
JFrog Ltd. (Nasdaq: FROG), la empresa de Liquid Software y creadora de la plataforma de la cadena de suministro de JFrog, el sistema de registro para artefactos de software, binarios y activos de IA de confianza, ha anunciado hoy las conclusiones de su informe Estado de la Unión sobre la Seguridad de la cadena de suministro de software de 2026. El informe de este año revela una aceleración sin precedentes en el riesgo del software empresarial a medida que los actores maliciosos expanden sus ataques más allá de los registros de paquetes tradicionales, dirigiéndose hacia los registros de modelos de IA y las herramientas de desarrollo, lo que crea un punto ciego en los marcos actuales de gobernanza de software.
Este comunicado de prensa trata sobre multimedia. Ver la noticia completa aquí: https://www.businesswire.com/news/home/20260520163414/es/

Los paquetes #npm maliciosos aumentaron un 451 %; las habilidades de los agentes de IA son ahora una superficie de ataque y el 97 % de las organizaciones afirma tener una gobernanza de la IA, mientras que el 53 % sigue extrayendo modelos de registros públicos donde se han encontrado cargas útiles maliciosas. La brecha en la gobernanza de la IA es real. Lea el informe de 2026 sobre la seguridad de la cadena de suministro de software de @JFrog: https://bit.ly/3PRNzJB.
«Todas las empresas están añadiendo IA a su cadena de suministro de software, lo que aumenta la superficie de ataque para los elementos indeseables. Nuestro informe muestra que los atacantes ya no se limitan a burlar las defensas tradicionales, sino que están utilizando de forma activa los modelos, registros y herramientas de agente de confianza que impulsan el desarrollo actual basado en la IA. La era de "escanear y cruzar los dedos" ha terminado», afirmó Shlomi Ben Haim, director general y cofundador de JFrog. «Las organizaciones necesitan una fuente única de verdad que gobierne cada binario, modelo y habilidad de los agentes de IA desde el momento en que entran en la pipeline hasta su despliegue en producción. Para eso se creó JFrog».
A medida que la IA pasa de ser una fase experimental a convertirse en una fuerza estructural que está transformando la cadena de suministro de software, las organizaciones observan una brecha cada vez mayor entre la confianza en materia de seguridad que declaran y los riesgos que se acumulan en su infraestructura. Basándose en datos de 18 200 millones de artefactos gestionados a través de la Plataforma de JFrog (un aumento del 136 % interanual), la investigación original sobre las vulnerabilidades del equipo de JFrog Security Research y una encuesta global a 1 508 profesionales de seguridad y DevOps1, este informe expone lo que denomina la «ilusión de dominio», es decir, la creciente disparidad entre la seguridad percibida y la realidad de los crecientes riesgos en la cadena de suministro.
Las principales conclusiones son:
-
Los paquetes maliciosos alcanzan un máximo histórico: los paquetes npm maliciosos se dispararon un 451 % interanual, con 177 000 nuevos paquetes maliciosos detectados en los registros durante el último año. Los atacantes se están aprovechando de la confianza a gran escala: la campaña «Qix» utilizó tan solo 25 paquetes para afectar a más de 2,5 millones de descargas.
-
Las habilidades de los agentes de IA se convierten en una nueva superficie de ataque: por primera vez, JFrog rastreó habilidades maliciosas de agentes de IA e identificó 969 que transportaban cargas útiles de alto impacto junto con 495 modelos de IA maliciosos en Hugging Face y 56 extensiones maliciosas en OpenVSX. Los atacantes ya no se limitan a ir a por el código, sino que también tienen como objetivo las herramientas autónomas que lo escriben, lo revisan y lo implementan.
-
Eliminar el ruido: las vulnerabilidades aumentan y las puntuaciones de gravedad son engañosas: En 2025 se divulgaron más de 48 000 nuevas CVE, un aumento interanual del 20 % impulsado en parte por el código generado por IA que reintroduce puntos débiles de hace décadas, como la inyección (CWE-74), que creció un 3110 %. Sin embargo, el equipo de investigación de seguridad JFrog descubrió que el 66 % de las CVE analizadas tenían una aplicabilidad mínima en el mundo real: La clasificación basada en el volumen es ruido, mientras que el contexto y la aplicabilidad se convierten en las señales fundamentales para la tarea.
-
Las amenazas de crecimiento más rápido son las menos protegidas: solo el 40 % de las organizaciones ha adoptado la detección de paquetes maliciosos y la detección de secretos está activa en solo el 28 %. Las categorías con un crecimiento más rápido en volumen de amenazas siguen siendo las menos protegidas por las herramientas existentes.
-
Los equipos de seguridad asumen el coste humano de la IA: el 45 % de los encuestados afirma que revisar y reforzar el código generado por IA supone ahora una gran pérdida de tiempo, lo que demuestra que la IA no ha eliminado el trabajo, sino que simplemente ha desplazado la carga a medida que los actores de amenazas utilizan como arma los entornos de desarrollo upstream y las herramientas de agentes.
