La mayoría de las empresas se están ahogando en la deuda de seguridad, lo que las hace vulnerables a los ataques, y lo peor de todo es que pueden no saberlo.
Según el último informe anual de Veracode sobre el estado de la seguridad del software (SoSS), en el que se examinaron más de un millón de aplicaciones de todos los tipos, la deuda de seguridad, definida para este informe como los fallos que permanecen sin corregir durante más de un año, existe en el 70% de las organizaciones y en el 42% de las aplicaciones.
Esta deuda se ha acumulado con el tiempo, acelerada por las transformaciones digitales y la introducción de herramientas de codificación de IA que aumentan la velocidad de desarrollo. Las propias aplicaciones, por su parte, han crecido en torno a un 40% al año independientemente de su tamaño original, acumulando fallos a medida que envejecen.
La proliferación de la IA y los cambios normativos, como los propuestos por la Orden Ejecutiva de la Casa Blanca sobre IA y la Ley de Ciberresiliencia de la UE, han elevado el perfil de la ciberseguridad y aumentado la concienciación sobre el código inseguro a escala. Pero aún queda mucho trabajo por hacer para aumentar la educación sobre la deuda de seguridad y atajar el problema.
Desenmascarar el riesgo
El informe del SoSS reveló que el 71% de las organizaciones tienen algún nivel de deuda de seguridad, y que casi la mitad (46%) tiene una deuda de seguridad crítica resultante de fallos persistentes de gran gravedad que crean un grave riesgo para la empresa. El código de terceros de las bibliotecas de código abierto contribuye significativamente al volumen de deuda de seguridad. Mientras que el 63% de las aplicaciones tienen fallos en código de origen, el 70% contienen fallos en código de terceros.
Los fallos de código de terceros (librerías Open Source) también repercuten en los plazos de corrección, ya que se tarda un 50% más en solucionarlos que en el caso de los fallos de código fuente. La mitad de los fallos conocidos en código fuente abierto de terceros siguen sin resolverse durante más de 11 meses, frente a los siete meses que tardan los fallos en código de origen.
Y el tiempo que se tarda en corregir los fallos es fundamental para reducir la deuda. Nuestra investigación muestra que los equipos que corrigen los fallos más rápidamente reducen la deuda crítica de seguridad en un 75%; es decir, en comparación con los equipos más lentos, los más rápidos reducen la deuda crítica del 22% a poco más del 5%.
Además, los equipos que actúan más rápido tienen cuatro veces menos probabilidades de dejar que aparezca deuda de seguridad crítica en sus aplicaciones en primer lugar. En general, sin embargo, pocos equipos corrigen los fallos con la rapidez suficiente para reducir sustancialmente la deuda de seguridad. Sólo el 64% de las aplicaciones tienen una capacidad de corrección suficiente para eliminar la deuda de seguridad crítica. Incluso cuando los equipos tienen una tasa de reparación general suficiente, no siempre reparan los fallos más críticos.
La priorización de riesgos es esencial
Cuando la tasa de fallos nuevos y existentes supera la capacidad de una organización para remediarlos, es esencial priorizar qué fallos corregir primero. En la actualidad, es posible que los desarrolladores elijan los fallos más fáciles de corregir, con el fin de realizar las correcciones más rápidamente, mientras pasan por alto los fallos que tendrán un mayor impacto en la organización. Los equipos deben centrar sus esfuerzos. Afortunadamente, sólo el 3% de todos los fallos son persistentes y de alta gravedad, lo que constituye una deuda de seguridad «crítica». Para la mayoría de los equipos de desarrollo, si no para todos, corregir el 3% de los fallos es un objetivo eminentemente alcanzable.
Gestión de la deuda de seguridad:
corregir los fallos con mayor rapidez Incluso cuando se priorizan los fallos más graves, los equipos deben corregir los fallos con mayor rapidez si quieren reducir la deuda de seguridad de forma significativa o eliminarla por completo. La inteligencia artificial, aunque a menudo se cita como una amenaza potencial para la ciberseguridad, puede hacer realidad la aceleración de las correcciones de código. Los modelos de grandes lenguajes (LLM) que han sido entrenados en Enumeraciones de Debilidades Comunes (CWE) específicas pueden ser especialmente eficaces trabajando junto a los desarrolladores para sugerir correcciones seguras a escala.
Reducir la deuda de seguridad
La acumulación de deuda de seguridad supone una amenaza grave -y a menudo invisible- para las organizaciones, que probablemente seguirá creciendo con el mayor uso de la IA y el código de terceros.
Las organizaciones y los desarrolladores que trabajan para reducir la deuda de seguridad deben reflexionar sobre el tiempo, el dinero y la formación que dedican a los equipos de seguridad. Con demasiada frecuencia, la corrección de fallos no está dictada por personas para las que la gestión de riesgos sea una prioridad, lo que puede ser otra razón por la que la deuda de seguridad sea tan elevada. Identificar y priorizar los riesgos más críticos, y formar a los desarrolladores para que aprovechen los modelos de IA para la corrección a escala, puede ayudar a las organizaciones a tener su deuda de seguridad bajo control.
Eduardo García, director de Veracode para España y Portugal.