El desarrollo de aplicaciones se ha transformado y está ampliamente automatizado, pero la seguridad sigue suponiendo un gran esfuerzo manual. Los desarrolladores y los profesionales de DevOps superan en número a los profesionales de seguridad en una proporción de hasta 100 a 1. La presión del tiempo de comercialización ha provocado fricciones entre los equipos de aplicaciones y de seguridad, lo que crea la percepción de que la seguridad es un cuello de botella. Se trata de un dilema que a menudo da lugar a pruebas deficientes, atajos en los procesos y una supervisión ineficaz.

Al mismo tiempo, la proliferación de arquitecturas, nubes e integraciones de terceros ha aumentado drásticamente la superficie de amenaza para muchas organizaciones. Las vulnerabilidades en las aplicaciones , como los scripts entre sitios (XSS) y las inyecciones, han prevalecido desde los albores de la seguridad de las aplicação hace más de 20 años, pero los atacantes continúan descubriéndolas y explotándolas a un ritmo alarmante. Los atacantes rápidamente convierten las vulnerabilidades en armas utilizando marcos de automatización y herramientas mejoradas con IA para escanear Internet, descubriendo y explotando debilidades para obtener ganancias monetarias. El open source software, en particular, está plagado de vulnerabilidades que introducen riesgos desconocidos y significativos.

F5 Labs informa que cada 9 horas se publica una vulnerabilidad crítica con potencial de ejecución remota de código, uno de los ataques más graves posibles. Se espera que para 2025 se publiquen 500 nuevos CVE en una semana típica de 2025.

Para gestionar eficazmente la creciente complejidad de la seguridad de las aplicaciones en todas las arquitecturas, nubes y marcos de desarrollo, las organizaciones necesitan cambiar sus estrategias y perspectivas.

El Proyecto de Seguridad de Aplicação Web Abiertas (OWASP) se fundó en 2001 para persuadir a los ejecutivos y juntas corporativas de la necesidad de una gestión eficaz de las vulnerabilidades. Un enfoque disciplinado, que incluye a proveedores de seguridad y comentarios de la comunidad, ha dado como resultado el OWASP Top 10 , una lista de las vulnerabilidades en las aplicaciones más prevalentes y críticas.

El XSS y la inyección aparecen en todas las listas del Top 10 de OWASP desde su creación, pero la nueva era de la seguridad de las aplicaciones está marcada por la creciente amenaza a las cadenas de suministro de software, la generalización del software de código abierto y la complejidad operativa de la gestión de la seguridad y el acceso, tanto para las aplicaciones heredadas como para las modernas. Las actualizaciones de software, los datos críticos y la integridad de distribuciones de CI/CD pueden verse comprometidos. Aunque el software de código abierto acelera significativamente el desarrollo, también cambia la gestión de riesgos porque los controles que son comunes en el software personalizado desarrollado en casa, como el análisis de código estático (SCA), no siempre son posibles o prácticos con el software de terceros.

En 2021, los atacantes comenzaron a explotar una vulnerabilidad crítica en una biblioteca de open source software ampliamente implementada y utilizada por miles de sitios web y aplicações casi inmediatamente después de que se publicaran los detalles de la vulnerabilidad. Si no se soluciona, esta vulnerabilidad puede provocar la ejecución remota de código, lo que permite a los atacantes tomar el control de sitios web y aplicações en línea, robar dinero, violar datos y comprometer cuentas de clientes.

F5 Labs detalla cómo el panorama CVE ha cambiado sustancialmente en las últimas dos décadas, con un número cada vez mayor y una variedad cada vez mayor de vulnerabilidades. Y aunque algunos de esos cambios se deben a la evolución de la tecnología, otros son una manifestación de cómo se recopilan los datos.

La rápida evolución de la tecnología está cambiando la forma en que las organizaciones hacen negocios y los pasos que deben tomar para mantener sus negocios seguros y protegidos. Hoy en día, el 88% de las organizaciones operan en un modelo híbrido que incluye SaaS, nube pública/IaaS, instalaciones locales (tradicionales), instalaciones locales (nube privada), coubicación y edge . Estas organizaciones aprovechan cada vez más la IA para aliviar el ajuste manual y automatizar la construcción de políticas de seguridad basadas en amenazas detectadas. Si bien los proyectos nuevos pueden aprovechar las eficiencias de la nube, la mayoría de las carteras empresariales incluyen aplicaciones tanto antiguas como modernas que abarcan una variedad de arquitecturas en centros de datos, nubes y dentro de microservicios.

La explosión de aplicaciones y la velocidad de comercialización también están impulsando cambios fundamentales en la gestión de riesgos. Los ingenieros de redes no pueden desplegar la infraestructura. Los equipos de DevOps pueden crear fácilmente infraestructuras virtuales y efímeras utilizando arquitecturas emergentes como los contenedores en una solución de nube inmediata, automatizando todo, desde la creación del código hasta el despliegue del servicio. Estos cambios de funciones, responsabilidades y formas de trabajar en el ciclo de desarrollo de las aplicaciones pueden dejar atrás la seguridad.

