Las empresas solo evalúan un tercio de su superficie de ataque pese a priorizar el pentesting

Synack y la firma de análisis Omdia han publicado el informe The 2026 State of Agentic AI in Pentesting, que destapa una brecha significativa entre las prioridades declaradas por los equipos de seguridad y la cobertura real de sus pruebas. Según el estudio, aunque el 95% de las organizaciones consideran las pruebas de penetración una prioridad máxima, actualmente solo prueban, de media, el 32% de su superficie de ataque global.

Esta falta de cobertura deja sin evaluar el 68% del entorno empresarial, generando puntos ciegos especialmente preocupantes en un contexto donde los adversarios impulsados por IA avanzan con rapidez.

 

Hacia un modelo ofensivo continuo, agentivo y supervisado por humanos

Los modelos tradicionales de pentesting no pueden seguir el ritmo de los entornos modernos basados en la nube y la automatización. El informe confirma un cambio estructural en el sector: el paso de las pruebas puntuales hacia un enfoque continuo, apoyado en IA agéntica, pero con supervisión humana. Jay Kaplan, CEO y cofundador de Synack, afirma que “la seguridad requiere la velocidad de las máquinas para la amplitud y el juicio humano para la creatividad”.

El 87% de las organizaciones ya están planificando, probando o utilizando IA agéntica para pentesting, el 95% prevé que esta tecnología sustituirá a los servicios tradicionales, y un 49% espera una sustitución total o significativa. Por otra parte, un 64% apuesta por un modelo híbrido formado por agentes automatizados con supervisión humana, mientras que el 93% exige medidas de seguridad exhaustivas y transparencia en la toma de decisiones de la IA.

Synack subraya que cerrar la brecha de cobertura será una prioridad estratégica para las organizaciones que buscan mejorar tiempos de corrección y demostrar valor al negocio.