- El informe del Estado de la seguridad del software 2023 revela que la seguridad del software es deficiente en la región EMEA, donde casi el 20 % de las aplicaciones contienen fallos de «máxima gravedad»
- Las organizaciones de EMEA están cada vez más expuestas a las vulnerabilidades del código generado por terceros y la IA
LONDRES–(BUSINESS WIRE)–Veracode, proveedor líder mundial de seguridad de software inteligente, ha publicado hoy un estudio que indica que las aplicaciones desarrolladas por organizaciones de Europa, Oriente Medio y África tienden a contener más fallos de seguridad que las creadas por sus homólogos estadounidenses. En todas las regiones analizadas, EMEA también tiene el porcentaje más alto de fallos de «máxima gravedad», lo que significa que provocarían un problema grave para la empresa si se explotaran. Un número elevado de fallos y vulnerabilidades en las aplicaciones se correlaciona con mayores niveles de riesgo, lo que es especialmente destacable ya que los ciberataques a la cadena de suministro de software acapararán los titulares en 2023.
Los investigadores descubrieron que algo más del 80 % de las aplicaciones desarrolladas por organizaciones de la región EMEA presentaban al menos un fallo de seguridad detectado en su análisis reciente de los últimos 12 meses, en comparación con algo menos del 73 % de las organizaciones estadounidenses. Además, el porcentaje de aplicaciones con fallos de «máxima gravedad» era el más alto de todas las regiones, con casi un 20 %.
«Nuestros datos muestran que las organizaciones a nivel mundial siguen utilizando una cantidad preocupante de aplicaciones con un alto número de fallos en el Top 25 de CWE», dijo Chris Eng, director de investigación de Veracode. «Sin embargo, identificamos diferencias regionales interesantes, sobre todo en cuanto al uso de código de terceros o de código abierto y las formas en que se introducen las vulnerabilidades a lo largo del ciclo de vida de la aplicación», añadió.
El análisis de los datos recogidos en más de 27 millones de análisis de 750.000 aplicaciones ha contribuido a la elaboración del último informe anual de Veracode sobre el Estado de la seguridad del software. Este nuevo informe muestra los resultados específicos de la región EMEA, incluidos los del Reino Unido, Alemania, Francia, Italia, Oriente Medio y África.
Las cifras no reflejan por sí solas las consecuencias de la amenaza de los piratas informáticos que aprovechan las vulnerabilidades del software. Dado que las organizaciones de la región EMEA utilizan una combinación cada vez más compleja de software de terceros para prestar sus servicios, el ataque a una vulnerabilidad grave puede afectar a miles de usuarios a la vez. A principios de este año, una vulnerabilidad que afectaba a las herramientas de software de impresión PaperCut MF y PaperCut NG fue utilizada de forma abusiva por parte de los atacantes. Hasta 70.000 organizaciones de 200 países se convirtieron en víctimas potenciales, y los informes de las autoridades descubrieron que los autores de las amenazas habían logrado atacar a entidades vulnerables del sector educativo.
Java y el código de terceros provocan importantes fallos de seguridad
El estudio ha detectado diferencias regionales notables en el uso del lenguaje preferido, siendo Java el lenguaje preferido por los desarrolladores de EMEA. Los equipos que utilizan Java corrigen los fallos a un ritmo más lento que los que utilizan .NET o JavaScript, lo que provoca que muchos de estos fallos persistan o permanezcan sin descubrir durante mucho más tiempo. Además, como más del 95 % de las aplicaciones Java están compuestas por código de terceros o de código abierto, el uso de Java es un factor clave en el alto porcentaje de vulnerabilidades introducidas en las aplicaciones de la región. Esto demuestra la importancia del análisis de la composición del software (SCA, por sus siglas en inglés), que detecta los fallos en el código fuente abierto. El estudio ha constatado una mayor proporción de fallos detectados por el SCA en la región EMEA que en otras regiones.
A medida que la IA generativa sigue ganando terreno en el desarrollo de software, aumenta el riesgo de vulnerabilidades procedentes de fuentes externas. Un estudio, publicado en Black Hat en 2022, mostró vulnerabilidades en el 40 % del código que había sido escrito por grandes modelos de lenguaje basados en grandes cantidades de datos sin refinar, incluidos millones de repositorios públicos de GitHub. Por lo tanto, es fundamental que las organizaciones aprovechen las herramientas de SCA para encontrar y corregir fallos, permitiendo a los desarrolladores sacar partido de la IA sin comprometer la seguridad de las aplicaciones.
