En un panorama donde la promesa de la automatización impulsada por IA prometía transformar las pruebas de seguridad, un nuevo informe —el Cobalt State of Pentesting Report 2026— revela una caída pronunciada en la confianza de estas herramientas. De hecho, la dependencia total de la automatización para pruebas pasó de 29% en 2025 a 9% en 2026, señalando una brecha entre las expectativas y la realidad operativa. Este giro no es aislado: el 78% de los encuestados observó que las herramientas automatizadas identifican vulnerabilidades críticas con frecuencia insuficiente, y los fallos de los modelos de lenguaje grande (LLM) demostraron ser complejos, elevando el MTTR de 19 a 36 días y dejando la mayoría de los problemas sin resolver.

El informe destaca, además, que las vulnerabilidades son fuertemente dependientes del contexto. Aproximadamente una de cada tres conclusiones de una pentest realizada por IA se clasifica como de alto riesgo, un índice 2.7 veces superior al promedio en el software tradicional. Al momento del análisis, menos de dos quintas partes (38%) de las vulnerabilidades de LLM habían sido solucionadas, en contraste con un 62% aún abierto. Este empeoramiento del tiempo medio para resolver (MTTR) subraya la complejidad adicional cuando se trata de entender la arquitectura y el negocio subyacentes.

Frente a estas estadísticas, el equipo directivo de Cobalt enfatiza que las vulnerabilidades de LLM son profundamente dependientes del contexto y a menudo invisibles para herramientas que carecen de una comprensión arquitectónica de la aplicación. Como resultado, la recomendación es clara: la automatización debe desplegarse exactamente donde brilla, pero la experiencia humana de alto nivel sigue siendo fundamental para descubrir y remediar los riesgos más complejos de la lógica de negocio.

El cambio cultural también es notable: en menos de un año, la comunidad de ciberseguridad ha abandonado casi por completo la evaluación completamente automatizada y ha adoptado un modelo híbrido, con 47% de adopción reportada. Este enfoque combina la eficiencia de la automatización para tareas repetitivas o de bajo riesgo con la pericia humana para interpretar, priorizar y remediar fallas que requieren juicio estratégico. El crecimiento del modelo híbrido, un aumento de 22% año tras año, coincide con un fortalecimiento en la utilización de herramientas automatizadas en entornos de bajo riesgo.

A partir de estas observaciones, el mensaje para las organizaciones es claro: la automatización no debe verse como un reemplazo de la experiencia humana, sino como un catalizador que libera a los expertos para centrarse en riesgos complejos y lógicos de negocio. El potencial de herramientas tipo Mythos es real, pero su eficacia depende de una validación guiada por profesionales con comprensión del contexto arquitectónico y de negocio.

Este informe llega en un momento en que la industria observa otras iniciativas y comparativas en el ámbito de la seguridad cibernética, recordando que una estrategia de defensa integral debe equilibrar innovación tecnológica con rigor humano. Para las organizaciones, la lección es doble: invertir en capacidades de automatización para lo que realmente aporta valor y, al mismo tiempo, reforzar equipos con habilidades analíticas y de negocio que puedan interpretar y remediar los desafíos que la automatización por sí sola no puede resolver.

from Latest from TechRadar https://ift.tt/y8GzTEQ
via IFTTT IA