Cuatro de cada cinco organizaciones acumulan deuda de seguridad
- Seguridad
Las vulnerabilidades de alto riesgo han crecido un 36% en el último año, según el Informe 2026 de Veracode, que alerta de que la velocidad del desarrollo supera la capacidad de remediación. La presión de la IA y la dependencia del código abierto agravan un problema ya estructural en las empresas.
El Informe 2026 de Veracode confirma que la industria del software avanza a una velocidad que los equipos de seguridad no pueden igualar. Aunque las capacidades de detección han mejorado, el volumen de fallos sin resolver crece más rápido que la capacidad de corregirlos. El estudio revela un aumento del 36% en vulnerabilidades de alto riesgo, fallos graves y fácilmente explotables que amplían la ventana de exposición.
Según Chris Wysopal, evangelista jefe de Seguridad de Veracode, la velocidad de desarrollo ha alcanzado “niveles sin precedentes, lo que provoca que la generación de fallos supere la capacidad de remediación. La presión añadida de la inteligencia artificial acelera aún más los ciclos de entrega, obligando a las organizaciones a tomar decisiones más estratégicas para contener la deuda de seguridad”.
Deuda crítica al alza
El informe señala que el 82% de las organizaciones acumula deuda de seguridad, un 11% más que el año anterior, y que el 60% arrastra deuda clasificada como crítica, con vulnerabilidades capaces de provocar daños importantes si se explotan. El crecimiento del 20% interanual en este tipo de deuda indica que los fallos de riesgo acumulados durante más de un año superan la capacidad de remediación. Esta tendencia, según Veracode, exige replantear la gestión de los retrasos y priorizar los riesgos con mayor potencial de ataque real.
Las dependencias externas siguen siendo una de las principales fuentes de riesgo. El estudio muestra que el 66% de las vulnerabilidades más peligrosas proviene de componentes de código abierto, incluidos paquetes y librerías de terceros con mantenedores limitados o sin soporte activo. La expansión de las superficies de ataque y la creciente complejidad de las cadenas de suministro de software hacen que la gestión de terceros sea un desafío crítico para empresas de todos los tamaños.
La inteligencia artificial aparece como un factor dual. Por un lado, genera nuevos patrones de vulnerabilidades a gran escala, al multiplicar la velocidad de creación de código. Por otro, la remediación asistida por IA comienza a ofrecer un camino efectivo para cerrar la brecha entre detección y corrección. Veracode destaca que la IA será clave para automatizar la priorización, reforzar la protección de activos críticos y demostrar el cumplimiento normativo en un entorno cada vez más exigente.
Para reducir los riesgos, Veracode propone un marco estratégico basado en tres pilares: priorizar el 11,3 % de fallos que representan un peligro real; proteger los activos críticos mediante remediación automatizada; y comprobar la postura de seguridad con métricas verificables. “No se trata de arreglarlo todo, sino de gestionar la deuda de seguridad minimizando los riesgos más graves”, concluye Wysopal.
