Agencias/Ciudad de México.- Veracode, líder mundial en gestión de los riesgos de las aplicaciones, presentó hoy la 15.a edición de su informe State of Software Security (SoSS), que analiza un amplio conjunto de datos de 1,3 millones de aplicaciones únicas y 126,4 millones de hallazgos brutos. En él se destacan las tendencias más importantes y ofrece un panorama actualizado de la madurez de la seguridad del software para mejorar las prácticas de gestión de los riesgos de las aplicaciones.

Chris Wysopal, promotor de seguridad de Veracode, señaló al respecto: “La superficie de ataque se ha vuelto cada vez más complicada, sobre todo en los últimos dos años con la explosión de la ingeniería de IA.

El informe del año pasado encontró que el 46 por ciento de las organizaciones tenían deudas de seguridad de alta gravedad. Si bien el aumento interanual puede parecer marginal, va en la dirección equivocada. Nuestras investigaciones proporcionan pruebas sólidas de que las organizaciones pueden reducir la deuda, pero muchas necesitan ayuda para poder priorizar cuáles vulnerabilidades deben resolver primero”.

Esta investigación mostró un aumento alarmante del lapso promedio de reparación de los fallos de seguridad: de 171 a 252 días en los últimos cinco años y un 327 % más desde el primer volumen del informe hace 15 años. Asimismo, el 50 % de las organizaciones arrastra actualmente una deuda de seguridad crítica, definida como la acumulación de fallos que quedan abiertos durante más de un año. La mayoría de estas vulnerabilidades tienen su origen en un código de terceros y en la cadena de suministro del software. La deuda de seguridad no resuelta expone a las organizaciones a los ataques, que pueden perjudicar su reputación, sus finanzas y sus resultados operativos.

https://twitter.com/Veracode/status/1895117016136126714

Evaluación comparativa del rendimiento en seguridad

Por otro lado, la investigación de Veracode analizó la distribución de la deuda de seguridad de las organizaciones. Si bien algunas casi no tienen deuda y otras están asfixiadas por las deudas, la mayoría se encuentra en algún punto intermedio del espectro, con una mezcla de aplicaciones libres de deuda y con deuda.

“Resulta fascinante la diferencia entre el 25 por ciento de las organizaciones con más deuda y el 25 por ciento con menos deuda”, subrayó Wysopal. “Los resultados plantean la cuestión de determinar cuáles son los factores explican las marcadas diferencias en la forma en que las organizaciones manejan la deuda de seguridad y qué pueden hacer los equipos para superarla”.

La investigación de Veracode menciona cinco métricas clave que indican la madurez de la seguridad y predicen la capacidad de una organización para reducir sistemáticamente el riesgo: prevalencia de los fallos, capacidad de corrección, velocidad de corrección, prevalencia de la deuda y deuda de código abierto. Este informe explica la importancia de cada métrica y muestra los parámetros que determinan si una organización es “líder” o ha quedado “rezagada”.

  • Prevalencia de los fallos: Las organizaciones líderes exhiben fallos en menos del 43 % de las aplicaciones, mientras que las organizaciones rezagadas superan el 86 %.
  • Capacidad de reparación: Las líderes resuelven más del 10 % de los fallos por mes, mientras que las rezagadas, menos del 1 %.
  • Velocidad de reparación: Las organizaciones con mejores resultados reparan la mitad de los fallos dentro de cinco semanas, mientras que las menos eficaces tardan más de un año.
  • Prevalencia de la deuda de seguridad: Menos del 17 % de las aplicaciones de las organizaciones líderes tienen deuda de seguridad, en contraste con más del 67 % en las rezagadas.
  • Deuda de código abierto: Las organizaciones líderes mantienen la deuda crítica de código abierto por debajo del 15 %, mientras que en las organizaciones rezagadas, la deuda crítica de código abierto es del 100 %.

Desde 2020, el tiempo promedio para solucionar fallas de seguridad ha aumentado un 47 %. Los equipos no pueden seguir el ritmo de la escala de fallas que se crean. La mitad de las organizaciones tienen una deuda de seguridad crítica, lo que significa que tienen vulnerabilidades sin resolver y de alta explotabilidad que persisten durante años y que siguen acumulándose.

Según Wysopal, “la investigación proporciona un marco útil para que las organizaciones evalúen su madurez en cuanto a seguridad. Esto les permite comprender los factores específicos que contribuyen a la deuda de seguridad, calibrar la importancia de cada métrica y comparar su rendimiento con el de otras organizaciones similares. Ofrecemos recomendaciones detalladas sobre cómo mejorar de nuestros expertos y organizaciones líderes”.

