La firma de seguridad Veracode, que se dedica a encontrar fallas en software alrededor del mundo, reveló una inquietante verdad relacionada con la seguridad nacional de Estados Unidos, al decir a través de Chris Wysopal, empleado de la compañía, que dicho Gobierno es el que presenta mayor número de agujeros en sus programas en relación al código hecho por el sector privado.

Y es que durante los años 2010 y 2011 se revisaron 9,910 aplicaciones, utilizando un proceso que analizaba de manera automática las posibles fallas de seguridad en el código de los elementos inspeccionados. El resultado general de esto es que el 80% de todo lo visto no cumple con los criterios de Veracode para ser considerado un producto seguro.

Sin embargo, el Gobierno de Estados Unidos fue el que salió más mal posicionado, ya que sólo el 16% de su trabajo cumple con el estándar de seguridad Open Web Application Security Project (OWASP), mientras que el software del sector financiero lo hace en un 24% y en el área comercial aprueba el 28%.

Además, cuando se evaluó la vulnerabilidad a ataques por inyección SQL para infiltrar código intruso, el 40% de las aplicaciones del Gobierno se vio susceptible, mientras que en la industria financiera y en la comercial sólo el 29%.

Evaluando ahora ataques del tipo Cross-site scripting para inyectar código JavaScript en páginas web vistas por el usuario, éstos funcionaron en el 75% de los programas del Gobierno, mientras que el área financiera mostró un 67% de vulnerabilidad y el área financiera un 55%.

Para justificar estas alarmantes cifras, en Veracode dicen que faltan regulaciones legales e instructivas en Estados Unidos para “obligar” a los programadores a hacer su trabajo en forma más segura, ya que éstos cumplen al límite con lo que se les pide para llegar a ciertos estándares que son muy bajos, mostrándose muy poco proactivos a la hora de mejorar su código si es que nadie se los pide o no se reglamenta.

Link: Government employees produce buggiest software (Neowin)