Del pentesting tradicional a la validación continua: cómo evolucionan las pruebas de seguridad en entornos dinámicos

En entornos tecnológicos que cambian constantemente, evaluar la seguridad una o dos veces al año ya no refleja el riesgo real. Este artículo analiza cómo el pentesting evoluciona hacia modelos de validación continua que combinan automatización, inteligencia artificial y análisis ofensivo humano.

‍

El entorno actual de la ciberseguridad se caracteriza por una expansión sostenida de la superficie de ataque y por una sofisticación creciente de las amenazas. La adopción de infraestructuras híbridas, servicios en la nube y la integración constante con terceros han transformado la manera en que las organizaciones gestionan su riesgo tecnológico.

En este contexto, la postura de seguridad ya no puede entenderse como un estado fijo, sino como una variable que depende de configuraciones, interacciones y decisiones operativas que cambian de manera continua.

Los datos recientes reflejan con claridad esta presión sobre las defensas de las organizaciones. En 2024 se añadieron más de 40.000 vulnerabilidades a la National Vulnerability Database (NVD), lo que representa un aumento del 39 % respecto a 2023 y una fuente persistente de riesgo técnico. Por su parte, el coste promedio global de una brecha de datos en 2025 fue de USD 4,44 millones, cifra que se ha mantenido en niveles históricamente altos pese a las mejoras en detección y contención.

Estas métricas no solo reflejan volumen y coste, sino también un entorno de amenazas crecientes y consecuencias financieras significativas, particularmente cuando las organizaciones no disponen de mecanismos de validación de seguridad adaptados a la velocidad de cambio de sus entornos tecnológicos.

Limitaciones del modelo de evaluación puntual

El pentesting ha sido tradicionalmente el mecanismo más cercano a una simulación realista de un adversario. Su valor radica en la capacidad de encadenar vulnerabilidades, identificar fallas lógicas y analizar el impacto potencial sobre procesos críticos del negocio. A diferencia de herramientas centradas únicamente en la detección de vulnerabilidades técnicas, el pentesting incorpora análisis estratégico y razonamiento ofensivo.

Sin embargo, su ejecución tradicional —generalmente anual o semestral— genera una fotografía técnica válida en un momento específico, que puede quedar desactualizada rápidamente. En un contexto donde miles de vulnerabilidades relevantes se registran cada año y los activos evolucionan constantemente, confiar exclusivamente en evaluaciones puntuales deja vectores de exposición sin verificar durante periodos prolongados.

Por otro lado, las plataformas de Breach and Attack Simulation (BAS) han aportado un avance significativo al permitir la ejecución automatizada y recurrente de técnicas ofensivas, generalmente alineadas con marcos como MITRE ATT&CK. Su principal contribución radica en la repetibilidad, trazabilidad y capacidad de medir la efectividad de controles frente a escenarios previamente estructurados.

No obstante, debido a su naturaleza programática, estas soluciones operan sobre catálogos definidos de técnicas y secuencias preestablecidas. Aunque esto fortalece la consistencia operativa, puede limitar la exploración de combinaciones emergentes, fallas lógicas específicas del negocio o encadenamientos no previstos inicialmente en el modelo de simulación.

En este sentido, las plataformas BAS validan comportamientos frente a técnicas conocidas, pero no necesariamente formulan nuevas hipótesis adversariales ni exploran rutas creativas fuera del guion preconfigurado.

‍

Validación continua: una necesidad, no una alternativa

La discusión anterior muestra una tensión evidente: el pentesting tradicional ofrece profundidad analítica, mientras que las plataformas BAS aportan frecuencia y medición constante.

Ambas aproximaciones resuelven aspectos distintos del problema, pero ninguna, de forma aislada, elimina la brecha entre evaluación y cambio operativo.

Cuando una organización modifica infraestructura, incorpora nuevos servicios o ajusta configuraciones, la validación realizada semanas atrás puede dejar de reflejar con precisión el estado actual. No porque haya sido incorrecta, sino porque el entorno ya no es el mismo.

Las cifras de la industria —como la alta recurrencia de esquemas de extorsión digital y el impacto económico sostenido del crimen informático— indican que la actividad adversarial es persistente. La explotación de fallas no ocurre de manera esporádica; ocurre de forma continua, sobre aquello que se encuentra disponible en cada momento.

En este contexto, la continuidad debe entenderse como un ajuste metodológico frente a esa realidad. Si el entorno cambia con regularidad y la actividad adversaria es constante, la validación no puede depender exclusivamente de ejercicios puntuales.

La finalidad no es incrementar pruebas indiscriminadamente, sino mantener la evaluación alineada con el estado operativo real.

En este punto, la automatización resulta indispensable, pero no suficiente. La simple ejecución repetitiva de técnicas predefinidas permite medir consistencia en controles, pero no necesariamente interpretar el contexto en el que esos hallazgos adquieren relevancia.

Aquí es donde la inteligencia artificial adquiere un rol funcional. No como reemplazo del criterio ofensivo humano, sino como mecanismo para ampliar su alcance.

La IA permite analizar grandes volúmenes de configuraciones, registros y resultados de pruebas, identificar patrones de exposición recurrentes y sugerir posibles rutas de encadenamiento entre vulnerabilidades que, evaluadas de forma aislada, podrían parecer menores.

En un esquema de validación continua, la IA actúa como capa de correlación y priorización. Reduce el tiempo entre detección y análisis, modela escenarios probables de escalamiento y facilita la identificación de activos cuyo compromiso tendría mayor impacto operativo.

El valor no reside en automatizar el pensamiento, sino en acelerar el procesamiento. La formulación de hipótesis adversariales sigue siendo una función estratégica; la IA contribuye a hacerla escalable.

‍

La propuesta de Strike

A partir de esta evolución metodológica, en Strike hemos desarrollado un enfoque que combina automatización continua, inteligencia artificial y experiencia ofensiva humana para validar la postura de seguridad de las organizaciones en entornos dinámicos.

Nuestro modelo busca reducir la brecha entre cambio operativo y validación de seguridad, permitiendo evaluar de forma recurrente la exposición real de los activos.

La plataforma de Strike ejecuta emulaciones ofensivas continuas que analizan configuraciones, superficies expuestas y posibles rutas de ataque en entornos complejos. A través de modelos de inteligencia artificial, el sistema correlaciona hallazgos, prioriza riesgos según su impacto potencial y modela escenarios de escalamiento que reflejan comportamientos adversariales plausibles.

Sin embargo, la automatización por sí sola no constituye una validación completa.

Por ello, el enfoque de Strike integra también la participación de expertos en seguridad ofensiva, quienes analizan los resultados, formulan nuevas hipótesis adversariales y validan manualmente escenarios que requieren interpretación contextual o creatividad estratégica.

Este modelo híbrido permite mantener una evaluación continua del riesgo, combinando la velocidad de procesamiento de la inteligencia artificial con el criterio analítico de especialistas en hacking ético.

El resultado es un proceso de validación que no depende exclusivamente de ejercicios puntuales ni de catálogos cerrados de técnicas, sino que evoluciona junto con el entorno tecnológico de la organización.

En un escenario donde la superficie de ataque crece de manera constante y los adversarios operan sin interrupción, la seguridad efectiva ya no se basa únicamente en detectar vulnerabilidades, sino en validar continuamente cómo podrían ser explotadas en condiciones reales.

‍