Reporte Wiz: Estado de seguridad del SDLC en 2026
Nota sobre IA: herramientas de IA fueron utilizadas durante la realización de este artículo.
Las empresas medianas en Costa Rica llevan años invirtiendo en acelerar su desarrollo de software. Herramientas de integración continua, repositorios en la nube, asistentes de programación con inteligencia artificial. El argumento siempre fue el mismo: más velocidad, más eficiencia, menos fricción.
El problema no está en la velocidad. Está en lo que se construyó sin supervisión mientras todos miraban hacia adelante.
El informe State of SDLC Security 2026, publicado por Wiz Research con datos de más de mil entornos empresariales, documenta un patrón que se repite sin importar el tamaño de la organización: el riesgo no crece por vulnerabilidades sofisticadas. Crece por concentración de privilegios y por automatización que nadie revisa.
En términos concretos: las mismas herramientas que mueven código desde el escritorio del desarrollador hasta el servidor de producción también heredan credenciales, accesos a repositorios y permisos sobre infraestructura en la nube. Si algún componente de esa cadena se ve comprometido, el atacante no necesita escalar privilegios. Ya los tiene.
Hay tres puntos de quiebre que merecen atención directa.
El entorno del desarrollador es el punto más privilegiado de toda la cadena. Tiene acceso al código fuente, a los gestores de paquetes, a las credenciales de producción y a los sistemas de despliegue. El reporte señala que al menos el 80% de las organizaciones tienen extensiones de inteligencia artificial instaladas en los entornos de desarrollo, y más del 70% usa al menos un asistente de programación con IA. La mayoría de estas herramientas fueron adoptadas por los equipos técnicos sin pasar por un proceso formal de evaluación. Cada una de ellas opera con acceso profundo al entorno.
Las credenciales se filtran antes de que alguien las detecte. El análisis encontró que cuatro de los cinco tipos de secretos más frecuentemente expuestos en repositorios públicos correspondían a plataformas de inteligencia artificial. El 56% de esas filtraciones ocurrió en repositorios personales de empleados, no en repositorios corporativos. Eso significa que los controles perimetrales tradicionales no cubren el problema.
Las plataformas de integración y entrega continua colapsan la frontera entre desarrollo y producción. El reporte documenta que entre el 45% y el 50% de las organizaciones tienen flujos de trabajo automatizados habilitados en sus repositorios. Esos flujos ejecutan código, publican artefactos y despliegan infraestructura. Una configuración incorrecta en un archivo de automatización puede tener el mismo efecto que una brecha directa en producción.
Para un gerente de TI, el desafío real no es técnico. Es de comunicación hacia la dirección. ¿Cómo se explica que el riesgo no está en el sistema que todos vigilan, sino en la cadena de confianza que nadie mapeó?
La respuesta más efectiva no es un inventario de vulnerabilidades. Es una conversación sobre qué tiene acceso a qué, y bajo qué condiciones eso puede convertirse en un problema de negocio.
Eso requiere visibilidad sobre el ciclo completo de desarrollo: desde el escritorio del programador hasta el servidor donde corre la aplicación. No como un ejercicio técnico, sino como una decisión estratégica sobre dónde se concentra el riesgo operacional de la empresa. En una próxima entrega conversamos más sobre los incidentes recientes de ataques a la cadena de suministros de software.
Tres preguntas para hacerle a su equipo esta semana
1. ¿Tenemos un inventario actualizado de todas las herramientas y extensiones instaladas en los entornos de desarrollo, incluyendo asistentes de inteligencia artificial? ¿Quién aprobó cada una?
2. ¿Qué credenciales o tokens de acceso están almacenados en nuestros repositorios de código, incluyendo los repositorios personales de los desarrolladores que trabajan con nosotros?
3. ¿Nuestros flujos de automatización tienen acceso de escritura sobre repositorios o sobre infraestructura en producción? ¿Cuándo fue la última vez que alguien revisó esos permisos?
En Áncora trabajamos con empresas para mapear los puntos de mayor concentración de riesgo en su ciclo de desarrollo y traducir esos hallazgos en decisiones concretas para la dirección. Si quiere saber por dónde empezar, escríbanos a contacto[arroba]ancoracibernetica.com
Fuente: Wiz Research. State of SDLC Security 2026: Examining Security Across Source Code, Developer Tooling, Automation Systems, and AI-Assisted Development. Wiz, 2026. Basado en análisis de más de 1,000 entornos empresariales observados entre marzo y abril de 2026.
