El Malware de Código Abierto se Dispara en un 156%

Sonatype anunció el jueves su 10º Informe Anual sobre el Estado de la Cadena de Suministro de Software, revelando un asombroso aumento del 156% en el malware de código abierto en el último año, junto con un récord de 6.6 billones de descargas de software de código abierto.

Los hallazgos subrayan los crecientes riesgos asociados con las cadenas de suministro de software, que se están volviendo cada vez más vulnerables a medida que se acelera el consumo de código abierto.

El informe, basado en datos de más de 7 millones de proyectos de código abierto, destaca un notable aumento del 80% en las solicitudes de paquetes de Python y un aumento del 70% en las descargas de JavaScript, indicando un importante auge en el consumo de software.

Sin embargo, este auge va acompañado de una preocupante proliferación de paquetes maliciosos, con 704,102 identificados desde 2019. Es notable que varias vulnerabilidades críticas tardaron más de 500 días en remediarse en 2024, revelando el retraso que enfrentan los mantenedores.

La complacencia del consumidor agrava este problema; a pesar de que el 99% de los paquetes tienen versiones actualizadas disponibles, el 80% de las dependencias de las aplicaciones permanecen sin actualizar durante más de un año. De manera alarmante, cuando se identifican componentes vulnerables, el 95% de las veces, ya existe una versión corregida.

Para combatir estas amenazas crecientes, Sonatype aboga por una mayor inversión en proyectos de código abierto.

El informe revela que los proyectos de código abierto con soporte pagado tienen casi tres veces más probabilidades de contar con políticas de seguridad integrales. Además, los componentes con soporte pagado resuelven las vulnerabilidades pendientes hasta un 45% más rápido y, en general, tienen la mitad de las vulnerabilidades en total.

El informe también señala las regulaciones emergentes, como la Directiva de Redes e Sistemas de Información (NIS2) en la UE, que están promoviendo la adopción de la Factura de Materiales de Software (SBOM).

“Durante la última década, hemos visto un aumento en la sofisticación y frecuencia de los ataques a la cadena de suministro de software, particularmente con el auge del malware de código abierto”, dijo Brian Fox, CTO y co-fundador de Sonatype.

“Para garantizar un ecosistema de código abierto vibrante y seguro para la próxima década, debemos construir una base de seguridad proactiva con vigilancia contra el malware de código abierto, disminución de la complacencia del consumidor y una gestión integral de las dependencias”, agregó.

Estos desafíos en la cadena de suministro de software reflejan una tendencia más amplia en el panorama de la ciberseguridad. Un nuevo informe destaca que el 66% de los profesionales de ciberseguridad encuentran sus roles más estresantes que hace cinco años, en gran medida debido a un panorama de amenazas cada vez más complejo, presupuestos bajos e insuficientemente personal capacitado.