La cuarta ola: cuando la IA escribe el código... y lo hackea.

Hemos cruzado un punto de inflexión significativo en la evolución hacia la Cuarta Ola. y el futuro del desarrollo y la distribución de software. La Cuarta Ola no se trata solo de una ingeniería más rápida, sino de que la IA se convierta en un participante activo en todo el ciclo de vida del software. Los copilotos de codificación han pasado de la experimentación a la práctica estándar en menos de dos años, y el impacto ya es cuantificable: aproximadamente el 90 % de las empresas de Fortune 100 utilizan herramientas de codificación con IA, entre el 40 % y el 50 % del código se genera ahora mediante IA en muchos entornos, y la adopción por parte de los desarrolladores se está generalizando en todos los equipos empresariales.

Al mismo tiempo, las organizaciones empresariales están tomando conciencia de una realidad incómoda: una generación de código más rápida no significa automáticamente una entrega de valor más rápida en el complejo proceso empresarial integral del desarrollo de software. Los agentes de codificación son solo una parte de ese proceso. — y en la mayoría de las grandes organizaciones, la verdadera fricción se produce en las fases iniciales de la planificación y en las fases posteriores de las pruebas, la seguridad y el lanzamiento, no en la tarea de codificación en sí.

Pero lo más importante aquí no son los cuellos de botella que ya hemos identificado. Se está produciendo un cambio paralelo, menos comentado pero mucho más trascendental.

La IA es ahora un actor de amenazas de primer nivel.

Las mismas capacidades que aceleran el desarrollo ahora están acelerando los ataques.

Los recientes avances, como el modelo Mythos de Anthropic y el consorcio Project Glasswing, ponen de manifiesto el gran progreso alcanzado. Estos sistemas son capaces de identificar vulnerabilidades hasta ahora desconocidas y generar exploits con una mínima intervención humana. Pueden realizar ingeniería inversa de aplicaciones en segundos, y los ciberdelincuentes pueden utilizar estos agentes para crear un ejército de ataques.
Ya no nos enfrentamos a mejoras graduales en las herramientas de seguridad ni a una mayor sofisticación de los atacantes. Estamos entrando en un mundo donde la IA puede descubrir y explotar vulnerabilidades con mayor rapidez de la que la mayoría de las organizaciones pueden responder. El riesgo acelerado no se limita a la velocidad, sino que también abarca la complejidad, la escala, la sofisticación y el alcance. Cuando los creadores de estos modelos han manifestado su preocupación por las implicaciones de su lanzamiento generalizado, sabemos que es el momento en que la industria debe reajustar sus estrategias.

La superficie de ataque se está expandiendo, desde ambos lados.

Lo que hace que este momento sea diferente es que el riesgo está aumentando simultáneamente desde dos direcciones.

Externamente, La IA está transformando el ecosistema de los atacantes:

• Los plazos de los ataques se están reduciendo de horas a segundos.
• Los agentes y los enjambres de agentes están desatando una escala y complejidad de ataques sin precedentes.
• El número de grupos de hackers activos y más pequeños está creciendo a medida que disminuyen las barreras de entrada y se desploman los costes.
• La IA está permitiendo el reconocimiento automatizado, la generación de exploits y los ataques adaptativos.

Internamente, La IA está cambiando la forma en que se produce el código:

• Los desarrolladores están generando mucho más código, y más rápido que nunca.
• El código generado por IA puede introducir vulnerabilidades que no siempre se comprenden del todo.
• Muchos usos de Coding Copilot están creando más situaciones de "caja negra" donde los propios desarrolladores no entienden el código.
• Los patrones inseguros ahora pueden propagarse a gran escala a través de sistemas que a menudo son inmaduros y manuales. DevOps procesos que empeoran aún más las cosas

Ya estamos viendo que los datos reflejan este cambio. De acuerdo con Digital.ai'S 2025 Application Security Informe de amenazas:

• El 83% de las aplicaciones están bajo ataque constante, lo que supone un aumento de casi el 20% con respecto al año anterior.
• Las tasas de ataque aumentaron en todos los sectores principales: telecomunicaciones (91%), servicios financieros (87.5%), automoción (86%) y sanidad (78.5%).
• La diferencia entre las tasas de ataque en iOS y Android se ha reducido significativamente a medida que las técnicas de jailbreaking y la explotación asistida por IA han madurado.
• Las herramientas de IA disponibles gratuitamente han facilitado más que nunca a los ciberdelincuentes la ingeniería inversa, el análisis y la explotación a gran escala de aplicaciones.

El resultado es un nuevo tipo de asimetría. El intervalo entre la creación y la explotación de vulnerabilidades se está reduciendo. Nuestros datos de 2026, que estarán disponibles próximamente, mostrarán cuánto se ha desplazado esa línea.

¿Por qué falla el antiguo modelo de seguridad?

La mayoría de las estrategias de seguridad empresarial se diseñaron para una era diferente, una definida por un desarrollo al ritmo humano y ataques a escala humana.
 
Ese modelo supone lo siguiente:

• El código es escrito y revisado por desarrolladores.
• Las vulnerabilidades se descubren con el tiempo; se publican parches cuando es posible.
• Los defensores tienen una ventana para detectar y responder.

Ninguna de esas suposiciones se cumple en la Cuarta Ola.
 
Cuando el código se genera y los ataques se ejecutan al instante, la seguridad no puede ser periódica ni reactiva. No puede limitarse al perímetro ni depender únicamente del escaneo y la aplicación de parches. Debe estar integrada en la propia aplicación: continua, adaptable y en tiempo real.

La aceleración de la aplicación de la autodefensa

Por eso, observamos una mayor urgencia en torno a la protección de las aplicaciones. Funcionalidad como la ofuscación, la protección contra manipulaciones, la autoprotección de aplicaciones en tiempo de ejecución (RASP) y la criptografía de caja blanca existen desde hace tiempo, pero en la Cuarta Ola, estos enfoques han pasado de ser protecciones adicionales opcionales a un requisito indispensable para sobrevivir en el panorama de amenazas actual. Ahora son componentes fundamentales de una estrategia de seguridad moderna, no porque sean nuevos, sino porque el entorno ha cambiado.
En un mundo donde la IA busca constantemente vulnerabilidades, descompila aplicaciones en segundos y escala los ataques a niveles sin precedentes, las aplicaciones deben ser capaces de defenderse internamente, en tiempo de ejecución, sin depender de intervención externa. Esto es especialmente cierto para las aplicaciones móviles y web, donde la superficie de ataque está muy expuesta, la red está fuera de nuestro control y no somos dueños del entorno operativo.

La implicación estratégica

La Cuarta Ola se define por una dinámica simple pero poderosa: la IA está acelerando la forma en que se desarrolla el software y cómo se ataca. Esta dualidad crea oportunidades y riesgos a una escala sin precedentes. Las organizaciones que consideren la IA únicamente como una herramienta de productividad no verán el panorama general. Quienes reconozcan la necesidad de evolucionar su modelo de seguridad junto con su modelo de desarrollo serán las que lideren. En este nuevo entorno, la velocidad por sí sola no es una ventaja. La velocidad sin seguridad es una desventaja.
 
Los ganadores de la Cuarta Ola construirán e innovarán más rápido, pero, lo que es más importante, ofrecerán aplicaciones seguras a la velocidad de la máquina.
 
Software más inteligente. Velocidad de agente. Seguro desde el diseño.