-
La brecha en la gobernanza de la IA: el 97 % de las organizaciones afirma contar con una gobernanza de modelos certificada; sin embargo, el 53 % aloja modelos propios procedentes de fuentes en las que se han detectado cargas útiles maliciosas, y el 18 % no tiene ningún tipo de gobernanza sobre sus entornos de desarrollo integrado (IDE) o servidores del protocolo de contexto de modelos (MCP) que se encuentran en los flujos de trabajo de sus desarrolladores. Así pues, la brecha entre la confianza manifestada por los directivos y el control real se está ampliando a medida que se acelera el desarrollo de la IA.
«El sector opera con una falsa sensación de seguridad. El número de vulnerabilidades aumenta, pero la verdadera amenaza reside en que los actores maliciosos secuestren nuestras pipelines de CI/CD y nuestras herramientas de desarrollo, incluso antes de que exista el código», afirmó Shachar Menashe, vicepresidente de Investigación de Seguridad de JFrog. «Pasar a una gobernanza automatizada y nativa de la plataforma ya no es opcional: es la única forma de proteger los sistemas inteligentes que crean, aprueban y distribuyen el software actual».
«La IA no solo ha cambiado la forma en que se escribe el software; también ha aumentado la velocidad y la escala a la que se explotan las vulnerabilidades de día cero y a la que se desarrollan y distribuyen los ataques maliciosos a la cadena de suministro de software», afirmó Yoav Landman, CTO y cofundador de JFrog. «Para mantenerse a la vanguardia, las organizaciones necesitan una gobernanza automatizada que gestione cada activo de software que entra en la organización, ya sea introducido por agentes o por desarrolladores, y que supervise de forma continua cada versión que contenga dichos activos. La cuestión ya no es quién descubre primero una vulnerabilidad de día cero, porque esa información se difunde en cuestión de minutos. Lo importante ahora es saber quién puede fortalecer su cadena de suministro de software a gran escala para mantener la organización segura».
Para explorar todas las conclusiones del informe de este año y averiguar cómo puede su organización cerrar la brecha en la gobernanza de la IA, descargue el Estado de la Unión de la seguridad de la cadena de suministro de software de JFrog 2026. También puede consultar nuestro blog o registrarse para unirse a los expertos en seguridad JFrog y desarrollo en nuestro próximo seminario web: «La ilusión del dominio: cerrar la brecha en la gobernanza de la IA en 2026» – detallando los desafíos, las amenazas y las acciones necesarias para proteger la cadena de suministro de software en la era de la IA.
¿Le gusta esta historia? Compártala en X (antes conocida como Twitter): Los paquetes #npm maliciosos aumentaron un 451 %; las habilidades de los agentes de IA son ahora una superficie de ataque y el 97 % de las organizaciones afirma tener una gobernanza de la IA, mientras que el 53 % sigue extrayendo modelos de registros públicos donde se han encontrado cargas útiles maliciosas. La brecha en la gobernanza de la IA es real. Lea el informe de 2026 sobre la seguridad de la cadena de suministro de software de @JFrog: https://bit.ly/3PRNzJB
#DevSecOps #Cadenadesuministrodesoftware #Ciberseguridad #IA #gobernanza #DevGovOps
Acerca de JFrog
JFrog Ltd. (Nasdaq: FROG), empresa creadora de la plataforma unificada de DevOps, DevSecOps, DevGovOps y MLOps, tiene la misión de crear un mundo en el que la entrega de software sea fiable y sin obstáculos, desde el desarrollo hasta la producción. La plataforma JFrog, impulsada por una visión de «Liquid Software», es un sistema de registro de la cadena de suministro de software diseñado para potenciar a las organizaciones a medida que compilan, gestionan, gobiernan y distribuyen software seguro con velocidad y a escala. Las características de seguridad holísticas ayudan a identificar, proteger y remediar amenazas y vulnerabilidades. La plataforma JFrog, universal, híbrida y multinube, está disponible tanto como servicios SaaS en los principales proveedores de servicios en la nube como en la modalidad autohospedada. Millones de usuarios y aproximadamente 6 600 organizaciones en todo el mundo, incluida la mayoría de las empresas Fortune 100, dependen de las soluciones de JFrog para adoptar de forma segura la transformación digital en la era de la IA. Vea más información en https://jfrog.com o síganos en X en @JFrog.
1 JFrog encargó a Atomik Research de 4Media Group la realización de una encuesta internacional en línea a 1 508 profesionales de TI en sectores seleccionados en Estados Unidos (n=508), Reino Unido (n=125), India (n=167), Alemania (n=120), Francia (n=125), Australia (n=165), Singapur (n=174) y España (n=124) entre enero y febrero. 2026. Los encuestados eran empleados a tiempo completo en departamentos de TI, sistemas de información o tecnología que desempeñaban funciones laborales específicas. Todos trabajaban para organizaciones con más de 1 000 empleados y confirmaron contar con un equipo de desarrollo de software de al menos 50 miembros. El margen de error para la muestra total es de ±3 puntos porcentuales con un nivel de confianza del 95 %.

Vea la versión original en businesswire.com: https://www.businesswire.com/news/home/20260520163414/es/
Source(s) : JFrog Ltd.