¿Qué riesgo cibernético crea la IA para las organizaciones? 457 millones de problemas de seguridad. Aquí hay lo que puedes hacer al respecto.
Compartir
Estás leyendo un resumen. El contenido completo está en tenable.com.
Durante un período de 30 días, Tenable detectó 457 millones de problemas de seguridad relacionados con IA entre más de 7,000 organizaciones, lo que equivale a un promedio de 62,000 exposiciones por organización. Si no sabíamos ya que la IA sombra era un problema, datos como este dejan claro que cada organización necesita visualizar, mapear, evaluar y proteger con un programa integral de gestión de exposiciones. Puntos clave: las herramientas de IA, aprobadas y no aprobadas, están generando una ola masiva de exposiciones diarias, con un promedio de 62,000 por organización durante un reciente período de 30 días. Esto está creando problemas de seguridad relacionados con IA que están principalmente vinculados a configuraciones incorrectas y dependencias no gestionadas en lugar de CVEs estándar. Para anticiparse con éxito a los actores de amenazas asistidos por IA, los equipos de seguridad deben implementar flujos de trabajo automatizados y ágiles que puedan contener y remediar exposiciones críticas a la velocidad de las máquinas. Es hora de que los equipos de seguridad cambien de escaneos de vulnerabilidades heredados a una gestión de exposiciones impulsada por IA que mapee rutas de ataque específicas hacia sus activos más críticos. ¿Cuánto riesgo cibernético crea la IA para las organizaciones? Durante años, algunos líderes de seguridad han vivido bajo una simple y reconfortante verdad: si el panel de control del acuerdo de nivel de servicio (SLA) para la remediación de vulnerabilidades está en verde, la organización está segura. Al centrarse en rastrear CVEs y programar parches, creen que están gestionando eficazmente el riesgo cibernético. Hoy, a medida que la IA aumenta las amenazas cibernéticas y transforma las defensas cibernéticas, esta máxima ha evolucionado de un lema arriesgado a una falacia abiertamente peligrosa. Los equipos cibernéticos que operan bajo este modelo corren el riesgo de ahogarse en lo que Tenable denomina "vulnami", un tsunami de CVEs impulsado por el descubrimiento de vulnerabilidades de IA. También corren el riesgo de no ver y abordar la vasta expansión de amenazas no CVE en sus entornos híbridos. En este blog, responderemos a la pregunta: "¿Cuánto riesgo cibernético crea la IA para las organizaciones?" y analizaremos cómo la gestión de exposiciones puede empoderar a los equipos de seguridad no solo para adelantarse al "vulnami" de CVEs, sino también para abordar problemas no CVE en toda su superficie de ataque, tanto en las instalaciones como en la nube. El triste estado de la remediación de vulnerabilidades: casi un tercio de las brechas (31%) comienzan con una CVE sin parchar, lo que convierte la explotación de vulnerabilidades en el vector de acceso inicial más común, según el Informe de Investigación de Brechas de Datos de Verizon 2026 (DBIR). Aquí está la clave: la mayoría de estas CVEs no son cero-días llamativas. A menudo, se trata de vulnerabilidades de hace años para las cuales los parches han estado disponibles durante mucho tiempo. Para ilustrar este punto, aquí está lo que mostraron las telemetría recientes de la Plataforma de Gestión de Exposiciones Tenable One: 1,865 organizaciones aún expuestas a la vulnerabilidad de 2024 en Fortinet FortiOS CVE-2024-21762, 3,569 organizaciones aún expuestas a la vulnerabilidad de Log4Shell de 2021 CVE-2021-44228, 1,430 organizaciones aún expuestas a la vulnerabilidad de WannaCry de 2017 CVE-2017-0144. Además, basándose en datos agregados de más de 13,000 organizaciones, el informe DBIR 2026 encontró que esas organizaciones remediaron totalmente solo el 26% de las CVEs en el catálogo de Vulnerabilidades Conocidas Explotadas (KEV) de la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA), que enumera las CVEs que están siendo activamente explotadas en el