Durante m\u00e1s de una d\u00e9cada, los equipos de seguridad de aplicaciones se han enfrentado a una iron\u00eda brutal: cuanto m\u00e1s avanzadas se volvieron las herramientas de detecci\u00f3n, menos \u00fatiles son sus resultados. A medida que aumentaron las alertas de herramientas de an\u00e1lisis est\u00e1ticas, esc\u00e1neres y bases de datos CVE, la promesa de una mejor seguridad se volvi\u00f3 m\u00e1s distante. En su lugar, una nueva realidad se apoder\u00f3, una definida por la fatiga alerta y los equipos abrumados.<\/p>\n
Seg\u00fan la seguridad de buey Informe de referencia de seguridad de la aplicaci\u00f3n 2025<\/a>un asombroso El 95\u201398% de las alertas de APPSEC no requieren acci\u00f3n<\/strong> – Y puede, de hecho, da\u00f1ar a las organizaciones m\u00e1s que ayudar.<\/p>\n Nuestra investigaci\u00f3n, que abarca m\u00e1s de 101 millones de hallazgos de seguridad en 178 organizaciones, le destaca una ineficiencia fundamental en las operaciones modernas de APPSEC. De casi 570,000 alertas promedio por organizaci\u00f3n, solo 202 representaron temas verdaderos y cr\u00edticos.<\/p>\n Es una conclusi\u00f3n sorprendente que es dif\u00edcil de ignorar: los equipos de seguridad est\u00e1n persiguiendo sombras, perdiendo el tiempo, quemando los presupuestos y las relaciones con los desarrolladores sobre las vulnerabilidades que no representan una amenaza real. La peor parte de ella es que la seguridad se interpone en el camino de la innovaci\u00f3n real. Como Chris Hughes lo pone Cibern\u00e9tico resistente<\/em>: “Hacemos todo esto mientras nos disfrazamos como habilitadores comerciales, enterrando activamente a nuestros compa\u00f1eros en el trabajo, retrasando la velocidad del desarrollo y, en \u00faltima instancia, impiden los resultados comerciales.<\/p>\n En 2015, el desaf\u00edo de seguridad de la aplicaci\u00f3n fue m\u00e1s simple. Ese a\u00f1o, solo 6.494 CVE fueron revelados p\u00fablicamente. La detecci\u00f3n era el rey. Las herramientas se midieron por cu\u00e1ntos problemas encontraron, no si importaban.<\/p>\n Avance r\u00e1pido hasta 2025: las aplicaciones fueron nativas en la nube, los ciclos de desarrollo acelerados y las superficies de ataque se dispararon. En el a\u00f1o pasado, se publicaron m\u00e1s de 40,000 nuevos CVE, lo que elev\u00f3 el total global a m\u00e1s de 200,000. Sin embargo, a pesar de estos cambios importantes, muchas herramientas de APPSEC no han podido evolucionar: se han duplicado en la detecci\u00f3n, inundando paneles con alertas sin contexto sin filtro.<\/p>\n El punto de referencia de Ox confirma lo que los practicantes han sospechado durante mucho tiempo:<\/p>\n Esta inundaci\u00f3n de hallazgos irrelevantes no solo ralentiza la seguridad, sino que la perjudica activamente. <\/p>\n Si bien la mayor\u00eda de las alertas se pueden ignorar, es esencial identificar con precisi\u00f3n el 2-5% que requiere atenci\u00f3n inmediata. El informe <\/a>Muestra estas alertas raras generalmente implican problemas de KEV, problemas de gesti\u00f3n de secretos y, en algunos casos, problemas de gesti\u00f3n de postura. <\/p>\n Para combatir este esp\u00edritu de fatalidad, las organizaciones deben adoptar un enfoque m\u00e1s sofisticado para la seguridad de la aplicaci\u00f3n, basado en la priorizaci\u00f3n basada en la evidencia. Esto requiere un cambio del manejo gen\u00e9rico de alerta a un modelo integral que cubre el c\u00f3digo desde las etapas de dise\u00f1o hasta el tiempo de ejecuci\u00f3n, e incluye m\u00faltiples elementos:<\/p>\n Al implementar dicho marco, las organizaciones pueden filtrar de manera efectiva el ruido y enfocar sus esfuerzos en el peque\u00f1o porcentaje de alertas que representan una amenaza genuina. Esto mejora la efectividad de la seguridad, libera recursos valiosos y permite pr\u00e1cticas de desarrollo m\u00e1s seguras.<\/p>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Una-nueva-investigacion-revela-el-95-de-las-soluciones-de.jpg\")
<\/a><\/div>\nC\u00f3mo llegamos aqu\u00ed: monta\u00f1as de problemas, contexto cero<\/strong><\/h2>\n
<\/a><\/div>\n\n
La necesidad de un enfoque de priorizaci\u00f3n hol\u00edstica<\/strong><\/h2>\n
\n