Aikido

pentesting de IA el cumplimiento normativo

Escrito por
Jens Gellynck

¿Pueden las pruebas de penetración autónomas cumplir los requisitos de cumplimiento normativo?

Durante dos décadas, el término «pruebas de penetración» ha significado lo mismo: una vez al año, se contrata a una empresa, un evaluador dedica una o dos semanas a analizar los sistemas y se recibe un PDF. La mayoría de los marcos de cumplimiento se elaboraron en torno a ese ritual concreto: un proceso lento, manual y puntual.

El software ya no se lanza una vez al año. Se lanza muchas veces al día. La prueba de penetración anual ya era una instantánea que quedaba obsoleta en el momento mismo en que se firmaba; en un mundo de implementación continua, es una instantánea de un sistema que ya no existe.

Las pruebas de penetración con IA de Aikido están diseñadas para esa realidad: pruebas continuas y autónomas que se ejecutan en sus aplicaciones y API a medida que estas evolucionan, y generan un informe que puede entregar a un auditor. La pregunta que se hace cualquier CISO o responsable de cumplimiento normativo es: ¿se aceptará ese informe a efectos de cumplimiento normativo?

La respuesta breve es : «En el caso de la mayoría de los marcos normativos, sí; en el de unos pocos que exigen la intervención de una persona acreditada, no». Este artículo repasa los principales marcos normativos y ofrece una conclusión clara.

Cómo funciona la prueba de penetración autónoma de Aikido

Aikido hace que su flota de agentes de IA siga las mismas fases que sigue un pentester humano:

  1. Validación del alcance y de la titularidad. Los objetivos se definen desde el principio y se clasifican en «vulnerables» y «accesibles». Para evitar abusos, verificamos que seas el propietario de los activos incluidos en el alcance (por ejemplo, mediante la verificación de registros DNS) antes de enviar cualquier tráfico de prueba.
  2. Enumeración y modelización de amenazas. Los agentes mapean todas las funcionalidades, puntos finales y API incluidos en el alcance. En las intervenciones de caja blanca, el propio código fuente es la fuente de enumeración y los agentes elaboran un informe de reconocimiento y un plan de ataque. En las intervenciones de caja gris o caja negra, se basan en el rastreo, el fuzzing y la generación de listas de palabras.
  3. Identificación y explotación de vulnerabilidades. Los agentes buscan y explotan activamente los puntos débiles, pero solo en la medida necesaria para demostrar el impacto. No intentan obtener acceso persistente a sus sistemas, lo que significa que no se produce destrucción de datos, ni denegación de servicio, ni movimiento lateral dentro de la infraestructura, ni puertas traseras.
  4. Validación. Unos agentes de validación especializados reproducen cada hallazgo para confirmar que es real y que puede ser objeto de un ataque, lo cual es lo que distingue una prueba de penetración de un escáner de vulnerabilidades. Una vez finalizada la prueba de penetración, todos los datos y artefactos generados durante la evaluación se eliminan de nuestros sistemas.
  5. Informes. Recibirás un resumen ejecutivo, además de toda la información técnica detallada: descripción, gravedad, evaluación del impacto, pasos para reproducir el fallo y recomendaciones para su corrección para cada hallazgo confirmado.
  6. Corrección. En lugar de limitarse a proporcionarte una lista de tareas pendientes, corrección automática con IA de Aikido genera corrección automática con IA solicitudes de incorporación de cambios (pull requests) o parches para las vulnerabilidades confirmadas (siempre que sea posible). Esto te permite corregir los problemas detectados al instante y volver a realizar las pruebas de inmediato para confirmar que el riesgo ha desaparecido.

Qué es lo que comprobamos. La metodología abarca (entre otros) el Top 10 OWASP, Top 10 OWASP aplicaciones agenticas y el seguridad de API 10 seguridad de API OWASP seguridad de API , incluyendo las categorías que los escáneres automatizados pasan por alto: control de acceso roto autorización a nivel de objeto defectuosa (BOLA), fallos de autenticación, inyección, SSRF, configuración de seguridad incorrecta y abuso de la lógica de negocio. Dado que los agentes son de tipo «agentic» en lugar de basarse en firmas, encadenan pasos y razonan sobre el contexto tal y como lo haría un atacante, para luego detenerse en la prueba de impacto.

Por qué el informe constituye una prueba de auditoría

Una herramienta autónoma solo resulta útil para el cumplimiento normativo si se puede confiar en ella y demostrar cómo se ha comportado. Las pruebas de Aikido se basan en una metodología estructurada y en un conjunto de medidas de seguridad aplicadas técnicamente para garantizar que las pruebas autónomas sean seguras, estén delimitadas y sean auditables.

