La inteligencia artificial complica la detección de vulnerabilidades
- Seguridad
Un informe de Cobalt revela una caída drástica en la confianza de las empresas en el pentesting totalmente automatizado, que pasa del 29% al 9% en solo un año. El 78% de los equipos de seguridad afirma haber sufrido falsos negativos críticos en herramientas de escaneo automatizado, especialmente en aplicaciones basadas en IA.
El segundo informe anual Cobalt AI and Pentesting Pulse Report 2026 muestra un giro radical en la estrategia de validación de seguridad. La proporción de organizaciones que confiaban exclusivamente en la automatización para sus pruebas ha caído del 29% al 9% en un año. Paralelamente, el modelo híbrido, que combina IA con expertos humanos, ha aumentado 22 puntos, alcanzando el 47% de preferencia entre los equipos de seguridad.
La razón es que el 78% de las organizaciones ha experimentado falsos negativos críticos en herramientas automatizadas, que no detectaron vulnerabilidades relevantes en sus sistemas.
La IA genera vulnerabilidades más complejas y difíciles de detectar
El informe confirma que las aplicaciones basadas en IA y LLM producen hallazgos de alto riesgo a un ritmo 2,7 veces superior al del software tradicional. El 32% de los hallazgos en aplicaciones de IA se clasifican como de alto riesgo, frente al 12% del resto de aplicaciones. Además, solo el 38% de las vulnerabilidades en LLM han sido corregidas, dejando un 62% aún abiertas, el peor índice de resolución entre todas las categorías analizadas.
Entre los incidentes confirmados relacionados con IA, destacan cinco vectores principales: shadow AI (44%), envenenamiento de datos/modelos (41%), gestión incorrecta de salidas (41%), vulnerabilidad de la cadena de suministro (35%) e inyección de prompts (34%).
El tiempo medio de resolución (MTTR) de vulnerabilidades en IA/LLM ha aumentado de 19 a 36 días, reflejando que los equipos ya no lidian con fallos superficiales, sino con vulnerabilidades mucho más complejas y contextuales.
El 82% de los profesionales afirma estar dedicando significativamente más esfuerzo a iniciativas de seguridad en IA, y el 77% de las organizaciones ya realiza evaluaciones y pentests regulares en productos impulsados por IA, un aumento de 11 puntos respecto al año anterior.
Andrew Obadiaru, CISO de Cobalt, advierte que los algoritmos sin supervisión pueden generar aún más falsos positivos y falsos negativos que los escáneres actuales. “Las vulnerabilidades en modelos de lenguaje (LLM) dependen profundamente del contexto y son invisibles para las herramientas que no tienen una comprensión arquitectónica de la aplicación”, afirma el directivo, que insiste en que la automatización debe emplearse donde realmente aporta valor, pero que la experiencia humana sigue siendo imprescindible para descubrir riesgos complejos de lógica de negocio.
