La ciberseguridad está entrando en una fase incómoda: por primera vez, no es la falta de visibilidad lo que limita a los equipos, sino el exceso. La inteligencia artificial ya es capaz de descubrir vulnerabilidades a una velocidad que supera la capacidad humana de análisis, pero ese avance trae consigo una paradoja cada vez más evidente: encontrar más fallos no significa, necesariamente, estar más seguro.
La industria podría pasar de unas 40.000 CVE (Common Vulnerabilities and Exposures) publicadas en 2025 a cerca de 100.000 en 2026. Y algunas estimaciones incluso proyectan cifras cercanas al millón anual en el futuro si se consolida la automatización del descubrimiento. Sin embargo, esta explosión de hallazgos no se traduce en una mejora proporcional de la seguridad. Al contrario: está creando una crisis de priorización.
Índice de temas
El cuello de botella ya no es encontrar vulnerabilidades, sino entender cuáles importan
Durante años, el problema de la ciberseguridad fue la falta de cobertura. Hoy es el opuesto. Los equipos de seguridad reciben más alertas de las que pueden leer, y mucho menos validar. En ese ruido, todo parece urgente, y cuando todo es urgente, nada lo es realmente.
A esto se suma una presión operativa creciente. Organismos como CISA están empujando hacia ventanas de parcheo cada vez más cortas para vulnerabilidades críticas, en algunos casos de apenas tres días. Y muchos programas de seguridad simplemente no han sido diseñados para ese ritmo. El resultado es un desfase estructural: la velocidad de descubrimiento supera ampliamente la velocidad de decisión.
La ilusión del volumen: más hallazgos no equivalen a más seguridad
El auge de la IA aplicada al hacking ético y al bug bounty ha acelerado el descubrimiento de fallos en software ampliamente utilizado, desde navegadores hasta sistemas empresariales complejos. Modelos avanzados ya han demostrado la capacidad de identificar decenas o incluso cientos de vulnerabilidades en periodos muy cortos en productos como Firefox.
El mensaje que suele extraerse de estos hitos es seductor pero incompleto: “la IA encuentra más vulnerabilidades que los humanos”. Es cierto, pero también irrelevante si no se acompaña de otra pregunta más importante: ¿cuáles de esas vulnerabilidades representan un riesgo real para el negocio?
Sin esa capa de contexto, la seguridad se convierte en contabilidad de defectos, no en gestión de riesgo.
El nuevo estándar: validación continua, no auditorías puntuales
En este contexto, está emergiendo un cambio de paradigma: pasar de pruebas de penetración puntuales a modelos de validación continua de seguridad. Este enfoque, cercano a lo que Gartner denomina Validación de Exposición Adversaria dentro del marco CTEM (Continuous Threat Exposure Management), propone algo distinto: no solo detectar vulnerabilidades, sino demostrar de forma constante si realmente pueden ser explotadas en un entorno concreto.
Gartner ha contribuido a formalizar este cambio conceptual, pero su valor real está en la práctica: reducir la brecha entre hallazgo y evidencia. Porque una vulnerabilidad sin explotabilidad contextual es solo ruido técnico.
IA y humanos: no es una sustitución, es una división de trabajo
Uno de los debates más recurrentes en ciberseguridad es si la IA sustituirá a los investigadores humanos. La realidad observada en entornos reales apunta en otra dirección: la IA escala, pero no interpreta.
Los sistemas automatizados son extremadamente eficaces en tareas de cobertura: escanear superficies de ataque amplias, ejecutar patrones conocidos y generar listas extensas de posibles fallos. Pero la severidad real de una vulnerabilidad no depende solo de su existencia técnica, sino del contexto: cómo está desplegado el sistema, qué protege, qué depende de él y cómo encaja en la arquitectura del negocio.
Ahí es donde el juicio humano sigue siendo difícil de automatizar. Y ahí es donde la combinación de ambos mundos no es una mejora incremental, sino una necesidad estructural.
El riesgo real: confundir visibilidad con control
A medida que la IA aumenta la superficie de observación, crece también una falsa sensación de control. Ver más no significa entender mejor. Y en ciberseguridad, esa diferencia es crítica.
La ciberseguridad está entrando en una etapa en la que la abundancia de hallazgos es inevitable. La verdadera diferenciación no vendrá de quién encuentra más vulnerabilidades, sino de quién es capaz de determinar, con rapidez y precisión, cuáles de ellas importan.
La IA encuentra. Los humanos deciden. Y en esa decisión —cada vez más difícil, cada vez más crítica— se está definiendo el futuro de la seguridad digital.
