Informe de Dogesec: por qué en 2024 el software sigue siendo vulnerable a ataques de los años 90

Según el nuevo análisis de Dogesec, en los últimos años los desarrolladores han continuado cometiendo errores de seguridad, incluyendo el almacenamiento de contraseñas directamente en el código fuente, lo que pone en riesgo la seguridad del software. Entre octubre de 2023 y septiembre de 2024 se identificaron 37,439 vulnerabilidades, de las cuales 35,346 recibieron códigos específicos CWE, cubriendo 520 tipos únicos de errores.

La vulnerabilidad más común fue CWE-79 – XSS (cross-site scripting), que representó 6,006 casos, aproximadamente el 17% de todas las registradas.

Las vulnerabilidades de tipo inyección SQL (CWE-89) son fundamentales para la seguridad web y se mencionan regularmente en las recomendaciones de desarrollo de código seguro, incluyendo OWASP.

Otras debilidades comunes incluyen CWE-352 (Cross-Site Request Forgery, CSRF), CWE-787 (Out-of-bounds Write, escritura fuera de los límites del buffer), CWE-862 (Missing Authorization, falta de autorización) y CWE-22 (Path Traversal, recorrido de ruta).

Entre los errores básicos:

• CWE-532 (inclusión de datos confidenciales en registros — 247 casos),
• CWE-798 (uso de contraseñas incrustadas en el código — 213 casos)
• CWE-306 (falta de autenticación para una función crítica — 208 casos).

Estas vulnerabilidades afectan tanto a grandes como a pequeños fabricantes, incluyendo Cisco e IBM, así como a dispositivos cuyo firmware es más difícil de actualizar para corregir estos problemas.

Los datos muestran que la eliminación de vulnerabilidades XSS e inyección SQL sigue siendo una tarea importante. Los desarrolladores deben enfocarse en evitar el almacenamiento de datos confidenciales en el código, y los fabricantes de firmware en implementar mecanismos de protección más sólidos en sus productos.