{"id":1551519,"date":"2025-01-27T12:36:43","date_gmt":"2025-01-27T12:36:43","guid":{"rendered":"https:\/\/teknomers.com\/es\/realmente-necesitamos-el-top-10-owasp-nhi\/"},"modified":"2025-01-27T12:36:48","modified_gmt":"2025-01-27T12:36:48","slug":"realmente-necesitamos-el-top-10-owasp-nhi","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/realmente-necesitamos-el-top-10-owasp-nhi\/","title":{"rendered":"\u00bfRealmente necesitamos el top 10 Owasp NHI?"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/\u00bfRealmente-necesitamos-el-top-10-Owasp-NHI.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>El Proyecto de Seguridad de Aplicaciones Web Open ha introducido recientemente un nuevo proyecto Top 10: el Top 10 de identidad no humana (NHI). Listas de seguridad API y aplicaciones web ampliamente utilizadas. <\/p>\n<p>La seguridad de identidad no humana representa un inter\u00e9s emergente en la industria de la ciberseguridad, que abarca los riesgos y la falta de supervisi\u00f3n asociada con las claves API, <a rel=\"noopener nofollow\" href=\"https:\/\/astrix.security\/learn\/blog\/the-service-accounts-guide-part-1-origin-types-pitfalls-and-fixes\/\" target=\"_blank\">cuentas de servicio<\/a>Aplicaciones OAuth, claves SSH, roles IAM, secretos y otras credenciales de m\u00e1quinas e identidades de carga de trabajo. <\/p>\n<p>Teniendo en cuenta que los 10 proyectos emblem\u00e1ticos de OWASP ya cubren una amplia gama de riesgos de seguridad en los que los desarrolladores deben centrarse, uno podr\u00eda preguntar: \u00bfrealmente necesitamos el NHI Top 10? <a rel=\"noopener nofollow\" href=\"https:\/\/events.zoom.us\/ev\/Aui6V6g2JWTTe9FiOkJgA_785FPj2SD1Ox0_IRYwTifAykQkEIPP~AsbUl5TnirdhiFW_otwMjv3p0BxtH7Gd6firchz5mh1mK_z-RyG5nWRQPw\" target=\"_blank\">La respuesta corta es &#8211; s\u00ed<\/a>. Veamos por qu\u00e9 y exploremos los 10 principales riesgos de NHI. <\/p>\n<h2 style=\"text-align: left;\"><strong>Por qu\u00e9 necesitamos el NHI Top 10<\/strong><\/h2>\n<p>Mientras que otros proyectos OWASP podr\u00edan tocar las vulnerabilidades relacionadas, como la configuraci\u00f3n err\u00f3nea de los secretos, las NHIS y sus riesgos asociados van mucho m\u00e1s all\u00e1 de eso. Seguridad <a rel=\"noopener nofollow\" href=\"https:\/\/astrix.security\/learn\/blog\/nhi-attacks-making-waves-insights-on-latest-5-incidents\/\" target=\"_blank\">incidentes <\/a>Aprovechar NHIS no solo gira en torno a los secretos expuestos; se extienden a permisos excesivos, ataques de phishing oauth, roles de IAM utilizados para <a rel=\"noopener nofollow\" href=\"https:\/\/astrixvideos.wistia.com\/live\/events\/j0smwxglmc\" target=\"_blank\">movimiento lateral<\/a>y m\u00e1s. <\/p>\n<p>Si bien es crucial, las listas de OWASP Top 10 existentes no abordan adecuadamente los desaf\u00edos \u00fanicos no presentes. Siendo los facilitadores de conectividad cr\u00edticos entre sistemas, servicios, datos y agentes de IA, NHIS son extremadamente frecuentes en los entornos de desarrollo y tiempo de ejecuci\u00f3n, y los desarrolladores interact\u00faan con ellos en cada etapa de la tuber\u00eda de desarrollo. <\/p>\n<p>Con el <a rel=\"noopener nofollow\" href=\"https:\/\/astrix.security\/learn\/blog\/11-attacks-in-13-months-the-new-generation-of-supply-chain-attacks\/\" target=\"_blank\">Creciente frecuencia de ataques dirigidos a NHIS<\/a>se hizo imperativo equipar a los desarrolladores con una gu\u00eda dedicada sobre los riesgos que enfrentan.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/\u00bfRealmente-necesitamos-el-top-10-Owasp-NHI.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/\u00bfRealmente-necesitamos-el-top-10-Owasp-NHI.png\" alt=\"OWASP NHI TOP 10\" border=\"0\" data-original-height=\"558\" data-original-width=\"1062\" title=\"OWASP NHI TOP 10\"\/><\/a><\/div>\n<h2 style=\"text-align: left;\"><strong>Comprender los criterios de clasificaci\u00f3n Top 10 Owasp Top 10<\/strong><\/h2>\n<p>Antes de sumergirnos en los riesgos reales, es importante comprender la clasificaci\u00f3n detr\u00e1s de los 10 mejores proyectos. OWASP Top 10 proyectos siguen un conjunto est\u00e1ndar de par\u00e1metros para determinar la gravedad del riesgo:<\/p>\n<ul>\n<li><strong>Explotabilidad:<\/strong> Eval\u00fae con qu\u00e9 facilidad un atacante puede explotar una vulnerabilidad dada si la organizaci\u00f3n carece de protecci\u00f3n suficiente.<\/li>\n<li><strong>Impacto:<\/strong> Considera el da\u00f1o potencial que el riesgo podr\u00eda infligir en las operaciones y sistemas comerciales.