Los riesgos del software de código abierto, el precio de lo gratuito

Por Manuel Moreno Liy*

En esta era de innovación constante, la complejidad de las aplicaciones y sistemas ha generado un aumento significativo en el uso de software de código abierto. Este software, que se ofrece gratis, para que cualquiera lo utilice, examine, modifique y redistribuya, plantea riesgos tanto para los desarrolladores y las cadenas de suministro que los emplean, así como para los usuarios finales.

Cada vez más aplicaciones se construyen utilizando componentes de terceros, sin una visión completa sobre el contenido de dicho código, lo que plantea serios retos para identificar sus respectivas licencias, calidad del código y vulnerabilidades de seguridad potenciales.

De acuerdo con “2024 Open Source Security and Risk Analysis Report” de Synopsys, que analizó mil 67 codebases, 96% de ellos contenía código abierto, de los cuales 84% incluía al menos una vulnerabilidad y 74% de este último porcentaje resultaron ser de alto riesgo, lo que puede erosionar la confianza y dañar la reputación de decenas de organizaciones que los usan, trascendiendo incluso a la cadena de suministro a la que pertenecen.

Ocho de las 10 principales vulnerabilidades detectadas en códigos abiertos están relacionadas con la Enumeración de Debilidades Comunes (CWE) CWE-707, lo que potencialmente puede dar lugar a ciberataques como el “cross-site scripting” (XSS), que consiste en ejecutar un código malicioso en el navegador de una víctima por medio de un sitio web vulnerable.

Esta situación plantea serias amenazas para las organizaciones. Sobre todo porque la falta de una visión completa sobre el contenido del código abierto dificulta la identificación y la mitigación de riesgos, lo que puede socavar la confianza de los usuarios y dañar la reputación de un sector y, por ende, la imagen de un país.

Esto cobra especial importancia en México, debido a la creciente tendencia entre decenas de empresas de trasladar sus operaciones de fabricación a territorio nacional. Según el reciente estudio Nearshoring: El impacto sobre la inversión extranjera directa, del Instituto Mexicano de Competitividad (Imco), la inversión extranjera directa relacionada con la deslocalización de cadenas de suministro en México experimentó un notable incremento del 47% durante los primeros tres trimestres de 2023.

Para Asia, México se ha vuelto una opción sumamente atractiva y una alternativa para evitar los conflictos geopolíticos entre Estados Unidos y China. De hecho, más de 3 mil organizaciones asiáticas ya han establecido su presencia en nuestro país, siendo las de origen chino las más destacadas. Además, los expertos predicen un aumento en estas cifras en los próximos años, sugiriendo que tenemos el potencial de atraer más de 50 mil millones de dólares anuales, debido a este fenómeno.

A fin de mantener ese ritmo de crecimiento que nos beneficia a todos es vital abordar y mitigar las vulnerabilidades que pudieran afectar a la cadena de suministro. Al hacerlo, se reducirían significativamente los riesgos asociados tanto con las amenazas en línea como con la fuga de capital, además de evitar la relocalización de las empresas.

Entre las medidas preventivas que pudieran implementar las organizaciones de la mano de un aliado en ciberseguridad, están:

  • Crear y mantener una lista de materiales de software (SBOM, por sus siglas en inglés), que enumere todos los componentes de código abierto en sus aplicaciones, así como las licencias, versiones y estado de los parches de esos componentes.
  • Mantenerse informado. Asegurarse de tener los medios para estar informado de los paquetes maliciosos, malware y vulnerabilidades de código abierto recién identificados.
  • Realizar revisiones de código. Examinar el código del software descargado antes de incluirlo en su proyecto. Comprobar cualquier vulnerabilidad conocida.
  • Ser proactivo. Solo porque un componente hoy no sea vulnerable, no significa que mañana no lo sea.

México está en una posición privilegiada para convertirse en un destino aún más atractivo para la inversión extranjera directa, pero debemos tener una visión más holística implementando estrategias sólidas, que proporcionen la integridad de nuestras operaciones digitales. Esto nos dará la oportunidad, además, de convertirnos en un referente global en ciberseguridad, liderando el camino hacia un futuro digital protegido.

*Manuel Moreno es Sales Enablement Director de IQSEC

MÁS NOTICIAS:

The post Los riesgos del software de código abierto, el precio de lo gratuito appeared first on Alto Nivel.