La irrupción de la inteligencia artificial está transformando por completo la gestión de la ciberseguridad. En esta entrevista, Vincent Danen, Vice President de Red Hat Product Security analiza cómo la IA ha reducido drásticamente los tiempos de explotación de vulnerabilidades, por qué la estrategia tradicional basada únicamente en aplicar parches ha dejado de ser suficiente y qué papel desempeñan la automatización, la defensa en profundidad y el software de código abierto para reforzar la resiliencia de las organizaciones.
CyberSecurity News(CSN): ¿Cuál es el principal foco de Red Hat Product Security en el contexto actual de amenazas?
Vincent Danen(VD): El contexto ha cambiado radicalmente desde la llegada de la IA generativa. Iniciativas como el «Project Glasswing» de Anthropic, que afirma haber detectado 10.000 vulnerabilidades en el primer mes desde su lanzamiento, demuestran que ningún equipo humano puede igualar la velocidad y la escala con la que actúa la IA. Ante esta realidad, centrar la estrategia de ciberseguridad únicamente en la publicación reactiva de parches para corregir fallos individuales se convierte en una tarea inabarcable.
Todo esto, combinado con el compromiso de Red Hat Product Security en la mitigación de riesgos y una sólida estrategia de defensa en profundidad, es lo que garantiza la protección de nuestros usuarios. Mientras nos centramos en corregir las vulnerabilidades más graves —las que tienen mayor probabilidad de ser explotadas y las que causarían un mayor impacto si lo fueran—, los usuarios deben poner el foco en reforzar su perímetro defensivo. Se trata de una estrategia de doble vía. Por un lado, aplicar parches para eliminar vulnerabilidades de alto riesgo y mantener una postura defensiva que reduzca la probabilidad de que se produzca un ataque. Una estrategia centrada exclusivamente en aplicar parches es una estrategia fallida. Hoy en día, las vulnerabilidades se explotan antes de que se conozcan. La única solución proactiva es la defensa en profundidad.
CSN: ¿Qué cambios ha observado en la forma de gestionar la seguridad de producto en los últimos años?
VD: La gestión de la seguridad, en particular la gestión de vulnerabilidades, no ha avanzado al mismo ritmo que la amenaza. Hace ya bastante tiempo que la aplicación de parches dejó de ser la mejor forma de evitar la explotación de vulnerabilidades, pero los escáneres modernos siguen señalando vulnerabilidades sin corregir y los usuarios siguen presionando para que se corrijan todas, independientemente de su gravedad. Hay vulnerabilidades que deben corregirse sin falta porque suponen una amenaza real, y otras que no. Hay más vulnerabilidades que suponen un riesgo mínimo que aquellas que suponen un riesgo significativo, pero la mayoría de los equipos y herramientas de seguridad las tratan de la misma manera. Debido a esto, los equipos de seguridad se obsesionan en exceso con el objetivo de «cero CVE», lo que tiene un impacto significativo en los equipos de ingeniería encargados de crear o aplicar correcciones, incluso para las vulnerabilidades de menor riesgo. Esta situación no hará más que empeorar debido a la rapidez con la que la IA descubre vulnerabilidades y, en algún momento, tendrá un impacto negativo en el negocio, a menos que se gestione un nivel de riesgo adecuado.
Parte de este cambio obliga a tratar la defensa en profundidad no como un marco teórico, sino como un proceso operativo continuo y automatizado. Ya no es viable limitar la actividad a reaccionar ante los reportes de vulnerabilidades externas. La gestión moderna exige estructurar la seguridad de cada capa del software de manera independiente durante todo su ciclo de vida, aplicando mitigaciones activas y controles directamente en el código y en la plataforma para neutralizar las amenazas antes de que requieran una intervención manual de urgencia. Además, es necesario apoyarse en la automatización y en la respuesta a las señales de alerta. Si, por ejemplo, nuestro SIEM detecta que alguien está escaneando alguno de nuestros puntos de entrada, la automatización puede utilizarse para bloquearlo por completo, eliminando de raíz el potencial ataque.
CSN: ¿Cuáles son hoy los mayores desafíos de seguridad en el software open source?
VD: El código abierto es la base sobre la que se construye prácticamente toda la tecnología moderna: se han elaborado numerosos informes para analizar este fenómeno y, aunque las cifras varían, el código abierto está presente en casi todos los códigos fuente comerciales y se utiliza de forma generalizada en un número significativo de empresas. Su fortaleza radica en la transparencia y en la capacidad de una comunidad global para auditar y mejorar el software. Sin embargo, la velocidad de la IA ha acentuado tres desafíos estructurales en la cadena de suministro:
En primer lugar, la existencia de dependencias invisibles. Muchas organizaciones integran componentes de código abierto sin una gestión activa de su procedencia, heredando una compleja red de dependencias que carecen de visibilidad y de auditoría constante.
