Desde hace 30 años, la gestión de la vulnerabilidad se realiza en zonas de amortiguamiento. Esto significó que pasaron meses entre el momento en que se descubrió una vulnerabilidad y que alguien descubrió cómo convertirla en un arma. La solución fue muy sencilla. Priorice por gravedad, programe soluciones, valide y siga adelante. Buffer hizo esto posible.
Hoy ese amortiguador ya no existe.
La IA no ralentizó al equipo. Esto cambió el otro lado de la ecuación, reduciendo el tiempo desde el descubrimiento hasta la explotación de meses a horas. Y la triste realidad para los defensores es que ningún proceso construido con margen puede sobrevivir sin él.
La IA convierte el descubrimiento de vulnerabilidades en un juego de volumen
Anthropic informó en su actualización de mayo de 2026 que él y aproximadamente 50 socios utilizaron Claude Mythos Preview para descubrir más de 10,000 vulnerabilidades de alta o alta gravedad en software crítico para el sistema en un mes.
Las cifras anteriores fueron igualmente sombrías.
Cuando se trata de Firefox, el modelo cerrado Mythos creó 181 exploits funcionales, en comparación con solo 2 para el modelo Frontier anterior. Esto expuso todas las vulnerabilidades importantes del sistema operativo y del navegador, incluido un error en OpenBSD que no se detectó durante 27 años.
Al momento de escribir este artículo, más del 99% de los encontrados aún no están parcheados.
Figura 1. Campaña FortiGate para febrero de 2026
El Informe de inteligencia sobre amenazas de AWS de febrero de 2026 muestra la otra cara de la moneda: no hay necesidad de días cero, solo credenciales débiles industrializadas a través de servidores MCP personalizados que ejecutan herramientas ofensivas de forma autónoma. AWS ha verificado más de 600 dispositivos en más de 55 países. Según investigadores independientes, 2.516 dispositivos de 106 países estaban en cola en los registros del atacante.
En cualquier caso, las reglas han cambiado claramente. Lo que alguna vez requirió una experiencia poco común ahora se puede hacer a la velocidad y escala de las máquinas.
La ventana para convertir vulnerabilidades en armas también se ha derrumbado.
Los defensores tenían un período de varios meses, conocido como tiempo de explotación (TTE), entre el momento en que se publicó un CVE y el momento en que se vio por primera vez siendo explotado en la naturaleza.
Esa ventana se cerró de golpe.
El promedio para 2026 es de unas 24 horas, frente a los 53 días de 2024, según los relojes de día cero.
Figura 2. Tiempo promedio de explotación (TTE) con relojes de día cero.
Los datos sobre violaciones también son consistentes.
En el DBIR 2026 de Verizon, el 32% de las técnicas de acceso inicial están asociadas con la explotación de vulnerabilidades, y se espera que ese número crezca. Esto se debe a que los asistentes de codificación de IA ponen la creación de exploits, la migración de herramientas a nuevos lenguajes y el descubrimiento de nuevas fallas al alcance de atacantes que nunca antes lo habían hecho.
Figura 3. Tecnologías generativas asistidas por IA clasificadas como métodos de acceso inicial según el DBIR 2026 de Verizon
Decirle a tu equipo que parchee más rápido es como decirle a un carguero que frene bruscamente.
La respuesta instintiva de la industria es parchear más rápido. Los reguladores están codificando esto. Muchas regulaciones ahora apuntan a soluciones en el mismo día para algunas vulnerabilidades críticas. La junta espera eso. La dirección lo exige.
Pero la reparación no es un cambio. Los parches deben pasar pruebas de regresión, pasar por períodos de cambio, esperar aprobación y cumplir con los compromisos de cumplimiento y tiempo de actividad existentes. Interrumpir la producción para evitar un exploit acaba siendo una interrupción más.
Y los datos muestran que todo va en la dirección equivocada.
Verizon 2026 DBIR rastreó a más de 13.000 organizaciones.
Tiempo medio de remediación para vulnerabilidades explotadas conocidas: 43 días (en comparación con los 32 días del año pasado) Cantidad completamente parcheada: 38% a 26%
Si un ataque lleva horas y su remediación lleva semanas, lo más probable es que se produzca una infracción en el medio.
Nuevamente, según DBIR de Verizon, incluso las organizaciones con mejor desempeño solo resuelven entre el 30% y el 40% de las vulnerabilidades conocidas explotadas dentro de la primera semana de su descubrimiento. Este porcentaje ha cambiado poco a pesar de años de inversión constante.
Entonces, ordenarle a tu equipo que parchee más rápido no hace ninguna diferencia física, es como ordenarle a un carguero que frene bruscamente.
El cuello de botella se ha movido. Por lo tanto, necesitas una estrategia.
Desde hace 20 años, la gestión de vulnerabilidades se basa en una premisa bien establecida:
Encuentre defectos, califiquelos según su gravedad y parchee primero los peores.
La clasificación CVSS funcionó cuando teníamos docenas de críticos por trimestre. Desafortunadamente, nadie puede competir con cientos o miles de divulgaciones por día.
Volviendo al DBIR de Verizon, las organizaciones necesitarán aplicar 16 parches para vulnerabilidades explotadas conocidas en 2025, frente a 11 el año anterior, un aumento de casi el 50%.
Eso fue antes de que los catálogos comenzaran a inundarse de defectos descubiertos por la IA.
Las puntuaciones de gravedad, por otro lado, no indican si es posible alcanzar una falla en el entorno, si los controles ya la están bloqueando o si se está extendiendo en cascada hacia algo importante. Una lista de gravedad que sea completamente «9» o «10» básicamente no prioriza nada.
