{"id":223,"date":"2026-03-11T17:16:21","date_gmt":"2026-03-11T17:16:21","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/11\/lo-que-las-juntas-directivas-deben-exigir-en-la-era-de-la-explotacion-automatizada-por-la-ia-cyberdefensa-mx\/"},"modified":"2026-03-11T17:16:21","modified_gmt":"2026-03-11T17:16:21","slug":"lo-que-las-juntas-directivas-deben-exigir-en-la-era-de-la-explotacion-automatizada-por-la-ia-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/11\/lo-que-las-juntas-directivas-deben-exigir-en-la-era-de-la-explotacion-automatizada-por-la-ia-cyberdefensa-mx\/","title":{"rendered":"Lo que las juntas directivas deben exigir en la era de la explotaci\u00f3n automatizada por la IA \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

\u00abLo sab\u00edas y podr\u00edas haber actuado. \u00bfPor qu\u00e9 no lo hiciste?\u00bb <\/p>\n

Esta es la pregunta que no quieres que te hagan. Y cada vez m\u00e1s, es la pregunta que los l\u00edderes se ven obligados a responder despu\u00e9s de un incidente.<\/p>\n

Durante a\u00f1os, muchos equipos ejecutivos y juntas directivas han tratado una gran acumulaci\u00f3n de vulnerabilidades como una realidad inc\u00f3moda pero tolerable: \u00abhemos aceptado el riesgo\u00bb. Si alguna vez ha visto un informe que muestra miles (o decenas de miles) de CVE m\u00e1ximos y cr\u00edticos abiertos, probablemente tambi\u00e9n haya escuchado las racionalizaciones habituales de personas que preferir\u00edan mirar para otro lado: tenemos otras prioridades<\/em>, Esto llevar\u00e1 a\u00f1os de tiempo de ingenier\u00eda para solucionarlo.<\/em>, \u00bfC\u00f3mo sabes que estos son realmente cr\u00edticos? Todav\u00eda estamos priorizando, llegaremos a eso.<\/em><\/p>\n

En el viejo mundo, esa historia, si bien no era buena, a menudo era posible sobrevivir. La explotaci\u00f3n era m\u00e1s lenta, m\u00e1s manual y requer\u00eda m\u00e1s habilidad del operador. Incluso los atacantes m\u00e1s sofisticados ten\u00edan limitaciones. Las organizaciones se apoyaron en esas limitaciones como una parte t\u00e1cita del modelo de riesgo: \u00abSi fuera realmente tan malo como usted dice, estar\u00edamos comprometidos ahora mismo\u00bb.<\/p>\n

Ese mundo se ha ido.<\/p>\n

La IA ha colapsado el coste de explotaci\u00f3n<\/strong><\/h2>\n

Ahora estamos observando a los actores de amenazas utilizar sistemas de IA agentes para acelerar todo el flujo de trabajo ofensivo: reconocimiento, descubrimiento de vulnerabilidades, desarrollo de exploits y ritmo operativo. antr\u00f3pico detallado p\u00fablicamente<\/a> interrumpiendo una campa\u00f1a de ciberespionaje en la que los atacantes utilizaron a Claude de maneras que aumentaron materialmente su velocidad y escala, y advirtieron expl\u00edcitamente que este tipo de capacidad puede permitir que grupos menos experimentados realicen trabajos que antes requer\u00edan mucha m\u00e1s habilidad y personal. <\/p>\n

Como l\u00edderes en seguridad, sabemos que la IA permite a los atacantes moverse m\u00e1s r\u00e1pido. Pero ahora, la automatizaci\u00f3n convierte el trabajo atrasado en un arma. En el modelo antiguo, tener 13.000 Highs en producci\u00f3n podr\u00eda racionalizarse como un problema de clasificaci\u00f3n. En el nuevo modelo, los atacantes pueden pasar del descubrimiento de la cadena a la validaci\u00f3n y explotaci\u00f3n en mucho menos tiempo. \u201cEstamos trabajando en el trabajo pendiente\u201d deja de sonar como una estrategia y empieza a sonar como una excusa.<\/p>\n

