{"id":1822,"date":"2026-02-27T10:14:50","date_gmt":"2026-02-27T16:14:50","guid":{"rendered":"https:\/\/hacking.onesec.mx\/?p=1822"},"modified":"2026-02-27T11:02:18","modified_gmt":"2026-02-27T17:02:18","slug":"mas-alla-del-owasp-top-10-el-cwe-top-25-y-por-que-deberias-conocerlo","status":"publish","type":"post","link":"https:\/\/hacking.onesec.mx\/index.php\/2026\/02\/mas-alla-del-owasp-top-10-el-cwe-top-25-y-por-que-deberias-conocerlo\/","title":{"rendered":"M\u00e1s all\u00e1 del OWASP Top 10: el CWE Top 25 y por qu\u00e9 deber\u00edas conocerlo"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Introducci\u00f3n: el OWASP Top 10 no es el \u00fanico ranking de vulnerabilidades<\/h2>\n\n\n\n<p>Si te dedicas al hacking, al pentesting o simplemente te apasiona la seguridad ofensiva, probablemente el <strong>OWASP Top 10<\/strong> es tu principal gu\u00eda para vulnerabilidades. Es una referencia excelente para entender los riesgos m\u00e1s cr\u00edticos en aplicaciones web: Control de acceso insuficiente (Broken Access Control), Inyecci\u00f3n (Injection), Fallas criptogr\u00e1ficas (Cryptographic Failures) y m\u00e1s. Se actualiza cada 3-4 a\u00f1os (la \u00faltima versi\u00f3n formal liberada es de 2021, aunque ya existe un OWASP Top 10 2025 en versi\u00f3n RC [release candidate]) y est\u00e1 dise\u00f1ado como un documento de concientizaci\u00f3n orientado a desarrolladores y equipos de seguridad de aplicaciones web.<\/p>\n\n\n\n<p>Pero hay un problema: <strong>el OWASP Top 10 no cubre todo<\/strong>. Se centra exclusivamente en riesgos de aplicaciones web y agrupa vulnerabilidades en categor\u00edas amplias y de alto nivel. Por ejemplo, la categor\u00eda &#8220;A03:2021 \u2013 Injection&#8221; engloba SQL Injection, NoSQL Injection, Command Injection y Cross-Site Scripting (XSS) en un solo paraguas. Eso es \u00fatil para la visi\u00f3n estrat\u00e9gica, pero cuando necesitas entender las debilidades espec\u00edficas del software a nivel granular \u2014 m\u00e1s all\u00e1 del mundo web \u2014 necesitas otra herramienta.<\/p>\n\n\n\n<p>Ah\u00ed es donde entra el <strong>CWE Top 25 Most Dangerous Software Weaknesses<\/strong>, publicado anualmente por MITRE con apoyo de CISA y la comunidad de CNAs (CVE Numbering Authorities). El CWE Top 25 de 2025, publicado en diciembre del a\u00f1o pasado, analiza <strong>39,080 registros CVE<\/strong> publicados entre junio de 2024 y junio de 2025 para identificar las debilidades de software m\u00e1s peligrosas del mundo real.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"1024\" src=\"https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/02\/cwe_top_25_logo_white-1024x1024.png\" alt=\"CWE Top 25 Most Dangerous Software Weaknesses\" class=\"wp-image-1824\" style=\"width:363px;height:auto\" srcset=\"https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/02\/cwe_top_25_logo_white-1024x1024.png 1024w, https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/02\/cwe_top_25_logo_white-300x300.png 300w, https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/02\/cwe_top_25_logo_white-150x150.png 150w, https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/02\/cwe_top_25_logo_white-768x769.png 768w, https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/02\/cwe_top_25_logo_white.png 1217w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">\u00bfQu\u00e9 es exactamente el CWE Top 25?