Un nuevo informe de Ghost Security revela algo preocupante: las herramientas clásicas que muchas empresas usan para detectar vulnerabilidades en el código están generando una enorme cantidad de falsas alarmas. Tras analizar cerca de 3.000 proyectos reales escritos en Go, Python y PHP, descubrieron que más del 91% de las alertas que generan estas herramientas no suponen ningún riesgo real.
Este tipo de análisis, conocidos como SAST (Static Application Security Testing), se supone que ayudan a los equipos de seguridad a encontrar fallos antes de que el software llegue a producción. Pero en la práctica, lo que hacen es abrumar a los analistas con miles de advertencias que apenas sirven para nada. En uno de los casos estudiados, casi todas las alertas (el 99,5%) sobre posibles inyecciones de comandos en proyectos Python/Flask fueron falsos positivos.
Para comparar, Ghost aplicó un sistema propio que utiliza inteligencia artificial para revisar esas alertas y determinar si realmente eran peligrosas. El resultado fue sorprendente: sólo con tres tipos de vulnerabilidades, su sistema logró ahorrar más de 350 horas de trabajo manual, sin dejar pasar ninguna amenaza real.
Lo que marca la diferencia es que su herramienta no se queda en buscar coincidencias de texto en el código, como hacen las soluciones tradicionales. En su lugar, analiza el contexto y cómo se comporta realmente la aplicación, casi como si lo estuviera revisando un experto en seguridad.
Un nuevo enfoque
Pero el problema va más allá del tiempo perdido: muchas de las amenazas más peligrosas —como los errores de control de acceso o los fallos en la lógica de negocio— ni siquiera se detectan con los métodos actuales. Por eso, Ghost propone un nuevo enfoque, que han bautizado como CAST (Contextual Application Security Testing), y que combina inteligencia artificial, revisión humana y análisis profundo del comportamiento del software.
Según la compañía, este sistema es capaz de detectar situaciones complejas como ataques que aprovechan errores en las transferencias bancarias o fallos que permitirían a un usuario acceder a información de otra persona.
El estudio concluye que el modelo actual de análisis de código está obsoleto y que es hora de cambiar. “No se trata únicamente de encontrar errores, sino de entender realmente cómo funciona una aplicación y detectar cuándo algo puede salir mal”, explican desde Ghost.
