MITRE ha publicado la edición 2025 de su Top 25 Most Dangerous Software Weaknesses, una referencia clave para entender qué errores de diseño y programación están detrás de la mayoría de las vulnerabilidades graves en el software moderno. El ranking se basa en el análisis de 39.080 vulnerabilidades CVE registradas entre junio de 2024 y junio de 2025, en colaboración con HSSEDI y la CISA (Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU.), dentro del programa Common Weakness Enumeration (CWE).
El listado no recoge fallos concretos de un producto, sino tipos de debilidades recurrentes: errores lógicos, bugs de implementación, problemas de arquitectura y defectos de diseño que, de forma sistemática, se convierten en vulnerabilidades explotables. Estas debilidades son el punto de partida de ataques que van desde el robo de datos y el secuestro de sesiones hasta el remote code execution y el denial of service.
Qué es el CWE Top 25 y cómo se relaciona con CVE en seguridad de software
Cada elemento del ranking MITRE se identifica mediante un código CWE-XXX (Common Weakness Enumeration). Es fundamental diferenciarlo de CVE (Common Vulnerabilities and Exposures):
CWE describe una clase de debilidad —por ejemplo, «neutralización incorrecta de datos de entrada en páginas web»—, mientras que CVE identifica un caso concreto de esa debilidad en una versión específica de un producto o biblioteca. En otras palabras, CWE es la causa raíz y CVE es su manifestación práctica en un sistema real.
Para construir el CWE Top 25 2025, MITRE evalúa todas las entradas CVE y puntúa cada tipo de debilidad según dos parámetros principales: frecuencia (cuántas veces aparece en las CVE analizadas) y gravedad potencial (impacto máximo si se explota). La combinación de ambos factores determina el puesto de cada CWE en el ranking.
Tendencias clave del CWE Top 25 2025 en ciberseguridad de aplicaciones
XSS (CWE-79): el cross-site scripting sigue dominando las vulnerabilidades web
El primer puesto lo ocupa de nuevo el cross-site scripting (XSS, CWE-79), es decir, la neutralización incorrecta de la entrada del usuario en aplicaciones web. Pese a años de guías, marcos de desarrollo seguros y herramientas de defensa maduras, el XSS continúa siendo uno de los vectores de ataque más frecuentes y peligrosos.
Las causas son múltiples: proliferación de aplicaciones web complejas, uso intensivo de bibliotecas y frameworks de terceros, interfaces ricas en JavaScript y validaciones de entrada inconsistentes. La explotación de XSS permite robar cookies y tokens de sesión, ejecutar JavaScript arbitrario en el navegador de la víctima, secuestrar sesiones y manipular el contenido mostrado, lo que impacta directamente en la confidencialidad e integridad de los datos.
Autenticación y autorización: errores críticos en APIs, SaaS y microservicios
El informe subraya un incremento preocupante en la criticidad de las debilidades relacionadas con el control de acceso:
CWE-862: ausencia de autorización. El sistema permite acceder a funcionalidades o datos sin verificar si el usuario tiene permisos suficientes. Esto habilita escaladas de privilegios tanto verticales (pasar de usuario estándar a administrador) como horizontales (acceder a datos de otros usuarios), derivando en compromisos directos de información sensible.
CWE-306: ausencia de autenticación. Servicios o componentes, a menudo APIs internas o microservicios, se exponen sin ningún mecanismo de verificación de identidad. En arquitecturas en la nube y entornos híbridos, donde la frontera entre «interno» y «externo» es difusa, este fallo deja puertas abiertas a atacantes sin necesidad de credenciales.
Estos problemas son especialmente relevantes en web API, aplicaciones móviles y soluciones SaaS, en las que una modelización incorrecta de roles, confianza entre servicios y tokens de acceso se traduce rápidamente en incidentes críticos.
Vulnerabilidades clásicas de memoria y gestión de recursos vuelven al primer plano
El CWE Top 25 2025 también reintroduce varias debilidades «clásicas» de bajo nivel: desbordamientos de búfer en pila y montón, desreferenciación de puntero nulo (CWE-476), controles de acceso defectuosos y asignación de recursos sin límites adecuados.
Aunque muchos lenguajes modernos incorporan protecciones de memoria en tiempo de ejecución, una parte crítica de la infraestructura —sistemas operativos, dispositivos industriales, firmware, componentes de red— sigue desarrollándose en C y C++. En este contexto, los errores de memoria permiten ejecución de código arbitrario, evasión de mecanismos de defensa y fallos de disponibilidad. El peso de estas debilidades en el ranking refuerza la importancia de memory-safe design, segmentación robusta y revisiones de código específicas para entornos de bajo nivel.
Cómo utilizar el CWE Top 25 2025 en la estrategia de ciberseguridad corporativa
Según CISA, el CWE Top 25 refleja las debilidades que los atacantes aprovechan de forma sistemática en escenarios reales. No es solo una lista informativa, sino una guía priorizada para madurar prácticas de secure software development y gestión de vulnerabilidades.
1. Integrar CWE Top 25 en el diseño seguro (Secure by Design). Durante la fase de arquitectura, conviene revisar requisitos y modelos de amenazas frente a estas debilidades: autenticación, autorización, validación de entrada, gestión de sesiones, control de errores y uso de recursos.
2. Alinear pruebas y revisión de código con las debilidades más explotadas. Las herramientas de static application security testing (SAST) y dynamic testing (DAST) deberían configurarse para detectar prioritariamente CWE del Top 25. Además, es recomendable incorporarlas en checklists de code review y en los casos de prueba de QA y pruebas de penetración.
3. Ajustar la gestión de vulnerabilidades y los niveles de riesgo. Las incidencias relacionadas con debilidades del Top 25 deberían recibir mayor prioridad de corrección, sobre todo en sistemas que procesan datos personales, información financiera o procesos de negocio críticos.
4. Formar a equipos de desarrollo, DevOps y seguridad. Que los equipos entiendan la diferencia entre CWE y CVE, cómo una debilidad de diseño se transforma en vulnerabilidad explotable y qué patrones de mitigación existen (por ejemplo, output encoding para XSS o least privilege en APIs) reduce la probabilidad de repetir errores en nuevos desarrollos.
Consultar periódicamente el CWE Top 25 2025 en el sitio oficial de MITRE y usarlo como una auténtica «mapa de riesgo» de debilidades de software permite fortalecer las aplicaciones desde la fase de diseño, en lugar de limitarse a reaccionar ante incidentes. En un escenario de crecimiento constante de CVE y automatización de ataques, incorporar este ranking a los procesos de desarrollo, pruebas y priorización de parches es un paso esencial hacia una estrategia de ciberseguridad más madura y proactiva.