<\/h2>\n\n\n\n<p>El CWE (Common Weakness Enumeration) es un cat\u00e1logo comunitario mantenido por MITRE que clasifica m\u00e1s de <strong>900 tipos de debilidades<\/strong> de software y hardware. Mientras que un CVE (Common Vulnerabilities and Exposures) describe una vulnerabilidad espec\u00edfica en un producto concreto, un CWE describe el <em>tipo de debilidad subyacente<\/em> \u2014 la causa ra\u00edz.<\/p>\n\n\n\n<p>El <strong>CWE Top 25<\/strong> toma esos CVE publicados en el \u00faltimo a\u00f1o, analiza a qu\u00e9 CWE est\u00e1n mapeados, y genera un ranking basado en dos factores:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Frecuencia<\/strong>: cu\u00e1ntas veces un CWE aparece como causa ra\u00edz de una vulnerabilidad CVE.<\/li>\n\n\n\n<li><strong>Severidad<\/strong>: el puntaje CVSS promedio de las vulnerabilidades asociadas a ese CWE.<\/li>\n<\/ul>\n\n\n\n<p>El <em>Danger Score<\/em> final se calcula multiplicando la frecuencia normalizada por la severidad normalizada. Esto permite identificar no solo las debilidades m\u00e1s comunes, sino las m\u00e1s peligrosas en la pr\u00e1ctica.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">OWASP Top 10 vs. CWE Top 25: \u00bfcu\u00e1l usar?<\/h2>\n\n\n\n<p>La respuesta corta es: <strong>ambos, porque se complementan<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-table is-style-stripes\"><table class=\"has-secondary-accent-background-color has-background has-fixed-layout\"><thead><tr><th>Aspecto<\/th><th>OWASP Top 10<\/th><th>CWE Top 25<\/th><\/tr><\/thead><tbody><tr><td><strong>Mantenido por<\/strong><\/td><td>OWASP Foundation<\/td><td>MITRE \/ CISA<\/td><\/tr><tr><td><strong>Alcance<\/strong><\/td><td>Riesgos en aplicaciones web<\/td><td>Debilidades en todo tipo de software<\/td><\/tr><tr><td><strong>Nivel de detalle<\/strong><\/td><td>Categor\u00edas amplias (10 riesgos)<\/td><td>Debilidades espec\u00edficas (25 entradas granulares)<\/td><\/tr><tr><td><strong>Frecuencia de actualizaci\u00f3n<\/strong><\/td><td>Cada 3-4 a\u00f1os (\u00faltima: 2021)<\/td><td>Anual<\/td><\/tr><tr><td><strong>Base de datos<\/strong><\/td><td>Encuestas y datos de organizaciones<\/td><td>~39,000 registros CVE reales analizados<\/td><\/tr><tr><td><strong>Prop\u00f3sito principal<\/strong><\/td><td>Educaci\u00f3n y awareness<\/td><td>Priorizaci\u00f3n t\u00e9cnica basada en datos<\/td><\/tr><tr><td><strong>Audiencia<\/strong><\/td><td>Desarrolladores web, AppSec<\/td><td>Desarrolladores, pentesters, gestores de riesgos<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>El OWASP Top 10 responde a la pregunta: <em>&#8220;\u00bfCu\u00e1les son las mayores amenazas para mi aplicaci\u00f3n web?&#8221;<\/em>. El CWE Top 25 responde: <em>&#8220;\u00bfCu\u00e1les son las debilidades t\u00e9cnicas m\u00e1s peligrosas y explotadas en el software real este a\u00f1o?&#8221;<\/em>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">El CWE Top 25 de 2025: el ranking completo<\/h2>\n\n\n\n<p>La lista de 2025 incluye 113 vulnerabilidades con explotaci\u00f3n activa conocida (KEV \u2014 Known Exploited Vulnerabilities) distribuidas entre las 25 entradas, lo que subraya la urgencia de abordar estas debilidades.