La adopción del Marco de Pruebas de Seguridad Ofensivas Continuas (COST) de Gartner con Blacklock

Soluciones de ciberseguridad

A principios de este año, Gartner presentó las Pruebas Continuas de Seguridad Ofensiva, o COST, como un marco para replantear cómo las organizaciones abordan la validación de la seguridad ofensiva. En lugar de tratar las pruebas de penetración como un ejercicio periódico basado en el calendario, COST refleja un cambio más amplio hacia pruebas continuas y activadas por cambios que se alinea mejor con la entrega de software moderna. 

Durante años, las pruebas de penetración se han tratado como un evento programado. Un equipo reserva una prueba, espera la disponibilidad del consultor, recibe un informe, corrige lo que puede y vuelve a las operaciones normales hasta el siguiente ciclo de auditoría.

Ese modelo ahora le cuesta seguir el ritmo.

Las superficies de ataque modernas cambian a diario. Nuevas API entran en funcionamiento, las configuraciones en la nube evolucionan, los paquetes de terceros se actualizan y los equipos de software implementan código, todo a una velocidad vertiginosa. En muchas organizaciones modernas, el código se implementa varias veces al día. 

En estos entornos, una prueba puntual sigue teniendo valor, pero ya no proporciona la garantía continua que los líderes de seguridad necesitan.

La discusión de Gartner de 2026 sobre COST orienta a la industria hacia una nueva dirección. Esa dirección es clara: las pruebas de seguridad deben pasar de ejercicios basados en el calendario a una validación continua y activada por eventos que refleje cómo cambian realmente los sistemas.

Definición de Pruebas Continuas de Seguridad Ofensiva

Las Pruebas Continuas de Seguridad Ofensiva son un modelo operativo que acerca las pruebas ofensivas al ritmo del cambio tecnológico. En lugar de depender únicamente de pruebas anuales o semestrales, COST se activa cuando el riesgo cambia.

Ese cambio podría ser una nueva versión de software, un servicio recién expuesto, una actualización de infraestructura, una nueva vulnerabilidad en una dependencia, o inteligencia de amenazas que hace que una exposición existente sea más urgente.

COST también reúne disciplinas que a menudo se han gestionado por separado:

Actividad tradicional Resultado alineado con los costos
Pruebas de penetración Validación continua del riesgo explotable
Equipo rojo Pruebas basadas en adversarios de rutas críticas
Recompensa por errores Descubrimiento y generación de informes externos continuos
Validación de control Evidencia de que los controles de seguridad funcionan según lo previsto
Gestión de vulnerabilidades Priorización basada en el riesgo empresarial verificado

COST fortalece la seguridad de las aplicaciones al responder a una pregunta práctica: ¿puede esta exposición ser realmente explotada en nuestro entorno?

Esa distinción importa. Las herramientas de descubrimiento pueden encontrar miles de problemas potenciales, mientras que las organizaciones siguen enfrentándose a limitaciones de talento y presupuesto. La validación ayuda a los equipos a comprender qué es real, qué importa y qué debe solucionarse primero.

Los Cuatro Pilares de un Programa COST Eficaz

Un programa COST maduro no se basa únicamente en un aumento de las actividades de escaneo. Combina automatización, juicio experto, contexto de amenazas y evidencia fiable.

1. Pruebas activadas por el cambio, no por el tiempo

El riesgo de seguridad no espera a una revisión trimestral. Las pruebas deben activarse por cambios significativos, como:

  • un nuevo despliegue de CI/CD
  • una versión importante de una aplicación
  • un cambio en la configuración de la nube
  • un nuevo activo expuesto a internet
  • una vulnerabilidad de alto riesgo que afecta a un componente de software
  • nueva inteligencia de amenazas relevante para la organización

Esto permite que la validación ocurra cuando es más útil, no semanas o meses después.

2. Modelado de amenazas antes de las pruebas

COST funciona mejor cuando los equipos entienden por qué un cambio puede ser arriesgado antes de que comiencen las pruebas. El modelado de amenazas ayuda a definir posibles rutas de ataque, activos de alto valor, límites de confianza y riesgos de lógica de negocio.

Sin ese contexto, las pruebas pueden ser amplias pero superficiales. Con él, las pruebas ofensivas se vuelven enfocadas, eficientes y alineadas con la exposición real del negocio.

3. Experiencia humana y la IA trabajando juntas

La automatización y la IA son esenciales para la velocidad y la escala. Pueden ejecutar comprobaciones repetibles, realizar fuzzing de API, analizar la salida de herramientas, identificar hallazgos duplicados y apoyar una remediación más rápida.

A pesar de todo eso, los probadores humanos siguen siendo críticos. Aportan contexto, creatividad y responsabilidad. Los fallos en la lógica de negocio, los exploits encadenados y las nuevas rutas de ataque todavía requieren juicio experto.

El futuro de la seguridad ofensiva no es la IA reemplazando a las personas. Es la IA asumiendo el trabajo repetitivo para que los probadores cualificados puedan centrarse en lo que las máquinas no detectan.

4. Evidencia como subproducto continuo

Un programa COST sólido debería producir un registro estructurado de lo que se probó, cuándo se probó, qué se encontró, cómo se priorizó y si la remediación fue validada.

Esa evidencia es relevante para los equipos de seguridad, desarrolladores, ejecutivos y auditores. Transforma las pruebas de un PDF estático en una fuente continua de verdad operativa.

Dónde encaja Blacklock.io

Mucho antes de que las Pruebas Continuas de Seguridad Ofensiva se convirtieran en terminología formalizada de la industria, Blacklock.io se construyó en torno al mismo modelo operativo: alejar las pruebas de penetración de ciclos lentos dirigidos por consultores y acercarlas a una garantía continua y controlada por el cliente.

