El 73 % de las aplicaciones comerciales contienen fallos de seguridad
Crédito: @Veracode.
Veracode, uno de los principales proveedores del mundo de soluciones de comprobación de seguridad para aplicaciones modernas, ha publicado hoy que casi tres cuartas partes de las aplicaciones del sector minorista y hostelero contienen fallos de seguridad, pero solo se arregla el 25 % de estas. Además, el 17 % de estos fallos se clasifican como «muy graves», es decir, suponen una grave amenaza para la empresa si se aprovechan. Teniendo en cuenta que el 76 % de los estadounidenses tienen previsto comprar en las rebajas del Black Friday el 25 de noviembr [Future Publishing, Exploring the impact of rising inflation, junio de 2022] (y el 56 % planea hacerlo exclusivamente por internet) [Dot Digital, Black Friday Stats:Everything You Need to Know (actualizado en 2022), Jenna Paton, 20 de septiembre de 2022], los distribuidores deben reforzar especialmente la seguridad de sus sistemas de comercio electrónico, sus plataformas digitales de pago y sus cadenas de suministro.
Los datos se publicaron en el informe sobre el estado de la seguridad del software (SoSS) v12 de Veracode, que analizó 20 millones de análisis de medio millón de aplicaciones de los sectores de comercio minorista, industrial, sanitario, tecnológico, público y de servicios financieros.
Según Chris Eng, director de investigación de Veracode, «mantener la lealtad y confianza de los clientes es la principal prioridad de los distribuidores, y esto se intensificará durante el Black Friday. Teniendo en cuenta que se calcula que el coste de una violación de datos en el sector minorista es de 3.28 millones de USD [IBM Security y The Ponemon Institute, Cost of a Data Breach Report 2022, julio de 2022], es vital poner en marcha herramientas y prácticas robustas para proteger las aplicaciones que utilizan los clientes para buscar artículos y comprarlos».
A pesar del número relativamente bajo de fallos de seguridad que se arreglan, el sector minorista ocupa el segundo puesto en cuanto a solución de fallos, lo que demuestra la necesidad de mejorar la seguridad en las empresas de todos los sectores. En palabras de Eng, «en comparación con otros sectores, los distribuidores se preocupan más por arreglar fallos cuando estos se descubren. Aunque esto es prometedor, está claro que hay que hacer más de forma global para integrar la detección y solución de fallos en el proceso de desarrollo de software para que se puedan abordar las vulnerabilidades con más eficacia».
La configuración de los servidores, la inseguridad de las dependencias y los problemas de autentificación son los tipos más habituales de fallos en las aplicaciones de la mayor parte de los sectores. Los sectores minorista y hostelero siguen un patrón similar, pero aquí los porcentajes son más elevados en casi todas las categorías de fallos, quizás debido a la mayor complejidad funcional de las aplicaciones dirigidas al cliente e internas.
Los tiempos de arreglo de fallos varían en el sector minorista
Veracode ha examinado tres tipos diferentes de análisis para generar comparaciones de tiempos de arreglo en el sector: comprobación de seguridad de análisis dinámico (DAST), comprobación de seguridad de análisis estático (SAST) y análisis de composición de software (SCA). Se halló que los distribuidores abordan con mayor rapidez los fallos descubiertos por DAST, con 70 días para alcanzar el punto intermedio, lo cual supera en la increíble cifra de 46 días a los servicios financieros, situados en segundo lugar. Sin embargo, en cuanto a SAST y SCA, el sector minorista queda en la mitad de la clasificación, ya que tarda 346 y 470 días, respectivamente, en alcanzar el punto intermedio de arreglo.
En todos los sectores, los fallos en bibliotecas de terceros descubiertos por medio de SCA perduran más que los hallados con SAST y DAST, y un 30 % de las bibliotecas vulnerables siguen sin solución dos años después. En el sector minorista, la estadística alcanza el 35 % y tiene un desfase con respecto a la media de todos los sectores de más de seis meses. Sin embargo, conviene asegurar a los distribuidores que cualquier desfase puede reducirse, por amplio que sea. De hecho, el informe sobre el estado de la seguridad del software de 2021 de Veracode halló que el 95 % de los fallos de código abierto pueden arreglarse con una sencilla actualización, lo cual son buenas noticias para los distribuidores que quieran proteger sus cadenas de suministro de software.
Conforme se acerca el Black Friday, y casi un año después de que se detectase por primera vez la infame vulnerabilidad Log4j, los distribuidores estarán en alerta máxima para mantener la velocidad, eficacia y seguridad de sus aplicaciones. Las empresas deben tomar precauciones adicionales para descubrir vulnerabilidades en el software de terceros con una combinación de SCA y herramientas de desarrollo. Adoptando este planteamiento con Veracode, Darius Radford, arquitecto de seguridad de aplicaciones del distribuidor especializado Floor & Decor, pudo obtener una visión exhaustiva de los riesgos que suponían las bibliotecas vulnerables en el software de la empresa: «Pudimos averiguar rápidamente los lugares donde se ejecutaba Log4j y solucionar el problema». Trey Tunnel, responsable de seguridad de la información de Floor & Decor, añadió: «Nuestros clientes son nuestra principal prioridad. Con Veracode tenemos la confianza de que nuestro software es seguro y, lo que es más importante, que nuestros clientes confían en que nuestro software es seguro».
El resumen del estado de la seguridad del software v12 de Veracode para el sector minorista y hostelero puede descargarse en el Blog Oficial y el informe completo está disponible en la Web Oficial.
