Intruder creó un agente de AI que realiza pentests en minutos en lugar de días

El pentest manual cuesta entre $10 y 50 mil dólares, requiere semanas de preparación y coordinación, días de ejecución, y el informe a menudo queda obsoleto antes de ser completamente leído. Esto explica por qué la seguridad en startups sigue siendo precaria: las auditorías son costosas y los resultados rápidamente pierden su relevancia. La empresa londinense Intruder, graduada del acelerador de ciberseguridad del GCHQ, ha lanzado agentes de IA que replican la metodología de los testers humanos, pero ejecutan el trabajo varios órdenes de magnitud más rápido y barato. Este es el primer sistema de pentesting genuinamente automatizado que no requiere preparación manual de scripts.

Cómo Funciona el Pentester de IA

La IA de Intruder ve la pantalla y el navegador exactamente como lo hace un humano. No es simplesmente un envoltorio sobre escáneres existentes como Burp Suite — el sistema analiza la interfaz, encuentra campos de entrada, entiende la lógica de la aplicación e intenta romperla metódicamente. Proceso típico: el agente abre el sitio web objetivo, encuentra un formulario de inicio de sesión, prueba contraseñas estándar y combinaciones típicas (admin/password, root/root), analiza la respuesta del servidor.

Luego explora la interfaz más a fondo, busca campos para la entrada de datos, introduce en cada uno vectores de ataque típicos: inyecciones SQL ('; DROP TABLE users; --), payloads XSS (<script>alert(1)</script>), comprueba la respuesta. También verifica los derechos de acceso: ¿puede un usuario normal acceder al panel de administración, puede un cliente ver los datos de otro cliente?

Comprobaciones principales de IA:

• Escaneo de puertos abiertos, servicios y sus versiones
• Prueba de autenticación: contraseñas débiles, credenciales estándar, bypass 2FA
• Verificación de autorización: escalada de privilegios horizontal y vertical
• Búsqueda de inyecciones SQL, XSS, CSRF en todos los formularios web
• Análisis de configuración: buckets S3 desprotegidos, claves API expuestas, filtraciones de código
• Generación de informe con recomendaciones para solucionar cada vulnerabilidad

La Economía del Pentesting Se Invierte

Un pentester profesional cuesta entre $50 y 150 por hora. Una auditoría completa de una empresa mediana requiere una semana de preparación, una semana de pruebas y una semana de documentación. Total: tres semanas, $20 a 50 mil dólares, un informe que dentro de un mes puede quedar obsoleto debido a actualizaciones de código.

La IA lo maneja en horas o minutos según el tamaño del sistema, los costos caen en varios órdenes de magnitud. Para startups y pymes esto es una revolución — anteriormente simplemente no podían permitirse auditorías profesionales. Ahora la seguridad se puede verificar regularmente: semanalmente o mensualmente, como pruebas de regresión comunes.

Esto cambia fundamentalmente el modelo de seguridad de una verificación única a un escaneo continuo.

Trampas y Limitaciones

La IA funciona muy bien con vulnerabilidades típicas, pero a menudo es ciega a errores lógicos. Si una aplicación tiene lógica de negocio no estándar (un error en el algoritmo de pago que permite comprar más barato), la IA puede pasarlo por alto. Además, la IA puede atascarse en CAPTCHAs, no pasar por ofuscación compleja de JavaScript, no manejar WebAssembly en el lado del cliente.

En sistemas que requieren acceso físico o ingeniería social, la IA es completamente inútil. Por lo tanto, los pentests de IA complementan pero no reemplazan las auditorías completas en sistemas críticos. Las startups usan IA para la primera capa.

Los bancos y agencias gubernamentales — pentest tradicional más IA como segunda opinión y escaneo continuo.

Qué Significa Esto

La IA en ciberseguridad pasa de laboratorios a herramienta de combate. La seguridad deja de ser un lujo de las grandes corporaciones y se vuelve accesible para startups. Esto es bueno: menos vulnerabilidades obvias en internet. Pero es malo: los actores malintencionados también obtienen acceso a herramientas de IA para ataques y descifre de contraseñas. El resultado es escalada: los defensores verifican más frecuentemente, los atacantes innovan más rápido. Para las empresas, la conclusión es única: la seguridad ya no es un gasto único sino una práctica constante.