Durante el año pasado, un tema dominó las conversaciones en toda la industria de la ciberseguridad: la inteligencia artificial.
Cada semana parece traerse otro anuncio, otra capacidad u otra predicción sobre cómo la IA transformará la seguridad. En cuanto a la seguridad ofensiva, la discusión se ha vuelto particularmente intensa. Estamos viendo afirmaciones cada vez más audaces sobre el descubrimiento de vulnerabilidades asistido por IA, simulaciones de ataques generadas por IA, herramientas de análisis impulsadas por IA y pruebas de seguridad autónomas.
Profesional colegiado en seguridad cibernética (ChCSP) y vicepresidente de servicios globales contra amenazas en RootShell Security.
La pregunta que me hacen con más frecuencia es sorprendentemente simple:
“¿La IA reemplazará a los probadores de penetración?”
Mi respuesta es igualmente sencilla: no.
Lo que hará la IA es cambiar la forma en que funcionan los probadores de penetración.
Y en muchos sentidos, hará que los probadores de penetración experimentados sean aún más valiosos.
La IA ya está cambiando las pruebas de seguridad:
Empecemos por lo obvio.
La IA es realmente impresionante.
Los modelos modernos de IA pueden procesar grandes cantidades de datos, identificar patrones, resumir resultados, correlacionar fuentes de datos y descubrir problemas potenciales mucho más rápido de lo que un analista individual podría lograr manualmente.
En seguridad ofensiva, la IA ya está ayudando a los equipos:
- Identifique vulnerabilidades más rápido
- Analizar grandes conjuntos de datos
- Correlacionar resultados entre entornos
- Ruta de ataque potencial superficial
- Crear documentación e informes.
- Reducir las tareas manuales repetitivas
Estas son mejoras significativas.
Muchas actividades que tradicionalmente consumían el valioso tiempo de los consultores ahora pueden acelerarse significativamente.
Como resultado, las organizaciones están ganando más visibilidad que nunca de su entorno.
Pero la visibilidad por sí sola nunca fue el objetivo final.
Encontrar la debilidad no fue la parte difícil:
Uno de los mayores conceptos erróneos sobre la ciberseguridad es el desafío inicial de encontrar vulnerabilidades.
No es así.
Comprender el riesgo.
La mayoría de las organizaciones ya tienen acceso a grandes cantidades de datos de seguridad y ejecutan escáneres de vulnerabilidad. Reciben informes de pruebas de penetración. Comen inteligencia sobre amenazas. Implementan herramientas de gestión de la superficie de ataque. Supervisan registros y alertas.
El problema rara vez es una falta total de información. El problema es entender qué es importante.
- ¿Hay alguna vulnerabilidad realmente explotable?
- ¿Qué ruta de ataque representa una amenaza realista?
- ¿Algún problema que requiera solución inmediata?
- ¿Pueden esperar los resultados con seguridad?
Responder a estas preguntas es considerablemente más difícil que identificar una vulnerabilidad. Y estas son preguntas que necesitan contexto.
Contextos donde las habilidades humanas son importantes
Rara vez existe una debilidad aislada.
El riesgo del mundo real asociado con cualquier búsqueda depende de una variedad de factores, incluida la criticidad de los recursos, el impacto comercial, los controles de compensación, los privilegios de los usuarios, la configuración ambiental, la motivación del atacante y la relación entre múltiples vulnerabilidades.
Aquí es donde los probadores de penetración experimentados aportan un valor que la IA por sí sola no puede replicar.
Al realizar una evaluación, no solo identificamos vulnerabilidades. Pensamos como atacantes.
Estamos haciendo preguntas como:
- ¿Cómo obtengo acceso anticipado?
- ¿Cuál será mi próximo objetivo?
- ¿Cómo puedo combinar estas vulnerabilidades?
- ¿A qué datos se puede acceder?
- ¿Qué tan dura será realmente la explotación?
- ¿Cuáles son las posibles implicaciones comerciales?
Estas decisiones rara vez son sencillas. Requieren juicio, creatividad y experiencia.
