{"id":32854,"date":"2025-05-05T14:31:00","date_gmt":"2025-05-05T12:31:00","guid":{"rendered":"https:\/\/www.codemotion.com\/magazine\/?p=32854"},"modified":"2025-04-29T14:34:48","modified_gmt":"2025-04-29T12:34:48","slug":"hack-patch-owasp-en-combate-codemotion-madrid","status":"publish","type":"post","link":"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/hack-patch-owasp-en-combate-codemotion-madrid\/","title":{"rendered":"Hack & Patch: OWASP en combate"},"content":{"rendered":"\n

Un a\u00f1o m\u00e1s, la Codemotion Madrid est\u00e1 a la vuelta de la esquina, y con ello, lleg\u00f3 el momento de empezar a hablar sobre las ponencias, keynotes y paneles que se presentar\u00e1n en la Codemotion Madrid 2025 los d\u00edas 20 y 21 de mayo en el espacio MEEU<\/strong>.<\/p>\n\n\n\n

En esta ocasi\u00f3n os presentamos \u201cHack & Patch: OWASP en Combate<\/strong>\u201d, una ponencia pr\u00e1ctica en castellano donde veremos c\u00f3mo se explotan algunas de las vulnerabilidades m\u00e1s comunes del Top 10 OWASP y, lo m\u00e1s importante, c\u00f3mo evitarlas<\/strong>. Este debate correr\u00e1 a cargo de Samuel Hern\u00e1ndez Martos, Expert IT Consultant y FullStack en ERNI, y David Soto, Cybersecurity Principal en ERNI.<\/p>\n\n\n\n

Contexto de la charla<\/h2>\n\n\n\n

\u201cCuanto m\u00e1s digitalizado est\u00e1 un producto, m\u00e1s vulnerable es a los hackers<\/em>\u201d. Esta es la afirmaci\u00f3n de David Soto en un reciente art\u00edculo publicado en el peri\u00f3dico digital elEconomista<\/a>, en el cual reflexiona como la ciberseguridad de las aplicaciones sigue vi\u00e9ndose como una molestia<\/strong>, como algo que retrasa, en lugar de una inversi\u00f3n que protege nuestros activos m\u00e1s valiosos.<\/p>\n\n\n\n

Cada a\u00f1o m\u00e1s empresas y negocios se ven afectados por ataques cibern\u00e9ticos, generando p\u00e9rdidas millonarias y da\u00f1os reputacionales que podr\u00edan haberse evitado con una adecuada inversi\u00f3n en seguridad. Y a pesar de que sabemos el riesgo que conlleva tener vulnerabilidades en nuestro c\u00f3digo, <\/strong>seguimos reaccionando en lugar de prevenir.<\/p>\n\n\n\n

Se calcula que el 60% de las brechas de seguridad pueden evitarse con tan solo seguir las buenas pr\u00e1cticas b\u00e1sicas de desarrollo seguro<\/strong> o aplicando los parches de seguridad de manera regular. Esta estad\u00edstica alarmante demuestra la importancia de adoptar un enfoque proactivo en la seguridad de nuestras aplicaciones.<\/p>\n\n\n\n

TOP 10 OWASP: estos son los 10 riesgos m\u00e1s habituales en el desarrollo de software<\/h2>\n\n\n\n

TOP 10 OWASP<\/strong> <\/a>es una iniciativa de la Open Web Application Security Project (OWASP) que identifica y clasifica los riesgos de seguridad m\u00e1s cr\u00edticos que afectan a las aplicaciones web<\/strong>. Esta lista, actualizada peri\u00f3dicamente, sirve de referencia para que desarrolladores y profesionales de la seguridad conozcan las amenazas m\u00e1s habituales o cu\u00e1les son las pr\u00e1cticas recomendadas para abordarlas.<\/p>\n\n\n\n

A falta de una nueva actualizaci\u00f3n del TOP 10 OWASP para 2025, que deber\u00eda publicarse en alg\u00fan momento de este a\u00f1o, la lista mantiene como principales amenazas los siguientes problemas:<\/strong><\/p>\n\n\n\n