La frase m\u00e1s peligrosa en la sala de juntas<\/strong><\/h2>\n

\u00abNo te preocupes, el CISO se encarga de todo\u00bb.<\/p>\n

He vivido la realidad detr\u00e1s de esa frase. Los CISO pueden crear programas, establecer prioridades, informar m\u00e9tricas e impulsar soluciones multifuncionales, pero en muchas empresas, el problema de la vulnerabilidad es estructuralmente mayor que la responsabilidad de cualquier ejecutivo. Es un problema del sistema: dependencias heredadas, limitaciones de velocidad de lanzamiento, entornos de producci\u00f3n fr\u00e1giles y recursos de ingenier\u00eda limitados. Las juntas no pueden delegar la gobernanza.<\/p>\n

L\u00ednea de casos Caremark de Delaware<\/a> se cita con frecuencia en las discusiones sobre supervisi\u00f3n de directores: las juntas deben tener sistemas de informes dise\u00f1ados para sacar a la luz los riesgos consiguientes y deben realmente involucrarse con lo que esos sistemas informan. El objetivo no es asustar a los directores con teor\u00eda jur\u00eddica, sino dejar claro que si sus informes dicen \u201ctenemos miles de vulnerabilidades graves abiertas\u201d, el trabajo de la junta es ejercer la supervisi\u00f3n.<\/p>\n

Qu\u00e9 deber\u00edan exigir las juntas directivas (y c\u00f3mo deber\u00edan responder los CISO)<\/strong><\/h2>\n

Si es miembro de la junta, debe buscar la verdad operativa. Conc\u00e9ntrese en la resiliencia de la tecnolog\u00eda de su empresa, no solo en el cumplimiento. Y si usted es un l\u00edder en seguridad, deber\u00eda crear los sistemas operativos que la proporcionen. Estas son las preguntas que los equipos pueden utilizar para superar la ciberseguridad performativa:<\/p>\n

    \n
  1. \u00bfC\u00f3mo es nuestro programa de gesti\u00f3n de vulnerabilidades de un extremo a otro?<\/strong><\/li>\n
  2. \u00bfCu\u00e1ntas vulnerabilidades (especialmente cr\u00edticas y m\u00e1ximas) existen en nuestros productos en este momento?<\/strong><\/li>\n
  3. \u00bfCu\u00e1nto tiempo llev\u00f3 corregir completamente los nuevos cr\u00edticos y m\u00e1ximos en el \u00faltimo trimestre? \u00bfEl a\u00f1o pasado?<\/strong><\/li>\n
  4. Si se descubriera un nuevo d\u00eda 0 en nuestro producto m\u00e1s vendido hoy, \u00bfcu\u00e1nto tiempo pasar\u00eda antes de que pudi\u00e9ramos decirles a los clientes que es seguro?<\/strong><\/li>\n
  5. \u00bfCu\u00e1l es el costo en d\u00f3lares de nuestro actual atraso en vulnerabilidades? <\/strong>(Multiplique las horas-persona para reparar por el costo de ingenier\u00eda total y obtendr\u00e1 un n\u00famero que la junta puede controlar).<\/li>\n<\/ol>\n

    As\u00ed es como se hace que el trabajo pendiente sea lo suficientemente tangible como para que el liderazgo deje de esconderse detr\u00e1s de abstracciones.<\/p>\n

    \u00abParchear m\u00e1s r\u00e1pido\u00bb no es una respuesta completa<\/strong><\/h2>\n

    Muchas organizaciones responden a la presi\u00f3n de la junta prometiendo implementar parches m\u00e1s r\u00e1pido. Eso ayuda, hasta que interrumpe la producci\u00f3n.<\/p>\n

    Si los parches de emergencia causan de manera confiable un impacto en el cliente (y en algunos entornos lo hacen), se ver\u00e1 obligado a aceptar una compensaci\u00f3n terrible: aceptar la exposici\u00f3n o aceptar el tiempo de inactividad. La empresa moderna necesita un modelo que reduzca la frecuencia y el radio de explosi\u00f3n de la remediaci\u00f3n de emergencia, no uno que simplemente acelere el mismo fr\u00e1gil proceso.<\/p>\n

