Sabemos que está con nosotros. Hace un seguimiento de las cosas, aprende nuestras tendencias, nos ayuda con diversas tareas, pero aún puede resultar difícil precisar qué hacen exactamente las tecnologías de IA que utilizamos y con las que existimos... Sin embargo, la conversación se vuelve mucho más interesante cuando analizamos las posibilidades disponibles y cómo están influyendo realmente en nuestra vida cotidiana o incluso en nuestra forma de trabajar. En este debate, hablaremos sobre todo de lo que los agentes de IA significan para quienes trabajamos en ciberseguridad, un tema que también pone de relieve el camino que seguimos como seres humanos que coexistimos con la IA y cómo la utilizamos. Pero antes de entrar en materia, probablemente deberíamos considerar la posibilidad de actualizar la definición de "agente" en el diccionario a algo como:
Una persona, empresa o inteligencia artificial autorizada a actuar en nombre de otra.
¿Quizá incluso añadamos "animal de servicio" a esa definición? ¿Puede un perro u otro tipo de animal de servicio actuar en nombre de otra persona? Imaginemos lo siguiente: su perro está adiestrado para recoger la ropa sucia que vea por la casa y depositarla en la lavandería. Su perro es ahora el agente de lavandería, que usted ha autorizado. Ahora, si dejas la ropa sucia en el suelo, quien tenga algún problema con ello puede hablar con el agente de lavandería.
Mientras Merriam-Webster tiene en cuenta mi petición, he aquí una definición de IBM más específica para los agentes de IA:
Un agente inteligente artificial (IA) es un sistema o programa capaz de realizar tareas de forma autónoma en nombre de un usuario o de otro sistema diseñando su flujo de trabajo y utilizando las herramientas disponibles. -IBM
Bastante sencillo, sobre todo una vez que se desglosa cómo se asignaría a un agente de IA (o a cualquier agente) la realización de determinadas tareas, sin embargo, si se leen algunos de los artículos recientes sobre agentes de IA -y hay muchos- se verá rápidamente que se plantean muchas preguntas. Algunos artículos sugieren que "nadie puede definir claramente un agente de IA". Y puede que eso no sea más que un ingenioso titular de Fortune que hace un buen trabajo al llevarnos más allá de cómo llamamos a algo y más al punto de la discusión, que es cómo puede ayudarnos realmente o qué podemos hacer con ello. Otros artículos, como este de Wired, plantean cuestiones sobre los agentes de IA preguntando: "¿cuánto debemos dejarles hacer?".
Todas estas consideraciones son válidas; sin embargo, una de las cosas interesantes que se descubren al analizar los agentes de IA en el ámbito de la ciberseguridad es que nos ayudan a hacernos una idea más precisa del impacto que la IA está teniendo y puede tener en nuestros flujos de trabajo. Recientemente hemos aprendido mucho sobre la adopción de la IA en la ciberseguridad en el informe 2024 State of Threat Detection and Response deVectra AI, sin embargo, hay que ir más allá de las cifras de adopción para saber cómo la IA está teniendo realmente un impacto y las tareas que está ayudando a completar.
Agentes de IA en ciberseguridad
Entonces, ¿de qué estamos hablando con los agentes de IA en ciberseguridad? Veámoslo desde el punto de vista de la detección, investigación y respuesta a amenazas, donde cuanto más rápido un defensor pueda ver y detener un ataque, mejor le irá a su organización. De media, los defensores reciben 3.832 alertas de seguridad al día, según el informe 2024 State of Thread Detection and Response. En realidad, esta cifra es inferior a la del año anterior, pero si pensamos en lo que esto significa en términos de poder abordar cada alerta individual, es una petición escandalosa. Pongámoslo así: si tuviéramos casi 4.000 correos electrónicos en la bandeja de entrada cada día, ¿a cuántos responderíamos? No es de extrañar que los profesionales que participaron en el estudio sólo fueran capaces de responder al 38% de esas alertas de media. Esto significa que, como sector, no estamos abordando posibles incidentes reales porque no tenemos el ancho de banda necesario. Aquí entran los agentes de IA.
¿Cómo ayudan los agentes de IA a los defensores a detectar y detener los ataques?
