July 6, 2026
PENTESTING CON AGENTES DE IA
Hola Comunidad.

By Adrian Romanov
5 min read
Hace unos meses escribí sobre cómo el cibercrimen dejó de necesitar talento propio: le basta con tener acceso a alguien "o a algo" que sí lo tenga. Ese texto lo escribí desde afuera, mirando reportes. Este lo escribo desde adentro, porque decidí sentarme del otro lado de la mesa y hacer exactamente lo mismo que hacen ellos, pero para defender: usar agentes de IA para pentesting activo. No para escribir un correo de phishing más bonito. Para probar aplicaciones reales, con permiso, contra reloj, buscando la falla que se le escapa al humano cansado.
Y lo que vi me dejó pensando varias noches. Ni tan mágico como lo venden, ni tan inofensivo como quisiéramos.
EL CÓMPLICE NO PIENSA, PERO NO SE CANSA
La primera lección es incómoda para el ego. Un pentester bueno tiene intuición, cicatrices, mañas. Un agente de IA no tiene nada de eso. Lo que tiene es otra cosa: no se aburre, no se distrae y no baja la guardia en el request número cuatrocientos.
En pentesting, el 80% del trabajo real es tedio. Enumerar endpoints, repetir la misma prueba cambiando un parámetro, leer respuestas casi idénticas buscando el detalle que no cuadra. Ahí es donde el humano falla, no por falta de habilidad, sino por fatiga. La atención es un recurso finito y el atacante lo sabe.
El agente no tiene ese problema. Le describes la superficie, le das las reglas del juego y empieza a tejer hipótesis: "si este identificador es secuencial, ¿Qué pasa si lo cambio por el del vecino?", "si el token dice que soy administrador, ¿alguien está validando la firma o solo confían en lo que dice?". Preguntas obvias. Preguntas que un humano también haría. La diferencia es que la máquina las hace todas, sin saltarse ninguna por prisa, y las hace en minutos.
LO QUE VI FUNCIONAR (Y ME QUITÓ EL SUEÑO)
Vi a un agente encontrar un bypass de autenticación que llevaba ahí, tranquilo, esperando ser descubierto. El tipo de falla donde el sistema confía en que el propio cliente diga quién es, sin verificar la firma que lo respalda. Un clásico de manual. Un humano lo habría encontrado también… si hubiera llegado hasta esa hora del día con la misma energía del principio. El agente llegó fresco, probó la variante correcta y la puerta se abrió.
Vi algo más inquietante: acceso cruzado entre inquilinos. Una plataforma donde muchos clientes conviven separados por una frontera lógica, y esa frontera resultó ser más papel que muro. Cambiando un identificador, se podía leer información que pertenecía a otro. El agente no "entendió" el impacto de negocio "eso lo calculamos nosotros", pero sí encadenó los pasos: entrada anónima, escaló, y desde adentro empezó a jalar registros que no eran suyos. Miles. La máquina no se conmueve con la cifra. Yo sí.
Y vi lo que más me hizo pensar en el futuro: envenenar la memoria de un sistema de IA. Muchas aplicaciones modernas ya llevan un asistente adentro, uno de esos que "recuerda" contexto para responder mejor.
Resulta que esa memoria también se puede contaminar. Metes información falsa por un lado, el sistema la guarda como si fuera verdad, y más tarde se la sirve a otro usuario como si fuera un dato legítimo. Un agente atacando a otro agente. Bienvenidos a 2026.
DONDE LA MÁQUINA SE ROMPE
Ahora la otra cara, porque si solo cuento las victorias les estoy vendiendo humo, y este texto no es un folleto de ventas.
El agente alucina hallazgos. Con seguridad absoluta te dice que encontró una vulnerabilidad crítica y, cuando vas a reproducirla, no existe. Se convenció a sí mismo. En seguridad, un falso positivo no es un detalle menor: si mandas ese reporte tal cual, quemas tu credibilidad y le haces perder el tiempo a un equipo de desarrollo que ya andaba corto de él.
El agente tampoco entiende el negocio. Sabe que puede leer un dato, pero no sabe si ese dato vale oro o no vale nada. No distingue entre "accediste a un catálogo público" y "accediste al listado completo de clientes". Esa diferencia "la que convierte un hallazgo técnico en un problema real" sigue siendo trabajo humano. El impacto lo pones tú.
Y el agente no sabe cuándo detenerse. No tiene el instinto de "esto ya es demasiado, aquí paro". En un ejercicio autorizado eso lo controlas con reglas estrictas. Pero es justo esa falta de freno la que lo vuelve peligroso en las manos equivocadas, y ahí llega la parte que no me gusta.
LA PARTE INCÓMODA: ES LA MISMA HERRAMIENTA
La misma capacidad que a mí me sirvió para encontrar fallas y ayudar a cerrarlas, le sirve al del otro lado para encontrarlas y abusar de ellas. No hay una versión "buena" y una "mala" de esta tecnología. Es la misma. La única diferencia es la autorización, y la autorización es una decisión ética, no una característica técnica.
Esto ya lo escribía en el texto anterior sobre Crimeware con IA: bajó la barrera de entrada. Antes, montar un ataque decente contra una aplicación seria requería años de trabajo. Hoy, con un agente bien dirigido, alguien con conocimiento medio puede reproducir buena parte de ese trabajo. Eso no es futuro. Es presente, y lo comprobé con mis propias manos, del lado correcto de la ley.
La accion no es "prohibamos esto". Es imposible y sería ingenuo. La preocupacion es que si los atacantes ya están probando tus sistemas a velocidad de máquina, defenderte a velocidad humana dejó de ser una opción razonable.
EL HUMANO NO SOBRA, CAMBIA DE PUESTO
La pregunta que todos me hacen: ¿esto reemplaza al pentester? No. Pero le cambia el trabajo, y quien no lo asuma se va a quedar atrás.
El pentester de antes era un cazador solitario. El de ahora es más bien un director de orquesta: lanza agentes, revisa lo que traen, descarta el ruido, confirma lo real, mide el impacto y toma las decisiones que la máquina no puede tomar. La habilidad ya no está solo en encontrar la falla. Está en saber dirigir a quien la busca, y en tener el criterio para saber qué es verdad y qué es alucinación.
Ese criterio no se automatiza. Al menos no todavía. Y mientras eso siga siendo cierto, el humano no sobra: sube de nivel.
REFLECCION
Salí de estos meses con una sensación rara, mezcla de asombro y respeto. Asombro por la velocidad. Respeto por lo que implica que esta velocidad esté disponible para cualquiera, con o sin buenas intenciones.
No quiero cerrar con paranoia, pero tampoco con optimismo barato. La tecnología que probé no es una amenaza ni una salvación. Es una herramienta, y las herramientas amplifican a quien las usa. Si del otro lado ya están experimentando con esto "y les aseguro que sí", la pregunta incómoda es sencilla:
¿Vamos a seguir revisando nuestros sistemas una vez al año, a mano, mientras alguien más los revisa todos los días con una máquina que nunca se cansa?
Yo ya sé de qué lado quiero estar. Ustedes, ¿Qué opinan?
Dejo la reflexión abierta, como siempre. Cuidar lo que construimos ya no es opcional. Es parte de cuidar a quienes confían en nosotros.
Si después de leer esto tienes dudas o quieres profundizar más, puedes buscarme en privado y con gusto intento orientarte.
Y si necesitas algo más especializado, también puedes contactar al equipo de nuestra consultoría para recibir atención profesional:
Cuidar tu vida digital hoy no es opcional. Es parte de cuidarte a ti.
Sígueme en mis redes sociales: https://linktr.ee/adrian.romanov