Veracode: "La crisis de la deuda de seguridad se intensifica"

La mayoría de las organizaciones están operando bajo una ilusión de control que no resuelve la deuda técnica del software.

Las organizaciones gastan millones en herramientas de detección y a la vez celebran la madurez de sus avanzados programas de AppSec. Sin embargo, el inventario de riesgos no resueltos crece sin pausa. 82% de las organizaciones arrastra una deuda de seguridad (vulnerabilidades conocidas que no han sido reparadas en más de un año), lo que representa un incremento relativo del 11% respecto al año anterior.

El fallo es estratégico y radica en que la velocidad del desarrollo impulsado por la Inteligencia Artificial (IA) y las arquitecturas de microservicios ha superado la capacidad física y financiera empresarial que hasta hace poco consistía en "parchear".

Por qué el presupuesto AppSec se está evaporando

La seguridad de las aplicaciones no es un estado binario (seguro o inseguro), sino dinámico. Si la tasa de creación de fallos supera la tasa de remediación, la deuda de seguridad se acumula con intereses que pagaremos en forma de incidentes o parálisis operativa.

La trampa de la detección infinita

Las organizaciones han tenido éxito en encontrar fallos. Gracias a la maduración de prácticas como SAST, DAST y SCA, la prevalencia general de aplicaciones con fallos bajó ligeramente del 80% al 78%.

Pero este "éxito" oculta una crisis. Mientras los equipos se hacen mejores encontrando vulnerabilidades, la capacidad de remediación del desarrollador promedio está estancada. Las organizaciones medianas solo logran reparar aproximadamente el 10% de sus fallos mensualmente. Es una aritmética de insolvencia: si encuentras 100 pero solo puedes arreglar 10, estás construyendo un legado de riesgo que eventualmente será inmanejable.

La rueda de hámster del desarrollo de software

El uso de metodologías DevOps y ciclos de CI/CD ha inyectado una velocidad de liberación de código sin precedentes. El problema es que esta agilidad está creando un flujo constante de código nuevo antes de que las vulnerabilidades del sprint anterior hayan sido siquiera sometidas a análisis.

Además, la IA generativa ha introducido un nuevo vector de riesgo. Aunque ayuda a escribir código más rápido, ese código es frecuentemente inseguro. En pruebas recientes, el código generado por IA falló en un 86% de las ocasiones en pruebas específicas para XSS (Cross-Site Scripting), una vulnerabilidad que permite inyectar scripts maliciosos en páginas web vistas por otros usuarios.

La deuda de seguridad técnica en cifras

Para entender la magnitud del problema, debemos mirar los indicadores clave que definen la postura de riesgo actual. No se trata solo de cuántos fallos hay, sino de cuánto tiempo permanecen abiertos y qué tan peligrosos son.

El dato más alarmante de esta tabla es el aumento del 36% en las vulnerabilidades de alto riesgo. No son fallos teóricos; son vulnerabilidades que se encuentran en la intersección de alta severidad y alta explotabilidad. Estamos viendo una concentración de fallos que los atacantes pueden aprovechar con facilidad.

El "Half-Life" y la ilusión de la velocidad

El informe de Veracode muestra que la vida media de un fallo (el tiempo que tarda una organización en cerrar el 50% de sus vulnerabilidades) ha bajado de 252 a 243 días. Aunque técnicamente es una mejora de 9 días, en términos de negocio es insignificante frente a la explosión de nuevos fallos. Seguir tardando más de ocho meses en resolver la mitad de los problemas de seguridad es, por definición, aceptar una ventana de exposición permanente.

Impacto en el Negocio: Más allá de los Bits

La deuda de seguridad no es solo un problema del CISO; es un lastre para el CFO y el CEO. Veamos dos puntos que respaldan esta afirmación:

1. El costo de la parálisis

Cuando el 49% de sus aplicaciones activas cargan con deuda de seguridad, la mitad de su cartera de software es técnicame vulnerable. Esto genera fricción en cada nuevo despliegue. Los equipos de seguridad, desbordados por el backlog (lista de tareas pendientes), se convierten en el cuello de botella que ralentiza el tiempo de salida al mercado de productos críticos.

2. El riesgo de la cadena de suministro

El informe destaca que el 66% de la deuda crítica reside en código de terceros (librerías de código abierto y dependencias externas). Peor aún, las vulnerabilidades encontradas vía SCA tienen una media vida de 358 días, casi un año completo.

La complejidad de las dependencias transitivas (cuando una librería que usted usa depende de otra, que a su vez depende de otra) hace que la remediación sea costosa y arriesgada, ya que actualizar una pieza puede romper toda la funcionalidad de la aplicación. Esto no es solo una vulnerabilidad técnica; es un riesgo de continuidad de negocio.

Estrategia de Supervivencia: Priorización basada en Riesgo Real

Intentar todos las vulnerabilidades de un software es una ilusión peligrosa. La persecución del "riesgo cero" es la receta para el agotamiento del equipo y el fracaso financiero. La estrategia ganadora en 2026 se basa en tres pilares: priorizar, proteger y probar.

Identificación de las "Crown Jewels"

El primer paso es el triaje. Identificar aquellas aplicaciones que manejan datos sensibles, procesos centrales de negocio o que tienen exposición pública directa. El informe sugiere que, aunque las vulnerabilidades críticas aumentaron, la proporción de aplicaciones afectadas por ellas disminuyó ligeramente, lo que indica que centrar los esfuerzos en activos específicos está dando resultados.

Evolución del Scoring al riesgo real

Depender únicamente del sistema de puntuación CVSS (Common Vulnerability Scoring System) es insuficiente. Una vulnerabilidad de "severidad 9" en un sistema aislado es menos peligrosa que una de "severidad 7" en una interfaz pública con un exploit disponible en internet.

Es imperativo implementar soluciones de ASPM (Application Security Posture Management) para correlacionar hallazgos con el contexto de ejecución y el impacto de negocio. Solo así podrá enfocar su capacidad de remediación en el 11.3% de fallos que realmente representan una amenaza inminente.

El rol de la automatización asistida por IA

Si la IA está acelerando la creación de fallos, debemos usarla para acelerar la reparación. Los pilotos de remediación asistida por IA para vulnerabilidades repetitivas pueden elevar la capacidad de reparación mensual por encima del 10% actual. El objetivo debe ser duplicar la capacidad de remediación mediante inversión en herramientas, no solo en personal.

Una visión clara para abordar la deuda de seguridad

Hemos llegado al final de la era de la gestión de vulnerabilidades por volumen. La acumulación del 82% de deuda organizacional no es un bache temporal, sino una señal de que el modelo actual de "encontrar todo y arreglar lo que se pueda" ha colapsado bajo el peso de la complejidad moderna.

La seguridad del software en 2026 se trata de quién toma las decisiones de riesgo más inteligentes. El éxito no se medirá por un dashboard sin vulnerabilidades, sino por la capacidad de mantener la deuda crítica bajo control en las aplicaciones que realmente sostienen el balance de la empresa.

En Nubuss sabemos que aquellos líderes que insisten en tratar cada vulnerabilidad como una prioridad terminarán paralizando su capacidad de innovación y, paradójicamente, dejando sus activos más valiosos expuestos debido a la fatiga operativa.

La transición coherente es pasar de comprender la seguridad como una función de cumplimiento técnico hacia la seguridad como una disciplina de gestión de capital tecnológico. La deuda está aquí; la pregunta es si usted la gestionará a ella, o dejará que ella gestione el destino de su organización.

Fuentes:

[1] Veracode, "2026 State of Software Security: Prioritize, Protect, Prove," Veracode, Inc., Burlington, MA, USA, Informe Anual, 2026. [En línea]. Disponible en: https://www.veracode.com/state-of-software-security-report.

[2] Veracode, "2025 GenAI Code Security Report," Veracode, Inc., Burlington, MA, USA, Informe de Investigación, 2025. [En línea]. Disponible en: https://www.veracode.com.

[3] OWASP Foundation, "OWASP Top 10: 2021," 2021. [En línea]. Disponible en: https://owasp.org/www-project-top-ten/ (Citado en el informe de Veracode como base de análisis de cumplimiento).