Agencias/Ciudad de México.- Veracode, líder mundial en gestión de riesgos de aplicaciones, publicó hoy el State of Software Security (SoSS) Snapshot for the Financial Services Sector (Panorama del estado de la seguridad del software 2025 para el sector de servicios financieros).
El análisis revela que casi dos tercios (63 %) de las organizaciones de banca, servicios financieros y seguros (BFSI, por sus siglas en inglés) presentan una deuda de seguridad crítica (fallas de alta gravedad que permanecen sin corregir durante más de un año), una tasa 13 puntos porcentuales superior a la media del sector.
«En los servicios financieros, la confianza lo es todo; sin embargo, nuestros datos revelan un riesgo creciente y silencioso para el sector, creado por la deuda de seguridad no resuelta», afirmó Chris Wysopal, cofundador y director de seguridad de Veracode. «Con el aumento de los ataques impulsados por IA y el endurecimiento de los requisitos de cumplimiento, los líderes financieros deben priorizar la reducción estratégica de riesgos, comenzando por la corrección específica de fallas críticas de software».
Los investigadores de Veracode informan que el 77 % de las organizaciones de servicios financieros acumulan algún nivel de deuda de seguridad. Con una vida media promedio de 276 días (el tiempo que se tarda en remediar el 50 % de todas las vulnerabilidades), el sector tarda casi un mes más en solucionar los problemas de seguridad que otras industrias. A pesar de los modestos avances en la reducción de fallas de alta gravedad, el progreso se ha estancado a medida que las aplicaciones más antiguas y de mayor tamaño del sector continúan acumulando riesgos de seguridad sin resolver.
La dependencia del código abierto amplifica la exposición
El informe concluyó que la cadena de suministro sigue siendo una fuente importante de riesgo. Si bien el código de terceros representa solo el 17 % de la deuda total de seguridad, representa más del 82 % de la deuda crítica de seguridad en las empresas financieras. Dado que las fallas de código abierto requieren un 50 % más de tiempo para su corrección que el código propio, las organizaciones se enfrentan a una creciente exposición ante la creciente presión regulatoria. La evaluación proactiva de las bibliotecas de código abierto y la evitación de componentes con fallas conocidas reducen significativamente la exposición y el riesgo a largo plazo en las aplicaciones.
Líderes versus rezagados: análisis comparativo de la madurez de AppSec
El informe compara las empresas BFSI con mejor rendimiento con las de menor rendimiento. Los líderes del sector corrigen más del 9 % de las vulnerabilidades abiertas mensualmente y limitan la deuda de seguridad a menos del 26 % de las aplicaciones, mientras que las empresas rezagadas tienen deuda en el 85 % o más de sus aplicaciones y extienden los ciclos de reparación a más de un año. Esta brecha subraya la importancia del análisis continuo del código, la remediación rápida y la priorización contextual basada en riesgos con herramientas modernas basadas en IA.
Wysopal concluyó: «Este informe proporciona a los líderes financieros los datos que necesitan para evaluar el progreso y asignar recursos de forma más eficaz. Al comprender dónde se concentran los riesgos críticos del código abierto y los sistemas heredados, las organizaciones pueden ir más allá de la simple detección de fallas y abordar estratégicamente los problemas más críticos, lo que les permite proteger a sus clientes a la vez que innovan con seguridad y confianza».
El informe State of Software Financial Services Snapshot 2025 de Veracode se encuentra disponible para su lectura en el sitio web de Veracode.