<\/li>\n<li><strong>Predominio:<\/strong> Eval\u00faa cu\u00e1n com\u00fan es el problema de seguridad en diferentes entornos, sin tener en cuenta las medidas de protecci\u00f3n existentes.<\/li>\n<li><strong>Detectabilidad:<\/strong> Mide la dificultad de detectar la debilidad utilizando herramientas de monitoreo y detecci\u00f3n est\u00e1ndar.<\/li>\n<\/ul>\n<h2 style=\"text-align: left;\"><strong>Desglosando los 10 riesgos OWASP NHI Top 10<\/strong><\/h2>\n<p>Ahora a la carne. Exploremos los principales riesgos que obtuvieron un lugar en el <a rel=\"noopener nofollow\" href=\"https:\/\/owasp.org\/www-project-non-human-identities-top-10\/\" target=\"_blank\">NHI Top 10<\/a> lista y por qu\u00e9 importan:<\/p>\n<h3 style=\"text-align: left;\"><strong>NHI10: 2025 &#8211; Uso humano de NHI<\/strong><\/h3>\n<p>NHIS est\u00e1 dise\u00f1ado para facilitar procesos, servicios y aplicaciones automatizadas sin intervenci\u00f3n humana. Sin embargo, durante las fases de desarrollo y mantenimiento, los desarrolladores o administradores pueden reutilizar NHIS por operaciones manuales que idealmente deber\u00edan realizarse utilizando credenciales humanos personales con privilegios apropiados. Esto puede causar un mal uso de privilegios y, si esta clave abusada es parte de una exploit, es dif\u00edcil saber qui\u00e9n es responsable por ello. <\/p>\n<h3 style=\"text-align: left;\"><strong>NHI9: 2025 &#8211; Reutilizaci\u00f3n de NHI<\/strong><\/h3>\n<p>La reutilizaci\u00f3n de NHI ocurre cuando los equipos reutilizan lo mismo <a rel=\"noopener nofollow\" href=\"https:\/\/astrix.security\/learn\/blog\/the-service-account-guide-part-2-challenges-compliance-and-best-practices\/\" target=\"_blank\">cuenta de servicio<\/a>por ejemplo, en m\u00faltiples aplicaciones. Si bien es conveniente, esto viola el principio de menor privilegio y puede exponer m\u00faltiples servicios en el caso de un NHI comprometido, aumentando el radio de explosi\u00f3n. <\/p>\n<h3 style=\"text-align: left;\"><strong>NHI8: 2025 &#8211; Aislamiento del medio ambiente<\/strong><\/h3>\n<p>Una falta de <a rel=\"noopener nofollow\" href=\"https:\/\/www.brighttalk.com\/webcast\/10415\/632223?bt_tok=%7B%7BRecipient.ID%7D%7D&amp;utm_source=\" target=\"_blank\">Aislamiento del entorno estricto<\/a> puede conducir a probar el sangrado de NHIS a la producci\u00f3n. Un ejemplo del mundo real es el <a rel=\"noopener nofollow\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/security-insider\/midnight-blizzard\" target=\"_blank\">Tormenta de medianoche<\/a> Ataque a Microsoft, donde se encontr\u00f3 que una aplicaci\u00f3n OAuth utilizada para las pruebas ten\u00eda altos privilegios en la producci\u00f3n, exponiendo datos confidenciales.<\/p>\n<h3 style=\"text-align: left;\"><strong>NHI7: 2025 &#8211; Secretos de larga vida<\/strong><\/h3>\n<p>Los secretos que siguen siendo v\u00e1lidos por per\u00edodos prolongados representan un riesgo significativo. Un incidente notable involucr\u00f3 a Microsoft AI exponiendo inadvertidamente un token de acceso en un repositorio p\u00fablico de GitHub, que permaneci\u00f3 activo durante m\u00e1s de dos a\u00f1os y proporcion\u00f3 acceso a 38 terabytes de datos internos.<\/p>\n<h3 style=\"text-align: left;\"><strong>NHI6: 2025 &#8211; Configuraciones de implementaci\u00f3n de la nube insegura<\/strong><\/h3>\n<p>Las tuber\u00edas de CI\/CD requieren inherentemente permisos extensos, lo que los convierte en objetivos principales para los atacantes. Las configuraciones err\u00f3neas, como las credenciales codificadas o las configuraciones OIDC demasiado permisivas, pueden conducir a un acceso no autorizado a recursos cr\u00edticos, exponi\u00e9ndolos a infracciones.<\/p>\n<h3 style=\"text-align: left;\"><strong>NHI5: 2025 &#8211; NHI demasiado privilegiado<\/strong><\/h3>\n<p>A muchos NHI se les otorgan privilegios excesivos debido a las malas pr\u00e1cticas de aprovisionamiento. Seg\u00fan un <a rel=\"noopener nofollow\" href=\"https:\/\/astrix.security\/learn\/blog\/csa-and-astrix-research-the-state-of-non-human-identity-security\/\" target=\"_blank\">Informe reciente de CSA<\/a>El 37% de los incidentes de seguridad relacionados con NHI fueron causados \u200b\u200bpor identidades sobrevivilizadas, destacando la necesidad urgente de controles de acceso adecuados y pr\u00e1cticas de menos privilegios. <\/p>\n<h3 style=\"text-align: left;\"><strong>NHI4: 2025 &#8211; M\u00e9todos de autenticaci\u00f3n