Las aplicaciones se vuelven más vulnerables con el paso del tiempo
La investigación también ha puesto de manifiesto que se siguen introduciendo nuevos fallos en las aplicaciones de EMEA a un ritmo mucho mayor en todo el ciclo de vida de las aplicaciones que en otras regiones. Aunque las organizaciones de EMEA siguen actualizando las aplicaciones, se presta menos atención a la calidad. Tras un periodo de cinco años, el 50 % de las aplicaciones de EMEA siguen introduciendo nuevos fallos, frente a poco más del 30 % en el resto del mundo. En general, la probabilidad de que se introdujera un fallo en un mes determinado era del 27 %.
En este sentido, las organizaciones de la región EMEA podrían mejorar si prestaran más atención a la última parte del ciclo de vida de las aplicaciones y las analizaran con mayor regularidad. También deberían dar prioridad a la formación en seguridad de los desarrolladores, ya que, según el estudio, el hecho de completar 10 pruebas de seguridad interactivas reduce la probabilidad de que se introduzca un fallo pasando del 27 % al 25 % en un mes determinado.
«El informe de este año sobre el Estado de la seguridad del software destaca la importancia de la seguridad a lo largo de todo el ciclo de vida del software, así como la necesidad urgente de abordar los riesgos que plantea el código generado por terceros y por la IA», añadió Eng. «Mientras que en todo el mundo seguimos observando un volumen preocupante de vulnerabilidades, estas cifras son más altas en EMEA en casi todas las métricas. Los equipos de desarrollo de esta región deben aprovechar la oportunidad de automatizar la seguridad del software para realizar análisis periódicos, y plantearse detenidamente el uso que hacen de las herramientas de IA, tanto para aumentar la seguridad como para capacitar a los desarrolladores».
El informe del Estado de la seguridad del software en EMEA 2023 de Veracode recomienda cuatro medidas que los equipos de desarrollo de software pueden adoptar para mejorar su situación en materia de ciberseguridad y está disponible para su descarga en el sitio web de Veracode.
El informe global del Estado de la seguridad del software 2023 de Veracode está disponible para su descarga.
Acerca del Informe del Estado de la seguridad del software
El 13º volumen del informe anual de Veracode sobre el Estado de la seguridad del software examina las tendencias históricas que conforman el panorama del software y cómo las prácticas de seguridad están evolucionando junto con esas tendencias. Las conclusiones de este año se basan en todos los datos históricos disponibles de los servicios y clientes de Veracode y constituyen una muestra representativa de grandes y pequeñas empresas, proveedores de software comercial, subcontratistas de software y proyectos de código abierto. El informe contiene resultados sobre aplicaciones que fueron sometidas a análisis estático, análisis dinámico, análisis de composición de software y/o pruebas de penetración manuales a través de la plataforma basada en la nube de Veracode.
Acerca de Veracode
Veracode es garantía de seguridad de software inteligente. La plataforma de seguridad de software Veracode detecta continuamente fallos y vulnerabilidades en cada etapa del ciclo de vida de desarrollo de software moderno. Gracias a una potente IA formada por billones de líneas de código, los clientes de Veracode solucionan los fallos con mayor rapidez y precisión. Con la confianza de los equipos de seguridad, desarrolladores y líderes empresariales de miles de organizaciones líderes en el mundo, Veracode es una de las pioneras que continúa redefiniendo lo que implica la seguridad inteligente del software.
Copyright © 2023 Veracode, Inc. Quedan reservados todos los derechos. Veracode es una marca registrada de Veracode, Inc. en Estados Unidos y puede estar registrada en otras jurisdicciones. El resto de los nombres de productos, marcas o logotipos pertenecen a sus respectivos propietarios. Todas las demás marcas citadas en este documento pertenecen a sus respectivos propietarios.
El comunicado en el idioma original es la versión oficial y autorizada del mismo. Esta traducción es solamente un medio de ayuda y deberá ser comparada con el texto en idioma original, que es la única versión del texto que tendrá validez legal.
Contacts
Katy Gwilliam
kgwilliam@veracode.com