El software de los servicios financieros tiene menos vulnerabilidades de seguridad que la mayoría de los demás sectores
Veracode, líder mundial en el suministro de soluciones de análisis de seguridad de aplicaciones, ha publicado hoy datos que muestran que la industria de los servicios financieros se encuentra entre los sectores con el menor porcentaje total de vulnerabilidades en comparación con otras industrias, pero tiene una de las tasas más bajas de remediación de las vulnerabilidades de seguridad del software. El sector se encuentra en la media de las vulnerabilidades de alta gravedad: el índice de aplicaciones con vulnerabilidades significativas es del 18 %, una cifra que sugiere que los proveedores de servicios financieros deberían centrarse en identificar y solucionar las vulnerabilidades más críticas.
Estas conclusiones se recogen en el informe anual State of Software Security versión 12 de la empresa, en el que se examinaron 20 millones de escaneos de medio millón de aplicaciones de los sectores financiero, tecnológico, manufacturero, minorista, sanitario y gubernamental. De estas seis industrias, el sector financiero tenía el segundo porcentaje más bajo de aplicaciones que contenían vulnerabilidades de seguridad, con un 73 %. En el informe del año pasado, el sector financiero encabezó esta clasificación, pero fue superado este año por el sector manufacturero. A pesar de que el número total de vulnerabilidades es menor, el sector de los servicios financieros ocupa el último lugar, junto con los sectores tecnológico y gubernamental, con un bajo porcentaje de vulnerabilidades corregidas.
“Una de las ventajas de que Veracode haya prestado servicio a la comunidad de desarrollo de software durante tantos años es que podemos observar la evolución en el tiempo de las prácticas de desarrollo dentro de las diferentes industrias. Hemos comprobado que las aplicaciones de los servicios financieros sufren menos violaciones de la seguridad que el año pasado, pero que este sector va a la zaga de otros en cuanto al ritmo de reparación. Nuestra investigación ha demostrado que la formación en materia de seguridad puede mejorar significativamente la velocidad de corrección, y que las empresas cuyos equipos de desarrollo recibieron formación sobre aplicaciones del mundo real subsanaron sus fallos a un ritmo un 35 % más rápido que las que no recibieron formación específica”, señala Chris Eng, director de investigación de Veracode.
El informe State of Software Security (SoSS) versión 12 de Veracode analizó datos históricos completos de los servicios y clientes de Veracode. Este conjunto representa un total de más de medio millón de aplicaciones (592,720) que utilizan todo tipo de escaneos, más de un millón de escaneos dinámicos (1,034,855), más de cinco millones de escaneos estáticos (5,137,882) y más de 18 millones de escaneos de composición de software (18,473,203). Todos estos análisis produjeron 42 millones de resultados estáticos brutos, 3.5 millones de resultados dinámicos brutos y seis millones de resultados SCA brutos.
Asegurar la cadena de suministro global de software
Aunque no cabe duda de que hay margen de mejora tanto en lo que respecta a la prevalencia de las vulnerabilidades como al ritmo de corrección, cuando los proveedores de servicios financieros corrigen sus vulnerabilidades, lo hacen a un ritmo más rápido que los demás.
Según Eng, “en Estados Unidos, la Orden Ejecutiva del Presidente sobre ciberseguridad, además de diversas medidas sobre controles de seguridad en el uso de software de código abierto, como el RGPD y la normativa de ciberseguridad del Departamento de Servicios Financieros de Nueva York, han puesto de manifiesto la importancia de asegurar la cadena de suministro de software. El hecho de que las finanzas sean un sector muy regulado puede explicar en parte la relativa rapidez con la que esta industria ha abordado los problemas de vulnerabilidad descubiertos en las bibliotecas a través del análisis de la composición del software (SCA)”.
Las vulnerabilidades en las bibliotecas de terceros descubiertas por SCA tienden a ser más duraderas en todos los sectores, ya que el 30 % de las vulnerabilidades siguen sin resolverse después de dos años. Sin embargo, cuando se trata de resolver las vulnerabilidades del software de código abierto, el sector financiero corrige al mismo ritmo que otros sectores durante el primer año, pero acelera el ritmo para ganar un mes sobre la media de todos los sectores.
Si bien el sector financiero supera a la mayoría de los demás sectores en cuanto a la rapidez con la que se solucionan las vulnerabilidades descubiertas mediante análisis dinámicos, estáticos y SCA, el informe destaca que todavía hay un margen significativo para seguir mejorando en el número de días necesarios para solucionar el 50 % de las vulnerabilidades: 116 días para el análisis dinámico, 385 días para el SCA y 288 días para el análisis estático. Los componentes de terceros constituyen hasta el 90 %(The Linux Foundation Statista, Joseph Perlow, “A Summary of Census II: Open Source Software Application Libraries the World Depends On”, 7 de marzo de 2022) del código fuente de una aplicación, por lo que el análisis temprano y el uso frecuente de una combinación de tipos de análisis pueden reducir el trabajo de parcheo de emergencia no planificado y limitar el riesgo de introducir fallos de seguridad de terceros en el software.
Estos datos representan a empresas grandes y pequeñas, proveedores de software comercial, contratistas de software y proyectos de código abierto. En la mayoría de los escaneos, la misma aplicación se contabilizó una sola vez, aunque se presentó varias veces a medida que se parcheaban las vulnerabilidades y se publicaban nuevas versiones.
