La seguridad no falla en el momento de la infracción. Falla en el punto de impacto.
Esa línea marcó la pauta para la edición de este año. Picus Cumbre de Infracción y Simulación (BAS)donde investigadores, profesionales y CISO se hicieron eco del mismo tema: la ciberdefensa ya no se trata de predicción. Se trata de pruebas.
Cuando aparece un nuevo exploit, los escáneres rastrean Internet en minutos. Una vez que los atacantes logran afianzarse, el movimiento lateral suele seguir con la misma rapidez. Si tus controles no han sido probados contra las técnicas exactas en juego, no estás defendiendo, estás esperando que las cosas no salgan mal.
Es por eso que la presión aumenta mucho antes de que se redacte un informe de incidente. En el mismo momento en que un exploit llega a Twitter, una sala de juntas quiere respuestas. Como lo expresó un orador, «No se puede decirle a la junta: ‘Tendré una respuesta la próxima semana’. Tenemos horas, no días.»
BAS ha superado sus raíces de cumplimiento y se ha convertido en la prueba de voltaje diaria de la ciberseguridad, la corriente que pasa por su pila para ver qué es lo que realmente se cumple.
Este artículo no es una propuesta ni un tutorial. es un resumen de lo que surgió en el escenarioen esencia, cómo BAS ha evolucionado de una actividad anual de casilla de verificación a una forma diaria simple y efectiva de demostrar que sus defensas realmente están funcionando.
La seguridad no se trata de diseño, se trata de reacción
Durante décadas, la seguridad fue tratada como arquitectura: diseño, construir, inspeccionar, certificar. Un enfoque de lista de verificación basado en planes y documentación.
Sin embargo, los atacantes nunca estuvieron de acuerdo con ese plan. Tratan la defensa como física, aplicando presión continua hasta que algo se dobla o se rompe. No les importa lo que diga el plano; les importa dónde falla la estructura.
Los pentests siguen siendo importantes, pero son instantáneas en movimiento.
BAS cambió esa ecuación. No certifica un diseño; pone a prueba la reacción. Ejecuta comportamientos adversarios controlados y seguros en entornos reales para demostrar si las defensas realmente responden como deberían o no.
Como explica Chris Dale, instructor principal de SANS: La diferencia es mecánica: BAS mide reacciónno potencial. No pregunta, «¿Dónde están las vulnerabilidades?» pero «¿Qué pasa cuando los golpeamos?»
Porque, en última instancia, no se pierde cuando se produce una infracción, pierdes cuando el impacto de esa brecha aterriza.
La verdadera defensa comienza con conocerse a uno mismo
Antes de emular/simular al enemigo, debes comprenderte a ti mismo. No puedes defender lo que no ves: los activos olvidados, las cuentas sin etiquetar, el script heredado que aún se ejecuta con derechos de administrador de dominio.
sıla-blog-video-1_1920x1080.mp4
Luego asuma una infracción y trabaje hacia atrás desde el resultado que más teme.
Llevar akirapor ejemplo, una cadena de ransomware que elimina copias de seguridad, abusa de PowerShell y se propaga a través de unidades compartidas. Repite ese comportamiento de forma segura dentro de tu entorno y aprenderás, no adivinarás, si tus defensas pueden romperlo a mitad de camino.
Dos principios separaban los programas maduros del resto:
- Resultado primero: Empiece por el impacto, no por el inventario.
- Púrpura por defecto: BAS no es un teatro de rojo contra azul; así es como convergen la inteligencia, la ingeniería y las operaciones: simular → observar → ajustar → volver a simular.
Como señaló John Sapp, CISO de Texas Mutual Insurance, «los equipos que hacen de la validación un ritmo semanal comienzan a ver pruebas donde solían ver suposiciones».
El verdadero trabajo de la IA es la curación, no la creación
La IA estuvo en todas partes este año, pero la información más valiosa no fue sobre el poder, sino sobre la moderación. La velocidad importa, pero la procedencia importa más. Nadie quiere un modelo LLM que improvise cargas útiles o hacer suposiciones sobre el comportamiento de ataque.
Al menos por ahora, el tipo de IA más útil no es el que creaes el que organizatomando inteligencia sobre amenazas desordenada y no estructurada y convirtiéndola en algo que los defensores realmente puedan usar.
sıla-blog-video-2_1920x1080.mp4
La IA ahora actúa menos como un modelo único y más como un relevo de especialistascada uno con un trabajo específico y un punto de control en el medio:
- Planificador — define lo que se necesita recolectar.
- Investigador — verifica y enriquece los datos de amenazas.
- Constructor — estructura la información en un plan de emulación seguro.
- Validador — comprueba la fidelidad antes de que se ejecute algo.
Cada agente revisa el último, manteniendo la precisión alta y el riesgo bajo.
Un ejemplo lo resumió perfectamente:
«Dame el enlace a la campaña Fin8 y te mostraré las técnicas MITRE a las que se asigna en horas, no en días».
Eso ya no es una aspiración, es algo operativo. Lo que antes requería una semana de referencias cruzadas manuales, secuencias de comandos y validación, ahora cabe en un solo día laboral.
Titular → Plan de emulación → Ejecución segura. No llamativo, sólo más rápido. De nuevo, horas, no días.
