- El informe State of Pentesting 2026 de Cobalt muestra que la confianza en las pruebas de IA totalmente automatizadas ha caído del 29% en 2025 al 9% este año.
- El 78% de los encuestados encontró que las herramientas automatizadas pasan por alto vulnerabilidades críticas; Los defectos de LLM resultaron críticos: el MTTR aumentó de 19 a 36 días y la mayoría de los problemas quedaron sin resolver.
- Los modelos híbridos alcanzan una adopción del 47%, mientras los expertos enfatizan que la automatización complementa, no reemplaza, las habilidades humanas de élite para descubrir riesgos de lógica empresarial.
Mientras el mundo aplaude los Mitos y los chinos se apresuran a desarrollar su propia variante, sale un informe que pinta un panorama muy diferente al del Cobalto.
La empresa de ciberseguridad acaba de publicar el Informe Cobalt State of Pentesting 2026, basado en dos estudios comparativos, uno en 2025 y otro en 2026. Al encuestar a casi 450 profesionales de la ciberseguridad, Cobalt quería ver qué tan segura está la comunidad de la ciberseguridad en las pruebas automatizadas de capacidad de IA, y no abrumadoramente en contra.
El año pasado, poco menos de un tercio (29%) dependió completamente de la automatización de la IA para las pruebas. Este año, la cifra cayó al 9%. Cobalt sugiere que la razón principal de una caída tan grande en la confianza es que el 78% de las herramientas de escaneo totalmente automatizadas pasan por alto vulnerabilidades críticas. Otro factor clave es la complejidad de la superficie de ataque de la IA que examinan los escáneres.
Vulnerabilidad dependiente del contexto
Un pentest de IA calificó a uno de cada tres como de “alto riesgo”, 2,7 veces el promedio del software convencional, dijo. Además, en el momento del análisis, menos de dos quintas partes (38%) de las vulnerabilidades de LLM habían sido corregidas, mientras que el 62% permanecían abiertas. El tiempo medio de resolución (MTTR) de problemas de seguridad de AI/LLM aumentó de 19 días a 36 días.
“Las vulnerabilidades de LLM dependen profundamente del contexto y son invisibles para las herramientas que carecen de una comprensión arquitectónica de la aplicación”, afirmó Andrew Obadiaru, CISO de Cobalt. “Para cerrar la brecha de validación, la automatización debe implementarse exactamente donde sobresale, pero respalda las habilidades humanas de élite para descubrir y remediar riesgos en la lógica empresarial más compleja”.
Le tomó menos de un año a la comunidad de ciberseguridad abandonar las pruebas de IA totalmente automatizadas y reemplazarlas con un modelo híbrido; alrededor del 47% dice que ahora lo prefiere. Este modelo creció un 22 % año tras año, mientras que el porcentaje de organizaciones que utilizan la automatización para entornos de bajo riesgo también aumentó un 47 %.
“Si bien la industria está legítimamente entusiasmada con el potencial de las herramientas de clase Mythos, los algoritmos no supervisados son propensos a arrojar más falsos positivos y costosos falsos negativos que nuestros escáneres automatizados actuales”, continuó Obadiaru.
a través de Revista Infoseguridad
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréguenos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
