RuStore implementó IA en seguridad de la información: cómo VK automatiza la revisión de tareas, código y pruebas DAST

RuStore ha demostrado un enfoque pragmático para usar IA en seguridad de la información: no para un escaparate vistoso ni para reemplazar especialistas, sino para descargar las etapas más repetitivas del trabajo dentro del ciclo de lanzamiento. El equipo de seguridad automatizó tres áreas donde los ingenieros más frecuentemente gastan tiempo en revisión básica y filtrado: procesamiento inicial de tarefas de Security Check, revisión de cambios en merge requests y pruebas dinámicas de aplicaciones. La lógica es simple: si la máquina puede reunir rápidamente contexto, destacar riesgos típicos y filtrar problemas obvios, los humanos tienen más recursos disponibles para soluciones genuinamente complejas, casos dudosos y análisis arquitectónico profundo.

Esto representa un cambio importante en el enfoque hacia la seguridad aplicada. En el desarrollo de productos, la seguridad ha consistido hace mucho en algo más que incidentes críticos raros y búsquedas de ataques sofisticados. La mayor parte de la carga de trabajo es operación constante: necesitas leer descripciones de tareas, ver qué exactamente cambia en la funcionalidad, comprender qué datos se ven afectados, qué integraciones aparecen y dónde pueden surgir vulnerabilidades siguiendo patrones ya conocidos.

Tal trabajo es obligatorio, pero es justamente lo que consume horas de expertos. Escalar el equipo para este flujo no siempre es racional: junto con el número de especialistas crece el volumen de rutina, no solo la profundidad de expertise. Entonces apostar por IA aquí parece no un experimento de moda, sino un intento de redistribuir puntualmente el tiempo dentro del equipo.

La primera dirección es la revisión de tareas de Security Check en etapa temprana. Normalmente un ingeniero necesita entender rápidamente qué cambio está en cuestión, dónde se ve potencialmente afectada la seguridad y si el análisis profundo es realmente necesario. La IA en tal proceso puede reunir contexto básico de la descripción de la tarea, destacar áreas sensibles y señalar cosas que se parecen a patrones de riesgo conocidos.

Esto es especialmente útil donde el flujo de tareas es alto y una parte significativa de las solicitudes finalmente necesita clasificación rápida y enrutamiento, no investigación completa. La segunda dirección es análisis de código en merge requests. Aquí hay especialmente muchas verificaciones rutinarias: manejo de entrada del usuario, controles de acceso, tokens, secretos, logging, validación, llamadas externas.

Si el modelo puede pasar por estas capas como una lista de verificación, se convierte no en "un revisor en lugar de un humano" sino en un primer filtro antes de la evaluación experta. La tercera área es AI-DAST, es decir, usar el modelo en pruebas dinámicas de aplicaciones. Para un equipo de seguridad esto es una extensión lógica de la misma idea: algunas verificaciones pueden estandarizarse, acelerarse y ejecutarse más consistentemente sin esperar a que un ingeniero encuentre una ventana para paso manual por escenarios típicos.

En tal modo, la IA es útil principalmente como asistente que no se cansa de ejecutar pasos repetitivos y puede notar más rápidamente desviaciones en el comportamiento de la aplicación. Esto reduce la probabilidad de que un problema rutinario se pierda entre iteraciones de lanzamiento simplemente por falta de tiempo para pruebas manuales. Al mismo tiempo, la decisión final sigue siendo del humano: es el ingeniero quien evalúa el contexto, distingue un problema real de una falsa alarma y entiende cuán crítica es la señal encontrada para el producto particular y su arquitectura.

A nivel de mercado, esto es un buen ejemplo de cómo la IA se está gradualmente integrando en procesos internos maduros. El valor más práctico aquí no está en promesas ruidosas de "seguridad autónoma", sino en reducir el costo del trabajo rutinario y acelerar verificaciones iniciales sin pérdida de control. Si tal enfoque se establece, los equipos de seguridad podrán gastar menos tiempo en clasificación mecánica de tareas y más tiempo en modelado de amenazas, escenarios de ataque no triviales y prevención de errores antes del lanzamiento.

Para grandes equipos de productos, esto probablemente se convertirá en el efecto principal: no una reducción en el papel del experto, sino un aumento notable en su capacidad de procesamiento. Esencialmente, se trata de redistribuir la atención a favor de aquellas áreas donde la expertise humana realmente proporciona máximo valor y donde la automatización aún no es capaz de reemplazar el juicio de ingeniería.