entorno. Y en cuanto a la aplicación oportuna de parches, el DBIR encuentra que la mayoría de las organizaciones no están avanzando; están retrocediendo. El tiempo medio para aplicar parches se sitúa en 43 días, un aumento de respecto a los 32 días reportados en el DBIR de Verizon del año pasado. En resumen, está llevando a las empresas más tiempo aplicar parches en el momento exacto en que la IA permite a los atacantes descubrir y explotar fallas a velocidades sin precedentes. Dada esta realidad, es hora de que los defensores usen la IA para automatizar la priorización y remediación de vulnerabilidades. Esto requiere confiar en su pila de seguridad, incluidos los herramientas de seguridad de IA, y en su equipo, para que puedan resolver sus vulnerabilidades más críticas en horas, no en semanas o meses. También es hora de ir más allá de la gestión de vulnerabilidades, que sigue siendo esencial pero es insuficiente por sí sola. Para mantener segura a su organización en la era de la IA, necesita evaluar todas las amenazas de seguridad, incluidas las fallas de identidad y las configuraciones incorrectas, a través de sus activos de TI, tecnología operativa (OT), IA, IoT y nube y ver cómo se combinan para crear rutas de ataque hacia los sistemas y datos más sensibles de su organización. La impresionante magnitud e impacto de las amenazas no CVE: si, según el DBIR 2026, el 31% de las brechas comienzan con una CVE, eso significa que dos tercios de los incidentes cibernéticos comienzan con algo completamente diferente, como: una configuración incorrecta, una credencial robada, un secreto expuesto. ¿Qué tan relevantes son los problemas de seguridad no CVE? Basándose en la telemetría de Tenable, aproximadamente el 37% de los hallazgos no son CVEs, pero representan el 63% de los puntos de entrada a las brechas. Deja que eso se asiente: un tercio de tus hallazgos representa dos tercios de tu riesgo. Por lo tanto, si su programa de seguridad solo o principalmente se centra en CVEs, está funcionalmente ciego a la mayoría de su superficie de ataque. La amenaza invisible pero masiva: IA sombra. Esta brecha de visibilidad se está ampliando cada semana debido a la IA. Cada vez que una nueva herramienta de IA explota en el mercado, los empleados la adoptan, a menudo sin pedir la aprobación de su organización. ¿Con qué frecuencia su equipo se apresura a averiguar si una herramienta de IA no aprobada está funcionando en su entorno? Y al igual que en otras áreas de su infraestructura, la mayoría de los riesgos de IA no son CVEs estándar, sino configuraciones incorrectas de LLM, dependencias de modelos no gestionadas, credenciales expuestas dentro de cargas de trabajo de IA, y más. Para poner la escala de este problema en perspectiva, durante un reciente período de 30 días, la Plataforma de Gestión de Exposiciones Tenable One encontró 457 millones de problemas de seguridad en nuestra base de clientes utilizando 274 plugins de detección construidos específicamente para IA. Eso da un promedio de 62,000 exposiciones relacionadas con IA por cliente. Aquí hay un ejemplo específico del riesgo de IA sombra. Un cliente, utilizando nuestros plugins de detección de IA, encontró 12 instancias de OpenClaw, la herramienta de asistente personal de IA anteriormente conocida como Clawdbot y Moltbot. No parece tan malo a primera vista, aunque la organización no había aprobado el uso de OpenClaw en su entorno. Pero tras una inspección más profunda, descubrieron una situación mucho más grave. Las instancias de OpenClaw habían sido instaladas en las cargas de trabajo en la nube del cliente por un contratista que habían contratado para realizar pruebas de aseguramiento de calidad. Le habían dado al contratista sus claves API, así como acceso a una gran parte de su código fuente. Además, el contratista configuró las instancias de OpenClaw para que pudiera gestionarlas de forma remota a través de Telegram, otra herramienta no aprobada. En otras palabras, tenían una docena de instancias de una