El Application Security Benchmark Report 2025, publicado por OX Security, lanza una advertencia clara a los responsables de ciberseguridad: la abrumadora mayoría de las alertas generadas por herramientas AppSec no representa un riesgo real. En concreto, solo entre un dos y un cinco por ciento de las alertas analizadas exigen una acción inmediata. El resto —más del 95 %— puede ignorarse o aplazarse sin comprometer la seguridad de las organizaciones.
El 95% de las alertas AppSec no suponen un riesgo real
La investigación se basa en el análisis de más de 101 millones de hallazgos recopilados durante 90 días en 178 organizaciones de múltiples sectores. El resultado más preocupante: los equipos de seguridad dedican una cantidad desproporcionada de recursos a vulnerabilidades que, en su contexto, no son explotables ni relevantes.
“El enfoque de ‘detectarlo todo’ ha tocado techo. Las herramientas de seguridad están contribuyendo al problema más que resolviéndolo”, afirma Alon Schindel, director de investigación en OX Security, añadiendo que es hora de que el sector “evolucione hacia modelos basados en contexto y riesgo real”.
Priorizar para proteger: el nuevo mandato en AppSec
Según el informe, una organización media gestiona 569.354 alertas activas, que pueden reducirse a 11.836 con un modelo de priorización contextual. Las alertas verdaderamente críticas caen de 6.023 a apenas 202. Las dos categorías más relevantes son:
- Vulnerabilidades conocidas y explotadas (KEV): suponen el 1,71 % de los hallazgos y requieren atención inmediata.
- Exposición de secretos (credenciales embebidas en código, tokens, etc.): representan el 1,62 % y son especialmente críticas en entornos cloud y DevOps.
Este filtrado se logra mediante el análisis de explotabilidad, contexto ambiental, impacto de negocio y análisis de dependencias, componentes muchas veces ignoradas por los escáneres tradicionales.
Alert fatigue: un problema estructural
OX Security pone cifras a un fenómeno bien conocido por los equipos de ciberseguridad: el agotamiento ante volúmenes ingobernables de alertas, también llamado ‘Fatiga de Alertas’. El informe muestra que:
- El 31,88 % de los hallazgos tiene bajo riesgo de explotación (según EPSS).
- El 24,88 % no tiene exploit público conocido.
- El 25 % corresponde a dependencias de desarrollo que no llegan a producción.
Una parte significativa de las alertas son simples problemas de higiene de código, no vulnerabilidades reales. Esta falta de discriminación no sólo diluye la atención sobre los riesgos reales, sino que incrementa el coste operativo y mina la colaboración entre desarrollo y seguridad.
El informe también ofrece una comparativa por sectores. Las entidades financieras soportan hasta un 55% más de alertas que otros sectores, con niveles de “ruido” (alertas no críticas) cercanos al 98 %. Su exposición a datos sensibles y transacciones monetarias los convierte en objetivo prioritario para los atacantes.
“La seguridad moderna exige inteligencia, no solo vigilancia. La visibilidad sin contexto es ruido”, resume Schindel.
