El 63% de las firmas financieras acumulan deuda de seguridad crítica

Un nuevo informe de Veracode revela que el 63% de las organizaciones de banca, servicios financieros y seguros (BFSI) presentan deuda crítica de seguridad, es decir, fallos graves sin corregir durante más de un año. Esta cifra supera en 13 puntos porcentuales la media del sector, lo que pone de manifiesto una preocupante brecha en la gestión de riesgos tecnológicos.

Según el State of Software Security Snapshot for the Financial Services Sector, el 77% de las empresas del sector acumulan algún tipo de deuda de seguridad, con una vida media de 276 días para remediar vulnerabilidades. Este plazo es casi un mes superior al de otras industrias, lo que refleja una ralentización en los procesos de corrección, especialmente en aplicaciones más antiguas y complejas.

 

El código abierto como talón de Aquiles

Aunque el código de terceros representa solo el 17% de la deuda total, es responsable de más del 82% de la deuda crítica. Los fallos en bibliotecas de código abierto tardan un 50% más en corregirse que las del código propio, lo que agrava la exposición ante un entorno regulatorio cada vez más exigente.

El informe destaca que las empresas líderes corrigen más del 9% de las vulnerabilidades abiertas cada mes y limitan la deuda a menos del 26% de sus aplicaciones. En contraste, las rezagadas acumulan deuda en más del 85% de sus sistemas y prolongan los ciclos de reparación más allá de un año.

Chris Wysopal, cofundador y director de seguridad de Veracode, advierte que “en los servicios financieros, la confianza lo es todo; sin embargo, nuestros datos revelan un riesgo creciente y silencioso para el sector, creado por la deuda de seguridad no resuelta”.