<\/p>\n\n\n\n<figure class=\"wp-block-table is-style-stripes\"><table class=\"has-accent-text-background-color has-background has-fixed-layout\"><thead><tr><th>Posici\u00f3n<\/th><th>CWE ID<\/th><th>Nombre<\/th><th>Score<\/th><th>CVEs en KEV<\/th><th>Cambio vs. 2024<\/th><\/tr><\/thead><tbody><tr><td>1<\/td><td>CWE-79<\/td><td>Cross-site Scripting (XSS)<\/td><td>60.38<\/td><td>7<\/td><td>Sin cambio<\/td><\/tr><tr><td>2<\/td><td>CWE-89<\/td><td>SQL Injection<\/td><td>28.72<\/td><td>4<\/td><td>\u2191 1<\/td><\/tr><tr><td>3<\/td><td>CWE-352<\/td><td>Cross-Site Request Forgery (CSRF)<\/td><td>13.64<\/td><td>0<\/td><td>\u2191 1<\/td><\/tr><tr><td>4<\/td><td>CWE-862<\/td><td>Missing Authorization<\/td><td>13.28<\/td><td>0<\/td><td>\u2191 5<\/td><\/tr><tr><td>5<\/td><td>CWE-787<\/td><td>Out-of-bounds Write<\/td><td>12.68<\/td><td>12<\/td><td>\u2193 3<\/td><\/tr><tr><td>6<\/td><td>CWE-22<\/td><td>Path Traversal<\/td><td>8.99<\/td><td>10<\/td><td>\u2193 1<\/td><\/tr><tr><td>7<\/td><td>CWE-416<\/td><td>Use After Free<\/td><td>8.47<\/td><td>14<\/td><td>\u2191 1<\/td><\/tr><tr><td>8<\/td><td>CWE-125<\/td><td>Out-of-bounds Read<\/td><td>7.88<\/td><td>3<\/td><td>\u2193 2<\/td><\/tr><tr><td>9<\/td><td>CWE-78<\/td><td>OS Command Injection<\/td><td>7.85<\/td><td>20<\/td><td>\u2193 2<\/td><\/tr><tr><td>10<\/td><td>CWE-94<\/td><td>Code Injection<\/td><td>7.57<\/td><td>7<\/td><td>\u2191 1<\/td><\/tr><tr><td>11<\/td><td>CWE-120<\/td><td>Classic Buffer Overflow<\/td><td>6.96<\/td><td>0<\/td><td><strong>Nuevo<\/strong><\/td><\/tr><tr><td>12<\/td><td>CWE-434<\/td><td>Unrestricted Upload of Dangerous File<\/td><td>6.87<\/td><td>4<\/td><td>\u2193 2<\/td><\/tr><tr><td>13<\/td><td>CWE-476<\/td><td>NULL Pointer Dereference<\/td><td>6.41<\/td><td>0<\/td><td>\u2191 8<\/td><\/tr><tr><td>14<\/td><td>CWE-121<\/td><td>Stack-based Buffer Overflow<\/td><td>5.75<\/td><td>4<\/td><td><strong>Nuevo<\/strong><\/td><\/tr><tr><td>15<\/td><td>CWE-502<\/td><td>Deserialization of Untrusted Data<\/td><td>5.23<\/td><td>11<\/td><td>\u2191 1<\/td><\/tr><tr><td>16<\/td><td>CWE-122<\/td><td>Heap-based Buffer Overflow<\/td><td>5.21<\/td><td>6<\/td><td><strong>Nuevo<\/strong><\/td><\/tr><tr><td>17<\/td><td>CWE-863<\/td><td>Incorrect Authorization<\/td><td>4.14<\/td><td>4<\/td><td>\u2191 1<\/td><\/tr><tr><td>18<\/td><td>CWE-20<\/td><td>Improper Input Validation<\/td><td>4.09<\/td><td>2<\/td><td>\u2193 6<\/td><\/tr><tr><td>19<\/td><td>CWE-284<\/td><td>Improper Access Control<\/td><td>4.07<\/td><td>1<\/td><td><strong>Nuevo<\/strong><\/td><\/tr><tr><td>20<\/td><td>CWE-200<\/td><td>Exposure of Sensitive Information<\/td><td>4.01<\/td><td>1<\/td><td>\u2193 3<\/td><\/tr><tr><td>21<\/td><td>CWE-306<\/td><td>Missing Authentication for Critical Function<\/td><td>3.47<\/td><td>11<\/td><td>\u2191 4<\/td><\/tr><tr><td>22<\/td><td>CWE-918<\/td><td>Server-Side Request Forgery (SSRF)<\/td><td>3.36<\/td><td>0<\/td><td>\u2193 3<\/td><\/tr><tr><td>23<\/td><td>CWE-77<\/td><td>Command Injection<\/td><td>3.15<\/td><td>2<\/td><td>\u2193 10<\/td><\/tr><tr><td>24<\/td><td>CWE-639<\/td><td>Authorization Bypass via User-Controlled Key<\/td><td>2.62<\/td><td>0<\/td><td>\u2191 6<\/td><\/tr><tr><td>25<\/td><td>CWE-770<\/td><td>Allocation of Resources Without Limits<\/td><td>2.54<\/td><td>0<\/td><td>\u2191 1<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Tendencias clave: qu\u00e9 nos dice el ranking de 2025<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">XSS sigue reinando (y no deber\u00eda sorprenderte)<\/h3>\n\n\n\n<p>CWE-79 (Cross-site Scripting) mantiene el primer lugar por segundo a\u00f1o consecutivo con un score de 60.38, m\u00e1s del doble que el segundo lugar. Los registros CVE mapeados a XSS aumentaron en m\u00e1s de 3,000 respecto al a\u00f1o anterior. A pesar de ser una vulnerabilidad &#8220;conocida&#8221;, sigue siendo end\u00e9mica en el software moderno.