AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

El 95% de las empresas priorizan el pentesting, pero solo cubren el 32% de su superficie de riesgo

admin

1. Introducción

El último informe publicado conjuntamente por Synack, compañía líder en pruebas de penetración asistidas por IA, y Omdia, firma de investigación tecnológica, revela un preocupante desajuste entre la prioridad que las empresas otorgan al pentesting y la cobertura real que logran sobre su superficie de riesgo. Bajo el título “The 2026 State of Agentic AI in Pentesting”, el estudio profundiza en el estado actual y las tendencias emergentes en el ámbito de las pruebas de seguridad ofensivas, especialmente a la luz de la creciente integración de la inteligencia artificial autónoma (“agentic AI”) en los procesos de pentesting. Los resultados ponen en evidencia la necesidad urgente de replantear estrategias y metodologías para abordar la expansión del perímetro digital y la sofisticación de las amenazas.

2. Contexto del Incidente o Vulnerabilidad

El informe, basado en una encuesta a 300 responsables de seguridad de grandes organizaciones a nivel global, pone de manifiesto que el 95% de las empresas consideran el pentesting como una prioridad estratégica para su ciberseguridad. Sin embargo, solo un 32% de la superficie de riesgo identificada está siendo evaluada de manera efectiva mediante estas pruebas. Este desfase se atribuye a factores como la escasez de talento, la falta de automatización, la proliferación de activos IT y OT, y la complejidad de las arquitecturas híbridas y multicloud.

La superficie de riesgo, definida como el conjunto de activos, aplicaciones, servicios y datos expuestos, se ha visto incrementada exponencialmente en los últimos años por la aceleración de la transformación digital, el trabajo remoto y la adopción masiva de cloud y SaaS. Esta expansión dificulta la cobertura exhaustiva mediante metodologías tradicionales de pentesting, que suelen centrarse en activos críticos o regulados, dejando expuestos numerosos vectores no evaluados.

3. Detalles Técnicos

Las pruebas de penetración tradicionales, basadas en enfoques manuales y limitadas por la disponibilidad de equipos internos o proveedores externos, presentan carencias frente a la escala y dinamismo actuales. El informe identifica como principales vectores de ataque no cubiertos:

– APIs expuestas y microservicios no inventariados.
– Entornos cloud mal configurados (AWS, Azure, GCP), con permisos excesivos o buckets S3 públicos.
– Aplicaciones shadow IT y endpoints remotos.
– Integraciones SaaS de terceros no monitorizadas.

El 68% de la superficie de riesgo, según los datos, queda fuera del alcance de los ejercicios de pentesting realizados. Además, solo el 15% de las empresas utiliza herramientas automatizadas de escaneo de vulnerabilidades avanzadas o frameworks de simulación de ataques (BAS – Breach & Attack Simulation) como AttackIQ o SafeBreach en combinación con pentesting manual.

En cuanto a TTPs (Técnicas, Tácticas y Procedimientos) identificadas, el informe referencia técnicas del framework MITRE ATT&CK, especialmente Initial Access (T1190 – Exploit Public-Facing Application), Discovery (T1087 – Account Discovery) y Lateral Movement (T1021 – Remote Services). Se detectan IoC recurrentes como credenciales expuestas en repositorios, claves API sin protección o configuraciones por defecto.

No se reportan CVEs específicos en el informe, pero se subraya la explotación de vulnerabilidades conocidas (CVE-2023-34362, MOVEit; CVE-2024-21412, Windows SmartScreen) a través de superficies no testeadas.

4. Impacto y Riesgos

Las consecuencias de esta brecha de cobertura son significativas. El 39% de las empresas encuestadas sufrió al menos un incidente de seguridad derivado de activos no evaluados en pentesting en los últimos 12 meses. Las pérdidas medias asociadas a estos incidentes superan los 2,4 millones de euros por organización, incluyendo sanciones regulatorias por incumplimiento de GDPR y la inminente NIS2, daños reputacionales y costes operativos.

El informe advierte que la falta de visibilidad sobre la superficie de ataque real incrementa el riesgo de ataques dirigidos (ransomware, supply chain, extorsión) y de explotación de activos olvidados o mal gestionados, lo que puede derivar en brechas de gran impacto.

5. Medidas de Mitigación y Recomendaciones

Synack y Omdia recomiendan a las empresas adoptar estrategias de pentesting continuo y basado en riesgos, apoyándose en plataformas que integren inteligencia artificial agentica para automatizar la detección y evaluación de activos. Entre las mejores prácticas destacan:

– Uso de inventarios dinámicos de activos y gestión de superficie de ataque con soluciones como ASM (Attack Surface Management).
– Complementar pentesting manual con herramientas BAS y escáneres automáticos integrados (Metasploit, Cobalt Strike, Burp Suite Enterprise).
– Aplicación de técnicas de Red Team y Purple Team para validar controles de seguridad y la respuesta ante amenazas.
– Integración de resultados de pentesting en procesos DevSecOps y ciclos CI/CD.
– Refuerzo de la formación interna y colaboración con proveedores de pentesting especializados.

6. Opinión de Expertos

Según expertos consultados, el reto actual no es solo técnico, sino también organizativo: “La superficialidad en las pruebas de seguridad se traduce en una falsa sensación de protección”, señala Marta López, CISO de una multinacional del sector financiero. “El pentesting tradicional ya no es suficiente ante arquitecturas dinámicas y expansión cloud. La inteligencia artificial y el análisis automatizado son claves para cerrar la brecha de exposición”, añade Javier Marín, analista senior en un SOC global.

7. Implicaciones para Empresas y Usuarios

Para las empresas, la falta de cobertura integral en pentesting puede suponer incumplimientos regulatorios graves (GDPR, NIS2), sanciones y pérdida de clientes. Los usuarios finales también se ven afectados por potenciales fugas de datos, interrupciones de servicio y fraudes. La tendencia de mercado apunta a una migración hacia modelos de pentesting como servicio (PTaaS) y la integración de inteligencia artificial para escalar y personalizar las pruebas.

8. Conclusiones

La brecha existente entre la prioridad declarada del pentesting y la cobertura efectiva de la superficie de riesgo es una amenaza creciente en el ecosistema digital actual. Las organizaciones deben evolucionar hacia modelos de evaluación continua, automatizada y basada en inteligencia artificial para reducir su exposición y cumplir con los nuevos estándares regulatorios. La inversión en tecnologías avanzadas y la colaboración con equipos multidisciplinares son factores clave para reforzar la resiliencia ante amenazas cada vez más sofisticadas y persistentes.

(Fuente: www.cybersecuritynews.es)