Hoy nos complace anunciar un importante paso adelante en nuestra oferta de Ciberseguridad: Pentesting de IA de aplicaciones web, realizado por Bureau Veritas Cybersecurity en colaboración con XBOW.

El modelo es sencillo: La IA realiza pruebas a escala, nuestros expertos realizan pruebas donde el juicio es más importante, y la combinación ofrece resultados que ninguno de los dos puede lograr por sí solo.

Este nuevo servicio "human-in-the-lead " representa la Siguiente evolución de nuestra larga experiencia en Pruebas de Penetración. Refuerza lo que Bureau Veritas siempre ha representado, garantía de confianza, juicio expert y governance riguroso, ahora ampliado con la escala y velocidad de la exploración autónoma impulsada por IA.

Por qué Bureau Veritas lidera este cambio

Durante décadas, Bureau Veritas Cybersecurity ha ayudado a las Empresas a asegurar sus sistemas digitales a través de pruebas de penetración profundas, dirigidas por humanos y basadas en la experiencia, la governance y el principio de los cuatro ojos. A medida que las aplicaciones web y las API han crecido drásticamente en complejidad, hemos reconocido la necesidad de evolucionar: no sustituyendo la experiencia humana, sino ampliándola.

Hoy en día, las aplicaciones cambian más rápido de lo que los ciclos tradicionales de pentesting pueden seguir el ritmo. Las Superficies de ataque se amplían. Los actores de las amenazas utilizan la automatización y la IA para aumentar su alcance. Las Empresas están bajo presión para lograr más garantías en la misma ventana de pruebas.

El Pentesting de IA aumentada es nuestra respuesta estratégica: un modelo diseñado y dirigido por Bureau Veritas, en el que la IA amplifica la capacidad humana en lugar de sustituirla.

¿Por qué Pentesting de IA?

A medida que evolucionan las arquitecturas de las aplicaciones, los equipos de seguridad se enfrentan a desafíos que los enfoques tradicionales o basados únicamente en la IA no pueden resolver por sí solos:

1. Dificultad para assessment la calidad del pentesting

El pentesting sufre de lo que los economistas llaman un "mercado de limones", en el que los compradores no pueden distinguir con fiabilidad las pruebas exhaustivas del trabajo adecuado pero superficial, ya sea tradicional o basado en IA. Las marcas de calidad validan a las Empresas y las certificaciones a los individuos, pero no pueden garantizar la creatividad, profundidad e integridad de un pentest individual.

2. El pentesting con límite de tiempo nunca puede ser exhaustivo

Incluso los pentesters más experimentados deben establecer prioridades y realizar un triaje: qué áreas parecen más prometedoras. Sencillamente, hay más superficie de la que un humano puede explorar en un plazo fijo. Se trata de juicios profesionales, pero también de compensaciones.

3. La brecha de calidad del Pentesting de IA

La calidad de las herramientas de pentesting basadas únicamente en IA varía mucho. Algunas producen hallazgos no validados o alucinados y requieren un esfuerzo humano significativo para su assessment. Sin la supervisión de un experto en seguridad, separar la señal del ruido es casi imposible.

El Pentesting de IA aborda estos tres desafíos de forma segura, responsable y bajo la supervisión experta de Bureau Veritas.

Un modelo híbrido diseñado por expertos

IA-Augmented Pentesting integra dos puntos fuertes complementarios. Nuestros expertos dirigen cada compromiso, desde la determinación del alcance hasta la llamada de asesoramiento, pasando por las pruebas:

Exploración impulsada por IA (Escala)

Impulsado por los agentes autónomos de XBOW, el modelo ofrece:

- Exploración sistemática de miles de puntos finales

- Cobertura de flujos de trabajo de varios pasos

- Cero Falsos positivos gracias a la validación basada en pruebas

- Una línea de base coherente para las clases de vulnerabilidad conocidas

Experiencia humana (juicio)

Con la IA proporcionando escala, los pentesters expertos de Bureau Veritas aportan un juicio independiente donde más importa:

• Pruebas basadas en el contexto: Modelado de amenazas, análisis de lógica empresarial, abuso del flujo de trabajo, fallos de autorización y rutas de ataque creativas que requieren comprender su Empresa y cómo se utiliza su aplicación. Nuestros pentesters identifican estas y otras vulnerabilidades de forma independiente.
  
