· Notas de Campo9 de julio de 2026

Una IA que intenta hackear tu app antes que nadie

Strix es un agente de IA que busca vulnerabilidades reales en tu web, igual que haría un hacker profesional, pero sin el presupuesto desorbitado.

AIopen-sourceautomationworkflowvia github · @usestrix

Una auditoría de seguridad solía costar miles de euros

Si alguna vez has lanzado un producto que maneja datos de clientes — reservas, pagos, cualquier cosa personal — alguien en la sala probablemente dijo "deberíamos hacer un pentest." Luego alguien buscó el precio y el tema se olvidó discretamente.

Strix es un proyecto de código abierto que hace algo genuinamente sorprendente: envía un pequeño equipo de agentes de IA a explorar tu propia aplicación, con instrucciones de pensar como atacantes, y los pone a intentar técnicas de intrusión reales. No una lista teórica, sino intentos de verdad. Cuando encuentran algo, muestran la prueba. Sin advertencias vagas, sin un PDF de cincuenta páginas que nadie va a leer.

Revisa las diez formas más habituales en que las aplicaciones web quedan expuestas — el sector lo llama el OWASP Top 10. Cosas como: ¿puede un desconocido leer los datos privados de otro cliente? ¿Puede alguien inyectar comandos maliciosos a través de un formulario?

Lo que lo diferencia de herramientas similares es que se conecta a tu proceso de desarrollo de forma automática. Cada vez que tu equipo hace un cambio en el código, Strix pasa sus comprobaciones. Equipos pequeños que no podían justificar contratar a alguien de seguridad ahora tienen algo que vigila la puerta por ellos.

Funciona con los modelos de IA que quizás ya usas — ChatGPT, Claude, Gemini — y la configuración inicial lleva unos cinco minutos.

Palabras que vale la pena conocer

Pentest (prueba de penetración): Un profesional que intenta entrar en tu aplicación a propósito, para encontrar agujeros antes de que lo haga un atacante real.

OWASP Top 10: Una lista reconocida internacionalmente con las diez formas más comunes de hackear aplicaciones web. El punto de partida de cualquier auditoría de seguridad seria.

Código abierto: Software que cualquiera puede descargar, examinar y usar de forma gratuita. Al ser público, la comunidad también puede detectar fallos en él.

CI/CD: El proceso automatizado que se ejecuta cada vez que los desarrolladores actualizan el código. Strix se conecta ahí para que las comprobaciones de seguridad ocurran de forma continua.


Si recopilas datos de clientes, merece la pena preguntarle a quien construyó tu producto si algo así ya está en marcha — o si podría estarlo.

Ver el proyecto →

Escrito por David en AC0.AI. Sígueme en @ac0hero

Field Notes en tu bandeja

Las herramientas y movimientos de IA que de verdad uso para ganar más negocio. Un par por semana, nada que no haya probado yo mismo.