Veracode, líder mundial en gestión de los riesgos de las aplicaciones, presentó hoy la 15.a edición de su informe State of Software Security (SoSS), que analiza un amplio conjunto de datos de 1,3 millones de aplicaciones únicas y 126,4 millones de hallazgos brutos. En él se destacan las tendencias más importantes y ofrece un panorama actualizado de la madurez de la seguridad del software para mejorar las prácticas de gestión de los riesgos de las aplicaciones.
Este comunicado de prensa trata sobre multimedia. Ver la noticia completa aquí: https://www.businesswire.com/news/home/20250227055509/es/
Percentage of Security Debt Across Organizations (Graphic: Business Wire)
Esta investigación mostró un aumento alarmante del lapso promedio de reparación de los fallos de seguridad: de 171 a 252 días en los últimos cinco años y un 327 % más desde el primer volumen del informe hace 15 años. Asimismo, el 50 % de las organizaciones arrastra actualmente una deuda de seguridad crítica, definida como la acumulación de fallos que quedan abiertos durante más de un año. La mayoría de estas vulnerabilidades tienen su origen en un código de terceros y en la cadena de suministro del software. La deuda de seguridad no resuelta expone a las organizaciones a los ataques, que pueden perjudicar su reputación, sus finanzas y sus resultados operativos.
Chris Wysopal, promotor de seguridad de Veracode, señaló al respecto: “La superficie de ataque se ha vuelto cada vez más complicada, sobre todo en los últimos dos años con la explosión de la ingeniería de IA. El informe del año pasado encontró que el 46 por ciento de las organizaciones tenían deudas de seguridad de alta gravedad. Si bien el aumento interanual puede parecer marginal, va en la dirección equivocada. Nuestras investigaciones proporcionan pruebas sólidas de que las organizaciones pueden reducir la deuda, pero muchas necesitan ayuda para poder priorizar cuáles vulnerabilidades deben resolver primero”.
Evaluación comparativa del rendimiento en seguridad
Por otro lado, la investigación de Veracode analizó la distribución de la deuda de seguridad de las organizaciones. Si bien algunas casi no tienen deuda y otras están asfixiadas por las deudas, la mayoría se encuentra en algún punto intermedio del espectro, con una mezcla de aplicaciones libres de deuda y con deuda.
“Resulta fascinante la diferencia entre el 25 por ciento de las organizaciones con más deuda y el 25 por ciento con menos deuda”, subrayó Wysopal. “Los resultados plantean la cuestión de determinar cuáles son los factores explican las marcadas diferencias en la forma en que las organizaciones manejan la deuda de seguridad y qué pueden hacer los equipos para superarla”.
La investigación de Veracode menciona cinco métricas clave que indican la madurez de la seguridad y predicen la capacidad de una organización para reducir sistemáticamente el riesgo: prevalencia de los fallos, capacidad de corrección, velocidad de corrección, prevalencia de la deuda y deuda de código abierto. Este informe explica la importancia de cada métrica y muestra los parámetros que determinan si una organización es “líder” o ha quedado “rezagada”.
- Prevalencia de los fallos: Las organizaciones líderes exhiben fallos en menos del 43 % de las aplicaciones, mientras que las organizaciones rezagadas superan el 86 %.
- Capacidad de reparación: Las líderes resuelven más del 10 % de los fallos por mes, mientras que las rezagadas, menos del 1 %.
- Velocidad de reparación: Las organizaciones con mejores resultados reparan la mitad de los fallos dentro de cinco semanas, mientras que las menos eficaces tardan más de un año.
- Prevalencia de la deuda de seguridad: Menos del 17 % de las aplicaciones de las organizaciones líderes tienen deuda de seguridad, en contraste con más del 67 % en las rezagadas.
- Deuda de código abierto: Las organizaciones líderes mantienen la deuda crítica de código abierto por debajo del 15 %, mientras que en las organizaciones rezagadas, la deuda crítica de código abierto es del 100 %.
Según Wysopal, “la investigación proporciona un marco útil para que las organizaciones evalúen su madurez en cuanto a seguridad. Esto les permite comprender los factores específicos que contribuyen a la deuda de seguridad, calibrar la importancia de cada métrica y comparar su rendimiento con el de otras organizaciones similares. Ofrecemos recomendaciones detalladas sobre cómo mejorar de nuestros expertos y organizaciones líderes”.