En la práctica, esto se traduce en controles que son importantes para los auditores:

  • Barreras de seguridad estrictas, no simples avisos. El ámbito de aplicación se aplica a nivel de red, y todo lo que quede fuera de él se bloquea automáticamente. Las barreras de seguridad se aplican técnicamente a través de un entorno aislado a nivel del núcleo del que el agente no tiene credenciales para escape, nunca mediante instrucciones «blandas» en forma de avisos.
  • Contención y seguridad. Los agentes se ejecutan en entornos aislados, están sujetos a restricciones de rendimiento y cuentan con recursos limitados; además, se aplica de forma predeterminada una lista de acciones prohibidas (herramientas de denegación de servicio, exfiltración de datos, operaciones destructivas y ataques de fuerza bruta contra credenciales).
  • Un interruptor de emergencia y un registro de auditoría inmutable. Cada acción, comando, solicitud y razonamiento del agente se registra en un registro a prueba de manipulaciones y se conserva durante al menos un año. El tráfico lleva un encabezado HTTP único y procede de direcciones IP estáticas dedicadas, por lo que es rastreable y se puede incluir en una lista blanca.
  • Precisión. Los resultados se validan para evitar falsos positivos y cualquier cambio en el modelo de IA se somete a exhaustivas pruebas comparativas antes de pasar a producción, lo que garantiza una mejora continua del sistema.
  • Transparencia total y cobertura verificable. Ofrecemos tanto a los clientes como a los auditores visibilidad sobre todo el proceso de pruebas mediante capturas de pantalla, un resumen exhaustivo de la cobertura y el razonamiento explícito que subyace a cada acción del agente. A diferencia de las pruebas de penetración tradicionales realizadas por personas, que a menudo solo proporcionan los resultados finales sin aportar pruebas de lo que realmente se ha llevado a cabo, Aikido te ofrece una prueba completa del trabajo realizado para que puedas verificar exactamente qué se ha probado.

Esta combinación constituye la prueba que exigen la mayoría de las auditorías: pruebas realizadas por terceros independientes, resultados reproducibles, un registro de auditoría transparente y un informe estructurado con directrices para la corrección de deficiencias.

¿Una prueba de penetración de alcance adecuado tiene valor probatorio?

Una prueba de penetración a medida es una evaluación basada en inteligencia artificial que adapta dinámicamente su profundidad y su precio al tamaño exacto y a la complejidad arquitectónica de tu aplicación. Aikido analiza tus repositorios, puntos finales y roles, y luego establece automáticamente el alcance adecuado. Aplicación pequeña, precio reducido. Plataforma compleja, cobertura exhaustiva.

En esencia, una prueba de penetración con alcance ajustado no difiere mucho de nuestras pruebas de penetración «normales». La diferencia fundamental radica en que el alcance se establece automáticamente, en lugar de hacerlo manualmente. Sigue siendo responsabilidad del cliente revisar y asegurarse de que el alcance esté correctamente definido. Por lo tanto, las pruebas de penetración con alcance ajustado siguen cumpliendo los requisitos de los marcos de cumplimiento que permiten la realización de pruebas de penetración autónomas.

Lo que buscan los auditores

Es útil saber qué es lo que realmente buscan los auditores o las normas en una prueba de penetración:

  • Una metodología documentada y repetible: no un enfoque improvisado.
  • Independencia: el equipo encargado de las pruebas no es el mismo que desarrolla o gestiona el sistema.
  • Pruebas reales de eficacia: más allá del análisis automatizado de vulnerabilidades.
  • Pruebas: hallazgos, gravedad y evidencia.
  • Corrección y nueva comprobación de los resultados.

Fíjate en lo que normalmente no se especifica: que es una persona quien debe pulsar las teclas. Algunos marcos de trabajo sí requieren pruebas realizadas por personas o de forma manual; esos son los que hay que tener en cuenta.