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">El auge de las fallas de autorizaci\u00f3n<\/h3>\n\n\n\n<p>Una de las tendencias m\u00e1s significativas de 2025 es el ascenso explosivo de las debilidades relacionadas con control de acceso y autorizaci\u00f3n:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CWE-862 (Missing Authorization)<\/strong> sube 5 posiciones al #4.<\/li>\n\n\n\n<li><strong>CWE-306 (Missing Authentication for Critical Function)<\/strong> sube 4 posiciones al #21.<\/li>\n\n\n\n<li><strong>CWE-639 (Authorization Bypass Through User-Controlled Key)<\/strong> sube 6 posiciones al #24.<\/li>\n<\/ul>\n\n\n\n<p>Esto refleja un patr\u00f3n claro: los atacantes est\u00e1n explotando <strong>la capa l\u00f3gica<\/strong> de las aplicaciones, no solo la capa de entrada. En un mundo dominado por APIs, las fallas de autorizaci\u00f3n son el nuevo campo de batalla.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Los problemas de memoria no desaparecen<\/h3>\n\n\n\n<p>Tres nuevas entradas en el Top 25 de 2025 son variantes de buffer overflow: CWE-120 (Classic Buffer Overflow, #11), CWE-121 (Stack-based Buffer Overflow, #14) y CWE-122 (Heap-based Buffer Overflow, #16). Estas aparecen por primera vez debido a un cambio metodol\u00f3gico importante: en 2025, MITRE dej\u00f3 de normalizar los mapeos CWE a la View-1003 (una colecci\u00f3n simplificada de 130 debilidades), permitiendo que CWEs m\u00e1s espec\u00edficos y de nivel m\u00e1s bajo entraran al ranking.<\/p>\n\n\n\n<p>CWE-416 (Use After Free) tambi\u00e9n se mantiene fuerte en el #7 con <strong>14 CVEs en el cat\u00e1logo KEV<\/strong>, la mayor cantidad entre todas las entradas. Esto refuerza que, a pesar de la adopci\u00f3n de lenguajes memory-safe como Rust, los problemas de seguridad de memoria siguen siendo cr\u00edticos en el ecosistema actual.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Inyecci\u00f3n de comandos cae en picada<\/h3>\n\n\n\n<p>CWE-77 (Command Injection) experiment\u00f3 la ca\u00edda m\u00e1s dr\u00e1stica: <strong>10 posiciones<\/strong> hacia abajo, del #13 al #23. Esto puede deberse en parte a mejores pr\u00e1cticas de mapeo por parte de los CNAs, que ahora diferencian con mayor precisi\u00f3n entre Command Injection (CWE-77) y OS Command Injection (CWE-78).<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Novedades metodol\u00f3gicas de 2025: por qu\u00e9 esta edici\u00f3n es diferente<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Uso de LLM para mapeo de vulnerabilidades<\/h3>\n\n\n\n<p>Por primera vez, el CWE Top 25 de 2025 incorpor\u00f3 un <strong>modelo de lenguaje (LLM)<\/strong> desarrollado por Chris Madden de Yahoo! como parte del CWE Root Cause Mapping Working Group. Este LLM, entrenado con el corpus completo de CWE y con mapeos CVE-a-CWE validados, sugiri\u00f3 mapeos m\u00e1s precisos para los registros CVE con clasificaciones imprecisas. Aunque las sugerencias del LLM no siempre fueron adoptadas, sirvieron como punto de partida para el an\u00e1lisis humano y en algunos casos detectaron detalles en las referencias que los analistas humanos habr\u00edan pasado por alto.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Colaboraci\u00f3n directa con CNAs<\/h3>\n\n\n\n<p>De los 9,468 registros CVE identificados para re-an\u00e1lisis, <strong>170 CNAs (60% de los contactados) proporcionaron retroalimentaci\u00f3n<\/strong> sobre 2,459 registros (26% del total solicitado), confirmando o corrigiendo los mapeos CWE existentes. Esta colaboraci\u00f3n directa con las autoridades que publican las vulnerabilidades mejora significativamente la calidad de los datos.