El Problema Real: El Gap entre Desarrollo y Seguridad
La realidad en la mayoria de organizaciones es brutal:
- Mas del 60% de las organizaciones actualiza sus aplicaciones web semanalmente o con mayor frecuencia
- Cerca del 75% solo realiza pruebas de seguridad mensualmente o con menos frecuencia
- Un reporte de Checkmarx 2025 revelo que el 81% de las organizaciones despliega codigo vulnerable a proposito para cumplir con fechas de entrega
El resultado: vulnerabilidades que se cuelan a produccion no por falta de herramientas, sino por un problema de timing.
Las herramientas tradicionales tienen limitaciones claras:
Herramienta / Limitacion
SAST --> Analiza codigo sin contexto de runtime
DAST --> Evalua aplicaciones en ejecucion sin contexto de la aplicacion
Manual Pentest --> Muy costoso y lento para escalar a todo el portafolio.
SCA --> Solo detecta CVEs conocidos en dependencias, sin visibilidad del codigo custom
Ninguna habla con las demas. Ninguna opera suficientemente temprano en el ciclo.
Aca es donde entra el nuevo feature de AWS
AWS Security Agent
AWS Security Agent es un agente de vanguardia que protege proactivamente sus aplicaciones durante todo el ciclo de vida de desarrollo. Realiza revisiones de seguridad automatizadas adaptadas a los requisitos de su organización, crea modelos de amenazas para identificar posibles ataques a sus aplicaciones y ofrece pruebas de penetración contextuales bajo demanda.
La configuracion es muy sencilla aca detallo los pasos
Ingresar a la consola de aws, ir a la opcion AWS Security Agent
Aca debes crear Agent Spaces que es un espacio de trabajo dedicado para una aplicacion o proyect, aca es donde puedes realizar diferentes integraciones como agregar tu zona dns si es que esta alojada en AWS, software de CI/CD como Github, Gitlab y ahora permite Bitbucket.
Una vez creado el espacio de trabajo puedes ir configurando cada opcion
Pruebas de penetracion
Revision de diseno
Modelo de amenazas (publicado hoy 17 de junio del 2026)
Revision del codigo
En la seccion de integraciones puedes agregar los repositorios de codigo en este caso agregue mi repositorio personal de Github
Actualmente permite estas integraciones
En la seccion Dominios de destino puedes agregar los dominios que tengas configurados en tu cuenta de aws o ingresar un dominio y hacer la validacion con un registro TXT
En el espacio luego puedes ya crear la configuracion de la prueba de penetracion
Como ya agregaste la configuracion de dominios esta seccion es escoger el dominio donde se encuentra la aplicacion o sitio web al que se realizara las pruebas de penetracion
Posterior a esto tienes opciones para escoger VPC si tu aplicacion esta dentro de aws y utiliza VPC
Asi tambien las opciones de Logs de las pruebas y resultados, puedes enviar a un grupo de logs de cloudwatch
Tambien puedes configurar Secretos, Funciones Lambda y Buckets de S3 que serian recursos adicionales de tu aplicacion para mejorar el contexto y aprendizaje del agente
Luego viene la configuracion del rol de servicio que el agente de seguridad de AWS necesita para acceder a los recursos
Una vez configurado puedes ingresar a la aplicacion web que se crea para la ejecucion de las pruebas de penetracion
Puedes asignar usuarios de IAM de Identity Center tambien para el acceso a esta aplicacion
Una vez dentro de la aplicacion tienes las opciones mencionadas
Luego de esto nos vamos a la seccion de Pruebas de penetracion y damos click en Crear una prueba de penetracion
Esta es la configuracion de la prueba de penetracion, en este caso agregamos la url destino
Tambien te da de manera opcional excluir tipos de riesgos
Asi como seleccionar una url fuera del alcance
Luego te indica que rol de servicio vas a utilizar para la prueba
Siguiendo con la configuracion puedes indicarle la vpc si aplica, recursos de autenticacion y luego recursos adicionales que se encuentren en repositorios de github o enlaces de S3
Finalmente tienes opciones como "correcion automatica de codigo" aca debes tener cuidado porque puede ejecutar modificaciones en tu aplicacion.
Finalmente le das click en crear y ejecutar
Dependiendo de la aplicacion y de los recursos que se ingresaron puede tomar varias horas, en mis pruebas con sitios estaticos o sencillos se demoro entre 3 a 5 horas
Al finalizar te da los detalles de la prueba
todas las acciones que realizo
Finalmente los resultados
Adicional tienes la opcion de generar un informe de las pruebas de penetracion
El agente ejecuta pentesting autonomo 24/7:
- Sin scheduling: Tests instantaneos, sin necesidad de agendar con un consultor
- Crea un plan de ataque personalizado basado en el contexto aprendido de:
- Documentos de requisitos de seguridad
- Documentos de diseno
- Codigo fuente
- Se adapta dinamicamente durante la ejecucion basandose en lo que descubre: endpoints, codigos de estado, credenciales
- Documenta hallazgos con:
- Analisis de impacto
- Rutas de explotacion reproducibles
- Code fixes listos para implementar
- Transforma semanas de pentesting en horas
Cobertura Tecnica: Que Vulnerabilidades Detecta?
El agente parte del OWASP Top 10 pero se personaliza con el contexto de tu aplicacion:
- Cross-Site Scripting (XSS)
- Insecure Direct Object References (IDOR)
- Escalacion de privilegios
- Authentication bypass
- SQL Injection
- Server-Side Request Forgery (SSRF)
- Business logic flaws
- Chained attack paths (ataques multi-step encadenados)
- CVE exploitation
- Y mas segun el contexto de tu aplicacion
Arquitectura Multi-Agente
AWS Security Agent usa una arquitectura multi-agente especializada:
- Agente de Reconocimiento: Descubre la superficie de ataque
- Agente de Planificacion: Construye el plan de ataque personalizado
- Agentes de Explotacion: Ejecutan cadenas de ataque multi-step
- Agente de Reporte: Genera hallazgos con rutas reproducibles y fixes
Esta arquitectura le permite entender vulnerabilidades encadenadas a lo largo de tu aplicacion, algo que los scanners estaticos no pueden hacer.
Lo que hay que tener claro:
- Es una tecnologia en evolucion — funciona mejor como complemento y multiplicador de capacidad, no como sustituto del expertise humano
- Los escenarios complejos, la gobernanza solida y las pruebas manuales siguen siendo necesarios
- No reemplaza a un equipo de seguridad, lo potencia
- La calidad de los resultados dependera de la calidad del contexto que le proveas
Conclusion
AWS Security Agent representa un paso genuinamente importante hacia la automatizacion y escalabilidad en AppSec. Sus capacidades para revisar diseno, analizar codigo y ejecutar pruebas bajo demanda son prometedoras, especialmente para organizaciones que buscan reducir friccion y acelerar la entrega sin sacrificar seguridad.
El paradigma esta cambiando: de seguridad como gate al final del pipeline a seguridad como thread integrado en cada fase del SDLC.
Como profesionales de seguridad en cloud, este es exactamente el tipo de herramienta que debemos entender, evaluar y saber posicionar correctamente en nuestras organizaciones.































Top comments (0)