Las pruebas de penetración tenían sentido cuando las versiones se lanzaban cada pocos meses. Una evaluación puntual podía ofrecer una imagen precisa del riesgo durante semanas, a veces incluso meses. Hoy en día, los equipos de ingeniería realizan lanzamientos de forma continua. Nuestra encuesta «El estado de la IA en las pruebas de penetración», realizada a 200 CISO y 200 responsables de ingeniería, reveló que el 76 % implementa cambios significativos al menos una vez a la semana, mientras que casi el 40 % lo hace a diario. Sin embargo, solo el 21 % comprueba la seguridad en cada lanzamiento.
Esa brecha tiene consecuencias.
- El 79 % está preocupado por la posibilidad de que se pasen por alto vulnerabilidades entre una prueba de penetración y otra.
- La mitad afirma que los resultados ya están desactualizados cuando llega el informe.
- El 64 % afirma que los plazos de las pruebas de seguridad influyen en las decisiones de lanzamiento, ya sea retrasando las implementaciones u obligando a los equipos a asumir riesgos adicionales.
Para muchas organizaciones, pentesting de IA convirtiendo en la forma más práctica de salvar esa brecha. Sin embargo, dado que sigue siendo una categoría relativamente nueva, los compradores suelen evaluar las plataformas utilizando criterios diseñados para las pruebas de penetración tradicionales. Esos criterios ya no permiten determinar qué plataforma funcionará mejor una vez que se integre en el flujo de trabajo de desarrollo.
Preguntas que todo pentesting de IA debería ser capaz de responder
Todos los proveedores pueden demostrar la detección de vulnerabilidades.
Las preguntas más difíciles surgen una vez que la plataforma se integra en tu flujo de trabajo de ingeniería. ¿Puede utilizar el código fuente? ¿Cómo se evita que los agentes de IA se salgan del ámbito de actuación? ¿Seguirá la plataforma aportando valor a medida que tu software vaya cambiando?
¿Puede la plataforma utilizar código fuente?
En más de 1.000 pruebas de penetración con IA, las pruebas de caja blanca detectaron siete veces más vulnerabilidades y requirieron menos intentos que las pruebas de caja gris por sí solas.
No todas pentesting de IA admiten las pruebas de caja blanca, y las que sí lo hacen no utilizan necesariamente el código fuente de la misma manera. Comprender cómo utilizan el código los proveedores, así como las pruebas en las que se basan los resultados, debería formar parte de toda evaluación.
Pregunta a los proveedores:
- ¿Admite la plataforma las pruebas de caja blanca?
- ¿El acceso mediante código es opcional?
- ¿Cómo se utiliza el código fuente durante las pruebas?
- ¿Cómo se protege el código fuente de los clientes?
- ¿Qué pruebas demuestran que el acceso al código mejora los resultados?

¿Estás comparando a los proveedores de forma imparcial?
Una evaluación de proveedores solo resulta útil si todas las plataformas se prueban en condiciones comparables.
Si un proveedor recibe el código fuente y otro no, o si una plataforma tarda mucho más en ejecutarse o consume muchos más créditos, resulta difícil comparar los informes finales.
Una de las recomendaciones de la guía es:

La lista de verificación profundiza en este tema con preguntas prácticas que abarcan la autenticación, el código fuente, el alcance, la validación y la presentación de informes, de modo que todos los proveedores sean evaluados en las mismas condiciones.
¿Cómo se garantiza que las pruebas se mantengan dentro del alcance?
Los agentes de IA están diseñados para explorar aplicaciones. Los compradores deben comprender exactamente cómo se aplican esos límites.
Pregunta cómo se controla el ámbito de aplicación. ¿Se puede excluir la producción de forma predeterminada? ¿Hay una lista de dominios permitidos? ¿Qué ocurre si un agente sigue una redirección fuera del entorno acordado? ¿Se pueden supervisar o detener las pruebas mientras se están ejecutando?
Las plataformas más sólidas aplican estos controles desde el punto de vista técnico, en lugar de basarse en avisos o instrucciones escritas.
¿Cómo se adapta la plataforma a los cambios en el software?
Los equipos de ingeniería modernos no dejan de lanzar actualizaciones una vez finalizada una prueba de penetración. El código nuevo, las nuevas funcionalidades y las nuevas dependencias modifican la superficie de ataque.
Pregunta a los proveedores cómo se integra su plataforma en tu proceso de lanzamiento. ¿Se pueden ejecutar las pruebas de forma automática a medida que cambia el software? ¿Con qué rapidez se puede incorporar una nueva aplicación? ¿Se vuelven a probar las correcciones sin necesidad de programar otra sesión? ¿Cuánto tiempo se tarda en obtener los primeros resultados significativos?
Estas cuestiones cobran cada vez más importancia para las organizaciones que realizan implementaciones varias veces a la semana o que integran la seguridad directamente en los procesos de CI/CD.
Señales de alerta habituales durante una evaluación
La guía también destaca los signos de alerta que merecen un análisis más detallado.
- Los proveedores no pueden explicar cómo se validan los resultados.
- La solicitud de acceso al código se desestima a falta de pruebas comparativas.
- Las medidas de seguridad se basan en avisos en lugar de controles técnicos.
- Todas las demostraciones se centran en vulnerabilidades conocidas de OWASP, sin que se aprecien apenas pruebas de la lógica de negocio.
Ninguno de estos factores descarta automáticamente una plataforma, pero cada uno de ellos merece un análisis más detallado antes de tomar una decisión.
Descarga la guía pentesting de IA
Los ejemplos anteriores son solo una pequeña parte del marco de evaluación.
La guía completa también incluye:
- Una lista de verificación práctica para la evaluación de proveedores
- Comparaciones entre las pruebas de penetración con IA y las manuales
- Estudio basado en más de 1.000 pruebas de penetración con IA
- Análisis de las pruebas de caja blanca frente a las de caja gris
- Principales conclusiones de nuestro informe «El estado de la IA en las pruebas de penetración»
- Un caso práctico anónimo de un cliente en el que pentesting de IA 13 vulnerabilidades, mientras que una prueba de penetración manual de 120 horas no había detectado ninguna.
Tanto si estás evaluando Aikido como otra plataforma, esta guía está diseñada para ayudarte a comparar todos los proveedores según el mismo conjunto de criterios.
Descarga aquí la guía completa:

