La nueva guía BP/36 del CCN-CERT, publicada en junio de 2026, pone nombre a una realidad que muchos equipos de seguridad ya estaban percibiendo: el modelo clásico de auditorías puntuales, pentests anuales y ciclos de parcheo planificados con semanas de margen se está quedando corto frente a atacantes que usan Inteligencia Artificial para acelerar reconocimiento, explotación, ingeniería social y toma de decisiones ofensivas.
La idea central no es que la Inteligencia Artificial haya inventado todos los ataques desde cero. El cambio está en la velocidad, la escala y la automatización. Técnicas conocidas como phishing, análisis de superficie expuesta, generación de código malicioso, explotación de vulnerabilidades, abuso de credenciales o manipulación de sistemas basados en modelos de lenguaje pueden ejecutarse ahora con menos esfuerzo y en menos tiempo. Para las empresas, esto desplaza el foco desde la seguridad periódica hacia la validación continua, la resiliencia por diseño y la capacidad de respuesta operativa.
Del pentest anual a la validación continua
Durante años, muchas organizaciones han utilizado el pentest anual como una prueba razonable de seguridad. Se contrataba una evaluación, se recibía un informe, se corregían los hallazgos prioritarios y se dejaba constancia para auditoría, cumplimiento o mejora interna. Ese modelo sigue teniendo valor, pero ya no basta si se utiliza como única verificación ofensiva.
El CCN-CERT habla de un “colapso del ciclo de vulnerabilidades”: la identificación y explotación pueden producirse casi al mismo tiempo. Dicho de forma práctica, una vulnerabilidad expuesta en un servicio crítico ya no puede esperar al siguiente comité de cambios, al próximo informe mensual o a la auditoría de final de año. Si un atacante puede automatizar el reconocimiento, correlacionar información pública, probar vectores en paralelo y priorizar objetivos por explotabilidad, la defensa necesita operar con otra cadencia.
Esto cambia la gestión de vulnerabilidades. La prioridad no debería depender solo de la puntuación CVSS, sino también de la explotabilidad real, del catálogo KEV de vulnerabilidades conocidas explotadas, del EPSS y de la criticidad del activo afectado. Un panel lleno de vulnerabilidades “altas” no dice suficiente si no se cruza con exposición a Internet, función de negocio, accesos asociados, datos tratados y posibilidad de movimiento lateral.
También cambia el papel del pentest. Deja de ser el gran examen anual y pasa a formar parte de un modelo más amplio: gestión permanente de vulnerabilidades, validación ofensiva recurrente, simulaciones de ataque, revisión continua de código y controles de detección capaces de reaccionar en minutos u horas. El objetivo no es vivir en emergencia constante, sino reducir la distancia entre lo que la empresa cree tener controlado y lo que realmente está expuesto.
En infraestructuras cloud privadas, bare-metal o híbridas, este enfoque exige más disciplina de arquitectura. El inventario de activos debe estar vivo. Las redes deben segmentarse con criterio. Los accesos administrativos tienen que estar protegidos con autenticación resistente al phishing, credenciales efímeras y mínimo privilegio. Las copias de seguridad deben estar aisladas, ser inmutables cuando proceda y probarse con frecuencia realista. Sin estas bases, añadir herramientas de Inteligencia Artificial defensiva no resuelve el problema de fondo.
Los agentes de IA también son una nueva superficie de ataque
La BP/36 dedica una parte relevante a los agentes de Inteligencia Artificial, y es una de las señales más importantes para CIOs, CTOs y CISOs. Un agente que consulta datos, ejecuta acciones, llama a APIs, modifica configuraciones o interactúa con sistemas internos no es un simple asistente conversacional. Es una identidad operativa con permisos, contexto y capacidad de impacto.
Ese matiz cambia por completo el gobierno de la IA en la empresa. Un agente puede ser manipulado mediante prompt injection, puede acceder a información que no debería estar en su contexto, puede exfiltrar datos a través de respuestas aparentemente legítimas o puede encadenar decisiones erróneas si tiene demasiada autonomía. Cuando además se conecta a herramientas internas, bases documentales, sistemas de ticketing, repositorios, plataformas cloud o consolas de administración, pasa a formar parte de la superficie de ataque.
La respuesta no consiste en bloquear todo uso de agentes, sino en gobernarlo. Cada agente debería tener identidad propia, permisos mínimos, límites claros de actuación, trazabilidad completa, gestión segura de credenciales, validación de entradas y salidas, separación de capacidades y supervisión humana en acciones críticas. La guía también menciona la necesidad de un interruptor de apagado, o kill switch, para detener su actividad si se detecta un comportamiento anómalo.
Este punto es especialmente importante para organizaciones que están integrando asistentes de IA en procesos internos sin pasar por seguridad, arquitectura o cumplimiento. El llamado shadow AI puede reproducir un problema conocido del shadow IT, pero con más capacidad de exposición: datos sensibles cargados en herramientas no aprobadas, automatizaciones sin trazabilidad, conectores con permisos excesivos y decisiones difíciles de auditar.
En un entorno empresarial serio, la IA defensiva debe tratarse como cualquier sistema crítico. Puede ayudar a detectar anomalías, priorizar eventos, resumir alertas, acelerar la respuesta o asistir en la revisión de código, pero necesita control operativo. Velocidad sin gobierno puede crear nuevos riesgos. Gobierno sin velocidad deja a la defensa por detrás del atacante.
