Introducción: el OWASP Top 10 no es el único ranking de vulnerabilidades
Si te dedicas al hacking, al pentesting o simplemente te apasiona la seguridad ofensiva, probablemente el OWASP Top 10 es tu principal guía para vulnerabilidades. Es una referencia excelente para entender los riesgos más críticos en aplicaciones web: Control de acceso insuficiente (Broken Access Control), Inyección (Injection), Fallas criptográficas (Cryptographic Failures) y más. Se actualiza cada 3-4 años (la última versión formal liberada es de 2021, aunque ya existe un OWASP Top 10 2025 en versión RC [release candidate]) y está diseñado como un documento de concientización orientado a desarrolladores y equipos de seguridad de aplicaciones web.
Pero hay un problema: el OWASP Top 10 no cubre todo. Se centra exclusivamente en riesgos de aplicaciones web y agrupa vulnerabilidades en categorías amplias y de alto nivel. Por ejemplo, la categoría “A03:2021 – Injection” engloba SQL Injection, NoSQL Injection, Command Injection y Cross-Site Scripting (XSS) en un solo paraguas. Eso es útil para la visión estratégica, pero cuando necesitas entender las debilidades específicas del software a nivel granular — más allá del mundo web — necesitas otra herramienta.
Ahí es donde entra el CWE Top 25 Most Dangerous Software Weaknesses, publicado anualmente por MITRE con apoyo de CISA y la comunidad de CNAs (CVE Numbering Authorities). El CWE Top 25 de 2025, publicado en diciembre del año pasado, analiza 39,080 registros CVE publicados entre junio de 2024 y junio de 2025 para identificar las debilidades de software más peligrosas del mundo real.
¿Qué es exactamente el CWE Top 25?
El CWE (Common Weakness Enumeration) es un catálogo comunitario mantenido por MITRE que clasifica más de 900 tipos de debilidades de software y hardware. Mientras que un CVE (Common Vulnerabilities and Exposures) describe una vulnerabilidad específica en un producto concreto, un CWE describe el tipo de debilidad subyacente — la causa raíz.
El CWE Top 25 toma esos CVE publicados en el último año, analiza a qué CWE están mapeados, y genera un ranking basado en dos factores:
- Frecuencia: cuántas veces un CWE aparece como causa raíz de una vulnerabilidad CVE.
- Severidad: el puntaje CVSS promedio de las vulnerabilidades asociadas a ese CWE.
El Danger Score final se calcula multiplicando la frecuencia normalizada por la severidad normalizada. Esto permite identificar no solo las debilidades más comunes, sino las más peligrosas en la práctica.
OWASP Top 10 vs. CWE Top 25: ¿cuál usar?
La respuesta corta es: ambos, porque se complementan.
| Aspecto | OWASP Top 10 | CWE Top 25 |
|---|---|---|
| Mantenido por | OWASP Foundation | MITRE / CISA |
| Alcance | Riesgos en aplicaciones web | Debilidades en todo tipo de software |
| Nivel de detalle | Categorías amplias (10 riesgos) | Debilidades específicas (25 entradas granulares) |
| Frecuencia de actualización | Cada 3-4 años (última: 2021) | Anual |
| Base de datos | Encuestas y datos de organizaciones | ~39,000 registros CVE reales analizados |
| Propósito principal | Educación y awareness | Priorización técnica basada en datos |
| Audiencia | Desarrolladores web, AppSec | Desarrolladores, pentesters, gestores de riesgos |
El OWASP Top 10 responde a la pregunta: “¿Cuáles son las mayores amenazas para mi aplicación web?”. El CWE Top 25 responde: “¿Cuáles son las debilidades técnicas más peligrosas y explotadas en el software real este año?”.
El CWE Top 25 de 2025: el ranking completo
La lista de 2025 incluye 113 vulnerabilidades con explotación activa conocida (KEV — Known Exploited Vulnerabilities) distribuidas entre las 25 entradas, lo que subraya la urgencia de abordar estas debilidades.
