El 95% de las empresas considera prioritarias las pruebas de penetración, pero solo evalúa el 32% de su superficie de ataque, según un estudio de Synack y Omdia.
El crecimiento de la superficie de ataque y el uso cada vez más intensivo de la inteligencia artificial por parte de los ciberdelincuentes están superando las preocupaciones relacionadas con la seguridad de la propia IA.
Synack, especializada en pruebas de penetración apoyadas en inteligencia artificial, junto con la firma de análisis Omdia, ha publicado el informe The 2026 State of Agentic AI in Pentesting. El estudio pone de manifiesto una brecha relevante entre la importancia que las organizaciones dan a las pruebas de seguridad y la cobertura real que alcanzan.
Aunque el 95% de las compañías sitúa las pruebas de penetración como una prioridad, en la práctica solo se analiza una media del 32% de la superficie de ataque. Esto deja sin evaluar cerca del 68% del entorno corporativo, lo que genera puntos ciegos en un contexto en el que los atacantes utilizan cada vez más la IA.
El informe, basado en una encuesta a 200 responsables de seguridad, refleja las dificultades de los modelos tradicionales de pentesting para adaptarse a entornos actuales, marcados por la nube, la complejidad tecnológica y la velocidad de los cambios. En este escenario, empieza a consolidarse un enfoque más continuo, apoyado en inteligencia artificial, pero con supervisión humana.
Según Jay Kaplan, CEO y cofundador de Synack, el sector está evolucionando hacia modelos más dinámicos: “la seguridad necesita la velocidad de las máquinas para escalar y el criterio humano para interpretar los riesgos”. En la misma línea, Alberto Román, responsable comercial para el sur de Europa, subraya que la combinación de IA y expertos permite acercar las pruebas al comportamiento real de los atacantes.
Desde el punto de vista del mercado, Angela Heindl-Schober, directora de marketing de la compañía, destaca que existe una desconexión clara entre la percepción de la importancia del pentesting y su aplicación real, lo que está impulsando un cambio hacia modelos más escalables basados en IA.
El estudio también identifica varias tendencias relevantes. Un 87% de las organizaciones ya está explorando o utilizando IA agéntica en sus pruebas de seguridad, y un 95% cree que este enfoque acabará sustituyendo, en mayor o menor medida, a los servicios tradicionales. En concreto, casi la mitad prevé una sustitución significativa o total.
Además, el 64% apuesta por un modelo híbrido, en el que la automatización basada en agentes se combine con supervisión humana. Aunque el 87% confía en estas tecnologías, el 93% considera imprescindible mantener controles de seguridad sólidos y mecanismos de decisión transparentes.
En conjunto, el informe apunta a la necesidad de evolucionar hacia pruebas de seguridad continuas que permitan mejorar los tiempos de respuesta y aportar valor al negocio. En un entorno marcado por amenazas cada vez más complejas, reducir la brecha de cobertura en las pruebas de penetración se perfila como una de las prioridades clave para las estrategias de ciberseguridad.
