En abril, Anthropic lanzó un modelo de lenguaje tan potente que, de caer en manos equivocadas, podría convertirse en una amenaza global. Su Claude Mythos Preview era capaz de descubrir vulnerabilidades de día cero, lo que llevó a la firma a crear Project Glasswing, una alianza para blindar software antes de su publicación. Semanas después, la organización afirmaba haber analizado más de 1.000 proyectos de código abierto —que sustentan gran parte de internet—, localizando 6.202 vulnerabilidades de alta o crítica gravedad. Si el Foro Económico Mundial actualizara sus previsiones para 2026, la explotación de vulnerabilidades de software, que ocupaba el tercer puesto en preocupaciones de CEO y CISO, probablemente habría escalado posiciones.

La ciberseguridad en el desarrollo no es un concepto nuevo, pero su urgencia se ha intensificado. Gartner estima que el gasto global en ciberseguridad alcanzará los 240.000 millones de dólares en 2026, de los cuales 121.154 millones corresponden a software de protección. Sin embargo, el enfoque ya no es solo crear herramientas defensivas, sino integrar la seguridad desde el primer momento del ciclo de desarrollo.

Retos de integrar la ciberseguridad en el desarrollo

“Durante un tiempo, la ciberseguridad en el desarrollo se enfocaba al final del ciclo, considerando que una auditoría final era suficiente”, explican desde Tarlogic. “Hoy ese modelo no basta”. La firma valora la seguridad desde el diseño como un punto crucial, y su principal reto es “concienciar y motivar a los equipos sobre el valor que aporta la seguridad a sus aplicaciones”.

Manuel Achaques, de Hornetsecurity, coincide: “Los procesos de desarrollo pueden ser críticos desde el punto de vista de la ciberseguridad. No solo ponen en peligro la estabilidad de una compañía, sino también la de sus clientes y proveedores”. La prevención en fases tempranas incluye mantener sistemas actualizados, realizar copias de seguridad periódicas y usar soluciones inmutables, además de firewalls, detección avanzada de amenazas y cifrado de extremo a extremo.

En Tarlogic destacan las herramientas SCA, que “recogen el guante para ofrecer servicios que detectan paquetes no deseados mediante búsquedas de nombres y versiones en dependencias del código”. Pero advierten que la detección de librerías es solo una parte; lo más importante es el trabajo de recopilación de nombres y versiones de paquetes maliciosos.

Fernando Rubio Román, de Microsoft EMEA y miembro del ISMS Forum, aporta una perspectiva marcada por la IA: “La IA ha cambiado simultáneamente las tres caras del problema: cómo se escribe el código, cómo se descubren las vulnerabilidades y cómo se explotan. Y lo ha hecho a una velocidad para la que muchos equipos no están preparados”. Este proceso se acentúa con el vibe coding, que “democratiza el desarrollo pero amplía la deuda de seguridad”. “El problema no es que la IA escriba peor que un humano, es que escribe mucho más rápido, y la revisión humana ya no escala. La seguridad debe incorporarse al pipeline desde las primeras fases”, resume.

Rubio añade dos retos vinculados: la IA acelera el descubrimiento de vulnerabilidades, como con Claude Mythos, lo que reduce la ventana entre descubrimiento, explotación y remediación. Además, el código legado es un desafío enorme: “La IA es un aliado valioso, pero la deuda acumulada es enorme”. También señala un reto humano: “Necesitamos desarrolladores que entiendan de seguridad y profesionales de seguridad que entiendan de IA. Mientras esa convergencia no se consolide, la ofensiva irá por delante”.

Hacia dónde va el sector

Rubio distingue varias tendencias recorridas por la IA. Primero, la consolidación del modelo cloud y la responsabilidad compartida como base del software nuevo. Segundo, la convergencia de herramientas en plataformas CNAPP, que refleja un cambio de foco: “Con la IA generativa, lanzar la primera versión de un producto es trivial; lo difícil es la calidad, la seguridad y el mantenimiento”. La inversión se desplaza a pruebas, observabilidad, gestión de vulnerabilidades y resiliencia operativa. Tercero, la distribución de la seguridad a lo largo de todo el ciclo de vida, junto con la adopción de arquitecturas Zero Trust en el entorno de desarrollo.

El enfoque de seguridad por diseño, según Achaques, “cada vez toma más fuerza para fomentar una cultura de resiliencia”. Sin embargo, desde Tarlogic recuerdan que “la seguridad por diseño ha tenido que adaptarse a los cambios de paradigma. Donde antes un requisito se aplicaba al software para evitar filtraciones, ahora se establecen requisitos a proveedores para que cumplan con el diseño seguro o acepten auditorías de terceros”. Esto también aplica a la IA en software, “poniendo guardarraíles para que no se filtren datos sensibles o no acceda a servidores mal configurados”.

Todos estos cambios se aglutinan bajo DevSecOps, que integra la seguridad en cada fase del ciclo de vida del software de forma colaborativa. “Una evolución necesaria”, confirma Achaques, que destaca su relevancia “en un escenario donde gran parte del software usa componentes de código abierto, servicios cloud y herramientas de terceros. La cadena de suministro es cada vez más compleja”. “Más que una tendencia tecnológica, DevSecOps representa un cambio cultural”, razona, al dejar la seguridad de ser exclusiva de un equipo para formar parte de todo el proceso. “El objetivo es desarrollar más rápido, pero también más seguro, reduciendo riesgos sin frenar la innovación”. Rubio añade: “En un contexto de IA, su alcance se amplía: ya no protege solo código, sino también modelos, datos, prompts, permisos y agentes”.

Los portavoces destacan también la influencia de la regulación: normativas europeas como NIS2, DORA, la Ley de Ciberresiliencia, el RGPD y la Ley de IA. “Ha dejado de ser un marco lejano para condicionar directamente cómo se diseña, desarrolla y opera la tecnología”, señala Rubio. “La normativa empuja hacia una ciberseguridad demostrable: hay que poder evidenciar con artefactos auditables”. En desarrollo, implica “invertir en automatización de evidencias, gobierno del ciclo de vida y colaboración entre seguridad, legal, privacidad y producto desde el inicio. Bien planteada, la regulación puede ser una palanca de confianza y competitividad”.

Para profundizar en cómo la IA está transformando la revisión de código, te recomendamos nuestro artículo “Time to clean up human slop”: Por qué la IA ahora revisa código mejor que tu compañero. También puedes explorar cómo la virtualización con Proxmox democratiza la infraestructura empresarial en este análisis, o conocer los últimos parches de Oracle en este artículo.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.