Un estudio de Veracode ha dado la voz de alarma al detectar que una cuarta parte de las aplicaciones en el sector TI tienen fallos de seguridad considerados de alto riesgo. En caso de explotarse pueden poner a los usuarios y organizaciones en serio peligro.
Los fallos de seguridad en las aplicaciones siguen estando en el punto de mira. En esta ocasión ha sido un estudio del proveedor de soluciones de pruebas para seguridad de apps el que ha revelado el alto riesgo que supone el hecho de que el 24% de las que han analizado contengan estos fallos.
Unos fallos que pueden poner en serio riesgo la seguridad en el caso de que actores maliciosos decidan explotarlos. Según el estudio, las empresas tecnológicas podrían beneficiarse si implementaran una mejor formación y prácticas de codificación segura para los equipos de desarrollo.
«Ofrecer a los desarrolladores una experiencia práctica y real de lo que se necesita para detectar y explotar un fallo en el código, y su impacto potencial en la aplicación, proporciona el contexto y la comprensión para desarrollar su intuición. sobre la seguridad del software». Con estas palabras, el director de investigación de Veracode, Chris Eng, pone énfasis en la necesidad de que las empresas refuercen la capacitación de sus desarrolladores.
Estas conclusiones, extraídas del informe anual ‘State of Software Security (SoSS) v12’ de la compañía, ha analizado 20 millones de escaneos en medio millón de aplicaciones en los sectores de tecnología, retail, fabricación, atención médica, servicios financieros y gobierno.
En general, la industria de la tecnología tiene la segunda proporción más alta de aplicaciones con fallos de seguridad, el 79%, lo que la sitúa en mejor posición que el sector público, que cuenta con un 82% de apps con fallos.
Foco en la corrección de fallos en las aplicaciones
Una de las notas positivas del estudio apunta que, pese a los fallos de sus aplicaciones, las empresas tecnológicas son comparativamente rápidas a la hora de corregir estos errores de seguridad en el software.
Cuando estas empresas descubren fallos en sus aplicaciones, son comparativamente rápidas para solucionarlos. De hecho, el sector cuenta con tiempos de reparación líderes en la industria para fallos descubiertos en pruebas de seguridad de análisis estático (SAST) y análisis de composición de software (SCA).
No obstante, la industria aún tarda hasta 363 días en corregir el 50% de los fallos, lo que sugiere que todavía hay un amplio margen de mejora.
En este sentido, desde Veracode destacan que, de cara al próximo año, para mejorar el rendimiento, las empresas de tecnología no solo deben considerar estrategias que ayuden a los desarrolladores a reducir la tasa de fallos introducidos en el código. La firma aboga por poner un mayor énfasis en la automatización de las pruebas de seguridad y, de este modo, incrementar su eficiencia.
La configuración del servidor, las dependencias inseguras y la fuga de información son los errores más comunes. Por el contrario, el sector cuenta con la mayor diferencia respecto a la media de la industria en cuanto a problemas criptográficos y fugas de información, lo que quizás indica que los desarrolladores de la industria tecnológica son más expertos en los desafíos de protección de datos.
