De un vistazo
- Complementó los pentests manuales anuales con pruebas de caja blanca impulsadas por IA
- Identificó una vulnerabilidad compleja de caso límite mediante una exploración consciente del contexto
- Integró el pentesting de IA en la gestión continua de vulnerabilidades
- Redujo la generación de reportes de seguridad manuales de días al mes a horas
- Aplicó la seguridad directamente en los flujos de trabajo de pull request
Desafío.
TechWolf construye una capa de datos impulsada por IA que ayuda a las empresas a comprender puestos, tareas y habilidades mientras navegan por la transformación de la fuerza laboral. Operar en el ámbito de la tecnología de RRHH implica trabajar con información empresarial y personal sensible. La seguridad no es una característica, es un requisito previo.
TechWolf ha invertido durante mucho tiempo en su postura de seguridad. La empresa mantiene la certificación ISO 27001, completa auditorías SOC 2 anuales, realiza pruebas de penetración externas anuales y utiliza herramientas SAST, SCA y DAST en toda su pila tecnológica.
Pero la madurez de la seguridad no es estática.
“Uno de nuestros valores es 'Apuntar a la luna'. Para mí, eso incluye elevar el listón de la seguridad año tras año”, dijo Kilian, Ingeniero de Operaciones de Seguridad en TechWolf.
Con el tiempo, los pentests manuales empezaron a arrojar menos hallazgos obvios. Eso era una buena señal. Aun así, el equipo sabía que, en una base de código en crecimiento y evolución, los casos límite matizados pueden seguir siendo difíciles de detectar dentro de un compromiso de tiempo fijo.
TechWolf quería ir un paso más allá.
«Aunque realizamos un pentest manual anual con un proveedor externo, encontramos menos problemas importantes y creíamos que había más riesgos ocultos en las profundidades del código base».
Añadir pentesting de IA para ampliar el programa de seguridad
TechWolf decidió probar el pentesting de IA de Aikido como una extensión de su programa existente. La configuración fue sencilla porque su entorno ya estaba conectado dentro de Aikido.
«Dediqué menos de 15 minutos a la configuración. En pocas horas, los agentes ya habían descubierto algo interesante».
A diferencia de un encargo tradicional limitado por el tiempo y el alcance, los agentes de IA pudieron analizar directamente el contexto del código fuente, explorar casos límite y generar rutas de ataque reproducibles.
«Creo que la eficacia reside en que los pentests LLM de Aikido utilizan mucho más contexto del que un pentester manual podría utilizar jamás, específicamente al analizar el código fuente».
Para TechWolf, no se trataba de reemplazar las pruebas manuales, sino de complementarlas.
«Ambos enfoques tienen su lugar. El pentesting de IA añade persistencia y profundidad, especialmente en áreas más difíciles de alcanzar dentro de un encargo con un plazo limitado».
Lo que el pentest de IA descubrió
Durante la prueba, el pentest de IA de Aikido identificó una vulnerabilidad compleja arraigada en la lógica de la aplicación.
No era una mala configuración superficial o una simple comprobación faltante. Requería comprender cómo interactuaban componentes específicos en diferentes partes del código base.
«Nos impresionó la profundidad», dijo Kilian. «No se trataba de encontrar algo básico, sino de explorar partes de la aplicación que son naturalmente más difíciles de alcanzar».
Los agentes de IA generaron un análisis detallado del ataque junto con un script de prueba de concepto, lo que permitió al equipo verificar y reproducir el problema rápidamente.
«Los scripts PoC fueron cruciales», dijo Kilian. «Eliminan dudas, reducen los falsos positivos y facilitan que los ingenieros entiendan exactamente qué debe corregirse».
Para TechWolf, esto validó la decisión de ampliar su estrategia de pruebas. Los pentests manuales siguen siendo un pilar importante de su programa. El pentesting de IA añade una capa de exploración consciente del contexto que refuerza la cobertura general.
Más allá del pentesting: consolidar la seguridad en una única plataforma
Aunque el pentest de IA proporcionó un valor inmediato, el impacto más amplio provino del uso de Aikido como plataforma central de gestión de vulnerabilidades.
«Ya utilizamos herramientas de seguridad estándar como SAST, SCA, DAST y pruebas de penetración tradicionales», dijo Kilian. «Sin embargo, estas suelen estar aisladas, lo que dificulta la priorización de los diversos hallazgos aislados».
Aikido consolida los hallazgos de todas las herramientas, incluidos los resultados de los pentests, y los prioriza automáticamente a través de su funcionalidad AutoTriage.
«El valor clave de Aikido es garantizar que centramos nuestros esfuerzos en los problemas más críticos primero a través de su funcionalidad AutoTriage, mientras mantenemos un seguimiento de todos los demás hallazgos».
La seguridad se aplica ahora directamente en el flujo de trabajo de desarrollo. Las solicitudes de extracción no pueden fusionarse mientras queden vulnerabilidades sin resolver, lo que evita que los problemas lleguen a producción en primer lugar.
Resultados
Con el tiempo, las mejoras operativas se hicieron evidentes.
Antes de Aikido, Kilian dedicaba mucho tiempo a consolidar los hallazgos de diferentes herramientas, preparar la documentación de auditoría y priorizar manualmente las vulnerabilidades.
Ahora, las vulnerabilidades se priorizan y asignan automáticamente a los equipos pertinentes.
“La mejora medible más significativa es la reducción del tiempo de las operaciones de seguridad manuales”, dijo Kilian.
Mejoras medibles
.png)
Veredicto final
Para TechWolf, adoptar el pentesting de IA no se trataba de reemplazar los controles o socios existentes. Se trataba de seguir elevando el listón.
“Para nosotros, se trata de elevar el listón continuamente”, dijo Kilian.
“Aikido nos ayuda a mantenernos proactivos, priorizar los problemas correctos y dedicar menos tiempo a la sobrecarga operativa.”
Al combinar pentests manuales anuales con pruebas de IA conscientes del contexto y una gestión de vulnerabilidades centralizada, TechWolf ha fortalecido un programa de seguridad ya maduro; añadiendo profundidad, visibilidad y eficiencia sin interrumpir los procesos existentes.
