Cuando un CISO le dice a la junta directiva “probamos ese sistema el último trimestre”, es tranquilizador. Pero en el panorama de amenazas actual, es una medida que ya no se corresponde con la realidad.
Investigaciones recientes de la industria muestran que, si bien el 95 % de las organizaciones dan prioridad a las pruebas de penetración, solo el 32 % de sus superficies de ataque se prueban realmente. El problema no es que la prueba de penetración esté rota. Es que la palabra “probado” ya no significa lo que las empresas creen que significa
CEO y cofundador de Sinac.
Las pruebas de penetración se utilizan para involucrar a un pequeño grupo de personas que pasan una cantidad limitada de tiempo en un sistema: mapeando lo que pueden alcanzar, identificando vulnerabilidades dentro de esa ventana y compilando los resultados en un informe estático.
Ese modelo ya estaba bajo presión por el ritmo del cambio. Luego la IA lo descompone.
“Probado” simplemente ya no hace su peso.
La IA agente está reescribiendo las reglas
Durante más de una década, la automatización ha sido beneficiosa. Los escáneres masivos y el reconocimiento automatizado funcionaban continuamente, pero eran ruidosos y requerían que los equipos de seguridad verificaran los resultados. La defensa fue más lenta, pero más precisa en lo importante.
Las personas pueden encontrar, comprender el contexto empresarial y estar un paso por delante de los atacantes. La economía no siempre fue favorable, pero sí efectiva.
Ese comercio ahora se ha derrumbado. La IA agente está comprimiendo el reconocimiento de días a horas. Estos modelos de frontera analizan puntos finales que no son visibles en la interfaz de usuario y pueden aprovechar resultados de bajo impacto en aplicaciones de lógica empresarial. El tiempo entre la divulgación pública de un CVE y la primera explotación observada de un actor de amenazas se ha reducido a unas pocas horas.
No es un escáner rápido. Es un atacante creativo que nunca duerme, nunca se aburre y corre a costa del cálculo.
Ahora considere lo que realmente le aporta un pentest anual contra esa amenaza. Es una instantánea de una superficie de ataque que cambia cada hora, contra un adversario que no espera a la siguiente auditoría. Tu junta no lo sabe. Sus auditores no lo saben. Y son cada vez más las razones estructurales por las que las organizaciones cometen infracciones en las auditorías.
¿Qué significa “probado” ahora?
La única forma de vencer a los defensores es luchar contra la IA con IA. La próxima evolución de las pruebas de penetración debe incluir IA agente en el lado de la defensa. Esto es lo que parece.
“Probado” deja de ser un evento del calendario y se convierte en una postura: validación constante contra las últimas técnicas de explotación, sobre recursos verdaderamente importantes, centrada en los resultados que sólo los humanos pueden producir.
La prueba debe explicar lo que ha sido absorbido y confirmado. Aunque un escáner puede indicarle que puede haber una vulnerabilidad; La IA agente puede decirle si realmente hay un incendio en su entorno.
Esa diferencia, en escala, es la diferencia entre una cola de entradas de seis cifras que tu equipo nunca quemará y una breve lista de cosas que te matarán el próximo martes. Descubrimos que alrededor del 40% de las vulnerabilidades que encontramos son críticas o altas. Hay una señal. La mayoría de los equipos no pueden hacerlo lo suficientemente rápido.
Y deja de ser un argumento de hombre o máquina. Son ambas cosas y están colocadas de manera diferente. La IA maneja la amplitud, la velocidad y la lógica encadenada. Los atacantes ya están corriendo contra ti.
Los humanos gestionan la creatividad, la lógica empresarial, un algoritmo aún no ha sido modelado. Los clientes que ejecutan este modelo combinado redujeron el tiempo promedio de reparación de vulnerabilidades críticas de 63 días al año a 38, una reducción del 47 % en todos los niveles de gravedad.
No sucede porque compren más herramientas. Esto sucede porque su definición de “probado” evoluciona constantemente.
La cuestión del talento, replanteada
La brecha de habilidades en ciberseguridad es real, pero el problema no es la falta de profesionales. Carece de criterio superior, aplicado donde importa. La mayor parte del trabajo de los investigadores más experimentados de nuestra industria consiste en reiniciar, clasificar, volver a probar y examinar los resultados del escáner. La IA agente es lo suficientemente buena para asumir esa tarea exacta ahora.
Redefinir “probado” desata ese genio. Esto lleva a los investigadores de nuevo a los problemas que las máquinas no pueden resolver: nuevas rutas de ataque y abusos de la lógica empresarial, cadenas que una mancha humana creativa y un modelo no pueden causar en su camino. Si bien el gobierno del Reino Unido ha establecido una visión para una IA defensiva que funcione a la velocidad de una máquina, la genialidad de esa visión sólo funciona si dejamos de pedirle a los humanos que trabajen a la velocidad de una máquina.
Lo que quiero preguntarle a un CISO hoy
Elija sistemas en su entorno que, si se ven comprometidos, lo colocarán en la primera página. Ahora responda a esto: ¿Cuándo fue la última vez que se utilizó bajo control (ni se escaneó ni se revisó), pero en realidad se atacó y confirmó?
Si la respuesta es “en nuestro último pentest anual”, entonces la palabra “probado” en su programa de seguridad ha dejado de significar lo que pretendía que significara. Corrija la palabra y el resto del programa tendrá la oportunidad de seguirla.
Contamos con las mejores suites de seguridad de Internet para PC, Mac y dispositivos móviles..
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
