BURLINGTON (Massachusetts, EE. UU.)--(BUSINESS WIRE)--Veracode, líder internacional en gestión de riesgos de aplicaciones, ha publicado hoy un estudio que revela que las aplicaciones desarrolladas por empresas del sector público tienen más deudas de seguridad que las que se crean en el sector privado. La deuda de seguridad, que este informe define como las deficiencias que permanecen sin corregir durante más de un año, está presente en el 59 % de las aplicaciones del sector público, en comparación con la tasa general del 42 %. El estudio analizó empresas del sector público de más de 25 países de todo el mundo.
«En las aplicaciones que prestan servicio al gobierno hay décadas de deuda de seguridad acumulada con software sin parches y configuraciones de seguridad deficientes», ha afirmado Chris Eng, director de Investigación de Veracode. «Sin un enfoque sistemático y continuo para detectar y corregir las deficiencias de seguridad, el sector público queda expuesto de forma peligrosa a los ataques de los hackers».
Los sistemas de la administración federal sufren cada vez más ciberataques, ya que los ciberdelincuentes maliciosos atacan a las empresas del sector público con técnicas cada vez más dañinas y disruptivas. Ante esta situación, el gobierno federal está poniendo en marcha una serie de iniciativas para reforzar la ciberseguridad, entre las que se incluyen medidas para reducir el riesgo en las aplicaciones que prestan servicio al gobierno. En marzo de 2024, la Agencia estadounidense de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y la Oficina estadounidense de Administración y Presupuesto (OMB) publicaron el Formulario de certificación de desarrollo de software seguro para responsabilizar a los proveedores del gobierno federal en caso de que el software no sea seguro.
Los investigadores de Veracode descubrieron que, aunque el número de empresas del sector público (68 %) que tienen deudas de seguridad es ligeramente inferior al de otros sectores (71 %), tienden a acumular más deuda. Solo el 3 % de las aplicaciones no presentan deficiencias, en comparación con el 6 % de otros sectores. Y lo que es aún más preocupante, el 40 % de las entidades del sector público tienen deficiencias persistentes de gran gravedad que constituyen una deuda de seguridad «crítica», que pondría en grave peligro la confidencialidad, la integridad y la disponibilidad de las empresas si se explotaran.
«Lo bueno es que la mayoría de las empresas tienen la capacidad de subsanar toda la deuda crítica, pero es fundamental priorizar los riesgos» añade Eng. «Dos tercios de todas las deficiencias de las empresas del sector público tienen menos de un año de antigüedad o su nivel de gravedad no es crítico. Además, menos del 1 % de todas las deficiencias pueden definirse como deuda de seguridad crítica. Al priorizar dicha deuda de seguridad con una actuación específica, las empresas pueden lograr la máxima reducción del riesgo y, a continuación, abordar las deficiencias no críticas en función de su tolerancia al riesgo y de sus capacidades».
De acuerdo con el informe, la deuda de seguridad del sector público afecta principalmente al código propio (93 %), pero la mayor parte de la deuda de seguridad crítica procede de elementos de terceros (55,5 %). Esto refuerza la importancia de la Iniciativa de Seguridad del Software de Código Abierto (OS3I), un grupo de trabajo interinstitucional que se centra en garantizar que el software de código abierto sea «tan seguro y sostenible como abierto». Asimismo, subraya la necesidad de que las empresas se centren tanto en el código propio como en el de terceros para reducir de manera eficaz la deuda de seguridad.
El análisis muestra además que la deuda de seguridad del sector público se concentra principalmente en las aplicaciones más antiguas y de mayor tamaño (22 %). Esto es particularmente cierto en la deuda de seguridad crítica (30 %), lo que confirma una correlación entre la antigüedad de las aplicaciones y la acumulación de deuda de seguridad. Los investigadores también compararon el perfil de deuda de seguridad de los distintos lenguajes de desarrollo y descubrieron que las aplicaciones de Java y .NET destacan como fuentes significativas de deuda en el sector público.
«El estado actual de la seguridad del software en el sector público refuerza la importancia de hacer del diseño seguro un enfoque estándar para todas las conexiones de red del mundo», ha concluido Eng. «Aplaudimos el reciente anuncio por parte de la CISA de su Compromiso de Seguridad mediante el Diseño y estamos orgullosos de ser uno de los primeros en firmarlo. Con este estudio, nuestro objetivo es apoyar aún más a nuestros socios gubernamentales e industriales en la promoción de la adopción generalizada de estos principios».
El Informe del Estado de la seguridad del software en el sector público de 2024 está disponible para su descarga en el sitio web de Veracode.
Acerca del Informe del Estado de la seguridad del software
El informe del Estado de la seguridad del software 2024 de Veracode ha analizado datos de grandes y pequeñas empresas, proveedores de software comercial, subcontratistas de software y proyectos de código abierto. La investigación se basa en más de un millón (1 007 133) de aplicaciones de todos los tipos de análisis, 1 553 022 análisis dinámicos y 11 429 365 análisis estáticos. Todas esas comprobaciones generaron 96 millones de resultados estáticos en bruto, 4 millones de resultados dinámicos en bruto y 12,2 millones de resultados de análisis de composición de software en bruto.
Acerca de Veracode
Veracode es líder internacional en administración de riesgos de aplicaciones para la era de la IA. Impulsada por billones de líneas de escaneos de código y un motor propio de corrección asistida por IA, la plataforma Veracode cuenta con la confianza de organizaciones de todo el mundo para construir y mantener software seguro desde la creación del código hasta el despliegue en la nube. Miles de los principales equipos de desarrollo y seguridad del mundo usan Veracode cada segundo de cada día para obtener una visibilidad precisa y procesable de los riesgos de explotación, lograr la corrección de vulnerabilidades en tiempo real y reducir su deuda de seguridad a escala. Veracode es una empresa galardonada con múltiples premios que ofrece capacidades para asegurar todo el ciclo de vida de desarrollo de software, incluyendo Veracode Fix, el análisis estático, el análisis dinámico, el análisis de composición de software, la seguridad de contenedores, la administración del estado de seguridad de las aplicaciones y las pruebas de intrusión.
Obtenga más información en www.veracode.com, en el blog de Veracode, y en LinkedIn y X.
Copyright © 2024 Veracode, Inc. Todos los derechos reservados. Veracode es una marca registrada de Veracode, Inc. en Estados Unidos y puede estar registrada en otras jurisdicciones. Todos los demás nombres de productos, marcas o logotipos pertenecen a sus respectivos propietarios. Todas las demás marcas citadas en este documento pertenecen a sus respectivos propietarios.
El comunicado en el idioma original es la versión oficial y autorizada del mismo. Esta traducción es solamente un medio de ayuda y deberá ser comparada con el texto en idioma original, que es la única versión del texto que tendrá validez legal.
