El debate sobre si la IA generará más puestos de trabajo de los que destruya está bien vivo, pero en el ámbito de la ciberseguridad y, más concretamente, del pentesting, la consultora McKinsey afirma que no destruirá trabajo… al menos por el momento.
En 2017, la misma McKinsey anticipó que, para 2030, 375 millones de personas se verían forzadas a buscar nuevos empleos a raíz de la automatización. Con el paso del tiempo, la misma consultora revisó sus cifras y redujo esa proyección a aproximadamente 92 millones, matizando que algunos puestos podrían volverse obsoletos pero que, a la vez, surgirían cerca de 170 millones de nuevas oportunidades laborales.
Las tareas relacionadas con el pentesting han llamado la atención en este ámbito puesto que algunas acciones —como los análisis de vulnerabilidades o los escaneos de red— pueden ser automatizadas a través de distintas plataformas. Incluso, se habla de que estos avances podrían dejar fuera a los profesionales dedicados a la evaluación y defensa de sistemas.
Sin embargo, organizaciones como la Cloud Security Alliance señalan que la inteligencia artificial potencia el trabajo de los analistas en lugar de sustituirlos. Es posible que ciertas funciones se trasladen hacia procesos automatizados, pero la capacidad de razonar y adaptarse a situaciones inesperadas sigue siendo necesaria en cada etapa de la evaluación de la seguridad.
Cambios en las tareas y la importancia del factor humano
La adopción de la IA en pruebas de intrusión ya se aprecia en la automatización de escaneos de vulnerabilidades y análisis de sistemas, procesos que aligeran la carga de trabajo y facilitan que personas con menos conocimientos técnicos, a veces llamadas script kiddies, emprendan actividades de evaluación de seguridad sin ahondar en los fundamentos.
Aunque esto incrementa la complejidad de posibles ataques, también agiliza la identificación de errores básicos, permitiendo a especialistas y principiantes centrarse en aspectos de mayor impacto.
Para los profesionales del pentesting, la automatización se ha convertido en una aliada que gestiona la recopilación inicial de datos, el hallazgo de vulnerabilidades frecuentes y la clasificación de posibles riesgos. Al liberarse de tareas repetitivas, los expertos pueden dedicar su atención a estudios más complejos que implican creatividad, razonamiento y estrategias avanzadas, rasgos que las máquinas todavía no logran replicar de forma autónoma.
Esta dinámica también se extiende a la elaboración de informes técnicos y resúmenes ejecutivos, donde las herramientas de IA proponen borradores y consolidan información, aunque el criterio final sigue siendo humano.
Por otro lado, el panorama de la ingeniería social se ha visto reforzado. La IA puede analizar grandes volúmenes de datos y producir señuelos de ataque más creíbles, especialmente en campañas de suplantación o filtrado de información sensible. Estas pruebas resultan más realistas para las organizaciones que buscan poner a prueba su capacidad de respuesta. Aun así, la experiencia humana sigue siendo decisiva al diseñar estrategias que tengan en cuenta la conducta de los usuarios y la lógica empresarial.
Optimización de fases clave y aplicaciones emergentes
La inteligencia artificial ofrece ventajas en distintas etapas del pentesting. Contribuye a agilizar la búsqueda de datos públicos (práctica también llamada OSINT), reduce el tiempo invertido en el modelado de amenazas, y facilita la detección de anomalías en grandes conjuntos de información. Además, asiste en la creación de exploits diseñados para tecnologías específicas y, luego de una intrusión simulada, ayuda a borrar huellas o dejar señuelos que compliquen el análisis de los defensores. Dichos procesos, antes muy demandantes, ahora transcurren con mayor rapidez y precisión.
Plataformas especializadas, como PlexTrac, han incorporado funcionalidades de IA orientadas a ayudar en la generación de hallazgos, la priorización de vulnerabilidades y la redacción de informes. Según la compañía, estas soluciones no retienen las contribuciones del usuario de forma permanente, sino que operan con modelos pre-entrenados que facilitan resúmenes y recomendaciones, al mismo tiempo que los datos se mantienen bajo políticas de seguridad internas. Esto reduce el esfuerzo manual y mejora la consistencia en la documentación.
Al integrarse estas herramientas en la metodología habitual, se acelera el ciclo de evaluación y se propicia la adopción de enfoques más sofisticados. La IA actúa como aliada, pero no suprime el criterio experto de quien analiza el entorno, ni su capacidad para adaptarse a los cambios repentinos. Podríamos decir que lo que le falta a la IA y sí tiene la persona es intuición.
Por ello, se espera que la colaboración entre humanos y máquinas sea la tendencia predominante en el futuro próximo, sin que se anticipe la desaparición total de roles profesionales en el sector.
Perspectivas para el futuro del pentesting
La confluencia entre sistemas automatizados y la pericia de los analistas sugiere un escenario en el que la IA se encarga de las actividades repetitivas, mientras que las personas desarrollan los métodos de intrusión más ingeniosos, una actividad que requiere de “imaginación”, algo que las máquinas -al menor por ahora- no pueden proporcionar.
Se estima que la próxima generación de herramientas incluirá mecanismos de razonamiento más transparentes, lo que favorecerá la comprensión del porqué detrás de cada sugerencia. Así se refuerza la coordinación entre humanos y sistemas, que podrán diseñar acciones de prueba más ajustadas a cada contexto.
Otro avance previsto es la incorporación de datos sobre el impacto real de cada vulnerabilidad en el negocio, traduciéndolo en riesgos tangibles y potenciales daños a la reputación. Con este enfoque, las decisiones sobre las medidas a tomar surgen de un entendimiento más amplio que abarca no sólo la dimensión técnica, sino también la estrategia corporativa.
En conclusión, el advenimiento de la inteligencia artificial no implica la salida de escena de los expertos en pentesting, sino la evolución hacia roles más especializados y analíticos. En un entorno cada vez más automatizado, la habilidad humana para descubrir vectores de ataque inesperados, predecir comportamientos y brindar una perspectiva contextualizada, permanece como una pieza imprescindible en la seguridad de la información.
