English
Ami Luttwak, tecnólogo jefe de Wiz, compartió recientemente con TechCrunch su visión sobre cómo la inteligencia artificial (IA) está remodelando el panorama de la ciberseguridad. “La ciberseguridad es, en última instancia, un juego mental”, explicó Luttwak. “Cada vez que surge una nueva tecnología, se presentan nuevas oportunidades para los atacantes”.
A medida que las empresas integran rápidamente la IA en sus flujos de trabajo—ya sea a través de vibe coding, agentes de IA u otras herramientas—la superficie de ataque global se expande. Aunque la IA ayuda a los desarrolladores a entregar código más rápido, esta velocidad a menudo introduce errores y atajos inseguros, que pueden ser explotados por atacantes.
Wiz, adquirida por Google a principios de este año por 32 mil millones de dólares, observó que muchas aplicaciones asistidas por IA presentan implementaciones de autenticación inseguras. “Los desarrolladores suelen dejar brechas de seguridad porque los agentes de codificación de IA hacen exactamente lo que se les indica”, señaló Luttwak.
Los atacantes también están utilizando la IA. Usan vibe coding, instrucciones basadas en prompts y agentes de IA para explotar vulnerabilidades. Luttwak destacó que los atacantes pueden incluso manipular herramientas de IA dentro de las organizaciones para acceder a datos sensibles, eliminar archivos o eludir controles de seguridad.
Riesgos en la Cadena de Suministro Amplificados por la IA
Las nuevas herramientas de IA desplegadas internamente pueden crear inadvertidamente vulnerabilidades en la cadena de suministro. Por ejemplo, en un incidente reciente en Drift, los atacantes explotaron chatbots de IA para acceder a datos de Salesforce de grandes clientes empresariales, incluyendo Cloudflare, Palo Alto Networks y Google. Utilizando tokens para suplantar el chatbot, los atacantes consultaron datos y se movieron lateralmente dentro de los entornos corporativos.
Otro ejemplo importante es el ataque “s1ingularity” en Nx, un sistema de compilación para desarrolladores de JavaScript. El malware detectó herramientas de desarrollo de IA como Claude y Gemini, las secuestró para escanear los sistemas de forma autónoma y exfiltrar datos sensibles, incluyendo miles de tokens de desarrolladores y repositorios privados de GitHub.
La Necesidad de Seguridad desde el Diseño
Luttwak enfatiza que la adopción de IA en las empresas aún es baja, pero los ataques ya ocurren semanalmente. Para abordarlo, Wiz ha desarrollado soluciones como:
- Wiz Code: Asegura el ciclo de vida del desarrollo de software identificando vulnerabilidades de forma temprana y promoviendo un enfoque de “seguridad desde el diseño”.
- Wiz Defend: Brinda protección en tiempo de ejecución, detectando y respondiendo a amenazas en entornos en la nube.
Tanto startups como empresas deben adoptar la seguridad desde el primer día. Luttwak destaca la importancia de contar con un CISO desde el inicio, planificando la arquitectura de seguridad, control de accesos, autenticación y registros de auditoría antes de escribir cualquier línea de código. Este enfoque previene la “deuda de seguridad” y garantiza estar preparados para clientes empresariales.
Oportunidades para la Innovación en Ciberseguridad
La democratización de la IA crea oportunidades para atacantes y defensores. Las startups que se enfoquen en protección contra phishing, defensa contra malware, seguridad de endpoints, automatización de flujos de trabajo y “vibe security” tienen un terreno fértil para innovar. Muchos equipos de seguridad aún no saben cómo usar la IA para defenderse de la IA, lo que hace de este un momento crítico para avanzar.
“El juego está completamente abierto”, concluyó Luttwak. “Cada área de seguridad ahora enfrenta nuevos ataques, lo que significa que debemos repensar cada parte de la ciberseguridad”.