Resumen

Pruebas de penetración autónomas: correspondencia con el marco de cumplimiento
Marco de Trabajo Requisito exacto ¿Prueba de penetración autónoma? Cómo ayuda el informe
Reglamento
NIS2 Art. 21, apartado 2, letras e) y f); CIR 2024/2690, apartados 6.10 y 7.1 Se contemplan expresamente las pruebas automatizadas y de penetración
GDPR Art. 32, apartado 1, letra d) Demuestra que existe un proceso de pruebas sistemático
CRA Anexo I, parte II, apartado 3; parte I Pruebas de ciclo de vida «eficaces y periódicas»
Internacional
SOC 2 TSC CC4.1, CC7.1 Pruebas independientes de las «evaluaciones en curso»
ISO 27001 Anexo A, apartados 8.8, 8.25 y 8.29 Pruebas «planificadas, documentadas y repetibles»
Asistencia sanitaria
HIPAA 45 CFR § 164.308(a)(8); NPRM de 2024 Demuestra que se ha realizado la evaluación técnica periódica; todo está listo para la prueba de penetración anual propuesta
HITRUST Control 06.h (Comprobación del cumplimiento técnico); anual/permanente Prueba autónoma aceptada; el evaluador externo valida las pruebas
FDA FD&C, artículo 524B + directrices previas a la comercialización Proporciona el informe de pruebas de penetración necesario para la presentación previa a la comercialización
Reglamento sobre dispositivos médicos (MDR) de la UE Anexo I, GSPR 17.2, 17.4; MDCG 2019-16 Pruebas válidas de verificación y validación a lo largo de todo el ciclo de vida
IEC 81001-5-1 §5.7.4 (SVV-4), §5.7.5 La independencia de terceros cumple directamente con la norma SVV-4
Automoción
ISO/SAE 21434
Gobierno
ENS Medida mp.s.3; Auditoría del artículo 31 Cumple con el punto 3 del Reglamento; la cadencia continua supera los mínimos
NIST 800-53 CA-8, CA-8(1), CA-8(2) Sí, con el consentimiento de... Independiente, «más allá del escaneo»; confirmar con el evaluador
Orden Ejecutiva 14028 SP 800-218 PW.8 / PW.8.2 El artefacto que subyace a la autodeclaración de la CISA
FedRAMP CA-8 + Directrices sobre pruebas de penetración (3PAO) No Las pruebas de penetración de autorización y las anuales deben ser realizadas por una organización de evaluación de terceros acreditada (3PAO).
FISMA 800-53 CA-8 a través de RMF Sí, a discreción de la agencia Espejos CA-8
Finanzas
PCI DSS Requisitos 11.4.1 a 11.4.6 No La prueba de penetración 11.4 debe ser realizada por un evaluador humano cualificado; no se acepta un informe automático como prueba.
DORA Art. 24-25 / Art. 26-27 (TLPT) Sí para 24/25; No para TLPT Cumple con el programa de pruebas de los artículos 24 y 25; el artículo 26 de la TLPT exige la participación de «red-teamers» externos.
Medidas de protección de la FTC 16 CFR §314.4(d)(2) monitorización continua de forma explícita a la prueba de penetración anual
NYDFS 23 NYCRR, artículo 500.5 monitorización continua, o una prueba de penetración anual más una evaluación semestral

Conclusión: Las normas van por detrás de la tecnología

Las normas que establecen que «se debe comprobar periódicamente la eficacia de los controles» (RGPD, CRA, NIS2, SOC 2, ISO 27001, HIPAA, las directrices de la FDA, IEC 81001-5-1 y el SSDF) se han redactado en función de un resultado concreto y permiten realizar pruebas continuas y autónomas sin dificultades. Podría decirse que varias de ellas incluso lo favorecen.

Las normas que plantean dificultades son aquellas que incorporaron el modelo de ejecución de 2010 en el propio control: una intervención anual, manual y con acreditación humana (acreditación 3PAO, equipos rojos TLPT, las «técnicas manuales» de PCI). No se equivocan al valorar la experiencia humana. Simplemente se redactaron en un momento en el que la única forma de realizar pruebas de penetración era contratar a una persona durante una semana, una vez al año. No estaban preparadas para sistemas autónomos que comprueban cada compilación, verifican cada hallazgo, registran cada acción y, a continuación, corrigen y vuelven a probar lo que detectan.

Características específicas del sector

Sector financiero

PCI DSS

El requisito: la norma PCI DSS es el marco normativo más prescriptivo en este ámbito. Exige una metodología documentada para las pruebas de penetración, la realización de pruebas de penetración internas y externas al menos una vez al año y tras cualquier cambio significativo, la repetición de las pruebas en todo lo que se haya corregido, y la realización de pruebas independientes de los controles que segmentan el entorno de datos de los titulares de tarjetas (con mayor frecuencia en el caso de los proveedores de servicios). La prueba debe ser realizada por un evaluador cualificado que sea independiente, desde el punto de vista organizativo, de los sistemas sometidos a prueba.

¿Puede una prueba autónoma cumplir con este requisito? No. La propia Guía de pruebas de penetración de PCI establece una distinción entre una prueba de penetración y un análisis de vulnerabilidades: un análisis es automatizado, mientras que una prueba de penetración es un proceso manual de explotación que depende de la competencia de un evaluador cualificado e independiente. Las herramientas automatizadas pueden servir de ayuda, pero la guía considera que el trabajo manual constituye la prueba en sí misma. Una prueba de penetración autónoma no se aceptará como prueba de penetración de PCI.