Por lo tanto, la pregunta útil ya no es “¿Qué es vulnerable?” Y se pregunta: «¿Qué se puede realmente explotar contra nosotros ahora? Y si alguien lo intenta, ¿lo atraparán nuestras defensas?».
Esta es exactamente la pregunta para la que se creó la simulación de ataques y violaciones (BAS).
Por qué BAS es clave contra los ataques basados en IA
BAS toma técnicas de adversarios del mundo real, los TTP detrás de las últimas campañas que acaparan los titulares, y las ejecuta de forma segura contra pilas de prevención y detección del mundo real. No es un escaneo. No es un mapeo teórico. Un ejercicio real que muestra qué es lo que realmente bloquea la herramienta, qué detecta y qué deja escapar.
En un mundo inundado por la divulgación de información, la gestión de vulnerabilidades logra tres cosas que por sí sola no puede: basar:
Distinguir entre lo teórico y lo práctico. Las deficiencias que WAF, IPS y EDR ya han neutralizado son muy diferentes de los problemas en los que entra directamente Waltz. BAS te dice cuál es cuál, por lo que los equipos dejan de tratar cada CVE como un incendio de cinco alarmas. Valide los controles que ya ha pagado. La mayoría de las empresas utilizan entre 10 y 70 herramientas de seguridad con innumerables políticas superpuestas. BAS mide si se activa según la configuración y revela riesgos residuales ocultos en las brechas. Gana tiempo para parchar de forma segura. Una vez que pueda demostrar que los activos críticos ya están cubiertos por controles mejorados, los parches se pueden trasladar a la gestión de cambios regular en lugar de implementaciones de emergencia. Si no está cubierto, sabes que primero debes mitigarlo.
Los resultados empiezan a verse en el presupuesto. Cada vez más, los informes de campo indican que los CISO están reservando gastos específicamente para BAS que no era una partida separada hace un año.
Este es un cambio que Gartner llama Validación de exposición adversaria. Combine la eficacia de la seguridad (“¿Están funcionando los controles?”) con el contexto empresarial (“¿Qué activos son más críticos y cuáles son realmente accesibles?”) para priorizar según la realidad organizacional en lugar de puntuaciones brutas hipotéticas.
BAS completa el panorama cuando se combina con pruebas de penetración autónomas que demuestran si un atacante puede encadenar la exposición desde el punto de apoyo inicial hasta las joyas de la corona de la organización.
Un lado pregunta: «Espera, ¿pueden comprometernos?». La otra persona pregunta: «¿Pero podremos atraparlo?»
La ejecución de BAS y pruebas de penetración autónomas en conjunto reemplaza las conjeturas con evidencia.
BAS también necesita funcionar de forma autónoma a la velocidad de la máquina
Hay un problema.
Si un atacante opera de forma autónoma, al llegar ya no es necesario un ciclo de verificación que a un humano le llevaría una semana completar. Los ataques a velocidad de máquina requieren defensas a velocidad de máquina, pero sólo las defensas autónomas pueden contrarrestar los ataques autónomos.
La objeción honesta a dirigir la IA generativa en bruto hacia esto es la seguridad. Como advierte el CTO de Picus, Volkan Erturk, los modelos a los que se les pide que inventen exploits pueden devolver muestras de malware vivas o técnicas alucinatorias que el grupo nunca usaría. No desea que los archivos binarios no verificados exploten en producción, ni que se creen defensas contra ataques que no existen o no pueden existir.
Puedes verlo bajo demanda aquí.
La solución para Picus es hacer que el modelo sea responsable de ajustar en lugar de crear.
En lugar de depender de la IA para crear cargas útiles, el agente BAS de Picus compara nuevos informes de amenazas con una biblioteca de componentes de prueba seguros, previamente examinados y disponibles en el mercado. El equipo de seguridad nombra la amenaza y el sistema multiagente la detecta. Un agente identifica amenazas y elabora un plan de investigación, otros agentes recopilan y validan inteligencia de múltiples fuentes y un agente constructor asigna TTP adversarios a cadenas de ataque listas para la simulación.
El resultado es una simulación precisa y lista para ejecutarse que se puede ensamblar en minutos.
Esto rompe el círculo. Las alertas de CISA y los titulares enviados dan como resultado pruebas específicas, puntuaciones de postura, mitigaciones priorizadas e informes ejecutivos que confirman excepciones en lugar de personas conduciendo o reduciendo la velocidad, a menudo en cuestión de minutos.
Para esto está la plataforma Picus
Los parches siguen siendo esenciales, pero cuando la IA descubre miles de fallas y los convierte en armas en horas, los parches por sí solos no pueden ser la estrategia completa. Si la ofensiva es autónoma, la defensa necesita operar al menos con la misma rapidez, y eso es exactamente para lo que está diseñado Picus.
Es una validación que se ajusta a la amenaza. Descubra qué detienen realmente los controles, demuestre qué es explotable y dedique tiempo y mano de obra a la remediación solo si eso cambia el resultado. El agente BAS, impulsado por IA, es uno de los pilares centrales de la plataforma Picus, que prueba continuamente qué defensas están bloqueando y encuentra lo que importa, sin esperar a que un humano inicie el proceso o pase al siguiente ciclo. Además, si se descubre una brecha, la plataforma indica las mitigaciones necesarias específicas del proveedor y revalida para garantizar que la brecha realmente se cierre, en lugar de simplemente crear otro ticket en la pila.
La necesidad de decidir sobre la marcha si un nuevo titular pone en riesgo su negocio no desaparecerá pronto. La plataforma Picus permite a los equipos de seguridad obtener respuestas antes de que alguien las pregunte.
Descubra si los siguientes titulares le ponen en riesgo antes de que caigan. Solicite una demostración.
Nota: Este artículo fue escrito por Sıla Özeren Hacıoğlu, ingeniera de investigación de seguridad de Picus Security.
Source link
