El número de incidencias por ataques cibernéticos es un tema de conversación habitual entre los profesionales del sector. Cada vez que hay un ataque a gran escala, o cada vez que hay una ciberincidencia en una empresa de renombre, muchos de nosotros pensamos: “Pocas veces sucede para lo que hay por ahí…”.
Sin ánimo de ser pájaro de mal agüero, ni de ser gafe o cenizo, me gustaría compartir con vosotros la situación del mercado y específicamente de la seguridad de las aplicaciones. Hoy en día las aplicaciones son TODO. Si queremos hacer la compra tenemos la aplicación en el móvil de nuestro supermercado favorito. Si queremos echar gasolina, nos vamos de viaje, o accedemos al colegio de nuestros hijos hay una maravillosa aplicación que siempre nos ayuda a realizar las tareas cotidianas de manera más eficiente y sencilla… Es nuestra amiga, nuestra querida aplicación.
Ésta, nuestra queridísima amiga, la aplicación, maneja todos nuestros datos, no solamente nuestra dirección de email, sino los relativos a nuestras cuentas bancarias, gustos, hábitos de consumo, luegares donde estamos (… y no estamos), deseos y todo tipo de información privada. Pensadlo un poco… ¿qué información tienen todas las aplicaciones que utilizamos a diario? Pues de esto en realidad es de lo que vengo hablar.
Todos esos datos, en un porcentaje elevadísimo de los casos, están al alcance de los cíberdelincuentes y lo peor es que los equipos de seguridad de las empresas dueñas de estas aplicaciones, en la mayoría de los casos, no tienen los recursos suficientes (o las ganas o el conocimiento) para proteger dichos datos. Pero… vamos al lío: hablemos de números para demostrar lo que comento.
Todos los años, en Veracode hacemos un análisis detallado sobre la situación de la seguridad de las aplicaciones de nuestros clientes, de forma anónima. Este sorprendente y muy interesante informe que os animo a todos a leer se llama State Of Software Security. Su acrónimo es “SOSS report 2024”. Lo tenéis disponible haciendo una búsqueda online.
En dicho informe, analizamos el volumen de vulnerabilidades que tienen las empresas de todos los sectores, la importancia de estas vulnerabilidades después de clasificarlas y su riesgo real de ser aprovechadas por ciberdelincuentes. El resultado siempre sorprende y, aunque la postura de seguridad va mejorando año tras año, bien es cierto que cada vez generamos más código. Y también se generan más aplicaciones en todos los sectores económicos y, por lo tanto, el resultado final siempre es negativo.
Según Gartner, más del 40% del código producido por Copilot contiene vulnerabilidades
En este año, además, descubrimos un efecto de suma importancia: la inteligencia artificial. Es cierto que la inteligencia artificial existe desde hace mucho tiempo, pero ha sido en 2023 donde hemos visto su explosión de manera más llamativa. El desarrollo de código de aplicaciones mediante inteligencia artificial se ha convertido en algo común, ya que permite a los equipos de desarrollo generar aplicaciones a mayor velocidad. ¿Y es esto malo? Si permite hacer más con menos esfuerzo, ¿por qué deberíamos preocuparnos?
Pese a sus ventajas, tiene un lado malo: y es que en todos los modelos utilizados hasta la fecha, la IA ha sido entrenada con código abierto, sin tener en cuenta las vulnerabilidades introducidas de forma inconsciente en el mismo. Sí, de verdad, como lo oyes, los sistemas de generación de código por inteligencia artificial hoy en día generan un código inseguro, vulnerable, explotable, que introduce vulnerabilidades de manera inconsciente (y no pocas). Según Gartner, más del 40% del código producido por Copilot contiene vulnerabilidades.
¿Cómo puede ser esto? ¿En serio? Pues… porque como en muchas ocasiones sucede, no se ha tenido en cuenta la seguridad. O, lo que es lo mismo, se ha primado la velocidad sobre la calidad. El código que encontramos en Internet, con el que se ha entrenado los modelos de IA, ya contenía dichas vulnerabilidades, que no fueron limpiadas o corregidas antes de entrenar a la IA.
Resumiendo, hoy en día generamos aplicaciones (o el código de las mismas) mucho más rápido, de manera mucho más eficiente y… terriblemente más inseguras. Es decir, generamos código mucho más vulnerable y con muchas más probabilidades de ser aprovechado por un cíberdelincuente.
Si lo analizamos con más profundidad, podemos ver unos pocos datos muy interesantes. El 63% de las aplicaciones tienen vulnerabilidades en su código propietario y el 70% de las aplicaciones tienen vulnerabilidades en las librerías utilizadas. Asusta un poco, ¿verdad?
El 45% de las aplicaciones que estamos utilizando contienen vulnerabilidades críticas fácilmente explotables por un ciberdelincuente
El 70% de las organizaciones tiene deudas de seguridad, detectadas y no solucionadas. En otras palabras, son conocedores de las vulnerabilidades que existen en las aplicaciones, pero no las han corregido en, al menos, los últimos doce meses.
Aún hay mas, al menos un 45% de los organizaciones tiene vulnerabilidades críticas que no han sido corregidas a pesar de haber sido detectadas. Se considera vulnerabilidad crítica aquella altamente explotable en caso de ciberincidencia.
Estamos hablando de un porcentaje increíble, el 45% de las aplicaciones que estamos utilizando contienen vulnerabilidades críticas fácilmente explotables por un ciberdelincuente.
¿Y esto en que se traduce? Se traduce en todas estas noticias que vemos cada semana sobre ciberataques. Es decir, nuestros datos, incluso tarjetas de crédito y cuentas corrientes, están navegando en manos ajenas y con gente con muy pocos escrúpulos.
¿Y quienes son los responsables de esta situación? A esta respuesta no me atrevo a contestar, aunque todos lo intuímos, ¿verdad? Creo que todos deberíamos entender que la inversión en ciberseguridad y protección de nuestros datos debería aumentar y, de manera muy especial, en la protección de las aplicaciones y la generación de las mismas. Los equipos de seguridad están sobrecargados y tienen presupuestos muy limitados y muchas veces muy poca capacidad de decisión. Pero la protección y la seguridad de los datos empieza desde el código y eso no es algo en lo que podamos escatimar.
