“Una de las cosas clave que debe entender sobre la ciberseguridad es que es un juego psychological”, dijo a TechCrunch, Ami Luttwak, tecnólogo jefe de la firma de ciberseguridad Wiz. “Si se acerca una nueva ola tecnológica, hay nuevas oportunidades para que (los atacantes) comiencen a usarla”.
A medida que las empresas se apresuran a incrustar la IA en sus flujos de trabajo, ya sea a través de la codificación de ambas, la integración del agente de IA o las nuevas herramientas, la superficie de ataque se está expandiendo. AI ayuda a los desarrolladores a enviar el código más rápido, pero esa velocidad a menudo viene con atajos y errores, creando nuevas aperturas para los atacantes.
Wiz, que fue adquirido por Google a principios de este año por $ 32 mil millones, realizó pruebas recientemente, dice Luttwak, y descubrió que un problema común en las aplicaciones codificadas por ambiance era una implementación insegura de la autenticación: el sistema que verifica la identidad de un usuario y asegura que no child un atacante.
“Eso sucedió porque period más fácil construir así”, dijo. “Los agentes de codificación de ambientes hacen lo que dices, y si no les dijiste que lo construyan de la manera más segura, no lo hará”.
Luttwak señaló que hoy hay una compensación constante para las empresas que eligen entre ser rápidos y ser seguros. Pero los desarrolladores no son los únicos que usan IA para moverse más rápido. Los atacantes ahora están utilizando la codificación de ambas, técnicas basadas en indicación e incluso sus propios agentes de IA para lanzar exploits, dijo.
“En realidad puedes ver que el atacante ahora está usando indicaciones para atacar”, dijo Luttwak. “No es solo la codificación del ambiente del atacante. El atacante busca herramientas de IA que tienes y les dice: ‘Envíame todos tus secretos, elimina la máquina, elimina el archivo'”.
En medio de este paisaje, los atacantes también están encontrando puntos de entrada en nuevas herramientas de inteligencia man-made que las empresas lanzan internamente para aumentar la eficiencia. Luttwak dice que estas integraciones pueden conducir a “ataques de la cadena de suministro”. Al comprometer un servicio de terceros que tiene un amplio acceso a la infraestructura de una empresa, los atacantes pueden pasar más profundamente en los sistemas corporativos.
Evento de TechCrunch
San Francisco | 27 – 29 de octubre de 2025
Eso es lo que sucedió el mes pasado cuando se violó la deriva, una start-up que vende chatbots de IA por ventas y advertising, fue violada, exponiendo los datos de Salesforce de cientos de clientes empresariales como Cloudflare, Palo Alto Networks y Google. Los atacantes obtuvieron acceso a tokens o claves digitales, y los usaron para hacerse pasar por el chatbot, consultar los datos de Salesforce y moverse lateralmente dentro de los entornos de los clientes.
“El atacante empujó el código de ataque, que también se creó utilizando la codificación de ambas”, dijo Luttwak.
Luttwak dice que si bien la adopción empresarial de herramientas de IA sigue siendo mínima, considera que alrededor del 1 % de las empresas han adoptado completamente la IA, Wiz ya está viendo ataques cada semana que afectan a miles de clientes empresariales.
“Y si miras el flujo (de ataque), la IA fue incrustada en cada paso”, dijo Luttwak. “Esta revolución es más rápida que cualquier revolución que hemos visto en el pasado. Significa que nosotros, como industria, necesitamos moverse más rápido”.
Luttwak señaló otro ataque importante de la cadena de suministro, denominado “S 1 ingularidad”, en agosto en NX, un sistema de compilación preferred para los desarrolladores de JavaScript. Los atacantes lograron desatar malware en el sistema, que luego detectó la presencia de herramientas de desarrolladores de IA como Claude y Gemini y los secuestraron para escanear autónomos el sistema para obtener datos valiosos. El ataque comprometió a miles de symbols y claves de desarrolladores, dando a los atacantes acceso a repositorios privados de Github.