Los agentes de Aikido sí que aprovechan la lógica de negocio, BOLA y las vulnerabilidades encadenadas, por lo que merece la pena ejecutarlos como pruebas de seguridad continuas las actividades de seguridad obligatorias, incluso tras cambios significativos. Esto supone una ventaja en materia de seguridad y una fuente de pruebas de corrección, no una certificación PCI. Planifica por separado la prueba de penetración realizada por personal cualificado.

Conclusión: No cumple el requisito. La prueba de penetración debe ser realizada por un evaluador humano cualificado. No se aceptarán pruebas autónomas como prueba de penetración PCI.

Referencia: PCI DSS v4.0.1, requisito 11.4 (11.4.1 a 11.4.6); Guía del PCI SSC sobre pruebas de penetración.

DORA

El requisito: DORA cuenta con dos niveles de pruebas. El nivel general consiste en un programa de pruebas de resiliencia operativa digital que toda entidad financiera debe establecer, y las pruebas de penetración son uno de los métodos que debe utilizar. El nivel avanzado exige la realización de pruebas de penetración basadas en amenazas (TLPT) al menos una vez cada tres años para las entidades financieras importantes, con normas estrictas sobre quién puede llevarlas a cabo.

¿Pueden las pruebas autónomas cumplir este requisito? Sí, en el caso del programa general; no, en el caso del TLPT. El programa general es flexible en cuanto a los métodos y entre los que enumera se incluyen las pruebas de penetración, por lo que las pruebas autónomas continuas se ajustan a él y van más allá del mínimo periódico. El TLPT es diferente. Se basa en el marco TIBER-EU del BCE y requiere la participación de miembros externos y cualificados del «equipo rojo», así como de un proveedor externo de inteligencia sobre amenazas, y las entidades de crédito importantes están obligadas a recurrir exclusivamente a evaluadores externos. Es decir, por su propio diseño, se trata de una intervención del «equipo rojo» con personal humano.

Conclusión: Sí, para el programa de pruebas general. No cumplirá con el requisito del TLPT, que exige la participación de miembros externos del «equipo rojo». Utiliza Aikido para ejecutar y documentar el programa general. El TLPT es una tarea independiente que debe ser realizada por personas.

Referencia: DORA (Reglamento (UE) 2022/2554), artículos 24 y 25 (programa de ensayos) y artículos 26 y 27 (TLPT).

Norma de Salvaguardias de la FTC

Requisito: La Norma de Medidas de Seguridad de la FTC regula la forma en que las entidades financieras protegen la información de sus clientes. Exige que se compruebe periódicamente la eficacia de las medidas de seguridad y ofrece dos formas de hacerlo: monitorización continua o, en su defecto, una prueba de penetración anual, además de evaluaciones de vulnerabilidad al menos cada seis meses. También es obligatorio realizar pruebas tras cambios importantes en las operaciones.

¿Pueden las pruebas autónomas cumplir este requisito? Sí. monitorización continua presenta como una alternativa directa a la prueba de penetración anual, que es precisamente lo que ofrecen las pruebas autónomas continuas. Para una institución que prefiera la vía periódica, un único programa autónomo cubre tanto la prueba anual como las evaluaciones semestrales. La norma no establece ningún requisito relativo al personal ni a la acreditación del evaluador.

Conclusión: Sí. monitorización continua de forma explícita a la prueba de penetración anual.

Referencia: Norma de medidas de protección de la FTC, 16 CFR 314.4(d) y 314.4(d)(2).

Reglamento sobre ciberseguridad del NYDFS

Requisito: La normativa de ciberseguridad para los servicios financieros de Nueva York se aplica a bancos, aseguradoras y otras entidades autorizadas en Nueva York, y se toma como referencia fuera del estado como estándar de referencia para el sector financiero. Su apartado sobre pruebas de penetración exige que las pruebas se basen en la evaluación de riesgos de la entidad, y se estructuren bien como monitorización continua una prueba de penetración anual acompañada de evaluaciones de vulnerabilidad semestrales.

¿Pueden las pruebas autónomas cumplir este requisito? Sí. Al igual que en la norma de la FTC, el reglamento considera monitorización continua la prueba de penetración anual como alternativas. Las pruebas autónomas continuas se corresponden con la vía de la monitorización continua y, para las entidades que elijan la vía periódica, también dan lugar a la prueba anual y a las evaluaciones semestrales. El reglamento no establece ningún requisito de acreditación de los evaluadores.