| Posición | CWE ID | Nombre | Score | CVEs en KEV | Cambio vs. 2024 |
|---|---|---|---|---|---|
| 1 | CWE-79 | Cross-site Scripting (XSS) | 60.38 | 7 | Sin cambio |
| 2 | CWE-89 | SQL Injection | 28.72 | 4 | ↑ 1 |
| 3 | CWE-352 | Cross-Site Request Forgery (CSRF) | 13.64 | 0 | ↑ 1 |
| 4 | CWE-862 | Missing Authorization | 13.28 | 0 | ↑ 5 |
| 5 | CWE-787 | Out-of-bounds Write | 12.68 | 12 | ↓ 3 |
| 6 | CWE-22 | Path Traversal | 8.99 | 10 | ↓ 1 |
| 7 | CWE-416 | Use After Free | 8.47 | 14 | ↑ 1 |
| 8 | CWE-125 | Out-of-bounds Read | 7.88 | 3 | ↓ 2 |
| 9 | CWE-78 | OS Command Injection | 7.85 | 20 | ↓ 2 |
| 10 | CWE-94 | Code Injection | 7.57 | 7 | ↑ 1 |
| 11 | CWE-120 | Classic Buffer Overflow | 6.96 | 0 | Nuevo |
| 12 | CWE-434 | Unrestricted Upload of Dangerous File | 6.87 | 4 | ↓ 2 |
| 13 | CWE-476 | NULL Pointer Dereference | 6.41 | 0 | ↑ 8 |
| 14 | CWE-121 | Stack-based Buffer Overflow | 5.75 | 4 | Nuevo |
| 15 | CWE-502 | Deserialization of Untrusted Data | 5.23 | 11 | ↑ 1 |
| 16 | CWE-122 | Heap-based Buffer Overflow | 5.21 | 6 | Nuevo |
| 17 | CWE-863 | Incorrect Authorization | 4.14 | 4 | ↑ 1 |
| 18 | CWE-20 | Improper Input Validation | 4.09 | 2 | ↓ 6 |
| 19 | CWE-284 | Improper Access Control | 4.07 | 1 | Nuevo |
| 20 | CWE-200 | Exposure of Sensitive Information | 4.01 | 1 | ↓ 3 |
| 21 | CWE-306 | Missing Authentication for Critical Function | 3.47 | 11 | ↑ 4 |
| 22 | CWE-918 | Server-Side Request Forgery (SSRF) | 3.36 | 0 | ↓ 3 |
| 23 | CWE-77 | Command Injection | 3.15 | 2 | ↓ 10 |
| 24 | CWE-639 | Authorization Bypass via User-Controlled Key | 2.62 | 0 | ↑ 6 |
| 25 | CWE-770 | Allocation of Resources Without Limits | 2.54 | 0 | ↑ 1 |
Tendencias clave: qué nos dice el ranking de 2025
XSS sigue reinando (y no debería sorprenderte)
CWE-79 (Cross-site Scripting) mantiene el primer lugar por segundo año consecutivo con un score de 60.38, más del doble que el segundo lugar. Los registros CVE mapeados a XSS aumentaron en más de 3,000 respecto al año anterior. A pesar de ser una vulnerabilidad “conocida”, sigue siendo endémica en el software moderno.
El auge de las fallas de autorización
Una de las tendencias más significativas de 2025 es el ascenso explosivo de las debilidades relacionadas con control de acceso y autorización:
- CWE-862 (Missing Authorization) sube 5 posiciones al #4.
- CWE-306 (Missing Authentication for Critical Function) sube 4 posiciones al #21.
- CWE-639 (Authorization Bypass Through User-Controlled Key) sube 6 posiciones al #24.
Esto refleja un patrón claro: los atacantes están explotando la capa lógica de las aplicaciones, no solo la capa de entrada. En un mundo dominado por APIs, las fallas de autorización son el nuevo campo de batalla.
Los problemas de memoria no desaparecen
Tres nuevas entradas en el Top 25 de 2025 son variantes de buffer overflow: CWE-120 (Classic Buffer Overflow, #11), CWE-121 (Stack-based Buffer Overflow, #14) y CWE-122 (Heap-based Buffer Overflow, #16). Estas aparecen por primera vez debido a un cambio metodológico importante: en 2025, MITRE dejó de normalizar los mapeos CWE a la View-1003 (una colección simplificada de 130 debilidades), permitiendo que CWEs más específicos y de nivel más bajo entraran al ranking.
CWE-416 (Use After Free) también se mantiene fuerte en el #7 con 14 CVEs en el catálogo KEV, la mayor cantidad entre todas las entradas. Esto refuerza que, a pesar de la adopción de lenguajes memory-safe como Rust, los problemas de seguridad de memoria siguen siendo críticos en el ecosistema actual.
Inyección de comandos cae en picada
CWE-77 (Command Injection) experimentó la caída más drástica: 10 posiciones hacia abajo, del #13 al #23. Esto puede deberse en parte a mejores prácticas de mapeo por parte de los CNAs, que ahora diferencian con mayor precisión entre Command Injection (CWE-77) y OS Command Injection (CWE-78).