El segundo desafío es la brecha operativa y/o falta de automatización de procesos. Aunque la IA permite descubrir fallos críticos en cuestión de horas, las organizaciones no disponen de la agilidad necesaria para probar y desplegar parches a esa misma velocidad, lo que genera una peligrosa ventana de exposición.
En tercer lugar, aunque el uso de software de código abierto comercial permite obtener correcciones para problemas de seguridad por parte de un proveedor, una parte significativa del código abierto se obtiene directamente de las comunidades de origen, se utiliza en el código de producción y luego se olvida. Debido a los ciclos de desarrollo y a la rápida innovación en el ámbito del código abierto, no es raro que se sigan utilizando versiones antiguas de bibliotecas críticas, incluso cuando ya han llegado al final de su ciclo de vida. Para abordarlo directamente, Red Hat e IBM han anunciado recientemente el Project Lightwell, una inversión conjunta de 5.000 millones de dólares destinada a crear un centro de intercambio de información empresarial de confianza. El objetivo es coordinar la validación de parches mediante IA para el stack de aplicaciones de un cliente y devolver las correcciones directamente a las comunidades de origen, transformando la seguridad de un esfuerzo fragmentado en un escudo colectivo para todo el ecosistema.
CSN: ¿Qué factores determinan una respuesta eficaz ante una vulnerabilidad crítica?
VD: Una respuesta eficaz se sostiene sobre dos pilares fundamentales: la preparación de la infraestructura para mitigar el impacto y la precisión en la ejecución de las correcciones.
Dado que el software perfecto no existe, siempre habrá un periodo de exposición entre el descubrimiento de un fallo y la aplicación de su solución. Por ello, la plataforma debe estar diseñada, de base, bajo una arquitectura de defensa robusta. Si un atacante logra superar la primera línea de defensa, el sistema debe ser capaz de aislar los procesos y confinar el daño de forma automática. En este sentido, resulta indispensable sustituir los procesos manuales por automatismos que permitan localizar y aplicar mitigaciones en tiempo real.
El segundo pilar es mantener una total colaboración con la comunidad de código abierto. Aunque las herramientas de seguridad pueden señalar miles de alertas, la intervención de ingenieros especializados es fundamental para filtrar el ruido, descartar falsos positivos y aplicar parches quirúrgicos exclusivamente sobre las versiones estables que el cliente tiene en producción, evitando así alteraciones operativas. Finalmente, la eficacia exige transparencia, es decir las correcciones deben devolverse siempre a los proyectos originales de la comunidad. Ocultar los fallos o aplicar soluciones privadas solo genera deuda tecnológica y debilita la resiliencia colectiva.
CSN: ¿Qué amenazas considera más relevantes en entornos híbridos y multinube?
VD: A diferencia de los despliegues tradicionales en on-prem, la mayoría de los entornos en la nube están más expuestos a Internet o, en otras palabras, a los atacantes. Aquí es donde la defensa en profundidad cobra más importancia. Garantizar una autenticación y autorización adecuadas para acceder a los recursos se convierte en algo fundamental, y esto debe hacerse mediante una configuración adecuada. Pensemos, por ejemplo, en los buckets de S3 con fugas que, aunque hoy en día son menos frecuentes que antes, siguen siendo objeto de ataques. Este es el tipo de recursos que deben configurarse correctamente, con controles rigurosos y añadiendo capas defensivas adicionales.
CSN: ¿Qué papel desempeña la comunidad open source en la mejora de la ciberseguridad?
VD: La comunidad de código abierto es el motor de resiliencia más potente de la industria tecnológica bajo la premisa de que cualquier vulnerabilidad puede ser identificada y corregida a tiempo. Al ser el código transparente y accesible, miles de desarrolladores en todo el mundo pueden examinarlo de forma continua, un proceso de auditoría colectiva que hoy se ve acelerado gracias al uso de herramientas de inteligencia artificial.