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Eliminaci\u00f3n de la normalizaci\u00f3n a View-1003<\/h3>\n\n\n\n<p>En a\u00f1os anteriores, todos los mapeos CWE se normalizaban a la View-1003, una colecci\u00f3n simplificada de 130 debilidades que utiliza el NVD. Esto significaba que CWEs m\u00e1s espec\u00edficos eran &#8220;subidos&#8221; a su ancestro m\u00e1s cercano dentro de esa vista, perdiendo granularidad. En 2025, <strong>se elimin\u00f3 esta normalizaci\u00f3n<\/strong>: los datos reflejan los mapeos CWE reales proporcionados por los CNAs. Esto explica en gran medida la aparici\u00f3n de nuevas entradas como los buffer overflows espec\u00edficos y la desaparici\u00f3n de CWEs m\u00e1s abstractos como CWE-119 y CWE-400.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">\u00bfC\u00f3mo usar el CWE Top 25 en tu pr\u00e1ctica de hacking?<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Para pentesters y red teamers<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Prioriza tus vectores de ataque<\/strong>: si CWE-79 (XSS) tiene un score de 60.38 y CWE-78 (OS Command Injection) tiene 20 KEVs activos, sabes d\u00f3nde enfocar tus pruebas primero.<\/li>\n\n\n\n<li><strong>Mira m\u00e1s all\u00e1 de las web apps<\/strong>: los buffer overflows (CWE-120, CWE-121, CWE-122) te recuerdan que el software nativo, IoT y sistemas embebidos siguen siendo terreno f\u00e9rtil.<\/li>\n\n\n\n<li><strong>Explota la capa l\u00f3gica<\/strong>: el ascenso de Missing Authorization (CWE-862) y Authorization Bypass (CWE-639) indica que las pruebas de l\u00f3gica de negocio y control de acceso son m\u00e1s relevantes que nunca.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Para desarrolladores y equipos de seguridad<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Integra el CWE Top 25 en tu SDLC<\/strong>: a diferencia del OWASP Top 10 que se actualiza cada varios a\u00f1os, el CWE Top 25 te da una fotograf\u00eda anual de las debilidades m\u00e1s explotadas.<\/li>\n\n\n\n<li><strong>Usa los CWE IDs en tus herramientas<\/strong>: la mayor\u00eda de SAST, DAST y SCA soportan mapeo a CWE. Configura reglas que prioricen las detecciones alineadas con el Top 25.<\/li>\n\n\n\n<li><strong>Mide tu postura de seguridad<\/strong>: el ranking te permite establecer KPIs basados en cu\u00e1ntos CWEs del Top 25 est\u00e1n presentes en tu c\u00f3digo base.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Conclusi\u00f3n: dos listas, una estrategia<\/h2>\n\n\n\n<p>El OWASP Top 10 es un excelente punto de partida para la seguridad de aplicaciones web, pero tratarlo como la \u00fanica referencia es un error. El CWE Top 25 de 2025 otra visi\u00f3n, m\u00e1s granular y actualizada anualmente sobre las debilidades de software que los atacantes est\u00e1n explotando en el mundo real. Con 39,080 CVEs analizados, colaboraci\u00f3n directa de 170 CNAs y el uso pionero de LLMs para mejorar los mapeos, esta edici\u00f3n representa el an\u00e1lisis m\u00e1s riguroso hasta la fecha.<\/p>\n\n\n\n<p>La pr\u00f3xima vez que planifiques un pentest, dise\u00f1es una pol\u00edtica de seguridad o simplemente quieras entender el panorama de amenazas, no te quedes solo con el OWASP Top 10. Consulta el CWE Top 25 en <a href=\"https:\/\/cwe.mitre.org\/top25\/archive\/2025\/2025_kev_list.html\">cwe.mitre.org\/top25<\/a> y tendr\u00e1s una imagen mucho m\u00e1s completa de lo que realmente est\u00e1 pasando ah\u00ed fuera.