Conclusión: Sí. monitorización continua por sí sola el requisito.

Referencia: Reglamento de ciberseguridad del NYDFS, 23 NYCRR 500.5 (Segunda enmienda, 2023).

Sector sanitario

HIPAA

El requisito: la Norma de Seguridad de la HIPAA no menciona explícitamente las pruebas de penetración. Su norma de evaluación exige una evaluación periódica, tanto técnica como no técnica, de las medidas de seguridad, ámbito en el que suelen encuadrarse las pruebas de penetración. Una propuesta de actualización de diciembre de 2024 lo dejaría claro, exigiendo la realización de análisis de vulnerabilidades al menos cada seis meses y de pruebas de penetración al menos una vez al año. A mediados de 2026, dicha actualización aún no es definitiva, pero la orientación es clara.

¿Pueden las pruebas autónomas cumplir este requisito? Sí. Ni la norma de evaluación actual ni la actualización propuesta exigen la intervención de un evaluador humano. Un informe autónomo constituye hoy en día una prueba de que se ha llevado a cabo una evaluación técnica periódica, y mañana cumpliría con la obligación propuesta de realizar pruebas de penetración anuales, ya que las pruebas continuas superan la cadencia de una vez al año.

Conclusión: Sí, y estamos preparados para la norma propuesta.

Referencia: Norma de Seguridad de la HIPAA, 45 CFR 164.308(a)(8); Propuesta de norma reglamentaria de 2024 (RIN 0945-AA22).

HITRUST CSF

Requisito: HITRUST CSF es un marco certificable que utilizan las organizaciones sanitarias estadounidenses y sus proveedores para demostrar la protección de la información sanitaria protegida (PHI). Las pruebas de penetración forman parte de sus requisitos de cumplimiento técnico y de evaluación de la seguridad. Para obtener la certificación de nivel superior (r2), las pruebas deben realizarse en un periodo de 12 meses consecutivos y llevarse a cabo como un programa continuo, en lugar de como un evento anual único, con seguimiento de los resultados y repetición de las pruebas.

¿Pueden las pruebas autónomas cumplir este requisito? , HITRUST no exige que la prueba de penetración la realice una persona o un evaluador acreditado, y su preferencia por un programa continuo frente a una prueba anual concuerda con las pruebas autónomas continuas. Un informe de pruebas de penetración autónomas constituye una prueba válida para el evaluador.

Conclusión: Sí, en lo que respecta al requisito de las pruebas de penetración. La validación por parte del evaluador externo constituye una fase de auditoría independiente.

Referencia: Control 06.h del Marco de Cumplimiento de HITRUST (Verificación del cumplimiento técnico).

Directrices de la FDA sobre ciberseguridad previas a la comercialización

Requisito: La guía de la FDA titulada «Ciberseguridad en los productos sanitarios: consideraciones relativas al sistema de calidad y contenido de las solicitudes previas a la comercialización» recomienda un enfoque de pruebas de seguridad por capas, pero, en la práctica, exige un informe de pruebas de penetración en las solicitudes previas a la comercialización.

¿Pueden las pruebas autónomas cumplir con estos requisitos? Sí. Las directrices se centran en los resultados: se busca evidencia de que se han realizado las pruebas, quién las ha llevado a cabo, cuál ha sido su alcance, qué se ha detectado y, lo más importante, qué medidas se han tomado al respecto. En definitiva, se trata de garantizar que los riesgos de seguridad estén bajo control. El informe de pruebas de penetración con IA de Aikido cumple con estas expectativas.

Conclusión: Sí, pero hay que detallar en la solicitud el alcance del documento, los métodos y la independencia.

Referencia: Artículo 524B de la Ley FD&C; directrices de la FDA sobre ciberseguridad previas a la comercialización (2025).

Reglamento de la UE sobre productos sanitarios (MDR)

El requisito: Los requisitos generales de seguridad y rendimiento del Reglamento sobre productos sanitarios (MDR) exigen que el software de los productos sanitarios se desarrolle según los últimos avances tecnológicos, con procesos de verificación y validación, así como medidas mínimas de seguridad informática a lo largo de todo el ciclo de vida del producto. La guía de la UE sobre ciberseguridad de los productos sanitarios (MDCG 2019-16) incluye las pruebas de penetración como parte de dicha verificación y validación, junto con las pruebas de las funciones de seguridad, el fuzzing y el análisis de vulnerabilidades.