• Investigación de pistas prometedoras: El compromiso de XBOW con cero falsos positivos significa que cada hallazgo notificado se confirma con un exploit que funciona. Las pistas prometedoras que no alcanzan ese umbral de pruebas son investigadas por nuestros expertos, convirtiéndolas en hallazgos confirmados o descartándolas sistemáticamente.
  
• Informes procesables: conectando los hallazgos en cadenas de ataque que demuestran el impacto en el mundo real, con la priorización de riesgos y la orientación de remediación en su contexto organizativo.

No se trata de que la IA sustituya a los comprobadores humanos. Es IA aumentando la experiencia de Bureau Veritas. Los clientes se benefician de la escala y la velocidad de las pruebas de IA combinadas con la experiencia, el juicio y la governance que definen el enfoque de Bureau Veritas para el aseguramiento.

Por qué es importante esta asociación

Bureau Veritas Cyberseguridad

"Nuestros pentesters siempre han destacado en el trabajo que requiere juicio humano: comprender cómo funciona su aplicación, cómo se comportan sus usuarios y dónde pueden producirse abusos en el mundo real. La IA se encarga ahora de las pruebas repetitivas a nivel de parámetros a escala, lo que significa que nuestros expertos dedican más tiempo a ese trabajo de alto valor. Recogen las pistas prometedoras que la IA marcó pero no pudo confirmar o no pudo perseguir con seguridad, y se centran en el juicio, la creatividad y la comprensión organizativa que convierten los hallazgos en impacto en el mundo real. El tiempo ahorrado y el tiempo mejor empleado se traducen en mejores resultados para nuestros clientes".

- Paul Pols, CTO, Bureau Veritas Cyberseguridad Europa

Bureau Veritas Cyberseguridad

"Esta asociación nos permite ofrecer a nuestros clientes algo genuinamente nuevo: una visibilidad más amplia a través de sus aplicaciones, respaldada por la experiencia humana que proporciona una visión relevante para el negocio. Es una forma enfocada al futuro de aumentar la seguridad sin incrementar los costes."

- Erwin Jansen, Director General de Bureau Veritas Cyberseguridad Europa

XBOW

"Estamos encantados de trabajar con Bureau Veritas para ampliar el security testing en su base de clientes europeos. La IA ha cambiado el juego para los atacantes. Esta asociación permite a los defensores seguir ahora el ritmo".

- Oege de Moor, CEO, XBOW

"Con XBOW, cada agente se convierte en un nuevo miembro del equipo de seguridad. Junto con Bureau Veritas, estamos ayudando a más empresas a satisfacer las demandas de la era de la IA."

- Mike Henroid, Responsable de GSI y MSSPs, XBOW

Beneficios clave para las Empresas

✔ Escala sin compromiso

La IA cubre una mayor parte de la superficie de ataque, lo que permite a nuestros expertos centrarse en las pruebas de alto valor.

✔ Cada hallazgo validado, cada pista investigada

Cada hallazgo notificado viene acompañado de pruebas. La IA confirma cada hallazgo con un exploit que funciona. Nuestros pentesters investigan las pistas prometedoras que no alcanzan ese umbral e identifican de forma independiente las vulnerabilidades mediante un pentesting de la aplicación consciente del contexto.

✔ Adopción gobernada de la IA en la seguridad ofensiva

Adopte la IA en la seguridad ofensiva a través de un modelo "humano al mando" con su aliado experto de confianza. Supervisión humana en todo momento, alcance definido, validación no destructiva, registros de auditoría completos y revisión senior bajo el principio de los cuatro ojos. Todos los datos sensibles para la seguridad y la inferencia del modelo de IA almacenados y procesados en la UE.

Para quién es el Pentesting de IA mejorada

Este nuevo servicio está diseñado para Empresas que:

• Operan aplicaciones web y API complejas
  
• Buscan una garantía más amplia dentro de presupuestos fijos
  
• Desean una ruta gobernada por expertos para adoptar la IA

Para los ámbitos en los que las pruebas aumentadas por IA no son el ajuste adecuado, como las redes internas, OT/IoT, móvil o infraestructura de nube completa, Bureau Veritas sigue ofreciendo servicios de pentesting tradicionales establecidos y de alta calidad.

Más información o cómo empezar

Para descubrir cómo el Pentesting de IA puede fortalecer su programa de seguridad de aplicaciones, Contáctenos en cybersecurity@bureauveritas.com o visite nuestra página de servicios.

📞 Europa: +31 (0) 88 888 31 00
📞 Estados Unidos: +1 877 839 7598

Bureau Veritas Cyberseguridad × XBOW
Escala de IA. Juicio humano. Resultados asegurados.