La seguridad no falla en el punto de violación. Falla en el punto de impacto.
Esa línea marcó la pauta para la Picus Cumbre sobre brechas y simulación (BAS) , donde investigadores, profesionales y CISO se hicieron eco del mismo tema: la ciberdefensa ya no se basa en la predicción. Se trata de demostrar.
Cuando aparece un nuevo exploit, los escáneres recorren Internet en cuestión de minutos. Una vez que los atacantes se afianzan, suelen realizar movimientos laterales con la misma rapidez. Si tus controles no han sido probados comparándolos con las técnicas exactas del juego, no estás defendiendo, sino esperando que las cosas no vayan en serio, con forma de pera.
Es por eso que la presión aumenta mucho antes de que se redacte un informe de incidente. En el mismo momento en que un exploit llega a Twitter, una sala de juntas quiere respuestas. Como dijo un orador: «No puedes decirle a la junta: 'Tendré una respuesta la semana que viene. ' Tenemos horas, no días».
BAS ha superado sus raíces de cumplimiento y se ha convertido en la prueba de voltaje diaria de la ciberseguridad, la corriente que se revisa para ver qué es lo que realmente depara.
Este artículo no es una presentación ni un tutorial. Es un resumen de lo que apareció en el escenario , en esencia, cómo BAS ha pasado de ser una actividad anual de casillas de verificación a una forma diaria sencilla y eficaz de demostrar que las defensas realmente funcionan.
La seguridad no se basa en el diseño, sino en la reacción
Durante décadas, la seguridad se trató como una arquitectura: diseño , construir , inspeccionar , certificar . Un enfoque de lista de verificación basado en planes y papeleo.
Sin embargo, los atacantes nunca aceptaron ese plan. Tratan la defensa como la física, aplicando presión continua hasta que algo se dobla o se rompe. No les importa lo que diga el plano; les importa dónde falla la estructura.
Los pentests siguen siendo importantes, pero son instantáneas en movimiento.
BAS cambió esa ecuación. No certifica un diseño; pone a prueba la reacción. Ejecuta comportamientos de confrontación controlados y seguros en entornos reales para demostrar si las defensas realmente responden como deberían o no.
Como explica Chris Dale, instructor principal de SANS: La diferencia es mecánica: BAS mide reacción , no potencial . No pregunta, «¿Dónde están las vulnerabilidades?» pero «¿Qué pasa cuando los golpeamos?»
Porque, en última instancia, no se pierde cuando se produce una infracción, pierdes cuando el impacto de esa brecha cae .
La verdadera defensa comienza con conocerte a ti mismo
Antes de emular o simular al enemigo, tienes que entenderte a ti mismo. No puedes defender lo que no ves: los activos olvidados, las cuentas sin etiquetar o el script antiguo que sigue ejecutándose con derechos de administrador del dominio.
sila-blog-video-1_1920x1080.mp4
Luego, asuma una brecha y retroceda partiendo del resultado que más teme.
Toma Akira , por ejemplo, una cadena de ransomware que elimina copias de seguridad, abusa de PowerShell y se propaga a través de unidades compartidas. Reproduzca ese comportamiento de forma segura en su entorno y descubrirá, no conjeturará, si sus defensas pueden acabar con él a mitad de camino.
Dos principios separaban los programas maduros del resto:
- Resultado primero: comience por el impacto, no por el inventario.
- Púrpura por defecto: BAS no es un teatro rojo contra azul; es la forma en que la inteligencia, la ingeniería y las operaciones convergen: simular → observar → afinar → volver a simular.
Como señaló John Sapp, CISO de Texas Mutual Insurance, «los equipos que hacen de la validación un ritmo semanal comienzan a ver las pruebas donde antes veían las suposiciones».
El verdadero trabajo de la IA es la curación, no la creación
La IA estuvo en todas partes este año, pero la información más valiosa no tuvo que ver con el poder, sino con la moderación. La velocidad importa, pero la procedencia importa más. Nadie quiere un modelo de LLM que improvise cargas útiles o hacer suposiciones sobre el comportamiento de un ataque.
Al menos por ahora, el tipo de IA más útil no es el que crea , es el que organiza , tomando información desordenada y desestructurada sobre amenazas y convirtiéndola en algo que los defensores realmente puedan utilizar.
sila-blog-video-2_1920x1080.mp4
La IA ahora actúa menos como un modelo único y más como un relevo de especialistas , cada uno con un trabajo específico y un punto de control intermedio:
- Planificador — define lo que debe recopilarse.
- Investigador — verifica y enriquece los datos sobre amenazas.
- Constructor — estructura la información en un plan de emulación seguro.
- Validador — comprueba la fidelidad antes de que se ejecute nada.
Cada agente revisa la última, manteniendo una precisión alta y un riesgo bajo.
Un ejemplo lo resumió perfectamente:
«Deme el enlace a la campaña Fin8 y le mostraré las técnicas de MITRE que utiliza en horas, no en días».
Eso ya no es una aspiración, está en funcionamiento. Lo que antes costaba una semana de referencias cruzadas, creación de scripts y validación manuales, ahora cabe en un solo día de trabajo.
Título → Plan de emulación → Funcionamiento seguro. No es llamativo, solo más rápido. De nuevo, horas, no días.