El 70 % de esta deuda de seguridad crítica proviene del código de terceros y de la cadena de suministro de software. Incluso si sus desarrolladores no están usando IA para generar código, las bibliotecas que usan probablemente sí lo estén.

Las normativas cibernéticas promueven comportamientos positivos e impulsan la seguridad de las aplicaciones

Un aspecto positivo fue que según la investigación de Veracode, la tasa de aplicaciones que pasan el Open Worldwide Application Security Project (OWASP) Top 10 aumentó un 63 % en los últimos cinco años y más del doble en 15 años. Las nuevas normativas de ciberseguridad de 2024, como la resolución de la Comisión de Bolsa y Valores de EE.UU. (SEC) y la Ley de Ciberresiliencia de la UE, han aportado a esta tendencia, dado que los proveedores de software adoptan una metodología más disciplinada para gestionar los riesgos.

A medida que las organizaciones deben adaptarse a un panorama de amenazas cada vez más complejo, es imprescindible priorizar la madurez de la seguridad. En ese sentido, la investigación de Veracode proporciona una hoja de ruta para que las organizaciones comparen y mejoren su postura de seguridad. Al resolver la deuda de seguridad y aprovechar las mejores herramientas y prácticas, las empresas pueden mejorar la resiliencia, reducir el riesgo y cumplir las regulaciones cambiantes en materia de ciberseguridad.

Nueva visión de la madurez de la seguridad

La nueva visión de Veracode sobre la madurez de la seguridad del software subraya la necesidad de que las empresas adopten una metodología estratégica en función del contexto para gestionar los riesgos más urgentes y explotables. El informe recomienda dos áreas clave: en primer lugar, las organizaciones deben mejorar la visibilidad y la integración en todo el ciclo de vida de desarrollo de software, utilizando la automatización y los bucles de retroalimentación para evitar nuevos fallos de seguridad. En segundo lugar, deben darle prioridad a la correlación y contextualización de los hallazgos de seguridad en una sola vista, para solucionar con más eficiencia su retraso en materia de seguridad y reducir los riesgos más urgentes, con el menor esfuerzo posible.

Wysopal agregó: “Las herramientas como Application Security Posture Management les permiten a los profesionales y a los equipos expertos en seguridad priorizar y tomar decisiones bien fundadas al señalar cuáles son los elementos que se pueden vulnerar, alcanzar y cuáles son los más urgentes”.

El informe del Estado de la seguridad del software de 2025 es el 15.o volumen del informe, que analiza datos de empresas de todos los tamaños, proveedores de software comercial, subcontratistas de software y proyectos de código abierto. Este documento presenta los hallazgos sobre aplicaciones que fueron sometidas a análisis estáticos, análisis dinámicos, análisis de composición de software y/o pruebas de penetración manuales a través de la plataforma en la nube de Veracode. En concreto, los datos se tomaron de:

  • 1.3 millones de aplicaciones únicas con 126.4 millones de hallazgos brutos
  • 107.4 millones de hallazgos identificados con escaneos SAST
  • 3.9 millones de hallazgos identificados con análisis DAST.
  • 15 millones de hallazgos identificados con análisis de composición del software

El informe completo State of Software Security 2025 se puede descargar en el sitio web de Veracode. También se puede leer el blog en el que se resumen las principales conclusiones del informe.

Universitarios
enero 30, 2026
0 9

CAETO, un espacio que preserva el bienestar de sus coterapeutas caninos

Entretenimiento Principal
enero 30, 2026
0 11

Graba Castrol documental ‘Drive Me to the Moon’ en instalaciones emblemáticas de NASA

Principal Seguridad
enero 30, 2026
0 18

Intensifica ICE caza de Iván Archivaldo Guzmán con recompensa de 10 millones de dólares

Ciencia y Tecnología Principal
enero 30, 2026
0 25

Proporciona sistema Autothrottle mayor precisión a pilotos del Cessna Citation M2 Gen2

Ciencia y Tecnología Principal
enero 29, 2026
0 40

Contrarresta consumo regular de café riesgo de diabetes tipo 2

Ciencia y Tecnología Principal
enero 29, 2026
0 33

Revoluciona BlueMatrix y Perplexity investigación institucional con IA

Comentarios desactivados en Preocupa a Veracode retraso de empresas para corregir fallas de seguridad