El informe sobre la situación de la seguridad de software del sector público 2025 de Veracode revela que el 78 % de las organizaciones gubernamentales operan con fallas de seguridad no abordadas, con vulnerabilidades críticas que persisten durante años
BURLINGTON, Massachusetts--(BUSINESS WIRE)--Veracode, líder mundial en gestión de riesgos de aplicaciones, publicó hoy su informe "Public Sector State of Software Security 2025" (Situación de la seguridad de software del sector público 2025), que revela tendencias alarmantes en la seguridad del software en organizaciones gubernamentales. A partir de un análisis exhaustivo de 1,3 millones de aplicaciones únicas y 126,4 millones de hallazgos sin procesar, la investigación muestra que el 78 % de las organizaciones del sector público operan con una importante deuda de seguridad: vulnerabilidades que no se han abordado durante más de un año. Además, el 55 % acumula una deuda de seguridad crítica, que representa vulnerabilidades persistentes con un alto potencial de riesgo.
La deuda de valores del sector público supera el promedio de la industria
En una era donde la confianza pública y la seguridad de la infraestructura digital tienen una importancia primordial, el sector público sigue afrontando dificultades para remediar las vulnerabilidades a tiempo. Según la investigación del informe, las entidades del sector público necesitan un promedio de 315 días para corregir la mitad de sus vulnerabilidades de software, un plazo significativamente superior al promedio general de 252 días. Este retraso de 63 días crea importantes oportunidades para posibles ataques a la capa de aplicación y filtraciones de datos.
Asimismo, los datos revelan que, incluso después de dos años, un tercio de las vulnerabilidades de seguridad en las aplicaciones gubernamentales siguen sin resolverse, y el 15 % persiste durante más de cinco años. Esta prolongada remediación (representada por la curva de supervivencia de la Figura 1) ilustra cómo las vulnerabilidades no abordadas se acumulan y generan una deuda de seguridad generalizada.
«Muchas organizaciones gubernamentales se enfrentan a desafíos cada vez mayores para mantenerse al día con la remediación de vulnerabilidades, lo que podría dejar expuestos los sistemas y datos críticos que gestionan servicios gubernamentales esenciales», afirmó Chris Wysopal, director de Seguridad de Veracode. «Nuestra investigación destaca la urgente necesidad de que el sector público modernice sus prácticas de seguridad, especialmente en lo que respecta a la gestión de riesgos en software de código abierto».
Veracode colabora directamente con organismos del sector público para abordar estos desafíos de ciberseguridad. Con el respaldo de los hallazgos de más de 360 billones de líneas de código analizadas durante dos décadas, la plataforma Veracode proporciona una visibilidad integral de los riesgos desde el diseño hasta la implementación, lo que permite a las organizaciones remediar vulnerabilidades con rapidez y precisión.
El código de terceros presenta un perfil de riesgo desproporcionado
Un hallazgo particularmente preocupante revela que, si bien el código de terceros y de código abierto representa menos del 10 % de la deuda de seguridad total, representa un asombroso 70 % de la deuda de seguridad crítica en los sistemas gubernamentales. Peor aún, estas fallas tardan aproximadamente un 50 % más en solucionarse en comparación con las fallas en software propio desarrollado internamente.
Wysopal afirmó: «Este riesgo desproporcionado resalta la importancia de proteger las cadenas de suministro de software y examinar cuidadosamente las dependencias de código abierto. Si no se amplían los esfuerzos de visibilidad y corrección más allá del código interno, las entidades del sector público corren el riesgo de dejar sin abordar las fallas más peligrosas. A medida que aumenta el uso de código generado por IA en las organizaciones, el análisis exhaustivo de código abierto es más esencial que nunca para evitar que se filtren fallas ocultas».
Los índices de madurez de los valores revelan disparidades en el rendimiento
A pesar de las preocupantes tendencias generales, la investigación de Veracode revela que las principales agencias gubernamentales están reduciendo con éxito la deuda de seguridad y resolviendo vulnerabilidades casi cuatro veces más rápido que otras. Estas organizaciones de alto rendimiento demuestran que es posible lograr mejoras significativas y ofrecen un camino claro a seguir para sus pares que buscan fortalecer su seguridad de software.
El informe identifica cinco métricas clave que miden la madurez de la seguridad de las aplicaciones y la capacidad de gestión de la deuda de una organización, para revelar claras brechas de desempeño entre las organizaciones líderes y rezagadas del sector público:
- Prevalencia de fallas: Las agencias líderes tienen fallas en menos del 33 % de sus solicitudes, mientras que las agencias rezagadas muestran fallas en el 100 % de sus solicitudes.
- Capacidad de remediación: Los líderes abordan más del 9 % de las fallas mensualmente, en comparación con apenas el 0,1 % de las organizaciones rezagadas.