inseguros<\/strong><\/h3>\n<p>Muchas plataformas como Microsoft 365 y Google Workspace todav\u00eda admiten m\u00e9todos de autenticaci\u00f3n inseguros como flujos de OAuth impl\u00edcitos y contrase\u00f1as de aplicaciones, que evitan el MFA y son susceptibles a los ataques. Los desarrolladores a menudo desconocen los riesgos de seguridad de estos mecanismos obsoletos, lo que lleva a su uso generalizado y una posible explotaci\u00f3n. <\/p>\n<h3 style=\"text-align: left;\"><strong>NHI3: 2025 &#8211; NHI de terceros vulnerable<\/strong><\/h3>\n<p>Muchas tuber\u00edas de desarrollo dependen de herramientas y servicios de terceros para acelerar el desarrollo, mejorar las capacidades, monitorear aplicaciones y m\u00e1s. Estas herramientas y servicios se integran directamente con IDES y reposteres de c\u00f3digo utilizando NHIS como claves API, aplicaciones OAuth y cuentas de servicio. Las violaciones que involucran a proveedores como Circleci, Okta y Github han obligado a los clientes a luchar para rotar las credenciales, destacando la importancia de monitorear y mapear estrechamente estos NHIS de propiedad externamente. <\/p>\n<h3 style=\"text-align: left;\"><strong>NHI2: 2025 &#8211; Fuencia secreta<\/strong><\/h3>\n<p>La fuga secreta sigue siendo una preocupaci\u00f3n principal, a menudo sirviendo como el vector de acceso inicial para los atacantes. <a rel=\"noopener nofollow\" href=\"https:\/\/astrix.security\/learn\/blog\/csa-and-astrix-research-the-state-of-non-human-identity-security\/\" target=\"_blank\">La investigaci\u00f3n indica<\/a> que el 37% de las organizaciones tienen secretos codificados dentro de sus aplicaciones, lo que los convierte en objetivos principales.<\/p>\n<h3 style=\"text-align: left;\"><strong>NHI1: 2025 &#8211; Inforso incorrecto<\/strong><\/h3>\n<p>Clasificado como el principal riesgo de NHI, el fuera de borda inadecuado se refiere a la supervisi\u00f3n prevalente de NHIS persistente que no fueron eliminados o desmantelados despu\u00e9s de que un empleado se fue, se elimin\u00f3 un servicio o se termin\u00f3 un tercero. De hecho, m\u00e1s del 50% de las organizaciones no tienen procesos formales para el NHIS fuera de borda. NHIS que ya no se necesitan pero permanecen activos crean una amplia gama de oportunidades de ataque, especialmente para las amenazas internas. <\/p>\n<h2 style=\"text-align: left;\"><strong>Un marco estandarizado para la seguridad NHI<\/strong><\/h2>\n<p>El OWASP NHI Top 10 llena un vac\u00edo cr\u00edtico al arrojar luz sobre los desaf\u00edos de seguridad \u00fanicos planteados por NHIS. Los equipos de seguridad y desarrollo carecen de un claro, <a rel=\"noopener nofollow\" href=\"https:\/\/astrix.security\/learn\/whitepapers\/the-nhi-security-poc-checklist\/\" target=\"_blank\">vista estandarizada<\/a> De los riesgos que representan estas identidades y c\u00f3mo hacerlas en los programas de seguridad. A medida que su uso contin\u00faa expandi\u00e9ndose a trav\u00e9s de aplicaciones modernas, proyectos como el Top 10 Owasp NHI se vuelven m\u00e1s cruciales que nunca. <\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? <span class=\"\">Este art\u00edculo es una pieza contribuida de uno de nuestros valiosos socios.<\/span> S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/01\/do-we-really-need-owasp-nhi-top-10.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El Proyecto de Seguridad de Aplicaciones Web Open ha introducido recientemente un nuevo proyecto Top 10: el Top<\/p>\n","protected":false},"author":1,"featured_media":1551520,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,273784,273783,1664,263986,4654,273782,4659,4653,4655,116953,1663,246983,4665,246984,1660,455,239484],"class_list":["post-1551519","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-las-noticias-del-hacker","tag-malware-de-ransomware","tag-necesitamos","tag-nhi","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-owasp","tag-realmente","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-top","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1551519","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1551519"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1551519\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1551520"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1551519"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1551519"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1551519"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}