24 por ciento de las aplicaciones del sector tecnológico contienen fallos de seguridad

Pero el sector va a la cabeza en cuanto a tiempos de reparación una vez detectados los fallos.

Veracode ha revelado que el 24 por ciento de las aplicaciones del sector tecnológico contienen fallos de seguridad que se consideran de alto riesgo, lo que significa que causarían un problema crítico para la aplicación si se aprovecharan. Posiblemente con una mayor proporción de aplicaciones a las que hacer frente que otras industrias, las empresas tecnológicas se beneficiarían de la implementación de una mejor formación y prácticas de codificación segura para sus equipos de desarrollo.

Chris Eng, director de investigación de Veracode, afirma: «Ofrecer a los desarrolladores una experiencia real y práctica de lo que supone detectar y explotar un fallo en el código -y su posible impacto en la aplicación- les proporciona el contexto y la comprensión necesarios para desarrollar su intuición sobre la seguridad del software. Nuestro estudio descubrió que las organizaciones cuyos desarrolladores habían completado una sola lección de nuestro programa de formación práctica Security Labs corregían el 50 por ciento de los fallos dos meses antes que las que no habían recibido dicha formación», añade.

Los datos se publicaron en el informe sobre el estado de la seguridad del software (SoSS) v12 de Veracode, que analizó 20 millones de escaneos en medio millón de aplicaciones de los sectores tecnológico, minorista, manufacturero, sanitario, de servicios financieros y gubernamental. En conjunto, el sector tecnológico es el segundo con mayor proporción de aplicaciones con fallos de seguridad, con un 79 %, superando ligeramente al sector público, con un 82 %. En cuanto a la proporción de fallos corregidos, el sector tecnológico se sitúa en la mitad del grupo.

Las empresas tecnológicas corrigen con relativa rapidez los fallos de seguridad del software

Resulta alentador que, cuando las empresas tecnológicas descubren vulnerabilidades en sus aplicaciones, alcanzan el punto medio del proceso de corrección con relativa rapidez. Cuentan con algunos de los mejores plazos de reparación del sector para las vulnerabilidades detectadas mediante pruebas de análisis estático de seguridad (SAST) y análisis de composición de software (SCA). Aunque estos esfuerzos son encomiables, el sector aún necesita 363 días para solucionar el 50% de las vulnerabilidades, por lo que aún queda mucho por hacer.

Chris Eng añadió: «El descubrimiento de un fallo en Log4j el pasado diciembre hizo saltar las alarmas en muchas organizaciones. A esto siguieron medidas gubernamentales en forma de directrices de la Oficina de Gestión y Presupuesto (OMB) y el Reglamento de la UE sobre ciberresiliencia, ambos centrados en la cadena de suministro. Para mejorar el rendimiento durante el próximo año, las empresas tecnológicas no solo deben desarrollar estrategias que ayuden a los desarrolladores a reducir la tasa de fallos introducidos en el código, sino también aumentar la automatización de las pruebas de seguridad de la canalización CI/CD (integración continua/entrega continua) para mejorar la eficiencia».

La configuración del servidor, las dependencias inseguras y la fuga de información son los tipos más comunes de vulnerabilidades identificadas por el análisis dinámico de las aplicaciones tecnológicas: un patrón ampliamente similar al de otros sectores. Por el contrario, el sector difiere significativamente de la media de la industria en cuanto a cuestiones criptográficas y fuga de información, lo que quizá indique que los desarrolladores de la industria tecnológica son más conscientes de los retos que plantea la protección de datos.

Puede descargarse un resumen del informe sobre el estado de la seguridad del softwarev12 de Veracode aquí y el informe completo está disponible aquí.