Los datos recientes de OX Security, que examinaron 216 millones de hallazgos de seguridad en 250 organizaciones durante un trimestre, dibujan una realidad inquietante para los equipos de desarrollo y seguridad: el volumen bruto de alertas ha crecido de forma significativa, pero lo más preocupante es que el número de riesgos críticos priorizados se ha disparado mucho más rápido. Mientras las alertas totales aumentaron alrededor de un 52% interanual, la porción de hallazgos que realmente representan un riesgo alto para el negocio escaló casi cuatro veces, una brecha que obliga a replantear cómo se prioriza y repara la inseguridad en el software.
La era de la velocidad trae una nueva clase de problemas. La adopción acelerada de herramientas de asistencia con IA en el desarrollo está acelerando la creación de código y, con ello, la aparición de vulnerabilidades más complejas y dependientes del contexto. OX Security observa una relación clara entre el uso de asistentes automáticos de programación y el incremento de hallazgos críticos: el promedio por organización pasó de poco más de 200 a casi 800. Esto no significa que la IA sea intrínsecamente insegura, sino que aumenta la velocidad y la densidad de cambios, y muchas prácticas de análisis tradicionales no están preparadas para ese ritmo.
Ese desfase entre la velocidad de producción y la capacidad de remediación es lo que algunos ya llaman una "brecha de velocidad". Cuando el ritmo de cambios supera la capacidad de los flujos de trabajo de seguridad para detectar, priorizar y arreglar, la proporción de problemas realmente peligrosos crece más rápido que las herramientas que los detectan. En consecuencia, la proporción de hallazgos críticos sobre el total de alertas casi se triplicó en el análisis de OX, pasando de una fracción minúscula a una cifra que exige atención operativa.
Importa menos la puntuación técnica y más el contexto del negocio. Tradicionalmente las organizaciones han dependido de métricas como el CVSS para ordenar riesgos, pero los hallazgos recientes confirman algo que muchos practicantes ya sospechaban: la gravedad técnica por sí sola no define el riesgo para la empresa. Factores como si un componente procesa datos personales sensibles o si forma parte de una aplicación de alta prioridad para el negocio están elevando hallazgos a categoría crítica con mucha más frecuencia. Que una vulnerabilidad exista en un servicio que maneja PII o en una pieza del core bancario cambia radicalmente la urgencia de su mitigación. Este enfoque de priorización por contexto coincide con las recomendaciones de comunidades como OWASP sobre enfoques basados en riesgo real de negocio (OWASP Risk Rating Methodology).
La atención sobre datos personales no es casual: el procesamiento de PII fue uno de los factores que más elevó la criticidad en los hallazgos. Desde el punto de vista regulatorio y reputacional, exponer información personal genera impacto directo y sanciones, como recuerdan guías de organismos como NIST sobre el tratamiento de información personal identificable (NIST SP 800-122), por lo que priorizar según la sensibilidad de los datos es hoy una práctica indispensable.
Disparidades sectoriales y el caso del automóvil. El análisis de OX también muestra que el riesgo no está distribuido homogéneamente entre sectores. Las firmas aseguradoras presentaron la mayor densidad de hallazgos críticos, probablemente por la convergencia entre sistemas legados que tratan datos sensibles y nuevas plataformas digitales. Por su parte, el sector automotriz generó el volumen bruto más alto de alertas, lo cual tiene sentido si se considera la explosión de software dentro de los vehículos modernos: los automóviles se están convirtiendo en plataformas definidas por software y eso multiplica la superficie de ataque. Varios análisis industriales han subrayado este fenómeno de rápida expansión del software en el automóvil y las implicaciones para seguridad y calidad (McKinsey: software-defined vehicles).
Todo esto nos lleva a una conclusión práctica: la simple acumulación de escaneos y reglas ya no es suficiente. Las herramientas de linting y los escáneres heredados siguen siendo útiles para filtrar problemas obvios, pero la prioridad debe ser comprender el propósito del servicio, su exposición a datos sensibles y su criticidad para el negocio. Esa mirada contextual exige integrar señales más allá de la vulnerabilidad técnica, incluyendo telemetría de despliegue, mapeo de dependencias y clasificación de activos según su impacto.
¿Qué deberían cambiar los equipos técnicos? Primero, las políticas de priorización deben evolucionar: dejar de tratar todas las vulnerabilidades con la misma métrica y adoptar modelos que ponderen la ubicación del fallo y la sensibilidad del entorno. Segundo, la seguridad tiene que entrar más temprano en el ciclo de desarrollo y acompañar la aceleración que aporta la IA. Integrar controles de seguridad en CI/CD, añadir análisis contextuales y automatizar parte del triage puede amortiguar la brecha de velocidad. Tercero, no basta con detectar: es crucial cerrar el bucle con remedio y verificación en producción, y cuando sea necesario, desplegar mitigaciones compensatorias orientadas al riesgo de negocio.
Por último, la comunidad y la industria deben seguir investigando el impacto de las herramientas de IA en la seguridad del software. Plataformas que ofrecen asistentes de programación han empezado a publicar guías y consideraciones de seguridad para su uso responsable, y los equipos deben combinar estas recomendaciones con controles internos rigurosos (Guía de seguridad y privacidad de GitHub Copilot). Asimismo, los informes de la industria sobre el estado de la seguridad de las aplicaciones, como los de empresas especializadas en análisis y pruebas, pueden servir de referencia para entender tendencias y adaptar prácticas.
El análisis de OX Security, cuya versión completa con metodología y mediciones sectoriales está disponible en su web (OX Security), es un recordatorio contundente: la transformación del desarrollo impulsada por IA y la creciente complejidad del software exigen cambiar la forma en que valoramos, priorizamos y arreglamos las vulnerabilidades. El objetivo ya no es solo reducir el número de alertas, sino identificar y mitigar aquello que realmente puede dañar al negocio y a las personas a las que sirve.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...