Durante años, la ciberseguridad fue un juego de números. Encuentre más vulnerabilidades de las que los atacantes pueden explotar. Parchean más rápido de lo que pueden moverse. Ten cuidado y sigue adelante.
Pero lo que han demostrado las últimas generaciones de modelos de IA (especialmente el mito de Claude) es que la IA se ha vuelto peligrosamente buena para comprender cómo funcionan los sistemas juntos.
Puede rastrear conexiones entre aplicaciones, API, identidades, servicios en la nube y componentes de terceros. Simplemente no encuentra errores. Explota fallas ocultas en toda la empresa y espera el momento adecuado para provocar un terremoto.
Vicepresidente de marketing de cartera, Checkmarks.
Mientras tanto, la mayoría de las empresas todavía actúan como si el código de envío con fallas de seguridad conocidas fuera un riesgo aceptable. El año pasado, un asombroso 81% de los líderes globales de Appsec que respondieron a un estudio de Checkmarks dijeron que, a sabiendas, envían código vulnerable.
Esto no sucede porque el riesgo sea pequeño, sino porque el volumen es abrumador. Los equipos no tienen el tiempo, la capacidad ni los recursos para arreglarlo todo. La exposición se retrasa y absorbe continuamente en las actividades diarias. En la práctica, las complejidades de la pila limitan la cantidad de veces que se utilizan ciertas vulnerabilidades en ataques reales.
hasta ahora
Cualquiera puede ser un hacker ahora
La IA está cambiando la rapidez y facilidad con la que la vulnerabilidad se puede convertir en acción. Las tareas que antes requerían un conocimiento técnico profundo ahora se pueden realizar con herramientas que guían, aceleran y, en algunos casos, automatizan partes del proceso.
Esto tiene implicaciones directas para la evaluación de riesgos. Históricamente, muchas vulnerabilidades se han pasado por alto porque a los piratas informáticos no les resultaba práctico explotarlas. Pero a medida que la curva de aprendizaje de la destrucción disminuye, esas mismas vulnerabilidades se están convirtiendo en puntos de entrada eficaces.
Esto ejerce presión sobre la forma en que siempre hemos priorizado el riesgo. Las puntuaciones de gravedad le indican qué tan peligrosa parece una vulnerabilidad de forma aislada. No te dicen lo fácil que se ha vuelto explotar el mundo real. Estos son ahora dos cálculos diferentes y resulta confuso cómo proceden los atacantes.
La IA es un arma de doble filo
Un pequeño porcentaje de código inseguro parece manejable. Pero multiplíquelo en millones de líneas y se convertirá en una enorme superficie de ataque potencial.
Cada línea de código generada a la velocidad de la máquina es otra línea que debe protegerse a la velocidad de la máquina. Los esfuerzos integrados de gestión de versiones y parches ayudan a marginar, pero no tocan, la montaña de vulnerabilidades que ya están en producción: latentes, obsoletas y cada vez más fáciles de alcanzar.
La mayoría de las organizaciones ya enfrentan una acumulación de vulnerabilidades no resueltas. Pero lo nuevo es la presión para encontrarlos. La brecha entre la detección y la remediación se está ampliando rápidamente a medida que toma forma el nuevo ADLC (Ciclo de vida de desarrollo del agente). Los programas de seguridad que se centran demasiado en encontrar vulnerabilidades en lugar de mejorar aquellas que tienen prioridad y se solucionan tendrán dificultades para seguir el ritmo.
Esta no es la aplicación de tu padre.
AppSec tradicional fue diseñado para un mundo que ya no existe. Lo que se necesita ahora es una seguridad continua, integrada directamente en los flujos de trabajo de desarrollo y capaz de evaluar vulnerabilidades del mundo real y remediarlas en tiempo real. Los ciclos fijos y las respuestas retrasadas son lujos que el panorama actual de amenazas no se puede permitir.
La superficie de ataque en el desarrollo de software moderno no tiene un único punto de entrada, sino cuatro:
● En el momento de la generación de código en el IDE, donde los agentes generan código más rápido de lo que cualquier proceso de revisión está diseñado para absorber. La seguridad debe estar donde reside el código.
● En la fase de compilación y CI/CD, donde cada confirmación, cada actualización de dependencia y cada cambio generado por IA se deben evaluar para su explotación en contexto, no marcar su existencia.
● En toda la cadena de suministro de IA: sus equipos extraen modelos, SDK, servidores MCP y paquetes de terceros, a menudo sin darse cuenta. El descubrimiento determinista es la única capa confiable aquí, ya que los modelos de IA no pueden auditar su propia cadena de suministro.
● Y en tiempo de ejecución, cuando las aplicaciones implementadas enfrentan amenazas reales, la seguridad debe cerrar el círculo entre lo que se envió y lo que se explota activamente.
El objetivo nunca fue encontrarlo todo
Asegurar estas fases requiere algo más que simplemente incorporar otra herramienta de IA. Uno de los pasos más importantes que puede tomar una organización es mantener el sistema de seguridad estructuralmente separado de los sistemas de inteligencia artificial que debe operar. Si bien el mismo LLM que escribe su código también juzga si es seguro, usted le entrega la clave de respuestas al estudiante y le pide que califique su propia prueba.
En cambio, lo que exige la era de la IA es una capa de control de seguridad agente híbrida, que combine un análisis determinista basado en reglas con una lógica mejorada por la IA, pero donde la capa determinista siga siendo la verdad fundamental. Esa separación no es una limitación de la sucesión. Esta es la propiedad arquitectónica que hace que las señales de seguridad sean confiables.
Incluso antes de la IA, y ahora con ella, el objetivo nunca fue encontrar todas las vulnerabilidades. Más bien, fue para detener problemas importantes antes de que pudieran usarse en su contra. Las organizaciones que comprendan este cambio y actúen en consecuencia estarán mejor protegidas y seguirán en pie mientras todos los demás explican cómo sucedió.
Enumeramos las mejores plataformas sin código.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
