Las vulnerabilidades de software tardan casi 9 meses en solucionarse | TIC Defense lo explica
El tiempo promedio para reparar vulnerabilidades de seguridad en el software ha aumentado a 8 meses y medio, representando un incremento de casi el 50% en los últimos 5 años, según el informe de diversas empresas de ciberseguridad. Este plazo es, además, un 330% más alto en comparación con hace 15 años atrás. Se trata de un fenómeno atribuido al mayor uso de código de terceros y la adopción de código generado por inteligencia artificial.
Este estudio revela que la mitad de las empresas acumulan deuda de seguridad crítica, las cuales están definidas como vulnerabilidades de alta severidad sin resolver durante más de 1 año. De esta deuda, el 70% provienen de código externo y de la cadena de suministro de software.
En términos generales, el 75% de las empresas tienen algún tipo de deuda de seguridad, incluyendo fallos de menor gravedad. Algunos directores de seguridad de las organizaciones que elaboraron el informe han advertido que la superficie de ataque se ha vuelto más compleja, sobre todo con el auge de la ingeniería de inteligencia artificial.
Del mismo modo, el informe del año pasado mostraba que el 46% de las compañías tenían una deuda de seguridad de alta severidad. Aunque el aumento interanual parece poca cosa, la tendencia que marca es, cuanto menos, preocupante.
Este análisis destaca también algunas disparidades significativas en la capacidad de las empresas para detectar y corregir fallos. El 25% con mejor desempeño logra reparar algo más del 10% de sus vulnerabilidades mensuales, mientras que el 25% más rezagado corrige menos del 1% de los fallos.
Igualmente, las empresas líderes tienen deuda de seguridad en solo el 20% de sus aplicaciones, frente al 65% en las organizaciones menos eficientes. Después de analizar más de 1 millón de aplicaciones y 126 millones de descubrimientos, el informe ha detectado algunas cosas preocupantes.
En primer lugar, más del 50% de las aplicaciones contienen vulnerabilidades de alta vulnerabilidad y más del 80% presentan al menos 1 fallo de seguridad. Mientras que el 65% tienen errores de código propio, el 70% de ellas los tienen en código de terceros.
Sin embargo, a pesar de lo preocupante del informe, destacan cosas positivas. Por ejemplo, las apps libres de fallos dentro del listado OWASP Top 10, aumentaron un 65% en 5 años, en donde los errores incluidos en el top 25 de SANS Institute han disminuido de forma constante.
El informe pone de manifiesto que, aunque hay progresos en ciertos ámbitos, el ecosistema de desarrollo enfrenta retos sin precedentes. La dependencia de código externo y la inteligencia artificial, aunque deficientes, introducen riesgos que alargan los tiempos de reparación. Los expertos han enfatizado la necesidad de priorizar la seguridad desde el diseño y adoptar herramientas de escaneo continuo para reducir la deuda acumulada.
Los expertos en ciberseguridad han publicado un conjunto de recomendaciones a seguir para aumentar la seguridad. La primera de ellas es la automatización, implementando soluciones de testing continuo para identificar fallos en etapas tempranas.
La gestión de dependencias es importante, ya que se encarga de monitorear rigurosamente el código de terceros y actualizar bibliotecas vulnerables. La capacitación a los equipos en prácticas seguras es importante, sobre todo, para poder usar IA generativa.