    \n
  1. Broken Access Control:<\/strong> el 94% de las aplicaciones analizadas por la OWASP ten\u00edan alg\u00fan tipo de control de acceso defectuoso.<\/li>\n\n\n\n
  2. Cryptographic Failures:<\/strong> fallos relacionados con la criptograf\u00eda que a menudo conducen a la exposici\u00f3n de datos sensibles o al compromiso de la seguridad del sistema.<\/li>\n\n\n\n
  3. Injection<\/strong>: el 94 % de las aplicaciones testeadas fueron susceptibles a alg\u00fan tipo de inyecci\u00f3n de c\u00f3digo malicioso, incluyendo SQL injection, command injection y LDAP injection.<\/li>\n\n\n\n
  4. Insecure Design:<\/strong> los fallos de dise\u00f1o y la falta de una arquitectura de seguridad siguen siendo habituales en la industria.<\/li>\n\n\n\n
  5. Security Misconfiguration:<\/strong> el 90 % de las aplicaciones muestran vulnerabilidades debido a alguna forma de configuraci\u00f3n err\u00f3nea.<\/li>\n\n\n\n
  6. Vulnerable and Outdated Components:<\/strong> s\u00ed, en plena era DevOps seguimos arrastrando componentes vulnerables y desactualizados que presentan graves riesgos de seguridad. Seg\u00fan el estudio State of Software Security 2024 Report,<\/a> m\u00e1s del 85% de las aplicaciones contienen al menos un componente desactualizado con vulnerabilidades conocidas.<\/li>\n\n\n\n
  7. Identification and Authentication Failures:<\/strong> los fallos en la identificaci\u00f3n y autenticaci\u00f3n siguen siendo otro riesgo importante. Seg\u00fan el informe de IBM Cost of a Data Breach Report 2024<\/a>, el 40 % de los incidentes de seguridad est\u00e1n causados por problemas de credenciales robadas o comprometidas.<\/li>\n\n\n\n
  8. Software and Data Integrity Failures:<\/strong> los fallos en la integridad del software y los datos representan un gran riesgo significativo, especialmente en entornos CI\/CD.<\/li>\n\n\n\n
  9. Security Logging and Monitoring Failures:<\/strong> la falta de monitorizaci\u00f3n y registro adecuado de eventos de seguridad dificulta la detecci\u00f3n y respuesta a incidentes. Seg\u00fan el estudio de IBM Cost of a Data Breach Report 2024<\/a> el tiempo medio de detecci\u00f3n de una brecha de seguridad es de 287 d\u00edas.<\/li>\n\n\n\n
  10. Server-Side Request Forgery:<\/strong> los ataques SSRF permiten a un atacante realizar peticiones HTTP desde el servidor a recursos internos o externos no autorizados. Seg\u00fan el informe de HackerOne, los SSRF representaron el 10% de las vulnerabilidades cr\u00edticas reportadas en 2024, con un incremento del 25% respecto al a\u00f1o anterior.<\/li>\n<\/ol>\n\n\n\n

    La Charla: Hack & Patch: OWASP en Combate<\/h2>\n\n\n\n

    Queda claro que los problemas de seguridad siguen siendo persistentes y generalizados en la industria del desarrollo de software. En “Hack & Patch: OWASP en Combate” se abordar\u00e1n estas vulnerabilidades desde una perspectiva pr\u00e1ctica y did\u00e1ctica, demostrando c\u00f3mo pueden ser explotadas y, m\u00e1s importante a\u00fan, c\u00f3mo pueden ser mitigadas efectivamente.<\/strong><\/p>\n\n\n\n

    Para ello, durante la charla se pondr\u00e1 en marcha una din\u00e1mica en la que un ponente atacar\u00e1, y el otro defender\u00e1<\/strong>. En cada caso se analizar\u00e1 qu\u00e9 fall\u00f3 y c\u00f3mo corregirlo en el desarrollo. De inyecciones maliciosas a errores en la autenticaci\u00f3n, se demostrar\u00e1 en vivo por qu\u00e9 la seguridad no es opcional. \u00bfListo para ver el c\u00f3digo en peligro y aprender a protegerlo?<\/strong><\/p>\n\n\n\n

    Samuel Hern\u00e1ndez y David Soto compartir\u00e1n sus experiencias y conocimientos en esta charla \u00fanica donde la teor\u00eda se encuentra con la pr\u00e1ctica<\/strong>. Si est\u00e1s interesado en la ciberseguridad y quieres ver de primera mano c\u00f3mo se desarrolla una batalla entre atacante y defensor, no te puedes perder esta sesi\u00f3n en la Codemotion Madrid 2025.<\/p>\n\n\n\n

    Los ponentes<\/h2>\n\n\n\n