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Referencias<\/h2>\n\n\n\n<ol class=\"wp-block-list\">\n<li>P\u00e1gina principal del CWE Top 25 (MITRE):<br><a href=\"https:\/\/cwe.mitre.org\/top25\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/cwe.mitre.org\/top25\/<\/a><\/li>\n\n\n\n<li>Lista detallada \u201c2025 CWE Top 25 Most Dangerous Software Weaknesses\u201d (MITRE):<br><a href=\"https:\/\/cwe.mitre.org\/top25\/archive\/2025\/2025_cwe_top25.html\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/cwe.mitre.org\/top25\/archive\/2025\/2025_cwe_top25.html<\/a><\/li>\n\n\n\n<li>Metodolog\u00eda oficial del 2025 CWE Top 25:<br><a href=\"https:\/\/cwe.mitre.org\/top25\/archive\/2025\/2025_methodology.html\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/cwe.mitre.org\/top25\/archive\/2025\/2025_methodology.html<\/a><\/li>\n\n\n\n<li>Key Insights \/ an\u00e1lisis oficial del Top 25 de 2025:<br><a href=\"https:\/\/cwe.mitre.org\/top25\/archive\/2025\/2025_key_insights.html\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/cwe.mitre.org\/top25\/archive\/2025\/2025_key_insights.html<\/a><\/li>\n\n\n\n<li>CVE Program sobre los 39,080 CVE usados como base del Top 25 2025:<br><a href=\"https:\/\/www.cve.org\/Media\/News\/item\/blog\/2026\/01\/06\/CVE-Records-Basis-2025-CWE-Top-25\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.cve.org\/Media\/News\/item\/blog\/2026\/01\/06\/CVE-Records-Basis-2025-CWE-Top-25<\/a><\/li>\n\n\n\n<li>Art\u00edculo de SANS sobre CWE Top 25:<br><a href=\"https:\/\/www.sans.org\/top25-software-errors\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.sans.org\/top25-software-errors<\/a><\/li>\n\n\n\n<li>Introducci\u00f3n y documentaci\u00f3n del OWASP Top 10 2021:<br><a href=\"https:\/\/owasp.org\/Top10\/2021\/A00_2021_Introduction\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/owasp.org\/Top10\/2021\/A00_2021_Introduction\/<\/a><\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>Introducci\u00f3n: el OWASP Top 10 no es el \u00fanico ranking de vulnerabilidades Si te dedicas al hacking, al pentesting o simplemente te apasiona la seguridad ofensiva, probablemente el OWASP Top 10 es tu principal gu\u00eda para vulnerabilidades. Es una referencia excelente para entender los riesgos m\u00e1s cr\u00edticos en aplicaciones web: Control de acceso insuficiente (Broken [&hellip;]<\/p>\n","protected":false},"author":6,"featured_media":1827,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,4,5,8],"tags":[],"class_list":["post-1822","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-pentest-2","category-pentest","category-seguridad-de-la-informacion","category-seguridad-web"],"_links":{"self":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts\/1822","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/comments?post=1822"}],"version-history":[{"count":3,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts\/1822\/revisions"}],"predecessor-version":[{"id":1828,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts\/1822\/revisions\/1828"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/media\/1827"}],"wp:attachment":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/media?parent=1822"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/categories?post=1822"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/tags?post=1822"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}