Las pruebas de campo demuestran que BAS funciona
Una de las sesiones más esperadas del evento fue una exhibición en vivo de BAS en entornos reales. No fue teoría fue prueba operativa.
Un equipo de atención médica ejecutó cadenas de ransomware alineadas con información sobre amenazas del sector, midiendo tiempo para detectar y tiempo para responderreintroduciendo las detecciones perdidas en las reglas SIEM y EDR hasta que la cadena se rompió temprano.
Un proveedor de seguros realizó pruebas piloto de BAS los fines de semana para verificar si realmente se activaron las cuarentenas de los terminales. Esas ejecuciones expusieron errores de configuración silenciosos mucho antes de que los atacantes pudieran hacerlo.
La conclusión fue clara:
BAS ya forma parte de las operaciones de seguridad diarias, no es un experimento de laboratorio. Cuando el liderazgo pregunta, «¿Estamos protegidos contra esto?» la respuesta ahora proviene de la evidencia, no de la opinión.
La validación convierte «parchear todo» en «parchear lo que importa»
Uno de los momentos más agudos de la cumbre se produjo cuando surgió la conocida pregunta de la junta directiva: «¿Necesitamos parchear todo?»
La respuesta fue absolutamente clara, No.
sıla-blog-video-3_1920x1080.mp4
La validación impulsada por BAS demostró que parchear todo no es simplemente irreal; es innecesario.
Lo que importa es saber qué vulnerabilidades son realmente explotable en tu entorno. Al combinar los datos de vulnerabilidad con el rendimiento del control en vivo, los equipos de seguridad pueden ver dónde se concentra el riesgo real, no dónde dice que debería hacerlo un sistema de puntuación.
«No deberías parcharlo todo». dijo Volkan Ertürk, cofundador y director de tecnología de Picus. «Aproveche la validación del control para obtener una lista priorizada de exposiciones y céntrese en lo que es realmente explotable para usted».
Un CVSS 9.8 protegido por prevención y detección validadas puede conllevar pocos peligros, mientras que una falla de gravedad media en un sistema expuesto puede abrir una ruta de ataque real.
ese cambio, de parchear la suposición a parchear la evidenciafue uno de los momentos decisivos del evento. BAS no te lo dice ¿Qué pasa en todas partes?; te dice ¿Qué puede hacerte daño aquí?convirtiendo la Gestión Continua de la Exposición a Amenazas (CTEM) de teoría a estrategia.
No necesitas un disparo a la luna para comenzar
Otra conclusión clave de la sesión de los líderes de arquitectura de seguridad de Picus, Gürsel Arıcı y Autumn Stambaugh, fue que BAS no requiere un gran lanzamiento; simplemente necesita comenzar.
Los equipos comenzaron sin problemas ni fanfarrias, demostrando valor en semanas, no en trimestres.
- La mayoría eligió uno o dos ámbitos, puntos finales financieros o un grupo de producción y mapeó los controles que los protegen.
- Luego eligieron un resultado realista, como el cifrado de datos, y construyeron la cadena TTP más pequeña que podría lograrlo.
- Ejecútelo de forma segura, vea dónde falla la prevención o detección, solucione lo que importa y ejecútelo nuevamente.
En la práctica, ese ciclo se aceleró rápidamente.
Para la tercera semanalos flujos de trabajo asistidos por IA ya estaban actualizando la información sobre amenazas y regenerando acciones seguras. En la cuarta semana, los datos de control validados y los hallazgos de vulnerabilidad se fusionaron en cuadros de mando de exposición que los ejecutivos podían leer de un vistazo.
El momento en que un equipo vio cómo una cadena de muerte simulada se detenía a mitad de carrera debido a una regla enviada el día anteriortodo encajó, BAS dejó de ser un proyecto y pasó a formar parte de su práctica de seguridad diaria.
BAS funciona como verbo dentro de CTEM
El modelo de Gestión Continua de la Exposición a Amenazas (CTEM) de Gartner: «Evaluar, validar, movilizar» solo funciona cuando la validación es continua, contextual y vinculada a la acción.
Aquí es donde vive BAS ahora.
No es una herramienta independiente; es el motor que mantiene la honestidad de CTEM, alimentando los puntajes de exposición, guiando la ingeniería de control y manteniendo la agilidad a medida que cambian tanto su pila tecnológica como la superficie de amenazas.
Los mejores equipos ejecutan la validación como un latido del corazón. Cada cambio, cada parche, cada nuevo CVE desencadena otro pulso. Eso es lo que realmente significa la validación continua..
El futuro está en la prueba
La seguridad solía basarse en la creencia. BAS reemplaza la creencia con pruebas, pasando corriente eléctrica a través de sus defensas para ver dónde falla el circuito.
La IA aporta velocidad. La automatización aporta escala. La validación trae la verdad. BAS ya no es como se habla de seguridad. Así es como lo pruebas.
Sea uno de los primeros en experimentar la inteligencia sobre amenazas impulsada por IA. ¡Obtén tu acceso anticipado ahora!
Nota: Este artículo fue escrito y contribuido de manera experta por Sila Ozeren Hacioglu, ingeniera de investigación de seguridad en Picus Security.