causados por vulnerabilidades o cambios maliciosos en código de terceros, herramientas u otras dependencias en las que el sistema confía.
A04:2025 Fallos criptográficos - En términos generales, todos los datos en tránsito deben estar cifrados en la capa de transporte (capa 4 del modelo OSI). Obstáculos anteriores como el rendimiento de la CPU y la gestión de claves privadas y certificados se manejan ahora gracias a las instrucciones de los procesadores diseñadas para acelerar el cifrado (p. ej., soporte para AES) y a la simplificación de la gestión de claves privadas y certificados mediante servicios como LetsEncrypt.org, además de que los principales proveedores de nube ofrecen servicios de gestión de certificados aún más integrados para sus plataformas específicas. Más allá de asegurar la capa de transporte, es importante determinar qué datos requieren cifrado en reposo y qué datos necesitan un cifrado adicional durante el tránsito (en la capa de aplicación, capa 7 del modelo OSI). Por ejemplo, las contraseñas, los números de tarjetas de crédito, los registros de salud, la información personal y los secretos empresariales requieren una protección especial, especialmente si dichos datos están sujetos a leyes de privacidad, como el Reglamento General de Protección de Datos (RGPD) de la UE, o normativas como el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS).
A05:2025 Inyección - Una vulnerabilidad de inyección es un fallo del sistema que permite a un atacante insertar código o comandos maliciosos (como SQL o código de shell) en los campos de entrada de un programa, engañando al sistema para que ejecute el código o los comandos como si fueran parte legítima del mismo. Esto puede tener consecuencias realmente graves.
A06:2025 Diseño inseguro - El diseño inseguro es una categoría amplia que representa diversas debilencias, expresadas como "diseño de controles faltantes o ineficaces". El diseño inseguro no es la causa de todas las demás categorías de riesgo de las "Top Ten". Tenga en cuenta que existe una diferencia entre el diseño inseguro y la implementación incorrecta. Diferenciamos entre fallos de diseño y defectos de implementación por razones específicas: tienen causas raíz diferentes, ocurren en distintas etapas del proceso de desarrollo y requieren remediacines distintas. Un diseño seguro puede aún presentar defectos de implementación que conduzcan a vulnerabilidades explotables. Por el contrario, un diseño inseguro no puede corregirse mediante una implementación perfecta, ya que los controles de seguridad necesarios nunca se crearon para defenderse de ataques específicos. Uno de los factores que contribuyen al diseño inseguro es la falta de análisis de riesgos empresariales inherente al software o sistema en desarrollo, lo cual lleva a no determinar el nivel de diseño de seguridad requerido.
A07:2025 Fallos de autenticación - Esta vulnerabilidad está presente cuando un atacante logra engañar al sistema para que reconozca a un usuario inválido o incorrecto como legítimo.
A08:2025 Fallos en la integridad del software o los datos - Los fallos en la integridad del software y los datos se refieren al código e infraestructura que no protege contra el tratamiento de código o datos inválidos o no confiables como si fueran válidos y de confianza. Un ejemplo de ello es cuando una aplicación depende de complementos, bibliotecas o módulos procedentes de fuentes no confiables, repositorios y redes de distribución de contenido (CDN). Una tubería CI/CD insegura que no consume ni proporciona comprobaciones de integridad del software puede introducir el riesgo de acceso no autorizado, código inseguro o malicioso, o compromiso del sistema. Otro ejemplo es una tubería CI/CD que obtiene código o artefactos desde lugares no confiables y/o no los verifica antes de su uso (mediante la comprobación de firmas u mecanismos similares).
A09:2025 Fallos en el registro y las alertas de seguridad - Sin registro y monitorización, no se pueden detectar ataques e intrusiones; y sin alertas, resulta muy difícil responder rápida y eficazmente durante un incidente de seguridad. La insuficiencia en el registro, la monitorización continua, la detección y las alertas para iniciar respuestas activas ocurren cuando
A10:2025 Manejo incorrecto de condiciones excepcionales - El manejo incorrecto de condiciones excepcionales en el software ocurre cuando los programas fallan al prevenir, detectar y responder a situaciones inusuales e impredecibles, lo que lleva a cierres inesperados, comportamiento erróneo y, en ocasiones, vulnerabilidades. Esto puede implicar una o más de las siguientes tres deficiencias: la aplicación no impide que ocurra una situación inusual, no identifica la situación mientras está ocurriendo, y/o responde pobremente o no responde en absoluto a la situación posterior.
Discutiremos y presentaremos los aspectos prácticos de:
Control de acceso roto
- Ejemplos prácticos de controles de acceso rotos
- Controles de acceso seguros y mejores prácticas
Configuración incorrecta de seguridad
- Ejemplos del mundo real de configuraciones incorrectas
- Pasos para prevenir configuraciones incorrectas, incluidos los controles de gestión de configuración y herramientas de automatización
Fallos criptográficos
- Análisis detallado de fallos criptográficos, como algoritmos de cifrado débiles o la gestión inadecuada de claves
- Importancia de mecanismos criptográficos fuertes, protocolos seguros (SSL/TLS) y ejemplos de criptografía moderna en la seguridad web
Ataques de inyección
- Desglose detallado de inyecciones SQL, NoSQL, SO y LDAP
- Técnicas de mitigación utilizando sentencias preparadas, consultas parametrizadas y escape de entradas
Diseño inseguro
- Exploraremos fallos de diseño que pueden llevar a vulnerabilidades, como la validación inadecuada de entradas
- Estudiaremos estrategias para una arquitectura segura y principios de diseño seguro
Fallos de autenticación
- Problemas comunes de autenticación
- Estrategias de autenticación seguras, como la autenticación multifactor y la gestión adecuada de sesiones
Fallos en la integridad del software y los datos
- Enfoque en problemas como actualizaciones de software no confiables y manipulación de datos
- Mecanismos seguros de actualización y comprobaciones de integridad de datos
Fallos en el registro y la monitorización de seguridad
- Importancia de registrar información relevante para la seguridad y monitorizar actividades sospechosas
- Herramientas y prácticas para un registro adecuado y la monitorización en tiempo real, con el fin de detectar intrusiones a tiempo
Requerimientos
- Conocimiento general del ciclo de vida del desarrollo web.
- Experiencia en desarrollo y seguridad de aplicaciones web.
Público Objetivo
- Desarrolladores web.
- Líderes técnicos o de proyecto.
Testimonios (7)
Que cada lección técnica venía acompañada de múltiples ejercicios prácticos para afianzar los conceptos.
Andrei-Calin Bajea
Curso - OWASP Top 10 2025
Traducción Automática
¡entrenamiento muy dinámico y flexible!
Valentina Giglio - Fincons SPA
Curso - OWASP Top 10
Traducción Automática
Ejercicios de laboratorio
Pietro Colonna - Fincons SPA
Curso - OWASP Top 10
Traducción Automática
Los componentes interactivos y ejemplos.
Raphael - Global Knowledge
Curso - OWASP Top 10
Traducción Automática
Enfoque práctico y conocimiento del formador
RICARDO
Curso - OWASP Top 10
Traducción Automática
El conocimiento del formador fue asombroso
Patrick - Luminus
Curso - OWASP Top 10
Traducción Automática
ejercicios, incluso si están fuera de mi zona de confort.
Nathalie - Luminus
Curso - OWASP Top 10
Traducción Automática