En el mundo de la ciberseguridad, las vulnerabilidades son una constante amenaza para las organizaciones, tanto en el ámbito público como privado. Los avances tecnológicos no solo han facilitado la vida digital, sino que también han abierto puertas a ataques cibernéticos cada vez más sofisticados. Para abordar este desafío, la lista CWE Top 25 Most Dangerous Software Weaknesses (Las 25 Debilidades de Software Más Peligrosas) presenta una visión clara de las debilidades más graves y prevalentes que subyacen a las 31,770 exposiciones y vulnerabilidades comunes (CVE®) del último año.
¿Por qué es importante el CWE Top 25?
El CWE Top 25 no solo es una lista técnica; es una herramienta poderosa para guiar la inversión, políticas y prácticas necesarias para prevenir estas debilidades antes de que ocurran. Al comprender las causas fundamentales de estas vulnerabilidades, las organizaciones pueden tomar medidas preventivas que no solo protegen su infraestructura, sino que también refuerzan la confianza del cliente, reducen costos y mejoran la seguridad general.
¿Qué nos enseña el CWE Top 25?
- Reducción de Vulnerabilidades
Al identificar las debilidades más comunes, como la seguridad de la memoria o las inyecciones de código, se obtienen valiosas perspectivas para retroalimentar el ciclo de vida de desarrollo de software (SDLC) y la planificación arquitectónica. Este enfoque ayuda a eliminar clases enteras de defectos que podrían ser explotadas en el futuro. A medida que las organizaciones priorizan la corrección de estas debilidades comunes, se reduce significativamente la probabilidad de nuevas vulnerabilidades, mejorando la seguridad general del sistema. - Ahorro de Costos
Las vulnerabilidades no solo afectan la seguridad, sino también el presupuesto de las empresas. Cuantas más vulnerabilidades se encuentren durante el desarrollo del producto, más problemas deben gestionarse después del despliegue. Al corregir debilidades fundamentales desde el principio, las organizaciones ahorran recursos valiosos y reducen los costos relacionados con la gestión de incidentes de seguridad. - Análisis de Tendencias
El CWE Top 25 ofrece una visión única de las tendencias en la seguridad del software. Al observar las debilidades recurrentes en los sistemas y las plataformas, las organizaciones pueden ajustar sus esfuerzos de seguridad para enfocarse en los problemas más prevalentes. Esta información permite que los equipos de seguridad tomen decisiones informadas sobre dónde invertir sus recursos y cómo implementar mejoras en sus defensas. - Perspectivas sobre la Explotabilidad
Algunas debilidades, como las inyecciones de comandos, atraen más la atención de los atacantes, ya que ofrecen una vía directa para comprometer el sistema. El CWE Top 25 ayuda a las organizaciones a priorizar el riesgo de las debilidades más explotables. Al entender cuáles son las más susceptibles de ser atacadas, las empresas pueden aplicar parches y medidas de mitigación de manera más efectiva y rápida. - Confianza del Cliente
La transparencia en cómo las organizaciones abordan estas debilidades demuestra un compromiso con la seguridad de sus productos y la protección de los datos de los usuarios. Los clientes valoran la seguridad de los productos y, al abordar proactivamente estas debilidades, las empresas no solo fortalecen su infraestructura, sino también su reputación y confianza en el mercado.
¿Cómo puede beneficiarse tu organización?
El análisis detallado del CWE Top 25 ofrece una hoja de ruta clara para mejorar la seguridad de software y reducir el riesgo de vulnerabilidades graves. Incorporar estas recomendaciones en el ciclo de desarrollo de software no solo mejora la calidad del producto, sino que también prepara a la organización para enfrentar un entorno de amenazas cada vez más complejo. La prevención es siempre más rentable que la corrección posterior de los problemas, y el CWE Top 25 ofrece las bases para un enfoque proactivo en la seguridad.
En resumen, el CWE Top 25 no es solo un compendio técnico, sino un catalizador para transformar la seguridad del software en un aspecto integral de la estrategia organizacional. Al integrar estas prácticas en todas las fases del desarrollo, las empresas pueden reducir significativamente las vulnerabilidades, mejorar su postura de seguridad y, en última instancia, fortalecer la confianza de sus clientes y socios.
CWE Top 25
A continuación, se presenta el CWE Top 25 actualizado a finales del 2024, que identifica las debilidades más críticas y prevalentes en el software, basadas en su puntuación de riesgo y en las vulnerabilidades relacionadas. Esta lista proporciona información clave para que las organizaciones prioricen sus esfuerzos de seguridad y mitiguen las amenazas que más probablemente podrían ser explotadas por atacantes.
| Ranking | ID | Nombre | Puntuación | CVE en KEV | Cambio de Ranking vs. 2023 |
|---|---|---|---|---|---|
| 1 | CWE-79 | Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) | 56.92 | 3 | +1 |
| 2 | CWE-787 | Out-of-bounds Write | 45.2 | 18 | -1 |
| 3 | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) | 35.88 | 4 | 0 |
| 4 | CWE-352 | Cross-Site Request Forgery (CSRF) | 19.57 | 0 | +5 |
| 5 | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) | 12.74 | 4 | +3 |
| 6 | CWE-125 | Out-of-bounds Read | 11.42 | 3 | +1 |
| 7 | CWE-78 | Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) | 11.3 | 5 | -2 |
| 8 | CWE-416 | Use After Free | 10.19 | 5 | -4 |
| 9 | CWE-862 | Missing Authorization | 10.11 | 0 | +2 |
| 10 | CWE-434 | Unrestricted Upload of File with Dangerous Type | 10.03 | 0 | 0 |
| 11 | CWE-94 | Improper Control of Generation of Code (‘Code Injection’) | 7.13 | 7 | +12 |
| 12 | CWE-20 | Improper Input Validation | 6.78 | 1 | -6 |
| 13 | CWE-77 | Improper Neutralization of Special Elements used in a Command (‘Command Injection’) | 6.74 | 4 | +3 |
| 14 | CWE-287 | Improper Authentication | 5.94 | 4 | -1 |
| 15 | CWE-269 | Improper Privilege Management | 5.22 | 0 | +7 |
| 16 | CWE-502 | Deserialization of Untrusted Data | 5.07 | 5 | -1 |
| 17 | CWE-200 | Exposure of Sensitive Information to an Unauthorized Actor | 5.07 | 0 | +13 |
| 18 | CWE-863 | Incorrect Authorization | 4.05 | 2 | +6 |
| 19 | CWE-918 | Server-Side Request Forgery (SSRF) | 4.05 | 2 | 0 |
| 20 | CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer | 3.69 | 2 | -3 |
| 21 | CWE-476 | NULL Pointer Dereference | 3.58 | 0 | -9 |
| 22 | CWE-798 | Use of Hard-coded Credentials | 3.46 | 2 | -4 |
| 23 | CWE-190 | Integer Overflow or Wraparound | 3.37 | 3 | -9 |
| 24 | CWE-400 | Uncontrolled Resource Consumption | 3.23 | 0 | +13 |
| 25 | CWE-306 | Missing Authentication for Critical Function | 2.73 | 5 | -5 |
Fuente: https://cwe.mitre.org/top25/archive/2024/2024_cwe_top25.html#top25list