Dos organizaciones pueden tener vulnerabilidades similares dentro de su entorno, pero el riesgo asociado puede diferir drásticamente según el contexto circundante.
Comprender esa diferencia es donde las habilidades humanas se vuelven críticas.
Las futuras pruebas autónomas no son:
Actualmente hay mucho entusiasmo en torno a las pruebas de seguridad autónomas. El concepto es interesante. Introduzca un entorno en un modelo de IA y obtenga a cambio una comprensión completa del riesgo.
La realidad es significativamente más compleja.
Los atacantes no siguen un flujo de trabajo predeterminado.
- Se adaptan.
- Ellos prosperan.
- Aprovechan oportunidades inesperadas.
- Combinan vulnerabilidades aparentemente triviales en cadenas de ataque significativas.
Las evaluaciones de seguridad ofensivas exitosas requieren la misma flexibilidad.
Si bien la IA puede ayudar en el análisis y el descubrimiento, las pruebas de seguridad siguen siendo fundamentalmente un ejercicio para comprender el comportamiento humano, el contexto empresarial y la toma de decisiones de los atacantes. Éstas son áreas donde las habilidades humanas superan a la automatización.
En el futuro previsible, creo que el enfoque más eficaz serán las pruebas dirigidas por humanos y asistidas por IA. No humano versus IA. Humano más IA.
La IA debería mejorar los probadores de penetración en:
La conversación no debería girar en torno a la sustitución de los probadores de penetración. Debería tratarse de habilitarlos. Cuando se automatizan actividades repetitivas, los consultores pueden dedicar más tiempo a centrarse en áreas en las que crean mayor valor.
En lugar de procesar datos manualmente, pueden dedicar más tiempo a:
- Investigación de la ruta de ataque
- Validez de la explotación
- Comprender las implicaciones comerciales
- Identificación de cadenas de ataque complejas
- Asesorar a los clientes sobre las prioridades de reparación
- Ofreciendo resultados de seguridad significativos
En muchos casos, la IA permite que los profesionales de seguridad capacitados se desempeñen a un nivel superior. Mejora la eficiencia en lugar de reemplazarla. El resultado no es menos probador de penetración.
Es un probador de penetración más eficaz.
El verdadero desafío es priorizar:
A medida que la IA continúe mejorando el descubrimiento y análisis de vulnerabilidades, las organizaciones inevitablemente descubrirán más vulnerabilidades de seguridad.
Esto suena positivo, pero introduce un nuevo desafío. Más búsquedas no reducen automáticamente el riesgo. De hecho, sin una priorización efectiva, pueden generar ruido adicional.
Las empresas que tengan éxito en la próxima década no necesariamente encontrarán a las más vulnerables. Serán ellos quienes podrán distinguir con mayor eficacia el riesgo real del ruido de fondo, comprender cómo los atacantes pueden explotar las vulnerabilidades en la práctica y tomar decisiones informadas sobre dónde concentrar los recursos limitados.
A medida que la IA continúe mejorando el descubrimiento y análisis de vulnerabilidades, los equipos de seguridad inevitablemente obtendrán acceso a más datos, más búsquedas y más visibilidad que nunca. Si bien esto representa un avance significativo para la industria, la visibilidad por sí sola no reduce el riesgo. El valor real radica en comprender qué es importante, qué se puede explotar y qué medidas tomar a continuación.
Por eso creo que el futuro de las pruebas de seguridad no es autónomo. Está dirigido por humanos y asistido por IA. Las herramientas de inteligencia artificial acelerarán el análisis, mejorarán la visibilidad y ayudarán a descubrir oportunidades previamente perdidas. Sin embargo, comprender el contexto empresarial, evaluar los riesgos del mundo real y tomar las decisiones de seguridad correctas seguirá siendo una responsabilidad fundamentalmente humana.
La industria de la ciberseguridad lleva años intentando solucionar el problema de la visibilidad. La IA nos está ayudando a lograr grandes avances. El próximo desafío es la priorización, y ahí es donde los profesionales de seguridad experimentados seguirán desempeñando su papel más importante.
Hemos presentado el mejor software antivirus.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: