El pentest anual no ha desaparecido, pero ha dejado de ser suficiente. La nueva guía BP/36 del CCN-CERT, publicada en junio de 2026 bajo el título “Guía de buenas prácticas frente al modelo de IA ofensiva”, plantea un cambio de enfoque que muchas organizaciones todavía no han asumido: cuando el atacante usa inteligencia artificial para reconocer, priorizar y explotar vulnerabilidades a velocidad de máquina, una fotografía puntual de la seguridad cada doce meses llega tarde por diseño.
El mensaje de fondo es contundente. La inteligencia artificial no ha inventado todos los ataques desde cero, pero ha comprimido el tiempo necesario para ejecutarlos. Técnicas conocidas como phishing, reconocimiento de superficie expuesta, generación de exploits, análisis de configuraciones débiles o manipulación de sistemas basados en modelos de lenguaje pueden automatizarse, escalarse y adaptarse con mucha más rapidez. La defensa tradicional, organizada en ciclos semanales, mensuales o anuales, pierde margen cuando la ofensiva opera en horas.
La guía del organismo dependiente del Centro Criptológico Nacional no se limita a alertar sobre riesgos genéricos de la IA. Describe una transición operativa: de procesos estáticos a seguridad continua; de cuestionarios de terceros a supervisión dinámica; de pruebas aisladas a validación recurrente; de agentes usados sin control a autonomía gobernada. Y ahí aparece la gran conclusión práctica: el modelo de validación periódica, por sí solo, ya no encaja con el ritmo del ataque.
El tiempo de reacción se ha roto
Durante años, muchas organizaciones han construido su calendario de seguridad alrededor de ciclos previsibles. Auditoría anual. Pentest anual. Revisión periódica de proveedores. Ventanas de parcheo planificadas. Simulacros de recuperación poco frecuentes. Ese modelo funcionaba mejor cuando el atacante también necesitaba tiempo: reconocimiento manual, desarrollo de exploit, pruebas, adaptación al entorno, movimientos laterales y explotación gradual.
La IA ofensiva reduce esa barrera. El CCN-CERT habla de un colapso del ciclo de vulnerabilidades: la identificación y la explotación pueden producirse casi simultáneamente, eliminando la ventana temporal en la que una organización podía reaccionar antes de ser comprometida. En ese escenario, una vulnerabilidad expuesta ya no puede esperar a la próxima reunión de cambios o al siguiente ciclo ordinario de parcheo.
La guía cita tasas cercanas al 90 % en la reproducción de vulnerabilidades reales por agentes de IA con escalada de intentos, campañas ofensivas donde agentes ejecutan entre el 80 % y el 90 % de las operaciones, y un phishing asistido por IA con ratios de éxito muy superiores a las campañas tradicionales. Más allá de cada cifra, el patrón es claro: menos conocimiento técnico necesario, más automatización, más escala y más velocidad.
El problema no es solo que haya más ataques. Es que muchas organizaciones siguen midiendo su defensa en tiempos incompatibles con la amenaza. Un atacante que automatiza reconocimiento, correlaciona datos públicos, prioriza activos vulnerables y prueba vectores en paralelo no se enfrenta a una organización “segura” solo porque esta superó un test hace ocho meses.
Del pentest periódico a la validación continua
La BP/36 no dice que las pruebas de penetración dejen de tener valor. Siguen siendo útiles para evaluar controles, descubrir debilidades y entrenar equipos. Lo que sí deja claro es que deben formar parte de una capacidad más amplia y continua. El modelo recomendado incluye operaciones permanentes de vulnerabilidad, pruebas de seguridad continuas basadas en IA y equipos AI Red Team internos y externos.
Esto cambia la función del pentest. Deja de ser el gran examen anual y pasa a ser una pieza dentro de un sistema de validación más frecuente. La organización necesita saber, de forma continua, qué activos expone, qué vulnerabilidades son explotables, qué proveedores introducen riesgo, qué credenciales están demasiado abiertas, qué código vulnerable ya está en producción y qué agentes de IA tienen capacidad de ejecutar acciones.
| Modelo tradicional | Modelo que propone la nueva realidad |
|---|---|
| Pentest anual o semestral | Validación ofensiva continua |
| Parcheo por calendario | Parcheo priorizado por explotabilidad real |
| Priorización por CVSS | Uso de KEV, EPSS y criticidad del activo |
| Revisión de proveedores por cuestionario | Supervisión continua del riesgo de terceros |
| Seguridad al final del desarrollo | Análisis automático desde el inicio del ciclo |
| Respuesta manual ante incidentes | Contención preautorizada en escenarios críticos |
| Agentes de IA como herramienta de productividad | Agentes tratados como nueva superficie de ataque |
La guía insiste en una idea que puede sonar básica, pero que se vuelve más exigente con IA ofensiva: volver a lo esencial. Identidad, segmentación, monitorización, control de accesos, protección de activos críticos, copias de seguridad, continuidad y respuesta. La diferencia es que esos fundamentos ya no pueden gestionarse con la misma lentitud.
El parcheo de vulnerabilidades explotadas conocidas debe acercarse a plazos de 24 horas en activos críticos o expuestos. La autenticación debe migrar hacia mecanismos resistentes al phishing como FIDO2 o passkeys. Las credenciales persistentes deben reducirse. Las copias de seguridad deben ser inmutables, aisladas y probadas con mayor frecuencia. La superficie de ataque debe estar viva, no documentada en una hoja que nadie actualiza.
