Durante más de una década, los equipos de seguridad de aplicaciones se han enfrentado a una ironía brutal: cuanto más avanzadas se volvieron las herramientas de detección, menos útiles son sus resultados. A medida que aumentaron las alertas de herramientas de análisis estáticas, escáneres y bases de datos CVE, la promesa de una mejor seguridad se volvió más distante. En su lugar, una nueva realidad se apoderó, una definida por la fatiga alerta y los equipos abrumados.
Según el informe de referencia de seguridad de aplicaciones de aplicaciones 2025 de Ox Security, un asombroso El 95–98% de las alertas de APPSEC no requieren acción – Y puede, de hecho, dañar a las organizaciones más que ayudar.
Nuestra investigación, que abarca más de 101 millones de hallazgos de seguridad en 178 organizaciones, le destaca una ineficiencia fundamental en las operaciones modernas de APPSEC. De casi 570,000 alertas promedio por organización, solo 202 representaron temas verdaderos y críticos.
Es una conclusión sorprendente que es difícil de ignorar: los equipos de seguridad están persiguiendo sombras, perdiendo el tiempo, quemando los presupuestos y las relaciones con los desarrolladores sobre las vulnerabilidades que no representan una amenaza real. La peor parte de ella es que la seguridad se interpone en el camino de la innovación real. Como Chris Hughes lo pone Cibernético resistente: «Hacemos todo esto mientras nos disfrazamos como habilitadores comerciales, enterrando activamente a nuestros compañeros en el trabajo, retrasando la velocidad del desarrollo y, en última instancia, impiden los resultados comerciales.
Cómo llegamos aquí: montañas de problemas, contexto cero
En 2015, el desafío de seguridad de la aplicación fue más simple. Ese año, solo 6.494 CVE fueron revelados públicamente. La detección era el rey. Las herramientas se midieron por cuántos problemas encontraron, no si importaban.
Avance rápido hasta 2025: las aplicaciones fueron nativas en la nube, los ciclos de desarrollo acelerados y las superficies de ataque se dispararon. En el año pasado, se publicaron más de 40,000 nuevos CVE, lo que elevó el total global a más de 200,000. Sin embargo, a pesar de estos cambios importantes, muchas herramientas de APPSEC no han podido evolucionar: se han duplicado en la detección, inundando paneles con alertas sin contexto sin filtro.
El punto de referencia de Ox confirma lo que los practicantes han sospechado durante mucho tiempo:
- 32% de los problemas informados tienen una baja probabilidad de explotación
- 25% No se ha conocido la exploit pública
- 25% provecho de dependencias no utilizadas o de solo desarrollo
Esta inundación de hallazgos irrelevantes no solo ralentiza la seguridad, sino que la perjudica activamente.
Si bien la mayoría de las alertas se pueden ignorar, es esencial identificar con precisión el 2-5% que requiere atención inmediata. El informe muestra que estas alertas raras generalmente implican problemas de KEV, problemas de gestión de secretos y, en algunos casos, problemas de gestión de postura.
La necesidad de un enfoque de priorización holística
Para combatir este espíritu de fatalidad, las organizaciones deben adoptar un enfoque más sofisticado para la seguridad de la aplicación, basado en la priorización basada en la evidencia. Esto requiere un cambio del manejo genérico de alerta a un modelo integral que cubre el código desde las etapas de diseño hasta el tiempo de ejecución, e incluye múltiples elementos:
- Accesibilidad: ¿Se utiliza el código vulnerable y es accesible?
- Explotabilidad: ¿Están presentes las condiciones para la explotación en este entorno?
- Impacto comercial: ¿Una violación aquí causaría daños reales?
- Mapeo de nubes a código: ¿En qué parte del SDLC se originó este problema?
Al implementar dicho marco, las organizaciones pueden filtrar de manera efectiva el ruido y enfocar sus esfuerzos en el pequeño porcentaje de alertas que representan una amenaza genuina. Esto mejora la efectividad de la seguridad, libera recursos valiosos y permite prácticas de desarrollo más seguras.
La seguridad de OX está abordando este desafío con la proyección de código, una tecnología de seguridad basada en evidencia que mapea los elementos de tiempo de ejecución y el tiempo de ejecución al origen del código, lo que permite la comprensión contextual y la priorización de riesgos dinámicos.
https://www.youtube.com/watch?v=e2xrjqifdhs
Impacto del mundo real
Los datos cuentan una historia poderosa: al usar la priorización basada en la evidencia, el promedio alarmante de 569,354 alertas totales por organización se puede reducir a 11,836de los cuales solo 202 requiere una acción inmediata.
Los puntos de referencia de la industria revelan varias ideas clave:
- Umbrales de ruido consistentes: Los niveles de ruido de línea de base siguen siendo notablemente similares en diferentes entornos, ya sean empresas o comerciales, independientemente de la industria.
- Complejidad de seguridad empresarial: Los entornos empresariales enfrentan desafíos significativamente mayores debido a su ecosistema de herramientas más amplio, una mayor presencia de aplicación, un mayor volumen de eventos de seguridad, incidentes más frecuentes y una exposición general elevada del riesgo.
- Vulnerabilidad del sector financiero: Las instituciones financieras experimentan volúmenes de alerta distintivamente más altos. Su procesamiento de transacciones financieras y datos confidenciales los convierte en objetivos de alto valor. Como indica el informe de Investigaciones de violación de datos de Verizon, el 95% de los atacantes están motivados principalmente por ganancia financiera en lugar de espionaje u otras razones. La proximidad de las instituciones financieras a los activos monetarios crea oportunidades de ganancias directas para los atacantes.
Los hallazgos tienen implicaciones de largo alcance. Si menos del 95% de las soluciones de seguridad de la aplicación son críticas para la organización, entonces todas las organizaciones invierten enormes recursos en las horas de clasificación, programación y ciberseguridad en vano. Este desperdicio se extiende a los pagos de los programas de boquilla de errores, donde los piratas informáticos de sombrero blanco encuentran vulnerabilidades para solucionar, así como los costos de soluciones complicadas para las vulnerabilidades que no se descubrieron temprano y alcanzaron la producción. El costo significativo final es la tensión creada dentro de las organizaciones entre los equipos de desarrollo y los equipos de seguridad, que exigen correcciones de vulnerabilidades que no son relevantes.
La detección falló, la priorización es el camino a seguir
A medida que las organizaciones enfrentan 50,000 nuevas vulnerabilidades proyectadas solo en 2025, las apuestas para el triaje de seguridad efectivo nunca han sido más altas. El viejo modelo de «Detectar todo, arreglar más tarde» no está solo anticuado, es peligroso.
El informe de Ox Security presenta un caso convincente: el futuro de la seguridad de la aplicación no radica en abordar todas las vulnerabilidad posible sino de identificar y centrarse de manera inteligente en los problemas que plantean un riesgo real.