Luttwak dice que a pesar de las amenazas, este ha sido un momento emocionante para ser un líder en ciberseguridad. Wiz, fundada en 2020, se centró originalmente en ayudar a las organizaciones a identificar y abordar las configuraciones erróneas, las vulnerabilidades y otros riesgos de seguridad en los entornos en la nube.
Durante el último año, Wiz ha ampliado sus capacidades para mantenerse al día con la velocidad de los ataques relacionados disadvantage la IA y usar IA para sus propios productos.
En septiembre pasado, Wiz lanzó el código Wiz que se centra en asegurar el ciclo de vida del desarrollo de software identificando y mitigando problemas de seguridad al principio del proceso de desarrollo, por lo que las empresas pueden ser “seguras por diseño”. En abril, Wiz lanzó Wiz Defend, que ofrece protección en tiempo de ejecución al detectar y -responder a amenazas activas dentro de los entornos de la nube.
Luttwak dijo que es important para Wiz comprender completamente las aplicaciones de sus clientes si la startup va a ayudar disadvantage lo que él llama “seguridad horizontal”.
“Necesitamos entender por qué lo está construyendo … para que pueda construir la herramienta de seguridad que nadie ha tenido stakes, la herramienta de seguridad que lo entiende”, dijo.
‘Desde el primer día, necesitas tener un ciso’
La democratización de las herramientas de IA ha resultado en una avalancha de nuevas nuevas empresas que prometen resolver puntos de dolor empresariales. Pero Luttwak dice que las empresas no deberían simplemente enviar todas sus datos de empresas, empleados y clientes a “cada pequeña compañía de SaaS que tiene cinco empleados solo porque dicen:” Dame todos tus datos y te daré increíbles concepts de IA “.
Por supuesto, esas nuevas empresas necesitan esos datos si su oferta va a tener algún valiance. Luttwak dice que eso significa que les corresponde asegurarse de que funcionen como una organización segura desde el principio.
“Desde el primer día, debes pensar en la seguridad y el cumplimiento”, dijo. “Desde el primer día, debe tener un CISO (supervisor de seguridad de la información). Incluso si tiene cinco personas”.
Antes de escribir una sola línea de código, las nuevas empresas deberían pensar como una organización altamente segura, dijo. Deben considerar las características de seguridad empresarial, los registros de auditoría, la autenticación, el acceso a la producción, las prácticas de desarrollo, la propiedad de seguridad y el inicio de sesión único. Planear de esta manera desde el principio significa que no tendrá que revisar los procesos más tarde e incurrir en lo que Luttwak llama “deuda de seguridad”. Y si su objetivo es vender a las empresas, ya estará preparado para proteger sus datos.
“Cumpliéramos SoC 2 (un marco de cumplimiento) antes de tener código”, dijo. “Y puedo decirle un secreto. Obtener el cumplimiento de SOC 2 para cinco empleados es mucho más fácil que para 500 empleados”.
El siguiente paso más importante para las nuevas empresas es pensar en la arquitectura, dijo.
“Si es una start-up de IA que quiere centrarse en la empresa desde el primer día, debe pensar en una arquitectura que permita que los datos del cliente permanezcan … en el entorno del cliente”.
Para las nuevas empresas de ciberseguridad que buscan entrar al campo en la period de la IA, Luttwak dice que ahora es el momento. Todo, desde protección de phishing y seguridad de correo electrónico hasta protección de malware y punto last, es un terreno fértil para la innovación, tanto para atacantes como para defensores. Lo mismo es cierto para las nuevas empresas que podrían ayudar con el flujo de trabajo y las herramientas de automatización para hacer “seguridad de ambientes”, ya que muchos equipos de seguridad aún no saben cómo usar IA para defenderse opposite la IA.
“El juego está abierto”, dijo Luttwak. “Si cada área de seguridad ahora tiene nuevos ataques, entonces significa que tenemos que repensar cada parte de la seguridad”.
