«Se está utilizando mucho código abierto que ni siquiera los desarrolladores conocen. A menudo, se incluyen componentes de código abierto con vulnerabilidades sin parchear dentro de los productos de software (SW)», declaró Lee Dong-hwa, jefe del equipo de política de seguridad de la cadena de suministro de KISA (Internet and Security Agency de Corea).
Según datos del ‘Portal de SW de Código Abierto de Corea’ y otras fuentes, se estima que el uso de código abierto en la industria global de SW oscila entre el 96% y el 97%. El código abierto está ganando popularidad debido a su capacidad para reducir los costos (como las licencias) y el tiempo de desarrollo.
El problema radica en que, si se utiliza código abierto con vulnerabilidades para desarrollar SW, esas mismas vulnerabilidades persisten en el producto final. Los ataques dirigidos a vulnerabilidades específicas en el código abierto son frecuentes. El jefe del equipo de KISA explicó que, tras analizar 231.774 componentes de código abierto este año, se detectaron vulnerabilidades de seguridad en el 3,5% (aproximadamente 8.100), incluyendo la elusión de filtros de seguridad y la exposición de información confidencial. Además, se identificaron vulnerabilidades de alto riesgo, como la ejecución remota de código malicioso, la ejecución remota de código y ataques DDoS (denegación de servicio distribuido), en el 0,49% del total (alrededor de 1.130).
En este contexto, la SBOM (Software Bill of Materials, Lista de Materiales de Software) está ganando atención. Al igual que las empresas manufactureras incluyen en sus productos una BOM (lista de materiales) con información sobre el origen, las especificaciones y el orden de ensamblaje, la SBOM contiene información sobre las listas y versiones de software de código abierto y comercial. Estados Unidos y la Unión Europea ya están reforzando las regulaciones relacionadas, exigiendo la presentación de SBOM no solo para productos de software, sino también para dispositivos digitales. Las regulaciones de seguridad de la cadena de suministro también actúan como barreras no arancelarias.
En Corea del Sur, el Ministerio de Ciencia y las TIC y KISA han asegurado este año un presupuesto de 6 mil millones de wones para apoyar a las empresas privadas en la construcción de sistemas de seguridad de la cadena de suministro basados en SBOM. Anteriormente, entre 2023 y 2024, el Ministerio y KISA llevaron a cabo revisiones de seguridad utilizando SBOM en el código fuente y los productos de software completos de ocho empresas de los sectores público, médico y de seguridad. En una de estas empresas, se detectaron hasta 5.300 vulnerabilidades, de las cuales 3.208 (60,5%) se consideraron críticas o de alto riesgo. Tras la revisión de la SBOM, la empresa redujo el 89,6% de las vulnerabilidades. Esta validación permitió al Ministerio y a KISA obtener casos prácticos de modelos de seguridad de la cadena de suministro basados en SBOM.
Con base en estos resultados, este año se han llevado a cabo proyectos centrados en la construcción de un sistema de gestión de seguridad de la cadena de suministro de SW basado en SBOM y en la revisión de la seguridad de la cadena de suministro para los desarrolladores de SW. El objetivo es fortalecer la capacidad de respuesta ante las amenazas de la cadena de suministro, mitigar la propagación de daños en caso de incidentes y mejorar la capacidad de cumplir con las regulaciones globales de la cadena de suministro para facilitar la exportación de SW. También se ha brindado apoyo para el diagnóstico de los sistemas de seguridad de la cadena de suministro y la seguridad intrínseca del SW de las empresas nacionales.
Gracias a esto, empresas como Esttraffic, A8trix y Handreamnet pudieron desarrollar procesos de respuesta a las regulaciones globales de seguridad de la cadena de suministro al exportar sistemas de infraestructura de transporte, SW médico y firmware de dispositivos de red. Además, el Ministerio y KISA han creado una lista de verificación de autodiagnóstico de seguridad de la cadena de suministro para ayudar a las empresas a crear SBOM que sean compatibles con el mercado global.
Por otra parte, el Ministerio de Ciencia y las TIC y KISA planean ampliar el alcance de las industrias objetivo para la seguridad de la cadena de suministro el próximo año y continuar brindando apoyo para fortalecer los sistemas de seguridad de la cadena de suministro adaptados a las características de cada industria. También se promoverá la construcción de instalaciones esenciales, como herramientas de generación de SBOM y análisis de vulnerabilidades, así como bases de datos relacionadas. Se brindará apoyo para revisiones de seguridad y consultoría para ayudar a los desarrolladores de SW a reducir las amenazas en cada etapa del proceso, desde el diseño hasta la entrega.