¿Pueden las pruebas autónomas cumplir este requisito? Sí. El MDR y sus directrices son independientes del método utilizado, y una prueba de penetración autónoma constituye una prueba válida de verificación y validación. Además, las pruebas continuas se ajustan mejor al enfoque centrado en el ciclo de vida que una prueba puntual. Al igual que en las directrices de la FDA, lo fundamental es demostrar que los riesgos para la seguridad están bajo control.

Conclusión: Sí.

Referencia: Reglamento (UE) 2017/745 (MDR) de la UE, anexo I, GSPR 17.2 y 17.4; guía MDCG 2019-16.

IEC 81001-5-1

Requisito: Se trata de la norma sobre el ciclo de vida seguro del software para aplicaciones sanitarias, que se armonizará con el MDR. Sus actividades de ensayo de sistemas de software incluyen ensayos de requisitos de seguridad, ensayos de mitigación de amenazas, ensayos de vulnerabilidad y pruebas de penetración. La norma exige que las pruebas de penetración las lleve a cabo un departamento u organización independiente de los desarrolladores, y contiene una disposición específica sobre la gestión de los conflictos de intereses entre los evaluadores y los desarrolladores.

¿Puede la prueba autónoma cumplir este requisito? Sí, y el requisito de independencia juega a tu favor. Lo que exige la norma es independencia organizativa respecto a los desarrolladores, no respecto a un probador humano. Como tercero externo, Aikido cumple ese requisito de independencia, mientras que la metodología autónoma y el registro de auditoría proporcionan la actividad documentada y repetible que espera la norma.

Conclusión: Sí, la independencia de terceros cumple con el criterio.

Referencia: IEC 81001-5-1:2021, cláusulas 5.7.4 (correspondiente a SVV-4) y 5.7.5.

Automoción

ISO/SAE 21434

El requisito: La ciberseguridad en el sector de la automoción se basa en la norma ISO/SAE 21434, la norma técnica sobre ciberseguridad de los vehículos, su metodología de riesgos y el análisis de amenazas y evaluación de riesgos («TARA»). La norma señala las pruebas de penetración como una forma de validar que se han cumplido los objetivos de ciberseguridad.

¿Pueden las pruebas autónomas cumplir con este requisito? Sí, en lo que respecta a las partes a las que pueden acceder. La norma se basa en los resultados. Las pruebas de penetración son uno de los varios métodos de validación existentes (por ejemplo, fuzzing, SAST, DAST, etc.), y un informe de pruebas de penetración autónomas constituye una prueba válida, además de que las pruebas continuas también se ajustan al énfasis en el ciclo de vida. Una salvedad: los vehículos se fabrican con componentes integrados, por lo que las pruebas de seguridad física a nivel de hardware no pueden realizarse mediante métodos autónomos.

Conclusión: Sí, en lo que respecta a la superficie de ataque conectada y del backend. La norma es flexible en cuanto a los métodos y acepta las pruebas autónomas como prueba de validación.

Referencia: ISO/SAE 21434:2021, validación de la ciberseguridad (cláusula 11, RQ-11-01).

Gobierno y sector público

ENS

El requisito: el Esquema Nacional de Seguridad de España incluye las pruebas de penetración como una medida de seguridad explícita. Son obligatorias para los sistemas de categoría alta y recomendadas para los de categoría media, y los resultados recientes se incorporan a la auditoría periódica del marco.

¿Pueden las pruebas autónomas cumplir este requisito? Sí. La norma ENS especifica que lo importante es que se realicen las pruebas, no quién las introduce. Los resultados de las pruebas de penetración autónomas cumplen este requisito, y las pruebas continuas superan las frecuencias recomendadas: anual (alta) y bienal (media).

Conclusión: Sí, las pruebas de penetración autónomas cumplen el requisito.

Referencia: ENS (Real Decreto 311/2022), anexo II, medida mp.s.3; auditoría periódica con arreglo al artículo 31.

NIST SP 800-53

El requisito: la norma NIST 800-53 incluye un control específico sobre las pruebas de penetración. Establece que estas pruebas deben realizarse con la frecuencia que determine la organización, prevé la intervención de un agente o equipo independiente encargado de las pruebas de penetración e incorpora ejercicios de «equipo rojo» como medida de mejora. El control establece explícitamente que las pruebas de penetración van más allá del análisis automatizado de vulnerabilidades y deben ser llevadas a cabo por agentes y equipos con competencias demostrables.

¿Puede el testeo autónomo cumplir este requisito? En gran medida sí, más que el PCI. El control se basa en la independencia y en ir más allá del simple escaneo, dos aspectos que cumple Aikido: es un tercero independiente y, además de escanear, ejecuta y valida. El control incluso utiliza el término «agentes». La decisión final sobre si un agente autónomo demuestra las «habilidades» requeridas recae en la autoridad evaluadora, por lo que debes confirmar la aceptación con tu evaluador.

