Veracode, proveedor líder mundial de seguridad de software inteligente, publicó hoy una investigación que indica que las aplicaciones desarrolladas por organizaciones del sector público tienden a tener más fallos de seguridad que las aplicaciones creadas por el sector privado. Los resultados son notables porque un mayor número de fallos y vulnerabilidades en las aplicaciones se correlaciona con mayores niveles de riesgo. La investigación se produce en medio de una oleada de iniciativas recientes del gobierno federal para reforzar la ciberseguridad, incluidos los esfuerzos por reducir las vulnerabilidades de las aplicaciones que desempeñan funciones gubernamentales críticas.
Los investigadores descubrieron que casi el 82 % de las aplicaciones desarrolladas por organizaciones del sector público presentaban al menos un fallo de seguridad detectado en su análisis más reciente de los últimos 12 meses, en comparación con el 74 % de las organizaciones del sector privado. Según el tipo de fallo rastreado, las aplicaciones del sector público tenían entre un 7 y un 12 por ciento más de probabilidades de tener un fallo en los últimos 12 meses.
“La diferencia entre el índice de aparición de fallos en las aplicaciones del sector público y del privado es significativa. Los esfuerzos de las administraciones públicas por superar esta diferencia son necesarios y deben continuar. Como administradores de la seguridad pública, las agencias tienen la responsabilidad de eliminar esta brecha y reforzar la seguridad para proteger a la nación y a sus ciudadanos, afirmó Chris Eng, director de investigación de Veracode.
El análisis de los datos recogidos en más de 27 millones de escaneos de 750 000 aplicaciones ayudó a elaborar el último informe anual de Veracode sobre el Estado de la seguridad del software. Este nuevo informe presenta las conclusiones específicas del sector público extraídas de esos escaneos y aplicaciones, incluidos los resultados de la administración federal, estatal y local.
Las cifras por sí solas no reflejan las consecuencias que se producen cuando los piratas informáticos aprovechan los fallos y vulnerabilidades del software. A principios de mayo de este año, un ataque de ransomware contra la ciudad de Dallas puso en peligro las funciones de las que depende la prestación de servicios públicos, incluidos los sistemas informáticos utilizados por los organismos de seguridad pública. Más de tres semanas después del ataque, los organismos públicos de Dallas no habían logrado recuperarse del todo.
Fallos de alta gravedad: una victoria para el sector público
La investigación de Veracode también halló motivos para que las organizaciones del sector público sean optimistas sobre la seguridad de las aplicaciones. El descubrimiento de fallos de “alta gravedad” en aplicaciones del sector público (16,5 por ciento) en un periodo de 12 meses fue menor que en aplicaciones del sector no público (19 por ciento). Este hecho es digno de mención porque los fallos de alta gravedad, cuando se aprovechan, tienen un mayor potencial para afectar negativamente a los sistemas.
Las pruebas de aplicaciones modernas fomentan el uso de varios tipos de herramientas de escaneado de seguridad, como las pruebas estáticas de seguridad de aplicaciones (SAST, por sus siglas en inglés) y el análisis de composición de software (SCA, por sus siglas en inglés), porque los distintos tipos de escaneado son excelentes para descubrir distintos tipos de fallos. La SAST y el SCA detectaron fallos en aplicaciones en un porcentaje menor de organismos del sector público en comparación con las aplicaciones del sector privado.
Encontrar menos fallos al utilizar las herramientas SCA podría indicar el impacto inicial de la Orden ejecutiva de mayo de 2021 (EO 14028), que ordena a las agencias federales estadounidenses que redoblen sus esfuerzos para proteger la cadena de suministro de software. Esta OE también insta a un mayor uso de las listas de materiales de software (SBOM), que enumeran los componentes del software, promoviendo así el intercambio de información, la transparencia y la visibilidad. Por otra parte, el Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) estandariza la evaluación de la seguridad de los productos y servicios en la nube. Del mismo modo, StateRAMP permite a los gobiernos estatales y locales verificar el cumplimiento de las políticas de ciberseguridad por parte de los proveedores de servicios en la nube.
“A medida que los sistemas informáticos modernos han evolucionado y se han hecho más complejos, la taxonomía de los fallos de las aplicaciones se ha vuelto más variada”, afirma Eng. “Por ello, el uso de varios tipos de análisis para detectar y corregir fallos se ha convertido en una práctica recomendad”.