    La realidad de la cadena de suministro: los pasivos est\u00e1n cambiando<\/strong><\/h2>\n

    Estamos viendo cambios en las responsabilidades a medida que los reguladores y los tribunales se centran en la higiene de la cadena de suministro de software y la resiliencia operativa. <\/p>\n

    En la UE, la Ley de Resiliencia Cibern\u00e9tica (CRA) ya est\u00e1 en vigor, y sus principales obligaciones entrar\u00e1n en vigor en diciembre de 2027. Muchas organizaciones enfrentar\u00e1n expectativas m\u00e1s fuertes en cuanto al manejo de vulnerabilidades, pr\u00e1cticas de seguridad desde el dise\u00f1o y responsabilidad a lo largo del ciclo de vida del software.<\/p>\n

    En los servicios financieros, ha entrado en vigor la DORA (Ley de Resiliencia Operativa Digital), que armoniza la gesti\u00f3n de riesgos de las TIC y los requisitos de resiliencia operativa en toda la UE. <\/p>\n

    Tambi\u00e9n estamos viendo esta din\u00e1mica en los EE. UU., donde se presentan demandas por negligencia en demandas colectivas contra empresas, y los demandantes alegan una falta de debida diligencia que condujo a violaciones de datos.<\/p>\n

    Puede reducir el trabajo atrasado mediante el dise\u00f1o<\/strong><\/h2>\n

    En la era de la explotaci\u00f3n acelerada por la IA, el \u201criesgo gestionado\u201d con demasiada frecuencia significa asumir que los atacantes seguir\u00e1n movi\u00e9ndose al ritmo de ayer.<\/p>\n

    Las juntas deber\u00edan dejar de aceptar esa suposici\u00f3n. Los CISO deber\u00edan dejar de pretender que \u201cparchar m\u00e1s r\u00e1pido\u201d o que obtener la aceptaci\u00f3n del riesgo es suficiente. Y las organizaciones deber\u00edan invertir en reducir la exposici\u00f3n a la vulnerabilidad en la fuente para que el pr\u00f3ximo informe de auditor\u00eda no sea una hoja de c\u00e1lculo de los riesgos aceptados, sino evidencia de una superficie de ataque cada vez menor.<\/p>\n

    Enchufe descarado, aqu\u00ed es donde el enfoque de Chainguard est\u00e1 dise\u00f1ado para cambiar las matem\u00e1ticas: comenzar con componentes de software seguros por defecto que minimicen las vulnerabilidades desde el principio y reduzcan la acumulaci\u00f3n de vulnerabilidades con el tiempo. Esto significa que llegar\u00e1n menos hallazgos cr\u00edticos a su entorno, menos ciclos de parches de emergencia y menos interrupciones operativas cuando llegue el pr\u00f3ximo CVE de alto perfil.<\/p>\n

    Al reducir estructuralmente la acumulaci\u00f3n de vulnerabilidades y el trabajo de remediaci\u00f3n, los equipos pueden redirigir el tiempo de ingenier\u00eda de la extinci\u00f3n de incendios sin retorno de la inversi\u00f3n a innovaci\u00f3n con un alto retorno de la inversi\u00f3n que realmente impulse la ventaja competitiva y los ingresos.<\/p>\n

    Porque cuando comienzan las acusaciones despu\u00e9s de la infracci\u00f3n y alguien pregunta por qu\u00e9 la empresa decidi\u00f3 vivir con 13.000 Highs en producci\u00f3n, la \u00fanica respuesta defendible es: no lo hicimos. Cambiamos el sistema.<\/p>\n

    Para obtener m\u00e1s opiniones interesantes y consejos pr\u00e1cticos de (y para) l\u00edderes en ingenier\u00eda y seguridad, suscr\u00edbase a Desencadenado<\/a> o alcanzar<\/a> para aprender m\u00e1s sobre Chainguard. <\/em><\/p>\n

    Nota: <\/strong>Este art\u00edculo fue escrito por expertos y contribuido porQuincy Castro, CISO, Chainguard.<\/em><\/p>\n

    \u00bfEncontr\u00f3 interesante este art\u00edculo? Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> S\u00edguenos en noticias de google<\/a>, Gorjeo<\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n