Infraestructura, resiliencia y operación: la parte menos visible de la seguridad
La guía del CCN-CERT insiste en volver a lo básico: identidad, segmentación, monitorización continua, control de accesos, protección de activos críticos, copias de seguridad y recuperación ante desastres. No son recomendaciones nuevas, pero la Inteligencia Artificial ofensiva reduce el margen de error. Lo que antes podía revisarse con periodicidad trimestral o anual ahora necesita una gestión más dinámica.
Aquí la infraestructura importa más de lo que suele reconocerse. La seguridad no depende solo de herramientas SOC, EDR, XDR o escáneres de vulnerabilidades. Depende también de cómo está diseñada la plataforma donde corren las cargas críticas: aislamiento entre entornos, redes privadas, control de rutas, separación de planos de gestión, bastionado de hipervisores, almacenamiento resiliente, backups fuera del dominio de producción, monitorización 24/7 y procedimientos probados de recuperación.
En entornos de cloud privado, una arquitectura bien planteada permite combinar control, rendimiento y previsibilidad con medidas de seguridad más ajustadas a la realidad de la empresa. Para cargas que requieren aislamiento, baja latencia, rendimiento dedicado o control del hardware, el bare-metal sigue siendo una opción sólida, especialmente cuando se integra dentro de una estrategia más amplia de continuidad, segmentación y operación gestionada.
También gana relevancia la soberanía operativa. Mantener infraestructura en Europa, con control claro sobre ubicación de datos, proveedores, accesos, soporte y marco regulatorio, facilita decisiones de cumplimiento y gestión del riesgo. Esto no elimina la necesidad de buenas prácticas, pero reduce dependencias y permite definir arquitecturas más alineadas con requisitos internos, regulatorios y sectoriales.
En plataformas de virtualización, el diseño previo es decisivo. Migrar desde VMware, entornos on-premise o nubes públicas hacia Proxmox VE, KVM, bare-metal o cloud privado no debería plantearse solo como un cambio de coste o licencias. Hay que evaluar red, almacenamiento, alta disponibilidad, backups, recuperación, segmentación, permisos, monitorización, compatibilidad de cargas y operación diaria. Proxmox VE, con KVM, LXC, HA, backups y opciones de almacenamiento como Ceph, puede formar parte de una estrategia de menor dependencia y mayor control del TCO, pero requiere planificación técnica.
El mismo criterio aplica a la respuesta ante incidentes. La BP/36 recomienda adaptar los tiempos de respuesta al ritmo de amenazas asistidas por IA. Eso implica procedimientos preautorizados para escenarios críticos, capacidad de aislamiento rápido, revocación de credenciales, bloqueo de tráfico malicioso, restauración probada y comunicación clara entre seguridad, sistemas, negocio y proveedores. La resiliencia no se improvisa durante el incidente; se diseña antes.
Para empresas con servicios críticos, el mensaje es claro: la seguridad deja de ser una fotografía y pasa a ser una operación continua. No basta con pasar una auditoría. Hay que saber qué activos están expuestos, qué vulnerabilidades importan de verdad, qué agentes pueden actuar, qué proveedores tienen acceso, qué copias pueden recuperarse y cuánto tiempo necesita la organización para contener un ataque.
La IA ofensiva acelera una transformación que ya estaba en marcha. Las empresas necesitan menos seguridad de calendario y más seguridad operativa: inventario actualizado, arquitectura resistente, validación frecuente, gobierno de agentes, respuesta rápida y proveedores capaces de acompañar la operación diaria. El pentest anual seguirá teniendo espacio, pero como parte de un sistema más amplio. Usarlo como única comprobación será cada vez más difícil de defender ante una amenaza que ya no espera doce meses.
Preguntas frecuentes
¿El pentest anual deja de ser útil frente a la IA ofensiva?
No. Sigue siendo útil para evaluar controles, detectar debilidades y cumplir requisitos de auditoría. El problema aparece cuando se usa como única validación de seguridad. Frente a ataques automatizados, debe complementarse con gestión continua de vulnerabilidades, monitorización y pruebas recurrentes.
¿Qué es la IA ofensiva en ciberseguridad?
Es el uso de sistemas de Inteligencia Artificial, incluidos modelos generativos y agentes autónomos, para apoyar o ejecutar fases de un ataque: reconocimiento, phishing, generación de código malicioso, explotación de vulnerabilidades o toma de decisiones operativas.
¿Por qué los agentes de IA suponen un riesgo nuevo?
Porque pueden tener permisos, memoria, acceso a herramientas y capacidad para ejecutar acciones. Si no se gobiernan bien, pueden ser manipulados, filtrar información o realizar operaciones fuera de su función prevista.
¿Qué deberían priorizar las empresas?
Inventario continuo de activos, parcheo basado en explotabilidad real, autenticación resistente al phishing, segmentación, backups aislados e inmutables, monitorización continua, gobierno de agentes de IA y procedimientos de respuesta probados.
Fuente: CCN-CERT, BP/36, “Guía de buenas prácticas frente al modelo de IA ofensiva”, junio de 2026.