Más vale prevenir que curar
Una marcada diferencia entre las aplicaciones del sector público y las del privado es el índice al que los escáneres descubren nuevos fallos en el software obsoleto. Cuando el software lleva cinco años en producción, los dos sectores divergen notablemente: los índices de nuevos fallos introducidos en las aplicaciones del sector privado aumentan, mientras que los índices de los organismos del sector público disminuyen.
Esta tendencia sugiere que los organismos del sector público están más atentos a mantener la seguridad de las aplicaciones a lo largo del tiempo, y no solo durante los primeros años del ciclo de vida. Por el contrario, las aplicaciones no gubernamentales experimentan un aumento gradual y constante de la introducción de nuevos fallos a medida que se vuelven más antiguas.
El informe Estado de la seguridad del software de 2023 recomienda cuatro medidas que los organismos pueden adoptar para mejorar su postura en materia de ciberseguridad.
- Ponerse al día: solucionar el retraso de los fallos conocidos
- Escanear con regularidad: un escaneado incoherente dificulta la corrección de fallos, lo que provoca más retrasos.
- Automatizar: la automatización de las pruebas mediante las API reduce la introducción de fallos en las aplicaciones.
- Añadir DAST a las pruebas: utilizar el escaneado dinámico para descubrir fallos que otros tipos de escaneado pasan por alto.
“El sector público lleva mucho camino recorrido en el refuerzo de la seguridad de las aplicaciones que sirven a nuestro gobierno, pero aún queda trabajo por hacer para que los organismos mejoren su postura cibernética y puedan hacer frente a las amenazas entrantes. Al centrar los esfuerzos de seguridad en la causa principal de la mayoría de las infracciones cibernéticas —la capa de aplicación—, los organismos pueden lograr las mejoras necesarias. Realizar análisis periódicos con diversos tipos de pruebas y abordar la deuda de seguridad —las vulnerabilidades de software acumuladas que amenazan la seguridad de un sistema— allanará el camino hacia un futuro más seguro para las agencias gubernamentales”, concluyó Eng.
La completa investigación en el sector público del informe de Estado de la seguridad del software de 2023 de Veracode está disponible y proporciona métricas comparativas básicas entre organismos gubernamentales.
El informe completo Estado de la seguridad del software de 2023 de Veracode está disponible para su descarga.
Acerca del Informe del Estado de la seguridad del software
El 13º volumen del informe anual de Veracode sobre el Estado de la Seguridad del Software examina las tendencias históricas que dan forma al panorama del software y cómo las prácticas de seguridad están evolucionando junto con esas tendencias. Las conclusiones de este año se basan en todos los datos históricos disponibles de los servicios y clientes de Veracode y abarcan una muestra representativa de grandes y pequeñas empresas, proveedores de software comercial, subcontratistas de software y proyectos de código abierto. El informe incluye hallazgos sobre aplicaciones que fueron sometidas a análisis estáticos, análisis dinámicos, análisis de composición de software y/o pruebas de penetración manuales a través de la plataforma basada en la nube de Veracode. El informe considera datos que fueron proporcionados por los clientes de Veracode e información que fue calculada o derivada en el curso del análisis de Veracode.
Acerca de Veracode
Veracode es seguridad de software inteligente. La Plataforma de Seguridad de Software Veracode detecta continuamente fallos y vulnerabilidades en cada etapa del ciclo de vida del desarrollo de software moderno. Gracias a una potente IA que está entrenada con miles de millones de líneas de código, los clientes de Veracode solucionan los fallos con más rapidez y precisión. Con el aval de los equipos de seguridad, los desarrolladores y los líderes empresariales de miles de organizaciones líderes en el mundo, Veracode es pionera y continúa redefiniendo el significado de la seguridad inteligente para software. Veracode está acreditada para las Risk and Authorization Management Program (Programa de gestión de riesgos y autorizaciones) de las normas FedRAMP y StateRAMP.
Copyright © 2023 Veracode, Inc. Quedan reservados todos los derechos. Veracode es una marca registrada de Veracode, Inc. en Estados Unidos y puede estar registrada en otras jurisdicciones. El resto de los nombres de productos, marcas o logotipos pertenecen a sus respectivos propietarios. Todas las demás marcas citadas en este documento pertenecen a sus respectivos propietarios.
El comunicado en el idioma original, es la versión oficial y autorizada del mismo. La traducción es solamente un medio de ayuda y deberá ser comparada con el texto en idioma original, que es la única versión del texto que tendrá validez legal.
Vea la versión original en businesswire.com: https://www.businesswire.com/news/home/20230605005102/es/