Veredicto: Sí, con el visto bueno del evaluador. Se cumplen claramente los requisitos de independencia y de «ir más allá del simple análisis».

Referencia: NIST SP 800-53 Rev. 5, control CA-8 (con CA-8(1) y CA-8(2)).

Decreto Ejecutivo de EE. UU. n.º 14028

El requisito: esta orden ejecutiva de EE. UU. impulsó el Marco de Desarrollo Seguro de Software (SSDF). El marco incluye una práctica para probar el código ejecutable con el fin de detectar vulnerabilidades, en la que se enmarcan las pruebas dinámicas, el fuzzing y las pruebas de penetración. Los proveedores de las agencias federales de EE. UU. certifican por sí mismos que cumplen el marco mediante un formulario de certificación de la CISA.

¿Puede la prueba autónoma cumplir este requisito? Sí. El marco es tecnológicamente neutro. Una prueba de penetración autónoma es una forma legítima de cumplir con la práctica de pruebas de código, y tu informe constituye la prueba que respalda la autodeclaración.

Conclusión: Sí, no es necesario realizar pruebas manuales o con personal.

Referencia: Orden Ejecutiva 14028, sección 4(e); prácticas PW.8 y PW.8.2 del SSDF del NIST (SP 800-218); formulario de certificación de desarrollo seguro de software de la CISA (OMB M-22-18).

FedRAMP

Requisito: FedRAMP exige una prueba de penetración anual conforme a sus criterios de referencia, que se lleve a cabo utilizando un conjunto obligatorio de vectores de ataque y que sea realizada por una organización de evaluación externa acreditada (3PAO) para los sistemas de nivel «Moderado» y «Alto».

¿Puede una prueba autónoma cumplir este requisito? No. La prueba de penetración que forma parte de una autorización FedRAMP, así como la prueba de penetración anual que la mantiene, deben ser realizadas por una organización de evaluación de terceros acreditada (3PAO). Una prueba autónoma realizada por una entidad que no sea una 3PAO no se aceptará en un expediente de autorización ni en una evaluación anual. Puede llevarse a cabo entre esos procesos como prueba de seguridad adicional, pero no constituye una prueba válida para la autorización.

Conclusión: No cumple el requisito. Las pruebas de penetración deben ser realizadas por una organización externa acreditada.

Referencia: Directrices de FedRAMP sobre pruebas de penetración; control CA-8 de la norma NIST SP 800-53; acreditación 3PAO por parte de A2LA.

FISMA

Requisito: La FISMA toma de la norma NIST 800-53 sus requisitos en materia de pruebas, que se aplican a través del Marco de Gestión de Riesgos del NIST. El alcance y el rigor vienen determinados por la agencia y la categorización del sistema.

¿Puede cumplir este requisito la realización de pruebas autónomas? En general, sí, siguiendo la misma lógica que el control NIST 800-53, siempre que se cumplan los requisitos de evaluación de la agencia. En el caso de los sistemas que también soliciten una autorización externa con normas de evaluadores acreditados (como FedRAMP), se aplicarán las restricciones de dicho programa.

Conclusión: Sí, pero a discreción de la agencia.

Referencia: FISMA a través de la norma NIST SP 800-53 (CA-8) y la norma NIST SP 800-37 (Marco de gestión de riesgos).

Normas internacionales

SOC 2

El requisito: SOC 2 no exige explícitamente una prueba de penetración, pero los Criterios de Servicios de Confianza de la AICPA (el organismo regulador responsable de SOC 2) sí la mencionan: el criterio de supervisión menciona las pruebas de penetración como un método de evaluación aceptable, y el criterio relativo a la detección de nuevas vulnerabilidades se respalda mediante pruebas activas. En la práctica, los auditores esperan pruebas de las pruebas de penetración, especialmente para un informe de Tipo II, dentro del periodo de auditoría, junto con pruebas de las medidas correctivas y de las nuevas pruebas.

¿Pueden las pruebas autónomas cumplir este requisito? Sí. Una prueba realizada por un tercero independiente constituye una prueba más sólida que una prueba interna, y la expresión «evaluaciones continuas o independientes» apunta hacia la realización de pruebas continuas.

Conclusión: Sí. Las pruebas continuas se corresponden directamente con las «evaluaciones continuas».

Referencia: Criterios de servicios de confianza de la AICPA CC4.1 y CC7.1

ISO/IEC 27001

El requisito: Algunos de los controles del Anexo A de la norma ISO 27001 son los puntos clave: uno sobre la gestión de vulnerabilidades técnicas, que exige «pruebas de penetración o evaluaciones de vulnerabilidad planificadas, documentadas y repetibles, realizadas por personas competentes y autorizadas»; otro sobre las pruebas de seguridad en las fases de desarrollo y aceptación; y otro sobre el ciclo de vida del desarrollo seguro.