herramienta de IA no aprobada con capacidades autónomas que estaban accediendo a su código fuente y que habían sido instaladas por un contratista externo. Además, OpenClaw estaba descargando remotamente quién sabe qué software de Internet, mientras estaba controlado a través de un canal de comunicación en el que la empresa no tenía visibilidad ni acceso. La lección para todos nosotros: necesitas seguridad para la IA porque tu superficie de ataque de IA no es un problema futuro. Ya está aquí. Ingrese a la gestión de exposiciones impulsada por IA. Si los programas tradicionales de CVEs son necesarios pero insuficientes, ¿cuál es la respuesta? Lo adivinaste: es la gestión de exposiciones impulsada por IA. La gestión de exposiciones va mucho más allá del escaneo de vulnerabilidades heredadas y en un punto en el tiempo para evaluar continuamente vulnerabilidades, configuraciones incorrectas, permisos excesivos y secretos expuestos que los atacantes podrían explotar en toda su superficie de ataque: en las instalaciones, en la nube, en entornos de OT y en herramientas e infraestructura de IA. Crucialmente, la gestión de exposiciones va más allá de simplemente listar estos problemas al mapear las rutas de ataque que los conectan. Notablemente, la investigación de Tenable muestra que, en promedio, una organización enfrenta tres rutas de ataque por cada hallazgo de seguridad, por lo que si tienes 50,000 hallazgos, tu entorno ofrece a los atacantes 150,000 rutas potenciales para la brecha. Por supuesto, no todas importan de igual manera. Aquí, la gestión de exposiciones también te ayuda al aislar y cortar las rutas que conducen directamente a tus activos más críticos. ¿Sabe tu equipo cuáles son las cinco o diez principales rutas de ataque que un atacante utilizaría más probablemente en cualquier momento dado para llegar a las joyas de la corona de su organización hoy? ¿Sabe tu equipo cuánto tiempo les llevaría romper esas cadenas de rutas de ataque? Si la respuesta a esas preguntas es "no", entonces tus prioridades para la remediación de exposiciones probablemente están equivocadas. El tiempo corre. La IA está haciendo que el trabajo de los defensores sea aún más difícil. El desafío de mantener el ritmo con la velocidad de los ataques, el descubrimiento de vulnerabilidades, la explotación y la expansión de la superficie de ataque exige un modelo operativo de seguridad preventivo y un nuevo enfoque para reducir el riesgo cibernético. La buena noticia es que con la gestión de exposiciones impulsada por IA automatizando el mapeo y la priorización de rutas de ataque, puedes adelantarte a la amenaza al obtener: visibilidad unificada a través del descubrimiento continuo de activos en toda su superficie de ataque híbrida, capturando todas las vulnerabilidades, configuraciones incorrectas, permisos excesivos y otros problemas de seguridad; información contextual impulsada por IA que mapea cómo los problemas de seguridad aparentemente aislados se interconectan para crear peligrosas rutas de ataque explotables; acción a velocidad de máquina que activa soluciones automatizadas y orquestadas a través de flujos de trabajo de IA con los guardrails apropiados, incluida la supervisión humana. La gestión de exposiciones está aquí, y ofrece descubrimiento completo de activos, incluidos las herramientas de IA sombra no aprobadas, visibilidad completa de la superficie de ataque, priorización más precisa y remediación a velocidad de máquina. No será fácil, pero la gestión de exposiciones hace posible asegurar tu organización en la era de la IA. Vamos a hacerlo. Para saber más, lea el blog "Derrotando la cronología del mito: utilizando agentes personalizados Tenable Hexa AI para parches automatizados".
Enlace externo a tenable.com
Artículos relacionados
cybersecurity
El ransomware JadePuffer utilizó un agente de IA para automatizar todo el ataque.
cybersecurity
Entidad del gobierno de EE. UU. pagó a Kairos 1 millón de dólares en caso de extorsión por robo de datos.
cybersecurity