Las normativas cibernéticas promueven comportamientos positivos e impulsan la seguridad de las aplicaciones
Un aspecto positivo fue que según la investigación de Veracode, la tasa de aplicaciones que pasan el Open Worldwide Application Security Project (OWASP) Top 10 aumentó un 63 % en los últimos cinco años y más del doble en 15 años. Las nuevas normativas de ciberseguridad de 2024, como la resolución de la Comisión de Bolsa y Valores de EE.UU. (SEC) y la Ley de Ciberresiliencia de la UE, han aportado a esta tendencia, dado que los proveedores de software adoptan una metodología más disciplinada para gestionar los riesgos
Nueva visión de la madurez de la seguridad
La nueva visión de Veracode sobre la madurez de la seguridad del software subraya la necesidad de que las empresas adopten una metodología estratégica en función del contexto para gestionar los riesgos más urgentes y explotables. El informe recomienda dos áreas clave: en primer lugar, las organizaciones deben mejorar la visibilidad y la integración en todo el ciclo de vida de desarrollo de software, utilizando la automatización y los bucles de retroalimentación para evitar nuevos fallos de seguridad. En segundo lugar, deben darle prioridad a la correlación y contextualización de los hallazgos de seguridad en una sola vista, para solucionar con más eficiencia su retraso en materia de seguridad y reducir los riesgos más urgentes, con el menor esfuerzo posible.
Wysopal agregó: “Las herramientas como Application Security Posture Management les permiten a los profesionales y a los equipos expertos en seguridad priorizar y tomar decisiones bien fundadas al señalar cuáles son los elementos que se pueden vulnerar, alcanzar y cuáles son los más urgentes”.
A medida que las organizaciones deben adaptarse a un panorama de amenazas cada vez más complejo, es imprescindible priorizar la madurez de la seguridad. En ese sentido, la investigación de Veracode proporciona una hoja de ruta para que las organizaciones comparen y mejoren su postura de seguridad. Al resolver la deuda de seguridad y aprovechar las mejores herramientas y prácticas, las empresas pueden mejorar la resiliencia, reducir el riesgo y cumplir las regulaciones cambiantes en materia de ciberseguridad.
El informe completo State of Software Security 2025 se puede descargar en el sitio web de Veracode. También se puede leer el blog en el que se resumen las principales conclusiones del informe.
Acerca del Informe del Estado de la seguridad del software
El informe del Estado de la seguridad del software de 2025 es el 15.o volumen del informe, que analiza datos de empresas de todos los tamaños, proveedores de software comercial, subcontratistas de software y proyectos de código abierto. Este documento presenta los hallazgos sobre aplicaciones que fueron sometidas a análisis estáticos, análisis dinámicos, análisis de composición de software y/o pruebas de penetración manuales a través de la plataforma en la nube de Veracode. En concreto, los datos se tomaron de:
- 1,3 millones de aplicaciones únicas con 126,4 millones de hallazgos brutos
- 107,4 millones de hallazgos identificados con escaneos SAST
- 3,9 millones de hallazgos identificados con análisis DAST.
- 15 millones de hallazgos identificados con análisis de composición del software
Acerca de Veracode
Veracode es líder mundial en gestión de los riesgos de las aplicaciones para la era de la IA. Impulsada por miles de millones de líneas de escaneos de código y un motor de remediación patentado asistido por IA, la plataforma Veracode ofrece seguridad de software adaptable y se ha ganado la confianza de las organizaciones de todo el mundo para construir y mantener software seguro desde la creación del código hasta el despliegue en la nube. Miles de los principales equipos de desarrollo y seguridad del mundo usan Veracode cada segundo de cada día para tener visibilidad precisa y procesable de los riesgos explotables, lograr la corrección de vulnerabilidades en tiempo real y reducir su deuda de seguridad a escala. Veracode ha sido galardonada con numerosos premios y ofrece capacidades para asegurar todo el ciclo de desarrollo del software, en particular, Veracode Fix, Static Analysis, Dynamic Analysis, Software Composition Analysis, Container Security, Application Security Posture Management, Malicious Package Detection y Penetration Testing.
Obtenga más información en www.veracode.com, en el blog de Veracode, y en LinkedIn y X.
Copyright © 2025 Veracode, Inc. Todos los derechos reservados. Veracode es una marca registrada de Veracode, Inc. en los Estados Unidos y puede estar registrada en otras jurisdicciones. El resto de los nombres de productos, marcas o logotipos pertenecen a sus respectivos propietarios. El resto de las marcas citadas en este documento pertenecen a sus respectivos propietarios.
El comunicado en el idioma original es la versión oficial y autorizada del mismo. Esta traducción es solamente un medio de ayuda y deberá ser comparada con el texto en idioma original, que es la única versión del texto que tendrá validez legal.
Vea la versión original en businesswire.com: https://www.businesswire.com/news/home/20250227055509/es/