Aikido
Empieza gratis
Sin tarjeta
Casos de éxito de clientes

Balena utiliza pentesting de IA para validar en profundidad APIs complejas y eliminar la fricción de las pruebas de seguridad.

450,000+
Solicitudes de API ejecutadas
350
solicitudes SAML dirigidas
Publicado el:
Mayo 19, 2026
Última actualización el:
Mayo 19, 2026

De un vistazo

  • Sustituye los frustrantes pentests manuales por pruebas de IA conscientes del contexto
  • Utiliza pruebas de caja blanca para validar APIs complejas basadas en OData
  • Genera cientos de miles de solicitudes de API válidas para una cobertura profunda
  • Mejora la confianza en la seguridad sin fricción con el proveedor
  • Escala las pruebas en características, regiones y despliegues

Desafío.

Para Balena, la seguridad no es solo cuestión de cumplimiento. Se trata de demostrar que una plataforma IoT altamente compleja es segura por diseño. Balena proporciona gestión de flotas IoT para dispositivos Linux embebidos, permitiendo a los clientes desplegar y gestionar aplicaciones en flotas que van desde miles hasta cientos de miles de dispositivos. A medida que su base de clientes crecía, también lo hacían las expectativas en torno a la seguridad.

La empresa obtuvo la certificación ISO 27001 en 2024 y actualmente está buscando la certificación SOC 2 Tipo 2. Como parte de este esfuerzo, las pruebas de penetración se volvieron esenciales.

Pero el pentesting manual generó más fricción que claridad.

Los hallazgos eran a menudo difíciles de interpretar y a veces malinterpretaban fundamentalmente cómo funcionaban los sistemas de Balena. Por ejemplo, los pentesters señalaron el uso de la firma JWT simétrica como una vulnerabilidad, a pesar de ser una elección de diseño deliberada y válida dentro de la arquitectura de Balena.

“Después de cada sesión de pentesting manual, la conclusión era la misma: la próxima vez necesitamos encontrar a otra persona.”

En lugar de generar confianza, los pentests se convirtieron en una fuente recurrente de frustración.

Por qué Balena recurrió al pentesting de IA

Balena descubrió Aikido a través de la investigación de seguridad y la exposición en la comunidad, incluyendo eventos de OWASP y el trabajo continuo en el ecosistema Node.js. Al mismo tiempo, el equipo se sentía cada vez más cómodo con las herramientas de desarrollo asistidas por IA, lo que hizo que la idea del pentesting impulsado por IA fuera un paso natural.

Inicialmente, la decisión de probar el pentesting de IA fue pragmática.

“El pentest de IA de Aikido era asequible en comparación con el pentesting manual. Lo que destacó inmediatamente fue la capacidad de proporcionar contexto.”

En lugar de depender de técnicas de escaneo genéricas, Aikido podía acceder a la base de código de Balena y ser guiado utilizando conocimiento específico del dominio. Esto cambió la cuestión de encontrar un mejor proveedor a entender cómo utilizar mejor la IA para las pruebas de seguridad.

“La frustración llevó a la automatización, y la automatización nos llevó a la IA... rompiendo finalmente el ciclo de las auditorías manuales restrictivas.”

Ejecutando el pentest de IA

Empezar requirió un esfuerzo mínimo. Balena conectó sus repositorios, configuró el alcance y lanzó la prueba sin retrasos legales u operativos.

“Fue bastante fácil obtener una prueba y hacer clic en iniciar. Sin grandes obstáculos.”

El equipo utilizó un enfoque de caja blanca, dando a la IA acceso a su código y modelo de datos. Fundamentalmente, instruyeron a la IA para que siguiera la especificación OData, que define cómo opera su API.

Esto marcó una diferencia significativa. Los pentesters anteriores habían tenido dificultades incluso para construir solicitudes OData válidas. En contraste, la IA fue capaz de interpretar la especificación, leer el modelo de datos y generar consultas complejas y válidas. El resultado fue un nivel de profundidad de prueba fundamentalmente diferente.

Lo que el pentest de IA aportó

El pentesting de IA generó más de 450.000 solicitudes de API dentro del horario laboral estándar, muchas de las cuales eran sintácticamente correctas y devolvieron respuestas válidas.

Este nivel de precisión destacó inmediatamente.

“Nunca habíamos visto esta profundidad en el uso de consultas OData por parte de ningún pentester humano.”

En lugar de enviar cargas útiles de ataque irrelevantes o genéricas, la IA se centró en interacciones realistas con el sistema. También descubrió problemas significativos de forma temprana, incluso durante una simple prueba piloto.

Más allá de la escala, la IA demostró un nivel de pruebas conscientes del contexto que faltaba en los compromisos anteriores.