¿Pueden las pruebas autónomas cumplir este requisito? Sí. El texto de la norma es prácticamente una descripción de las pruebas autónomas, y la reproducibilidad está integrada en el funcionamiento de los agentes. Los auditores aceptan como prueba las pruebas automatizadas y continuas realizadas por terceros, y el informe y el registro de auditoría aportan la parte «documentada».

Conclusión: Sí. Las pruebas «repetibles» encajan a la perfección.

Referencia: ISO/IEC 27001:2022, anexo A; controles 8.8, 8.25 y 8.29 de la norma ISO/IEC 27002:2022.

Normativa europea

Directiva NIS2

El requisito: La NIS2 exige a las organizaciones afectadas que gestionen las vulnerabilidades y cuenten con políticas para evaluar la eficacia de sus medidas de seguridad. El reglamento de aplicación detalla esto mediante gestión de vulnerabilidades y pruebas de seguridad automatizadas o manuales, pruebas de penetración y análisis de vulnerabilidades, que deben realizarse de forma periódica y tras cambios significativos.

¿Pueden las pruebas autónomas cumplir este requisito? Sí, de forma explícita. El reglamento de aplicación de la NIS2 es uno de los pocos instrumentos que menciona las pruebas automatizadas y las pruebas de penetración como métodos aceptables. Las pruebas autónomas continuas se ajustan a la formulación «de forma periódica y tras cambios significativos», y el informe sirve como prueba tanto para las obligaciones de gestión de vulnerabilidades como para las de evaluación de la eficacia.

Conclusión: Sí. Se contemplan expresamente las pruebas automatizadas y de penetración.

Referencia: Directiva NIS2 (UE) 2022/2555, artículo 21, apartado 2, letras e) y f); Reglamento de aplicación (UE) 2024/2690, anexo, puntos 6.10 y 7.1.

GDPR

El requisito: El RGPD exige que se establezca un proceso para comprobar, analizar y evaluar periódicamente la eficacia de las medidas de seguridad técnicas y organizativas.

¿Pueden las pruebas autónomas cumplir este requisito? Sí. El RGPD no prescribe ningún método concreto y hace hincapié en la realización de pruebas periódicas, por lo que las pruebas autónomas continuas constituyen una demostración más sólida de que el proceso está en marcha que un informe en PDF anual. El informe pone de manifiesto tanto el ciclo de pruebas como el de corrección.

Conclusión: Sí, favorece las pruebas continuas.

Referencia: RGPD (Reglamento (UE) 2016/679), artículo 32, apartado 1, letra d).

Ley de Ciberresiliencia

Requisito: La CRA exige que los productos que contengan elementos digitales se comercialicen sin vulnerabilidades explotables conocidas y que, como parte de la gestión de las vulnerabilidades a lo largo del ciclo de vida del producto, se realicen pruebas y revisiones eficaces y periódicas de la seguridad del mismo.

¿Pueden las pruebas autónomas cumplir con ello? Sí. Las pruebas «eficaces y periódicas» son lo que pentesting autónomo continuas y pentesting autónomo a lo largo de todo el ciclo de vida del producto, y el informe respalda tanto la obligación de realizar pruebas como el requisito de que no haya «vulnerabilidades explotables conocidas» en el momento del lanzamiento.

Conclusión: Sí, las pruebas «periódicas» favorecen las pruebas de penetración autónomas.

Referencia: Ley de Ciberresiliencia Reglamento (UE) 2024/2847), anexo I (parte I y parte II, punto 3); artículo 13.

Compartir:

https://www.aikido.dev/blog/ai-pentesting-for-compliance

Suscríbete para recibir noticias

4.7/5
¿Cansado de los falsos positivos?

Prueba Aikido como otros 100k.
Empiece ahora
Obtenga un recorrido personalizado

Con la confianza de más de 100k equipos

Reservar ahora
Escanee su aplicación en busca de IDORs y rutas de ataque reales

Con la confianza de más de 100k equipos

Empezar a escanear
Vea cómo el pentesting de IA prueba su aplicación

Con la confianza de más de 100k equipos

Empezar a probar

Asegura tu plataforma ahora

Protege tu código, la nube y el entorno de ejecución en un único sistema central.
Encuentra y corrije vulnerabilidades de forma rápida y automática.

No se requiere tarjeta de crédito | Resultados del escaneo en 32 segundos.