Las pruebas de campo muestran que BAS funciona
Una de las sesiones más esperadas del evento fue la presentación en vivo de BAJO en entornos reales. No era teoría, era una prueba operativa .
Un equipo de atención médica dirigió cadenas de ransomware alineadas con la información sobre amenazas del sector, midiendo tiempo de detección y tiempo de respuesta , incorporando las detecciones fallidas a las reglas de SIEM y EDR hasta que la cadena se rompió pronto.
Un proveedor de seguros hizo una demostración de los pilotos de BAS los fines de semana para verificar si las cuarentenas de puntos finales realmente se activaron Esas ejecuciones pusieron de manifiesto errores de configuración silenciosos mucho antes de que los atacantes pudieran hacerlo.
La conclusión era clara:
BAS ya forma parte de las operaciones de seguridad diarias, no es un experimento de laboratorio . Cuando los líderes preguntan, «¿Estamos protegidos contra esto?» la respuesta ahora proviene de la evidencia, no de la opinión.
La validación convierte «parchear todo» en «parchear lo que importa»
Uno de los momentos más agudos de la cumbre se produjo cuando surgió la conocida pregunta de la junta: «¿Tenemos que arreglar todo?»
La respuesta fue clara y sin complejos, no.
sila-blog-video-3_1920x1080.mp4
La validación basada en BAS demostró que parchear todo no es solo poco realista ; es innecesario .
Lo que importa es saber cuáles son las vulnerabilidades realmente explotable en su entorno. Al combinar los datos de vulnerabilidad con el rendimiento del control en tiempo real, los equipos de seguridad pueden ver dónde se concentra el riesgo real, no dónde debería concentrarse un sistema de puntuación.
« No debes parchear todo», Dijo Volkan Ertürk, cofundador y director de tecnología de Picus. «Aproveche la validación de los controles para obtener una lista priorizada de exposiciones y centrarse en lo que es realmente explotable para usted».
Un CVSS 9.8 protegido por una prevención y detección validadas puede conllevar poco peligro, mientras que una falla de gravedad media en un sistema expuesto puede abrir una ruta de ataque real.
Ese cambio, desde aplicar parches basados en suposiciones hasta aplicar parches basados en pruebas , fue uno de los momentos decisivos del evento. BAS no te lo dice lo que pasa en todas partes ; te dice qué puede hacerte daño aquí , girando Gestión continua de la exposición a amenazas (CTEM) de la teoría a la estrategia.
No necesitas un tiro a la luna para empezar
Otra conclusión clave de la sesión de los líderes de arquitectura de seguridad de Picus, Gürsel Arıcı y Autumn Stambaugh, fue que BAS no requiere un gran despliegue; simplemente tiene que empezar.
Los equipos comenzaron sin alboroto ni fanfarria, demostrando su valor en semanas, no en trimestres.
- La mayoría eligió uno o dos ámbitos, puntos finales de financiación o un clúster de producción, y mapearon los controles que los protegían.
- Luego, eligieron un resultado realista, como el cifrado de datos, y crearon la cadena TTP más pequeña que pudiera hacerlo realidad.
- Ejecútelo de forma segura, compruebe dónde falla la prevención o la detección, corrija lo que sea importante y vuelva a ejecutarlo.
En la práctica, ese bucle se aceleró rápidamente.
Para la tercera semana , los flujos de trabajo asistidos por IA ya estaban actualizando la información sobre amenazas y regenerando las acciones seguras. En la cuarta semana, los datos de control validados y los hallazgos de vulnerabilidad se fusionaron en tablas de puntuación de exposición que los ejecutivos podían leer de un vistazo.
El momento en que un equipo vio cómo una cadena de exterminio simulada se detenía a mitad de carrera debido a una regla enviada el día anterior , todo funcionó, BAS dejó de ser un proyecto y pasó a formar parte de su práctica de seguridad diaria.
BAS funciona como el verbo dentro de CTEM
El modelo de gestión continua de la exposición a las amenazas (CTEM) de Gartner: «Evaluar, validar y movilizar» solo funciona cuando la validación es continua, contextual y está vinculada a la acción.
Aquí es donde BAS vive ahora.
No es una herramienta independiente; es el motor que mantiene la honestidad del CTEM, ya que alimenta las puntuaciones de exposición, guía la ingeniería de control y mantiene la agilidad a medida que cambian tanto la tecnología como la superficie de amenaza.
Los mejores equipos ejecutan la validación como un latido. Cada cambio, cada parche, cada nueva CVE desencadena otro pulso. Eso es lo que realmente significa la validación continua .
El futuro está en las pruebas
La seguridad solía basarse en la creencia. BAS reemplaza la fe por la prueba, haciendo pasar corriente eléctrica a través de tus defensas para ver dónde falla el circuito.
La IA aporta velocidad. La automatización aporta escalabilidad. La validación aporta la verdad. BAS ya no es la forma de hablar de seguridad. Es cómo lo demuestras.
Sea de los primeros en experimentar la inteligencia de amenazas impulsada por la IA. ¡Obtenga su acceso anticipado ahora!
Nota: Este artículo fue escrito y contribuido por expertos Sila Özeren Hacioglu , ingeniero de investigación de seguridad en Picus Security.