Un año más, la Codemotion Madrid está a la vuelta de la esquina, y con ello, llegó el momento de empezar a hablar sobre las ponencias, keynotes y paneles que se presentarán en la Codemotion Madrid 2025 los días 20 y 21 de mayo en el espacio MEEU.
En esta ocasión os presentamos “Hack & Patch: OWASP en Combate”, una ponencia práctica en castellano donde veremos cómo se explotan algunas de las vulnerabilidades más comunes del Top 10 OWASP y, lo más importante, cómo evitarlas. Este debate correrá a cargo de Samuel Hernández Martos, Expert IT Consultant y FullStack en ERNI, y David Soto, Cybersecurity Principal en ERNI.
Contexto de la charla
“Cuanto más digitalizado está un producto, más vulnerable es a los hackers”. Esta es la afirmación de David Soto en un reciente artículo publicado en el periódico digital elEconomista, en el cual reflexiona como la ciberseguridad de las aplicaciones sigue viéndose como una molestia, como algo que retrasa, en lugar de una inversión que protege nuestros activos más valiosos.
Cada año más empresas y negocios se ven afectados por ataques cibernéticos, generando pérdidas millonarias y daños reputacionales que podrían haberse evitado con una adecuada inversión en seguridad. Y a pesar de que sabemos el riesgo que conlleva tener vulnerabilidades en nuestro código, seguimos reaccionando en lugar de prevenir.
Se calcula que el 60% de las brechas de seguridad pueden evitarse con tan solo seguir las buenas prácticas básicas de desarrollo seguro o aplicando los parches de seguridad de manera regular. Esta estadística alarmante demuestra la importancia de adoptar un enfoque proactivo en la seguridad de nuestras aplicaciones.
TOP 10 OWASP: estos son los 10 riesgos más habituales en el desarrollo de software
TOP 10 OWASP es una iniciativa de la Open Web Application Security Project (OWASP) que identifica y clasifica los riesgos de seguridad más críticos que afectan a las aplicaciones web. Esta lista, actualizada periódicamente, sirve de referencia para que desarrolladores y profesionales de la seguridad conozcan las amenazas más habituales o cuáles son las prácticas recomendadas para abordarlas.
A falta de una nueva actualización del TOP 10 OWASP para 2025, que debería publicarse en algún momento de este año, la lista mantiene como principales amenazas los siguientes problemas:
- Broken Access Control: el 94% de las aplicaciones analizadas por la OWASP tenían algún tipo de control de acceso defectuoso.
- Cryptographic Failures: fallos relacionados con la criptografía que a menudo conducen a la exposición de datos sensibles o al compromiso de la seguridad del sistema.
- Injection: el 94 % de las aplicaciones testeadas fueron susceptibles a algún tipo de inyección de código malicioso, incluyendo SQL injection, command injection y LDAP injection.
- Insecure Design: los fallos de diseño y la falta de una arquitectura de seguridad siguen siendo habituales en la industria.
- Security Misconfiguration: el 90 % de las aplicaciones muestran vulnerabilidades debido a alguna forma de configuración errónea.
- Vulnerable and Outdated Components: sí, en plena era DevOps seguimos arrastrando componentes vulnerables y desactualizados que presentan graves riesgos de seguridad. Según el estudio State of Software Security 2024 Report, más del 85% de las aplicaciones contienen al menos un componente desactualizado con vulnerabilidades conocidas.
- Identification and Authentication Failures: los fallos en la identificación y autenticación siguen siendo otro riesgo importante. Según el informe de IBM Cost of a Data Breach Report 2024, el 40 % de los incidentes de seguridad están causados por problemas de credenciales robadas o comprometidas.
- Software and Data Integrity Failures: los fallos en la integridad del software y los datos representan un gran riesgo significativo, especialmente en entornos CI/CD.
- Security Logging and Monitoring Failures: la falta de monitorización y registro adecuado de eventos de seguridad dificulta la detección y respuesta a incidentes. Según el estudio de IBM Cost of a Data Breach Report 2024 el tiempo medio de detección de una brecha de seguridad es de 287 días.
- Server-Side Request Forgery: los ataques SSRF permiten a un atacante realizar peticiones HTTP desde el servidor a recursos internos o externos no autorizados. Según el informe de HackerOne, los SSRF representaron el 10% de las vulnerabilidades críticas reportadas en 2024, con un incremento del 25% respecto al año anterior.
La Charla: Hack & Patch: OWASP en Combate
Queda claro que los problemas de seguridad siguen siendo persistentes y generalizados en la industria del desarrollo de software. En «Hack & Patch: OWASP en Combate» se abordarán estas vulnerabilidades desde una perspectiva práctica y didáctica, demostrando cómo pueden ser explotadas y, más importante aún, cómo pueden ser mitigadas efectivamente.
Para ello, durante la charla se pondrá en marcha una dinámica en la que un ponente atacará, y el otro defenderá. En cada caso se analizará qué falló y cómo corregirlo en el desarrollo. De inyecciones maliciosas a errores en la autenticación, se demostrará en vivo por qué la seguridad no es opcional. ¿Listo para ver el código en peligro y aprender a protegerlo?
Samuel Hernández y David Soto compartirán sus experiencias y conocimientos en esta charla única donde la teoría se encuentra con la práctica. Si estás interesado en la ciberseguridad y quieres ver de primera mano cómo se desarrolla una batalla entre atacante y defensor, no te puedes perder esta sesión en la Codemotion Madrid 2025.
Los ponentes
- Samuel Hernández Martos (Expert IT Consultant | FullStack at ERNI): Ingeniero Fullstack con casi 10 años de experiencia, trabajando principalmente con tecnologías .NET. Empezó como desarrollador backend, pero un día consiguió centrar un div en una página web… ¡Y le gustó! Siempre curioso y con ganas de probar cosas nuevas. Le apasiona crear aplicaciones en la nube, tanto para web como para móviles.
- David Soto (Cybersecurity Principal at ERNI): «No matter the language» developer, adicto al CTF y entusiasta de la ciberseguridad desde 1983. David es un eterno hacker en progreso con la misión de resolver problemas complejos. Conocido como «Maestro Yoda» por sus compañeros, se esfuerza por fomentar el pensamiento lateral, aceptar los retos y promover una cultura de aprendizaje continuo. También cree en el principio: «Si el conocimiento no se comparte, se pierde». Por ello, le apasiona enseñar todo lo que sabe a cualquiera que tenga ganas de aprender. Si tienes un problema o una inquietud, quizá él pueda ayudarte.
