Durante años, los líderes de ciberseguridad creyeron que más datos de vulnerabilidades significaban mayor seguridad. Largas listas de CVE, informes de escaneo detallados y pruebas de penetración trimestrales ofrecían una sensación de control. Pero, en la práctica, se han convertido en una fuente de distracción. En el mundo actual, los atacantes emplean IA para moverse más rápido y de forma más inteligente que nunca. Los defensores que dependen de procesos manuales o auditorías poco frecuentes quedan permanentemente rezagados.
A medida que las operaciones ofensivas escalan con IA, la defensa debe responder de la misma manera. La única forma de neutralizar la velocidad y la automatización es mediante una defensa inteligente, habilitada por IA, que identifique lo que los atacantes realmente utilizan, no lo que podría parecer peligroso solo en teoría.
El backlog de vulnerabilidades se ha convertido en una responsabilidad para el negocio
Los escáneres automatizados y las pruebas de penetración generan montañas de hallazgos. Sin embargo, innumerables estudios muestran que solo una pequeña fracción —aproximadamente entre el 9% y el 10% (requiere suscripción)— de las vulnerabilidades conocidas llega a explotarse en el mundo real. El resto engrosa las colas de remediación, consume el tiempo de los analistas y desvía la atención del riesgo real.
Los atacantes se enfocan en lo que funciona, no en lo que es teóricamente posible, por lo que una mentalidad de volumen sobre valor deja a las organizaciones vulnerables, con grandes backlogs que crean una falsa percepción de seguridad.
La IA ha cambiado lo que los atacantes pueden lograr
Los ciberataques modernos ya no requieren semanas de esfuerzo humano. Campañas que antes exigían una coordinación experta ahora se ejecutan a velocidad de máquina. De hecho, Anthropic informó recientemente haber detenido un ataque de IA que automatizaba entre el 80% y el 90% de la cadena de ataque, planificando rutas de encadenamiento de exploits y ejecutando movimientos laterales en tiempo real con una velocidad y eficiencia muy superiores a las de los operadores humanos.
La IA potencia cada etapa maliciosa:
• La ingeniería social parece humana y personal.
• El audio y video deepfake imitan de forma convincente a ejecutivos.
• Las cadenas de explotación se despliegan en segundos, no en días.
• El movimiento lateral identifica rutas ocultas detrás del firewall.
Un incidente ampliamente reportado involucró a un empleado de finanzas engañado por un CFO deepfake para transferir 25 millones de dólares. Estos ataques no son especulación futura. Están ocurriendo ahora.
Las defensas deben igualar la velocidad del ataque; de lo contrario, solo serán un retraso en lugar de una defensa. Y si la seguridad continúa dependiendo de pruebas episódicas y una priorización lenta, siempre irá varios pasos atrás.
La explotabilidad primero no solo es inteligente: es necesaria
Para contrarrestar la ofensiva habilitada por IA, los defensores también deben automatizar su toma de decisiones. Esto no elimina a las personas del proceso. Les permite a los equipos de seguridad concentrarse donde generan mayor impacto. Los estudios muestran repetidamente que solo un pequeño porcentaje de los puntajes de vulnerabilidad y CVE teóricos son realmente explotables y representan un riesgo inmediato.
¿Cuáles de estos puede explotar realmente un atacante hoy?
Cuando los equipos adoptan un modelo “explotabilidad primero”:
• Los hallazgos de bajo riesgo se despriorizan y los riesgos accionables suben a la cima.
• Los recursos de remediación se enfocan donde más importan.
• Los reportes ejecutivos se basan en evidencia y no en teorías.
• Los equipos de seguridad recuperan tiempo, claridad y propósito.
Las organizaciones que migran a este modelo suelen reportar una reducción del 70% al 90% en el ruido de vulnerabilidades (requiere suscripción). Eso no es marketing. Es eficiencia operativa y una protección más sólida.
La defensa debe igualar a la ofensiva con IA
La ofensiva impulsada por IA requiere una defensa impulsada por IA. La automatización no debe reemplazar a las personas; debe potenciarlas. Las herramientas adecuadas descubren automáticamente rutas de ataque expuestas, validan la explotabilidad y priorizan las correcciones. El proceso se vuelve continuo en lugar de episódico.
La seguridad debe evolucionar para:
• Detectar exposiciones inmediatamente después de cambios o despliegues.
• Validar rutas de explotación del mundo real.
• Proporcionar evidencia clara y accionable para la remediación.
• Reevaluar de forma continua a medida que cambia el entorno.
Solo este ritmo puede mantenerse al paso de atacantes que nunca descansan.
Por qué la IA responsable importa
Así como las empresas adoptan la IA para impulsar la innovación, también deben desplegar IA defensiva de manera responsable. El objetivo no es la vigilancia ni el exceso de control; es proteger los activos digitales, la propiedad intelectual y a las personas que dependen de ellos.
Al enfocarse en la explotabilidad en lugar del volumen y al emparejar la defensa con IA del mismo modo que lo hacen los atacantes, las organizaciones pueden reducir su superficie de ataque, optimizar la remediación y recuperar claridad en un mundo saturado de ruido.
El futuro de la ciberseguridad no reside en encontrar cada falla, sino en prevenir cada exploit.