La seguridad del código abierto, un desafío persistente para las empresas pese a los avances en parcheo

Un reciente estudio realizado por IDC con la participación de 500 profesionales de TI y seguridad a nivel global revela que, pese a una mayor inversión en el parcheo de vulnerabilidades, los problemas persisten en la cadena de suministro de software.

Según el informe, el 36% de las organizaciones adoptan soluciones de código abierto para acelerar el desarrollo y 7 de cada 10 las consideran clave para sus operaciones críticas. Las principales razones de esta adopción incluyen la reducción de costes (44%), la posibilidad de personalización (35%), la velocidad de desarrollo y, en menor medida, la mejora en seguridad (31%).

Sin embargo, esta misma fragmentación -al provenir de múltiples proyectos y repositorios- complica la gestión de la seguridad, especialmente en entornos cloud modernos, donde confluyen requisitos normativos estrictos y una escasez de talento especializado.

Uno de los hallazgos más relevantes del informe es que el parcheo de vulnerabilidades se mantiene como el principal desafío. El 70% de los equipos dedica más de seis horas semanales a esta tarea, pero apenas un 23% se muestra satisfecho con su capacidad para resolver vulnerabilidades de forma efectiva.

El uso de contenedores, habitual en arquitecturas de microservicios y DevOps, añade una capa extra de complejidad. Aunque un 70% de las organizaciones impone políticas de parcheo en menos de 24 horas tras la detección de una vulnerabilidad, solo el 41% confía en su capacidad real para cumplirlas. La falta de automatización, las herramientas fragmentadas y la alta frecuencia de actualizaciones impiden una respuesta ágil.

Un 37% de los encuestados admite no entender del todo cómo se aplican las normativas de cumplimiento (como GDPR, HIPAA o FedRAMP) a sus sistemas y tecnologías. Esta laguna aumenta el riesgo de sanciones regulatorias y debilita la postura de seguridad de muchas organizaciones.

Además, el 40% señala la falta de personal cualificado como una barrera crítica para garantizar entornos seguros. A medida que las amenazas se sofistican, escasea el talento capaz de abordarlas con eficacia.

Aunque 9 de cada 10 organizaciones preferirían obtener sus paquetes de software desde repositorios verificados del sistema operativo, en la práctica muchas recurren a fuentes no verificadas. Esta dependencia de terceros sin garantías consolidadas expone a las empresas a ataques en la cadena de suministro y paquetes desactualizados, dificultando la gestión uniforme de la seguridad.

El estudio de IDC pone de relieve que, pese a los avances en prácticas de mantenimiento y parcheo, la seguridad de las aplicaciones empresariales de código abierto sigue siendo una asignatura pendiente. La combinación de entornos complejos, presión regulatoria, carencia de talento y herramientas ineficientes deja a muchas organizaciones expuestas, obligándolas a replantear su enfoque frente a la seguridad y la gobernanza del software.

Cabe recordar a este respecto que S&P Global Ratings publicó recientemente otro informe en el mismo sentido, pero con una visión más amplia, y es que el dilema de las vulnerabilidades y las políticas de seguridad insuficientes no se reduce al ámbito del código abierto, es problema generalizado.