Blacklock combina automatización, flujos de trabajo asistidos por IA y pruebas manuales expertas en una única plataforma PTaaS. Los clientes pueden iniciar pruebas bajo demanda, ejecutar escaneos de vulnerabilidades programados, gestionar los hallazgos desde un único panel de control e integrar los resultados directamente en sus flujos de trabajo de desarrollo.

Su cobertura incluye:

Este ecosistema ofrece a las organizaciones una forma práctica de operacionalizar COST sin construir una función completa de seguridad ofensiva interna.

Uniendo las pruebas automatizadas y manuales

Una de las mayores brechas en las pruebas de seguridad tradicionales es la transferencia entre herramientas, consultores y equipos de desarrollo. La salida del escáner puede ser ruidosa, produciendo grandes volúmenes de falsos positivos y hallazgos duplicados. Los informes pueden tardar en llegar. Los desarrolladores pueden recibir hallazgos sin suficiente contexto para solucionarlos rápidamente.

Blacklock aborda esto al integrar el flujo de trabajo en una única plataforma.

Necesidad de COSTO Cómo lo admite Blacklock
Pruebas basadas en activadores Escaneo bajo demanda, programado y alineado con la canalización
Validación continua Validación de seguridad automatizada para volver a probar correcciones
Responsabilidad humana Pruebas de penetración manuales expertas junto con la automatización
Ajuste del flujo de trabajo del desarrollador Integraciones con Jira, GitHub, GitLab, Azure DevOps, Slack y Microsoft Teams
Priorización Puntuación de riesgos, mapeo de cadenas de ataque y muerte y planes de remediación priorizados
Auditabilidad Informes históricos, informes de gestión y resultados listos para el desarrollador

Una capacidad clave es la capa de interpretación de Blacklock, que analiza y elimina duplicados de la salida de las herramientas para crear registros de vulnerabilidades contextualizados en el panel del cliente. Esto ayuda a reducir el esfuerzo de triaje manual y proporciona a los equipos resultados más claros y accionables.

La plataforma también ofrece orientación de remediación asistida por IA, lo que ayuda a los desarrolladores a comprender cómo abordar las vulnerabilidades en el contexto de su pila tecnológica.

Por qué esto es importante para los líderes de seguridad

COST no es solo un modelo de prueba técnica. Cambia la forma en que las organizaciones miden, priorizan y comunican el riesgo de seguridad.

En lugar de depender de pruebas de penetración periódicas para la garantía, los líderes de seguridad pueden mantener una comprensión más actualizada y basada en evidencia del riesgo explotable de su organización. Pueden identificar qué sistemas cambiaron, qué activos se probaron, qué vulnerabilidades permanecen abiertas y si la remediación ha sido validada. 

Esto ayuda a los equipos de seguridad a priorizar y alinear sus esfuerzos más estrechamente con los ciclos de entrega de productos. Los beneficios operativos son igualmente importantes para los equipos de software. 

A través de plataformas que soportan los principios COST, como Blacklock.io, los hallazgos pueden integrarse directamente en herramientas de desarrollo existentes como Jira, GitHub, GitLab o Azure DevOps, en lugar de permanecer aislados en informes PDF estáticos. 

Los desarrolladores pueden remediar las vulnerabilidades antes en el ciclo de vida del desarrollo, validar las correcciones más rápidamente y reducir los retrasos causados por las repetidas transferencias entre los equipos de seguridad y de ingeniería.

Para los ejecutivos y las juntas directivas, esto crea una postura de seguridad más medible y transparente. En lugar de preguntar si se completó una prueba de penetración este año, los líderes pueden evaluar mejor si la exposición está disminuyendo con el tiempo y si las actividades de remediación están realmente reduciendo el riesgo.

Ampliando la seguridad más allá de las pruebas de penetración puntuales

Las pruebas de penetración anuales seguirán desempeñando un papel importante, especialmente para sistemas críticos, obligaciones de cumplimiento y entornos de alto riesgo que requieren una evaluación manual profunda.

Sin embargo, las pruebas puntuales por sí solas ya no son suficientes para las organizaciones que operan en entornos modernos de nube, SaaS y DevOps, donde las aplicaciones, la infraestructura y las dependencias cambian continuamente.

Los equipos de seguridad necesitan cada vez más modelos de prueba que puedan validar la postura de seguridad a medida que se producen esos cambios. Esto incluye identificar si las vulnerabilidades son realmente explotables, confirmar si los esfuerzos de remediación han sido exitosos y mantener un registro medible de la reducción del riesgo a lo largo del tiempo.

La urgencia de satisfacer estas necesidades es un motor clave de las Pruebas Continuas de Seguridad Ofensiva.

Plataformas como Blacklock.io ayudan a las organizaciones a poner en práctica este enfoque combinando el escaneo continuo de vulnerabilidades, las pruebas de penetración manuales, la validación de seguridad automatizada y los flujos de trabajo de remediación integrados para desarrolladores dentro de una única plataforma.

Share this post
Seguridad de Wordpress
Análisis de malware
Herramientas y técnicas
Pentestes
PTAAS
Ciberseguridad
Tecnología
Suscríbase a nuestro boletín

Suscríbase a nuestro boletín hoy mismo y mejore sus conocimientos con información valiosa. ¡Es rápido, fácil y gratuito!

Be a Team Player
¡Gracias! ¡Su presentación ha sido recibida!
¡Uy! Algo salió mal al enviar el formulario.
Latest blogs

Latest updates in cybersecurity services

View All
Blacklock Blog Image
Inteligencia artificial y ciberseguridad
Inteligencia artificial y ciberseguridad