Al mismo tiempo, los atacantes son cada vez más eficientes en sus métodos, ya que aprovechan las herramientas y los marcos de trabajo fácilmente disponibles para ampliar sus ataques y emplean los mismos métodos que utilizan los profesionales de la seguridad para cuantificar y evaluar el riesgo.

Además, las organizaciones están adoptando cada vez más múltiples proveedores de nube para la continuidad del negocio. Además, las organizaciones experimentan cada vez más una proliferación de herramientas debido a los esfuerzos por abordar necesidades específicas en múltiples entornos de nube . Esto a menudo deja a los responsables de seguridad confundidos sobre lo que está protegido y lo que no, y los matices pueden generar una vulnerabilidad, normalmente una configuración incorrecta de la seguridad (por ejemplo, consulte el modelo de responsabilidad compartida de AWS ).

El riesgo está cambiando debido a la forma en que se crean e implementan las aplicações . Por lo tanto, la seguridad debe cambiar para mantenerse a la vanguardia de la curva de vulnerabilidades en las aplicaciones. La visibilidad y la consistencia son tan importantes como siempre, pero las organizaciones necesitan un cambio de paradigma en la forma en que se implementa la seguridad de las aplicação . En lugar de construir una política de seguridad después de que se lanza una aplicação , descartar falsos positivos para estabilizar y ajustar la política y luego monitorear las vulnerabilidades recientemente publicadas que pueden poner en riesgo la aplicación, la seguridad de la aplicação debe integrarse intrínsecamente en el ciclo de vida del desarrollo de la aplicação , independientemente de la arquitectura, la nube o el marco, desde el código hasta las pruebas y la producción.

Las pruebas de penetración pueden descubrir riesgos críticos antes de que el software entre en producción y aplanar drásticamente la curva de tiempo de mitigación al brindar información clave a los equipos de seguridad que luego pueden implementar medidas provisionales críticas, como políticas de firewall de aplicação web.

La seguridad más eficaz para las aplicaciones está automatizada, integrada y es adaptable. La automatización puede disminuir los gastos operativos (OpEx) y la presión sobre los recursos críticos de seguridad durante el lanzamiento, la implantación y el mantenimiento de las aplicaciones. El despliegue automatizado de políticas puede mejorar la eficacia al implementar y estabilizar los controles de seguridad en una fase más temprana del ciclo de desarrollo del software (SDLC), lo que conduce a una mayor eficacia con menos intervención manual y libera a los equipos de InfoSec de un aluvión de alertas y posibles falsos positivos para que puedan centrarse en gestionar los riesgos de forma más estratégica. La integración nativa en los marcos de desarrollo de aplicaciones y en las distribuciones de integración continua/entrega continua (CI/CD) reduce la fricción entre los equipos de desarrollo y de seguridad, lo que conduce a una mayor agilidad empresarial y a la alineación de la organización.

La integración en las herramientas para desarrolladores, a través de la implantación y el mantenimiento basados en API, simplifica la gestión de las políticas y el control de los cambios en múltiples arquitecturas y nubes al abstraer la complejidad de la infraestructura, reducir la sobrecarga operativa y evitar los errores de configuración.

Además, las medidas de seguridad deben ser precisas y resistentes para no frustrar a los clientes ni permitir que los atacantes amplíen sus campañas para evadir la detección. Los consumidores exigen experiencias personalizadas y organizadas, y los atacantes sofisticados no se dejan disuadir fácilmente.

Una seguridad eficaz que no afecte a la usabilidad puede servir de diferenciador clave para ganar y retener clientes en una economía digital altamente competitiva.

Hoy en día, las aplicaciones son el negocio, lo que hace que las amenazas a las aplicaciones y una seguridad ineficaz sean los mayores riesgos para el potencial del negocio. Las arquitecturas modernas y descentralizadas de las aplicaciones han ampliado la superficie de las amenazas. La automatización ha aumentado el riesgo involuntario y la eficacia de los atacantes, y las consecuencias de la ciberdelincuencia siguen creciendo. Sin embargo, las organizaciones que ofrecen experiencias digitales seguras conseguirán aumentar los clientes y los ingresos.

La solución es sencilla. En lugar de retrasar el lanzamiento de un nuevo código que puede cambiar el mundo, hay que desplazar la seguridad hacia la izquierda en el proceso de desarrollo para automatizar las protecciones a lo largo del ciclo de vida de las aplicaciones y cambiar la perspectiva en cuanto a la seguridad para que sea un diferenciador empresarial clave.

Al mitigar proactivamente las vulnerabilidades, reducir la complejidad y proteger el negocio con una seguridad eficaz y fácil de operar, puede acelerar la transformación digital y optimizar la experiencia del cliente, reduciendo el riesgo y creando una ventaja competitiva digital.