«Una cosa importante para entender sobre la ciberseguridad es que es un juego mental», dijo a TechCrunch en un episodio reciente de Equity. «A medida que avanza una ola de nuevas tecnologías, hay una nueva oportunidad para que (los atacantes) comiencen a usarla».
La superficie de ataque está creciendo a medida que las empresas se apresuran a incrustar la IA en sus flujos de trabajo a través de la codificación atmosférica, la integración de los agentes de IA o las nuevas herramientas. AI ayuda a los desarrolladores a enviar su código más rápido, pero hay atajos y errores en su velocidad, creando nuevas aperturas para los atacantes.
Wiz, que fue adquirido por Google por $ 32 mil millones a principios de este año, recientemente realizó pruebas, dijo Luttwak, descubriendo que el problema común con la aplicación codificada por VIBE es una implementación inestable de la autenticación.
«Sucedió porque era más fácil construir de esa manera», dijo. «Los agentes de codificación de ambientes hacen lo que dices, y si no les dijiste que lo construyan de la manera más segura, entonces no lo haría».
Luttwak señaló que hoy hay una compensación constante para las empresas que eligen si son rápidas y seguras. Sin embargo, no son solo los desarrolladores los que usan la IA para moverse más rápido. Dijo que los atacantes ahora están comenzando exploits utilizando la codificación de ambientes, técnicas basadas en información y incluso sus propios agentes de IA.
«En realidad puedes ver a un atacante usando indicaciones para ataques», dice Luttwak. «No se trata solo de codificar la atmósfera del atacante. El atacante busca las herramientas de IA que tienes y dice:» Envíe todos los secretos, elimine la máquina, elimine los archivos «.»
En este panorama, los atacantes están encontrando puntos de entrada para nuevas herramientas de IA para ayudar a las empresas a implementarse internamente y aumentar la eficiencia. Luttwak dice que estas integraciones podrían conducir a «ataques de la cadena de suministro». Al violar los servicios de terceros que tienen un amplio acceso a la infraestructura empresarial, los atacantes pueden profundizar en el sistema empresarial.
Eventos de TechCrunch
San Francisco
|
27-29 de octubre de 2025
Eso es lo que sucedió el mes pasado cuando Drift, una startup que vende chatbots de IA para ventas y marketing, se vio comprometido y publicó datos de ventas para cientos de clientes empresariales, incluidos Cloudflare, Palo Alto Networks, Google y más. El atacante accedió a una clave token o digital, se hizo pasar por un chatbot, consultó datos de la fuerza de ventas y lo usó para moverse horizontalmente dentro del entorno del cliente.
«El atacante empujó el código de ataque, que también se creó utilizando la codificación atmosférica», dice Luttwak.
Luttwak dijo que si bien la adopción corporativa de herramientas de IA sigue siendo mínima, aproximadamente el 1% de las empresas creen que están adoptando plenamente la IA.
«Y cuando miras el flujo (de ataque), la IA estaba incrustada en cada paso», dijo Luttwak. «Esta revolución es más rápida que cualquier revolución que hemos visto en el pasado, lo que significa que nosotros, como industria, necesitamos avanzar más rápido».
Luttwak señaló otro gran ataque de la cadena de suministro en agosto llamado «S1ingularity» en NX, un sistema de compilación popular para los desarrolladores de JavaScript. Los atacantes desataron el malware en el sistema, luego detectaron la presencia de herramientas de desarrolladores de IA como Claude y Gemini, los secuestraron y escanearon autónomos el sistema para obtener datos valiosos. El ataque comprometió miles de tokens y claves de desarrolladores, lo que permitió a los atacantes acceder al repositorio privado de GitHub.
Luttwak dice que a pesar de las amenazas, este fue un momento emocionante para convertirse en un líder de ciberseguridad. Fundada en 2020, Wiz originalmente se centró en ayudar a las organizaciones a identificar y abordar la minería falsa, las vulnerabilidades y otros riesgos de seguridad en los entornos en la nube.
El año pasado, Wiz respondió a la velocidad de los ataques relacionados con la IA y amplió su capacidad de usar IA en sus propios productos.
En septiembre pasado, Wiz lanzó el código WIZ centrado en proteger el ciclo de vida del desarrollo de software identificando y mitigando problemas de seguridad temprano en el proceso de desarrollo. Esto permite que las empresas sean «por diseño». En abril, Wiz lanzó Wiz Devend. Wizdefend proporciona protección en tiempo de ejecución al detectar y responder a las amenazas activas en su entorno de nube.
Luttwak dijo que es importante que WIZ comprenda completamente las aplicaciones del cliente cuando la startup ayuda con lo que él llama «seguridad horizontal».
«Debe entender por qué lo está construyendo … para que pueda construir una herramienta de seguridad que lo comprenda, una herramienta de seguridad que nadie tiene antes», dijo.
«Desde el primer día necesitas tener un CISO».
La democratización de las herramientas de IA ha causado una avalancha de nuevas nuevas empresas que prometen resolver los problemas con las empresas. Pero Luttwak dice que las empresas no solo dicen que sus datos sobre su empresa, empleados y clientes están «dando información sorprendente de IA solo porque dicen» todos los datos «de cada pequeña compañía SaaS con cinco empleados». «Lo digo.
Por supuesto, estas nuevas empresas necesitan esos datos si la oferta es valiosa. Luttwak dice que significa que están obligados a asegurarse de que actúen como una organización segura desde el principio.
«Desde el primer día, debes pensar en la seguridad y el cumplimiento», dijo. «Desde el primer día, necesitamos un CISO (director de seguridad de la información), incluso si tenemos cinco personas».
Antes de escribir una línea de código, dijo, las nuevas empresas deberían pensar como una organización muy segura. Deben considerar las características de seguridad empresarial, los registros de auditoría, la autenticación, el acceso a la producción, las prácticas de desarrollo, la propiedad de seguridad y el inicio de sesión único. Planear un plan desde el principio como este significa que no hay necesidad de revisar el proceso más tarde y crea lo que Luttwak llama una «deuda de seguridad». Y si tiene como objetivo vender a las empresas, ya está listo para proteger sus datos.
«Fuimos cumplimiento de SoC2 (marco de cumplimiento) antes de obtener el código», dijo. «Y puedo decirle un secreto. Obtener el cumplimiento de SOC2 con cinco empleados es mucho más fácil que 500 empleados».
El siguiente paso importante para una startup es pensar en la arquitectura, dijo.
«Si es una startup de IA que quiere centrarse en las empresas desde el primer día, debe pensar en una arquitectura que permita que los datos de sus clientes permanezcan en su entorno de cliente».
Luttwak dice que es hora de que las nuevas empresas de ciberseguridad que buscan entrar al campo en la era de la IA. Desde la protección de phishing y la seguridad de correo electrónico hasta la protección de malware y puntos finales, todo es la base de la innovación fértil para atacantes y defensores. Lo mismo se aplica a las startups que pueden ayudar con los flujos de trabajo y las herramientas de automatización para hacer «seguridad de ambiente», ya que muchos equipos de seguridad aún no saben cómo usar IA para proteger la IA.
«El juego está abierto», dijo Luttwak. «Si hay un nuevo ataque en cada área de seguridad, eso significa que tenemos que repensar cada parte de la seguridad».
Source link