- Velocidad de resolución: Las organizaciones que cuentan con el mejor desempeño resuelven la mitad de sus fallas en 3,3 meses, mientras que las de peor desempeño tardan más de 11 meses para obtener resultados similares.
- Prevalencia de la deuda de seguridad: Menos del 26 % de las solicitudes en agencias líderes conllevan deuda de seguridad, en comparación con más del 85 % en organizaciones rezagadas.
- Deuda de código abierto: Incluso entre los líderes, el 84 % de las aplicaciones contienen deuda crítica de código abierto, cifra que aumenta al 100 % en el caso de sus pares rezagados.
«La disparidad entre las organizaciones gubernamentales con mejor y peor desempeño es sorprendente y plantea importantes interrogantes sobre los factores que influyen significativamente en la seguridad», añadió Wysopal. «Estos datos proporcionan a los equipos de seguridad del sector público un marco claro para evaluar su madurez, identificar deficiencias y mejorar su desempeño con base en las prácticas de las agencias con mejor desempeño».
Llamado a la acción
A medida que las organizaciones del sector público enfrentan crecientes amenazas cibernéticas y mayores requisitos de cumplimiento normativo, Veracode recomienda dos cambios estratégicos:
- Implementación de la priorización basada en riesgos: Implemente capacidades de gestión de la postura de seguridad basadas en el contexto que correlacionen los hallazgos de múltiples herramientas de seguridad y fuentes de datos. Soluciones avanzadas como Veracode Risk Manager revelan las vulnerabilidades más explotables y urgentes, al ofrecer una resolución automatizada.
- Mejorar de la visibilidad integral: Establezca un análisis continuo y la capacitación de desarrolladores durante todo el ciclo de vida del desarrollo de software. La identificación proactiva de fallas antes de la implementación sigue siendo la inversión más rentable y eficaz en AppSec.
Wysopal concluyó: «En el panorama actual de amenazas, la deuda de seguridad ya no es un riesgo aceptable. Con el enfoque, las métricas y la automatización adecuados, las agencias del sector público pueden controlar el riesgo de su software y fortalecer la resiliencia en cada lanzamiento».
Ante la acumulación de riesgos en las aplicaciones en los sistemas gubernamentales, las agencias federales, estatales y locales deben equilibrar la prestación de servicios críticos con una gestión eficaz de los riesgos de ciberseguridad. La plataforma integral de gestión de riesgos en aplicaciones de Veracode ayuda a las agencias a gestionar estas demandas competitivas mediante la remediación acelerada de riesgos, la priorización de vulnerabilidades basada en datos y la evaluación automatizada de riesgos, que fortalecen la resiliencia organizacional frente a las amenazas en constante evolución. Esto cobra especial importancia, ya que el código generado por IA y las dependencias de código abierto introducen nueva complejidad en los procesos de desarrollo de software.
El informe completo sobre la situación de la seguridad del software en el sector público 2025 se encuentra disponible para su descarga en el sitio web de Veracode.
Acerca de Veracode
Veracode es líder mundial en gestión de los riesgos de las aplicaciones para la era de la IA. Impulsada por miles de millones de líneas de escaneos de código y un motor de remediación patentado asistido por IA, la plataforma Veracode ofrece seguridad de software adaptable y se ha ganado la confianza de las organizaciones de todo el mundo para construir y mantener software seguro desde la creación del código hasta el despliegue en la nube. Miles de los principales equipos de desarrollo y seguridad del mundo usan Veracode cada segundo de cada día para tener visibilidad precisa y procesable de los riesgos explotables, lograr la corrección de vulnerabilidades en tiempo real y reducir su deuda de seguridad a escala. Veracode ha sido galardonada con numerosos premios y ofrece capacidades para asegurar todo el ciclo de desarrollo del software, en particular, Veracode Fix, Static Analysis, Dynamic Analysis, Software Composition Analysis, Container Security, Application Security Posture Management, Malicious Package Detection y Penetration Testing.
Obtenga más información en www.veracode.com, en el blog de Veracode, y en LinkedIn y X.
Copyright © 2025 Veracode, Inc. Todos los derechos reservados. Veracode es una marca registrada de Veracode, Inc. en los Estados Unidos y puede estar registrada en otras jurisdicciones. El resto de los nombres de productos, marcas o logotipos pertenecen a sus respectivos propietarios. El resto de las marcas citadas en este documento pertenecen a sus respectivos propietarios.
El comunicado en el idioma original es la versión oficial y autorizada del mismo. Esta traducción es solamente un medio de ayuda y deberá ser comparada con el texto en idioma original, que es la única versión del texto que tendrá validez legal.
Contacts
Prensa y medios de comunicación:
Katy Gwilliam
Presidenta de Comunicaciones Internacionales, Veracode
kgwilliam@veracode.com