Esta transparencia elimina la falsa sensación de seguridad que suele caracterizar al software propietario, donde los fallos permanecen ocultos bajo el control exclusivo del fabricante. En el ecosistema open source, el descubrimiento de una vulnerabilidad no se gestiona como una crisis de reputación corporativa, sino como una oportunidad de mejora colaborativa. Dado que las organizaciones comparten la dependencia de los mismos paquetes de software, existe un incentivo mutuo para resolver los problemas de forma conjunta y devolver las correcciones al proyecto original de la comunidad. Este modelo evita que las empresas arrastren costosas e inseguras bifurcaciones privadas (forks) y eleva el estándar de seguridad de toda la infraestructura digital global.
Aunque resulte tentador afirmar que la actual avalancha de vulnerabilidades detectadas por la IA es perjudicial para el software libre, nada más lejos de la realidad. Será un proceso complicado durante un tiempo, pero cuando lo hayamos superado, el código abierto en su conjunto saldrá fortalecido. Muchos ojos, incluidos los artificiales, hacen que todos los errores salgan a la luz, lo que significa que el código abierto será más seguro, más robusto y más útil en el futuro. Aunque no minimizamos el daño que algunas de estas herramientas de IA pueden causar en lo que respecta a su utilización, esas mismas herramientas, en manos de los defensores y mantenedores del código abierto, resultan increíblemente poderosas.
CSN: ¿Cómo equilibra Red Hat la innovación continua con las exigencias de seguridad y confianza?
VD: Red Hat equilibra la innovación, la estabilidad y la seguridad actuando como un filtro de ingeniería y aplicando correcciones quirúrgicas. Las empresas necesitan adoptar las últimas tecnologías de código abierto para innovar, pero no pueden asumir el riesgo de que una actualización desestabilice y exponga sus sistemas. Red Hat resuelve esto aplicando parches de seguridad únicamente sobre las versiones estables exactas que los clientes ya ejecutan en producción. Además, este proceso se automatiza integrando la seguridad de forma nativa en la arquitectura de la plataforma y en el pipeline de desarrollo, lo que permite desplegar aplicaciones a gran velocidad sin que la seguridad actúe como un freno para la innovación ni provoque inestabilidad en los sistemas críticos.
Por otro lado, este equilibrio se sostiene sobre el principio de «priorizar siempre la comunidad original» (upstream-always) y la transparencia total. Cada parche de seguridad que Red Hat desarrolla se devuelve al proyecto de código abierto de origen para que pase a formar parte del código público. Esto evita la creación de bifurcaciones privadas (forks) que acumulan deuda tecnológica y bloquean la innovación futura del cliente. La transparencia es un principio clave, por lo que, al publicar abiertamente sus informes de riesgo y CVEs, Red Hat sustituye la falsa sensación de seguridad por datos fiables, permitiendo a las empresas innovar con un conocimiento preciso de sus riesgos.
CSN: ¿Qué recomendaciones daría a las empresas para reforzar su resiliencia frente a incidentes de seguridad?
VD: Para reforzar la resiliencia operativa frente a las amenazas actuales es necesario adoptar medidas concretas a lo largo de toda la cadena de suministro de software. Esto implica mantener un inventario completo del software, que incluya las dependencias, elegir plataformas respaldadas por proveedores responsables que contribuyan activamente al código abierto, y automatizar por completo los flujos de construcción y despliegue de aplicaciones. Dado que las herramientas de IA ya han reducido el plazo de exposición de meses a horas, basarse exclusivamente en actualizaciones manuales ya no es una estrategia viable. Es fundamental contar con los mecanismos y la automatización necesarios para aplicar y adoptar parches a gran escala y con rapidez. Los días de las «ventanas de parches» están a punto de terminar; la capacidad de aplicar parches cuando sea necesario, en lugar de en un día concreto del mes, debe convertirse en un indicador operativo clave.
Por encima de todo, la resiliencia requiere un cambio de mentalidad. Ya no podemos centrarnos en las vulnerabilidades del software como único factor determinante de la explotabilidad. Debemos tener en cuenta el factor humano: la ingeniería social, las configuraciones erróneas, etc. Nuestras defensas deben tener esto en cuenta. El tiempo para explotar una vulnerabilidad se ha reducido drásticamente. Los sistemas deben diseñarse partiendo de la premisa de que el software será objeto de intentos de ataques incluso antes de que sepamos que existe una vulnerabilidad. Es fundamental centrarse en aquellas áreas que plantean mayor riesgo. No se trata solo de preguntarse «¿hay una vulnerabilidad?». Debemos preguntarnos si se puede acceder al software, cuál sería la gravedad del ataque en nuestro entorno y si existen controles compensatorios o medidas de mitigación que puedan aplicarse. La defensa en profundidad nunca ha sido tan importante como lo es hoy en día.
