El informe anual Veracode State of Software Security, basado en el análisis de más de 1,6 millones de aplicaciones, dibuja un panorama claro: las vulnerabilidades de software se acumulan a mayor velocidad de la que las organizaciones son capaces de corregir. En un contexto de desarrollo acelerado y adopción masiva de inteligencia artificial (IA), mantener una seguridad de aplicaciones sólida se convierte en un reto cada vez más complejo.
La «deuda de seguridad» en el desarrollo de software moderno
El concepto central del estudio es la «deuda de seguridad» (security debt), entendida como el conjunto de vulnerabilidades conocidas que permanecen sin corregir durante más de 12 meses. Es un equivalente al technical debt, pero centrado en riesgos de ciberseguridad que las empresas postergan por falta de recursos, prioridades de negocio o procesos ineficientes.
Según Veracode, el 82 % de las organizaciones ya arrastra este tipo de deuda (frente al 74 % del año anterior). Además, no se trata solo de volumen: la proporción de fallos graves con alta probabilidad de explotación ha pasado del 8,3 % al 11,3 %. En la práctica, cada vez quedan más vulnerabilidades críticas en entorno productivo, justo las más atractivas para atacantes con motivación económica o de espionaje.
Las conclusiones se apoyan en una combinación de análisis estático de código (SAST), análisis dinámico (DAST), Software Composition Analysis (SCA) y penetration testing manual. Este enfoque permite identificar tanto defectos en el código propio como riesgos introducidos por librerías y frameworks de terceros, un vector de ataque recurrente en incidentes recientes de la cadena de suministro.
Señales positivas: menos vulnerabilidades en open source y menor prevalencia de defectos
Pese al aumento de la deuda de seguridad, el informe destaca avances relevantes. La proporción de aplicaciones con vulnerabilidades en componentes de código abierto se ha reducido del 70 % al 62 %, y la prevalencia general de defectos ha pasado del 80 % al 78 %.
Estos datos apuntan a una mejora en la gestión de la cadena de suministro de software. Cada vez más organizaciones actualizan dependencias con mayor disciplina, integran herramientas de SCA en sus pipelines de CI/CD y monitorizan de forma proactiva vulnerabilidades conocidas (por ejemplo, a través de bases como NVD o avisos de proveedores). También refleja una mayor madurez de las prácticas DevSecOps, donde la seguridad se automatiza y se integra desde fases tempranas del ciclo de vida del software.
Más herramientas de test de seguridad, más hallazgos… y más ruido
El incremento en el número de vulnerabilidades detectadas se explica en parte por la ampliación y mejora de las herramientas de testing de seguridad. Hoy es habitual combinar SAST, DAST y SCA, además de escáneres de infraestructura y controles adicionales en contenedores y entornos cloud. Esto permite descubrir fallos que antes pasaban desapercibidos.
No obstante, el propio informe subraya una limitación importante: el nivel real de falsos positivos sigue siendo difícil de medir. Una fracción del aparente “aumento de vulnerabilidades” puede deberse a resultados ruidosos más que a un empeoramiento del código. El efecto colateral es conocido: sobre-carga de los equipos, que invierten tiempo valioso en revisar alertas sin impacto real, lo que retrasa la corrección de los problemas verdaderamente críticos.
Impacto de la IA y del desarrollo acelerado en la seguridad de aplicaciones
La velocidad de despliegue supera la velocidad de corrección
Veracode identifica un desequilibrio estructural: la velocidad del ciclo de desarrollo y despliegue crece más rápido que la capacidad de los equipos para analizar, priorizar y corregir vulnerabilidades. Los lanzamientos continuos y las entregas frecuentes de nuevas funcionalidades incrementan de forma constante la superficie de ataque.
En este escenario, muchas vulnerabilidades clasificadas como «no críticas» en el momento de su descubrimiento se posponen indefinidamente. Con el tiempo se genera un backlog de vulnerabilidades que se consolida como deuda de seguridad crónica, difícil de atacar sin cambios profundos en procesos, herramientas y cultura.
Inteligencia artificial: acelerador de código y multiplicador de complejidad
El informe también destaca el crecimiento del código generado con herramientas de IA. Estas soluciones permiten escribir más código en menos tiempo, pero suelen incrementar la complejidad arquitectónica de las aplicaciones. A mayor complejidad, más difícil resulta comprender los flujos de datos, aplicar modelos de amenaza coherentes y corregir vulnerabilidades de forma eficaz.
Además, los sistemas de IA pueden introducir patrones de código inseguros o recomendaciones ambiguas si no se configuran y supervisan adecuadamente. De ahí que Veracode insista en la necesidad de un enfoque «human in the loop»: la IA debe ser un acelerador al servicio de equipos de seguridad y desarrollo, no un sustituto de su criterio. La validación experta, la revisión de políticas de detección y el ajuste fino de umbrales de alerta son imprescindibles para evitar una nueva ola de ruido e ineficiencias.
Reducir la deuda de seguridad: hacia una gestión de riesgos más madura
El informe concluye que, en la era de la IA y del continuous delivery, la seguridad integral de aplicaciones no será sostenible con los enfoques tradicionales. Para contener una deuda de seguridad que ya se describe en términos de «escala de crisis», las organizaciones necesitan un cambio de paradigma.
En primer lugar, es clave pasar de un modelo reactivo a una gestión de vulnerabilidades basada en riesgos. Esto implica priorizar en función del impacto en el negocio, la explotabilidad real (por ejemplo, disponibilidad de exploits públicos o inclusión en listas como KEV de CISA) y la criticidad de los sistemas afectados, y no solo por la severidad técnica asignada por el escáner.
En segundo lugar, la seguridad debe integrarse de forma sistemática en el ciclo de vida del desarrollo de software. Entre las prácticas recomendables destacan: security reviews obligatorios para cambios sensibles, combinación estructurada de SAST/DAST/SCA, formación continua en desarrollo seguro, definición de SLA claros de remediación según criticidad y métricas de seguimiento que se reporten al nivel directivo.
Por último, la adopción de herramientas de IA en desarrollo y seguridad debe acompañarse de controles de gobernanza: políticas de uso, límites de confianza, auditoría de resultados y una supervisión regular por parte de equipos de AppSec. Solo así la IA contribuirá a reducir la deuda de seguridad en lugar de aumentarla.
Para las organizaciones que dependen de ecosistemas de software complejos, este diagnóstico es una invitación a revisar su estrategia de seguridad de aplicaciones. No basta con añadir más escáneres o más herramientas “inteligentes” si no cambian la priorización, los procesos ni la cultura. Invertir ahora en una gestión estructurada de la deuda de seguridad —con foco en el riesgo, la automatización bien gobernada y la colaboración entre desarrollo y seguridad— reducirá de forma significativa la probabilidad de que una vulnerabilidad antigua pero olvidada termine desencadenando un incidente con impacto financiero y reputacional real.
