La deuda de seguridad en EMEA aumenta en medio de crecientes ciberamenazas

  • Vulnerabilidades
hacker malware codigo
©Freepik

Dos tercios de las organizaciones de EMEA lidian con deudas de seguridad y casi la mitad tienen deudas consideradas "críticas". Los desarrolladores encargados de solucionar los fallos manualmente a menudo se quedan cortos, con plazos de corrección lentos.

Veracode ha presentado la instantánea de EMEA de su informe anual State of Software Security (SoSS) 2024, que revela niveles preocupantes de deuda de seguridad en organizaciones de Europa, Oriente Medio y África. La investigación de Veracode encontró que el 68% de las organizaciones de EMEA albergan algún nivel de deuda de seguridad, mientras que el 46% tiene fallos persistentes de alta gravedad en el código, clasificadas como deuda de seguridad "crítica". Estos fallos de alta gravedad representan el mayor riesgo para las aplicaciones y son una bomba de relojería con el potencial de infracciones catastróficas.

El peligro de la acumulación de fallos

La deuda de seguridad, definida para este informe como fallos de software que permanecen sin solucionar durante más de un año, puede acumularse cuando los desarrolladores carecen de tiempo o recursos para abordar fallos potencialmente peligrosos. Con el tiempo, estos fallos se acumulan, lo que hace que las organizaciones sean cada vez más vulnerables a los atacantes.

Los desarrolladores encargados de clasificar y corregir los defectos manualmente a menudo se quedan cortos a la hora de abordar la creciente deuda de seguridad, con plazos de corrección lentos. El análisis de los plazos de corrección en EMEA reveló que las organizaciones que utilizan métodos manuales tardan una media de 19 meses en remediar los fallos en el código de terceros, en comparación con los nueve meses del código de origen. Con una gran cantidad de fallos que abordar, las organizaciones deben priorizar qué vulnerabilidades corregir primero.

Cuando se trata de fuentes de deuda de seguridad, el informe encontró que el 84% de la deuda de seguridad en general proviene de código de primera mano desarrollado internamente. Mientras tanto, el 80% de la deuda de seguridad crítica proviene del código de terceros, que a menudo pasa desapercibido, pero puede ser igual de peligroso para las organizaciones de EMEA.

Aunque los desarrolladores utilizan cada vez más los generadores de código de IA para crear software debido a la velocidad y la eficiencia que aportan, no siempre producen código seguro. De hecho, una investigación reciente encontró que el 36% del código generado por la herramienta GitHub CoPilot impulsada por IA contenía fallos de seguridad.

La IA también se puede utilizar para reducir la deuda de seguridad, apoyando a los desarrolladores y equipos de seguridad al reducir drásticamente el tiempo de reparación de vulnerabilidades, al automatizar las recomendaciones de corrección y abordar los fallos a escala.