Los agentes de IA también son superficie de ataque
Uno de los apartados más importantes de la guía es la seguridad del uso de agentes. Muchas organizaciones están incorporando asistentes y agentes de IA para leer documentación interna, consultar bases de datos, ejecutar acciones, llamar APIs, operar herramientas o apoyar procesos de negocio. Ese despliegue suele avanzar más rápido que su gobierno.
El CCN-CERT lo plantea con claridad: un agente de IA con capacidad de actuar sobre sistemas no puede tratarse como un simple chatbot. Es una identidad operativa. Puede ser manipulado mediante prompt injection, puede filtrar datos, puede encadenar decisiones erróneas, puede abusar de APIs externas o puede ejecutar acciones fuera de su función si no existen controles.
La respuesta no es bloquear cualquier uso de agentes, sino gobernarlos. Cada agente debe tener una identidad definida, permisos mínimos, trazabilidad completa, gestión segura de credenciales, límites de autonomía, separación de capacidades y supervisión humana en decisiones críticas. También debe existir un interruptor de apagado, o kill switch, para detener su actividad si el comportamiento se desvía.
Este punto separa la adopción seria de la improvisación. La guía no pide IA autónoma sin control. Pide autonomía gobernada. La defensa puede y debe usar IA, pero con límites claros, auditoría y capacidad de intervención. El defensor también necesita operar con velocidad de máquina, pero no a ciegas.
Qué cambia para CISOs y equipos de seguridad
Para los responsables de seguridad, la BP/36 obliga a revisar prioridades. No basta con comprar una herramienta de IA defensiva o añadir una línea sobre IA al plan de riesgos. El cambio afecta a procesos, arquitectura, personas, proveedores y gobierno.
En gestión de vulnerabilidades, el foco se desplaza hacia operaciones permanentes, inventario actualizado, priorización por explotabilidad real y capacidad de remediación más rápida. En desarrollo, cada cambio de código debe analizarse antes de llegar a producción, y lo ya desplegado debe revisarse de forma recurrente. En identidad, la pregunta no es solo quién tiene acceso, sino qué agente, qué servicio, qué dispositivo y durante cuánto tiempo.
En terceros, el cuestionario anual pierde fuerza. La cadena de suministro debe revisarse con evidencias más dinámicas, incluyendo SBOM, AI-BOM, uso de modelos fundacionales, transparencia, auditoría y notificación. En entornos OT, el reto es aún mayor porque muchos sistemas no pueden actualizarse con facilidad; ahí la segmentación, la monitorización pasiva y los controles compensatorios son determinantes.
La guía también introduce una hoja de ruta en fases: activar el riesgo IA, construir el programa de seguridad IA y validar su despliegue con los grupos de interés. No es un listado de buenas intenciones. Es una forma de llevar la conversación al comité de dirección, al área de riesgos, a cumplimiento, a compras, a tecnología y a operaciones.
La seguridad deja de ser una foto y pasa a ser una película
La consecuencia más importante es cultural. Durante mucho tiempo, muchas empresas han usado auditorías y pentests como prueba de tranquilidad. Se pasaba el examen, se corregían algunos hallazgos y se cerraba el expediente hasta el año siguiente. Esa lógica no desaparece de un día para otro, pero queda desbordada por una amenaza que no espera.
La validación continua no consiste en vivir en estado permanente de emergencia. Consiste en conocer mejor la exposición, probar controles con más frecuencia, automatizar donde tenga sentido y reservar la decisión humana para lo realmente crítico. También implica aceptar que habrá vulnerabilidades, errores y compromisos parciales, y diseñar sistemas para contenerlos antes de que se conviertan en incidentes mayores.
El pentest anual seguirá teniendo espacio en cumplimiento, auditoría y análisis profundo. Pero dejarlo como única gran comprobación ofensiva será cada vez más difícil de justificar. Si la IA ofensiva reduce de semanas a horas el tiempo útil de reacción, una evaluación anual no mide la seguridad real: mide cómo estaba la organización en un día concreto.
El CCN-CERT no está vendiendo una moda. Está describiendo un cambio operativo. La IA ofensiva convierte la ciberseguridad en un problema de velocidad, gobierno y resiliencia. Las organizaciones que sigan defendiendo con calendarios lentos frente a atacantes automatizados tendrán una brecha cada vez mayor entre lo que creen controlar y lo que realmente está expuesto.
La pregunta ya no es si una empresa debe validar su seguridad de forma continua. La pregunta es cuánto tiempo puede seguir explicando que todavía no lo hace.
Preguntas frecuentes
¿El CCN-CERT elimina el pentest anual?
No lo elimina formalmente, pero la guía BP/36 deja claro que las pruebas periódicas ya no bastan por sí solas frente a amenazas impulsadas por IA. El modelo recomendado apunta a validación y gestión de vulnerabilidades de forma continua.
¿Qué significa IA ofensiva?
Es el uso de modelos generativos, modelos de lenguaje o agentes autónomos para apoyar, automatizar o ejecutar fases del ciclo de ataque, como reconocimiento, phishing, generación de código malicioso o explotación de vulnerabilidades.
¿Qué es la autonomía gobernada en agentes de IA?
Es un modelo en el que los agentes pueden ayudar a detectar, decidir o ejecutar acciones, pero con permisos mínimos, identidad propia, trazabilidad, límites de autonomía, supervisión humana en acciones críticas y capacidad de desconexión.
¿Qué deberían priorizar las organizaciones?
Inventario continuo de activos, parcheo basado en explotabilidad real, autenticación resistente al phishing, reducción de superficie expuesta, revisión del código desplegado, gestión de terceros, copias inmutables y pruebas continuas de seguridad.