Novedades metodológicas de 2025: por qué esta edición es diferente
Uso de LLM para mapeo de vulnerabilidades
Por primera vez, el CWE Top 25 de 2025 incorporó un modelo de lenguaje (LLM) desarrollado por Chris Madden de Yahoo! como parte del CWE Root Cause Mapping Working Group. Este LLM, entrenado con el corpus completo de CWE y con mapeos CVE-a-CWE validados, sugirió mapeos más precisos para los registros CVE con clasificaciones imprecisas. Aunque las sugerencias del LLM no siempre fueron adoptadas, sirvieron como punto de partida para el análisis humano y en algunos casos detectaron detalles en las referencias que los analistas humanos habrían pasado por alto.
Colaboración directa con CNAs
De los 9,468 registros CVE identificados para re-análisis, 170 CNAs (60% de los contactados) proporcionaron retroalimentación sobre 2,459 registros (26% del total solicitado), confirmando o corrigiendo los mapeos CWE existentes. Esta colaboración directa con las autoridades que publican las vulnerabilidades mejora significativamente la calidad de los datos.
Eliminación de la normalización a View-1003
En años anteriores, todos los mapeos CWE se normalizaban a la View-1003, una colección simplificada de 130 debilidades que utiliza el NVD. Esto significaba que CWEs más específicos eran “subidos” a su ancestro más cercano dentro de esa vista, perdiendo granularidad. En 2025, se eliminó esta normalización: los datos reflejan los mapeos CWE reales proporcionados por los CNAs. Esto explica en gran medida la aparición de nuevas entradas como los buffer overflows específicos y la desaparición de CWEs más abstractos como CWE-119 y CWE-400.
¿Cómo usar el CWE Top 25 en tu práctica de hacking?
Para pentesters y red teamers
- Prioriza tus vectores de ataque: si CWE-79 (XSS) tiene un score de 60.38 y CWE-78 (OS Command Injection) tiene 20 KEVs activos, sabes dónde enfocar tus pruebas primero.
- Mira más allá de las web apps: los buffer overflows (CWE-120, CWE-121, CWE-122) te recuerdan que el software nativo, IoT y sistemas embebidos siguen siendo terreno fértil.
- Explota la capa lógica: el ascenso de Missing Authorization (CWE-862) y Authorization Bypass (CWE-639) indica que las pruebas de lógica de negocio y control de acceso son más relevantes que nunca.
Para desarrolladores y equipos de seguridad
- Integra el CWE Top 25 en tu SDLC: a diferencia del OWASP Top 10 que se actualiza cada varios años, el CWE Top 25 te da una fotografía anual de las debilidades más explotadas.
- Usa los CWE IDs en tus herramientas: la mayoría de SAST, DAST y SCA soportan mapeo a CWE. Configura reglas que prioricen las detecciones alineadas con el Top 25.
- Mide tu postura de seguridad: el ranking te permite establecer KPIs basados en cuántos CWEs del Top 25 están presentes en tu código base.
Conclusión: dos listas, una estrategia
El OWASP Top 10 es un excelente punto de partida para la seguridad de aplicaciones web, pero tratarlo como la única referencia es un error. El CWE Top 25 de 2025 otra visión, más granular y actualizada anualmente sobre las debilidades de software que los atacantes están explotando en el mundo real. Con 39,080 CVEs analizados, colaboración directa de 170 CNAs y el uso pionero de LLMs para mejorar los mapeos, esta edición representa el análisis más riguroso hasta la fecha.
La próxima vez que planifiques un pentest, diseñes una política de seguridad o simplemente quieras entender el panorama de amenazas, no te quedes solo con el OWASP Top 10. Consulta el CWE Top 25 en cwe.mitre.org/top25 y tendrás una imagen mucho más completa de lo que realmente está pasando ahí fuera.
Referencias
- Página principal del CWE Top 25 (MITRE):
https://cwe.mitre.org/top25/ - Lista detallada “2025 CWE Top 25 Most Dangerous Software Weaknesses” (MITRE):
https://cwe.mitre.org/top25/archive/2025/2025_cwe_top25.html - Metodología oficial del 2025 CWE Top 25:
https://cwe.mitre.org/top25/archive/2025/2025_methodology.html - Key Insights / análisis oficial del Top 25 de 2025:
https://cwe.mitre.org/top25/archive/2025/2025_key_insights.html - CVE Program sobre los 39,080 CVE usados como base del Top 25 2025:
https://www.cve.org/Media/News/item/blog/2026/01/06/CVE-Records-Basis-2025-CWE-Top-25 - Artículo de SANS sobre CWE Top 25:
https://www.sans.org/top25-software-errors - Introducción y documentación del OWASP Top 10 2021:
https://owasp.org/Top10/2021/A00_2021_Introduction/