El 24% de las aplicaciones del sector TI contienen fallos de seguridad graves

Recomendados.... » Tendencias TI 2023 y factores que influirán en su despliegue  Webinar » Administración Pública Digital: progreso y vanguardia On Demand » Digitalización y seguridad, motor de innovación del sector financiero  Informe

Veracode ha revelado que el 24% de las aplicaciones del sector tecnológico contienen fallos de seguridad que se consideran de alto riesgo, lo que significa que causarían un problema crítico si se aprovecharan. Posiblemente con una mayor proporción de aplicaciones a las que hacer frente que otras industrias, las empresas tecnológicas se beneficiarían de la implementación de una mejor formación y prácticas de codificación segura para sus equipos de desarrollo.

En conjunto, el sector tecnológico es el segundo con mayor proporción de aplicaciones con fallos de seguridad, con un 79%, superando ligeramente al sector público, con un 82%. En cuanto a la proporción de fallos corregidos, el sector tecnológico se sitúa en la mitad del grupo.

Cuando las empresas tecnológicas descubren vulnerabilidades en sus aplicaciones, alcanzan el punto medio del proceso de corrección con relativa rapidez. Cuentan con algunos de los mejores plazos de reparación del sector para las vulnerabilidades detectadas mediante pruebas de análisis estático de seguridad (SAST) y análisis de composición de software (SCA). A pesar de estos esfuerzos, el sector aún necesita 363 días para solucionar el 50% de las vulnerabilidades, por lo que aún queda mucho por hacer.

"El descubrimiento de un fallo en Log4j el pasado diciembre hizo saltar las alarmas en muchas organizaciones. A esto siguieron medidas gubernamentales en forma de directrices de la Oficina de Gestión y Presupuesto (OMB) y el Reglamento de la UE sobre ciberresiliencia, ambos centrados en la cadena de suministro”, apunta Chris Eng, director de investigación de Veracode. “Para mejorar el rendimiento durante el próximo año, las empresas tecnológicas no solo deben desarrollar estrategias que ayuden a los desarrolladores a reducir la tasa de fallos introducidos en el código, sino también aumentar la automatización de las pruebas de seguridad de la canalización CI/CD (integración continua/entrega continua) para mejorar la eficiencia".

La configuración del servidor, las dependencias inseguras y la fuga de información son los tipos más comunes de vulnerabilidades identificadas en las aplicaciones tecnológicas, un patrón ampliamente similar al de otros sectores. Por el contrario, el sector difiere significativamente de la media de la industria en cuanto a cuestiones criptográficas y fuga de información, lo que quizá indique que los desarrolladores de la industria tecnológica son más conscientes de los retos que plantea la protección de datos.