Al probar una nueva integración SAML, la IA identificó el código relevante en todos los repositorios y generó aproximadamente 350 solicitudes dirigidas contra esos endpoints. Probó activamente el aislamiento de inquilinos y los permisos encadenando IDs de objetos, organizaciones y usuarios, validando que los usuarios no podían acceder a datos fuera de su alcance.

Es importante destacar que el valor no estaba ligado a encontrar una única vulnerabilidad crítica. En cambio, provino de la confianza en el propio proceso de prueba. La IA demostró que entendía el sistema y podía explorarlo de maneras que se alineaban con el funcionamiento real de la API.

Esto eliminó una importante fuente de fricción que Balena experimentaba con el pentesting manual.

“Ahora la pregunta no es a quién debemos contratar a continuación. Es cómo usamos mejor la IA y cuánto presupuesto queremos asignar.”

Resultados

Para Balena, el impacto del pentesting de IA se entiende mejor como un cambio de pruebas impulsadas por el cumplimiento a una validación precisa y consciente del sistema.

En lugar de dedicar tiempo a corregir malentendidos de probadores externos, el equipo puede centrarse directamente en mejorar la seguridad. Los requisitos de auditoría se pueden cumplir sin la sobrecarga interna de volver a explicar la arquitectura o validar hallazgos incorrectos.

Al mismo tiempo, la capacidad de lanzar pruebas sin demoras legales u operativas cambia la forma en que la seguridad encaja en el desarrollo de productos. Nuevas características como las integraciones SAML o nuevas geolocalizaciones pueden probarse inmediatamente, proporcionando una validación de seguridad rápida y creíble.

La transparencia también mejora. En lugar de depender de informes estáticos, Balena puede mostrar exactamente lo que se probó a través de registros de solicitudes detallados y trazas de agentes.

ROI vs pentesting manual

En comparación con los compromisos manuales anteriores, el pentesting de IA ofreció resultados de mayor calidad a un menor coste. La mayor diferencia fue operativa. El pentesting manual requería ciclos de incorporación con llamadas introductorias, reuniones informativas y aprovisionamiento de acceso. Con la IA, esa sobrecarga desaparece por completo.

La eficiencia de la ingeniería también mejoró. En lugar de descifrar informes PDF estáticos y reproducir hallazgos manualmente, los ingenieros pueden reutilizar directamente los scripts exactos generados por la IA para validar y corregir problemas.

La profundidad de la cobertura también es materialmente diferente. Cientos de miles de solicitudes, incluidas consultas OData complejas, se ejecutaron dentro del horario laboral estándar. Este nivel de escala y precisión no se había logrado con pentesters humanos.

“Con las pruebas de caja blanca de IA, compartir los hallazgos nunca ha sido tan fácil. Este mapeo directo a nivel de código libera a nuestros ingenieros para analizar lógicas complejas e implementar soluciones reales, en lugar de debatir falsos positivos.”

Perspectivas futuras

Balena ve el pentesting de IA como una capacidad que mejora con la iteración.

Hoy en día, una parte significativa del presupuesto de pruebas se gasta en que la IA aprenda el sistema antes de pasar a rutas de ataque más profundas. Con el tiempo, el objetivo es reducir esta fase de descubrimiento para que se pueda centrar más esfuerzo en el análisis de alto impacto.

Otra oportunidad reside en la elaboración de informes. Si bien los registros y trazas brutos proporcionan total transparencia, su volumen los hace difíciles de consumir. Un resumen conciso de las estrategias de ataque, los vectores exitosos y los callejones sin salida facilitaría la comunicación y la acción sobre los resultados.

De cara al futuro, Balena está particularmente interesada en un modelo donde las pruebas se basen en ejecuciones anteriores, permitiendo que la IA retenga el contexto y continúe explorando el sistema en lugar de empezar desde cero.

Trabajar con Aikido

Más allá de la tecnología, la colaboración en sí misma destacó.

«Resultados rápidos, comunicación honesta y cero promesas de ventas vacías. Nos dieron el tiempo necesario para completar nuestra evaluación de proveedores sin ninguna presión. Obtener resultados accionables en días, además de acceso directo a sus ingenieros para ajustar la IA, es exactamente el tipo de colaboración que buscamos.»

Si tiene curiosidad por leer las experiencias de Balena usando Aikido, consulte su entrada de blog aquí.

Ir a:
Enlace de texto
Compartir:

https://www.aikido.dev/customer-story/balena

Sitio web
https://www.balena.io/
Fundada
2013
Industria
Desarrollo de Software
Sede
Seattle, EE. UU.

Asegura tu plataforma ahora

Protege tu código, la nube y el entorno de ejecución en un único sistema central.
Encuentra y corrije vulnerabilidades de forma rápida y automática.

Iniciar escaneo
Sin tarjeta
Solicitar una demo
No se requiere tarjeta de crédito | Resultados del escaneo en 32 segundos.