Si nos centramos en cómo se reparten las tareas los profesionales de la seguridad durante la jornada laboral media, empezamos a ver algunas áreas en las que los agentes de IA resultan útiles. Por ejemplo, según el estudio Security Team Efficiency Benchmark de Vectra AI, los profesionales de la seguridad dedican el 18,4% de su jornada a investigar falsos positivos y el 27,7% a gestionar alertas. Este estudio concreto recopiló respuestas de 538 profesionales para ayudar a comprender qué tareas les quitan tiempo durante el día, pero para este debate también es útil ver dónde podría tener sentido un agente de IA. Curiosamente, el estudio también reveló que una jornada laboral de 10 horas era la norma para un equipo de seis personas de media. En este escenario, ¿dónde se ganaría el sustento un agente de IA? Hay varias maneras, pero los agentes de IA pueden ayudar a eliminar gran parte del trabajo manual asociado a las alertas y, quizás lo más importante, elevar la señal de ataque que los equipos reciben de las herramientas de detección y respuesta a amenazas, para que sepan qué eventos suponen el mayor riesgo. Veamos cómo funcionan.
¿Pueden los agentes de IA ayudar a reducir el tiempo dedicado a las alertas de seguridad de falsos positivos?
Cada falsa alerta positiva debe ser analizada para determinar su relevancia, ya sea por un analista humano o mediante alguna forma de automatización (si está disponible), razón por la cual estamos viendo que cerca de una quinta parte del día de un analista se dedica a los falsos positivos. Tenemos que saber si algo es malicioso o benigno, lo que puede ser un proceso muy manual que requiere tiempo y experiencia. ¿Pero tiene por qué serlo? La capacidad de aplicar la IA para gestionar el triaje no es nada nuevo, pero las capacidades siguen mejorando y ahora, con los agentes de triaje de IA, los equipos de seguridad pueden descargar fácilmente las tareas de triaje. Esto significa utilizar la IA para evaluar alertas y separar el comportamiento normal de la red de lo que probablemente sea malicioso, o para ayudar a determinar qué detecciones son relevantes para la seguridad en función de la importancia de la entidad (host o cuenta).
¿Pueden los agentes de IA ayudar a gestionar la gran cantidad de alertas de seguridad que reciben los equipos?
No es sólo la cantidad de alertas que reciben los equipos (3.832 al día) lo que hace las cosas imposibles, sino que la complejidad de las redes modernas, que abarcan centros de datos, campus, trabajadores remotos, nubes, identidades, etc., hace que la posibilidad de unir las alertas de cada superficie sea poco realista sin la tecnología adecuada. Los atacantes prosperan en estos entornos debido a la latencia introducida por el esfuerzo que supone unir alertas aisladas procedentes de todas las direcciones posibles. Correlacionar detecciones o alertas en varias superficies no es un concepto nuevo, sin embargo, los agentes de IA lo facilitan porque los defensores ya no necesitan mirar cada alerta en cada superficie individual. Por ejemplo, una alerta en AWS podría estar conectada a una alerta en Entra ID porque están asociadas a la misma identidad - AI lo sabría y construiría automáticamente un perfil de ataque que incluya ambas alertas o cualquier número de alertas recibidas asociadas a esa identidad desde cualquier superficie dentro de su entorno. Esto reduce el número de alertas que los equipos tienen que atender.
¿Pueden los agentes de IA ayudarle a detener un ciberataque?
Incluso con un menor número de alertas, la información más útil para los defensores siempre será saber qué alerta(s) señala(n) un ataque que se está produciendo realmente. Como hemos mencionado antes, los defensores necesitan ser capaces de ver y detener los ataques, que es algo que los agentes de IA ahora pueden ayudar a priorizar. Un agente de IA para la priorización de ataques puede tomar detecciones de todo tipo de comportamientos de atacantes observados en un entorno, tener en cuenta aspectos como la velocidad a la que se mueve un ataque junto con las técnicas que se están utilizando y ofrecer clasificaciones de urgencia para todas las alertas de seguridad dentro de un entorno. Un agente de priorización de IA puede básicamente tener en cuenta todo lo que está ocurriendo en un entorno y clasificarlo por orden de gravedad según lo que suponga el mayor riesgo. De este modo, los defensores disponen de todo el contexto de cada alerta en un solo lugar, ya clasificado y agrupado, de modo que pueden utilizar su experiencia para investigar más a fondo si es necesario o para seguir adelante y detener el ataque.
Para los defensores, los agentes de IA se están convirtiendo rápidamente en algo más que una forma de ayudar a limpiar los falsos positivos y gestionar las alertas, sino en una forma de obtener una señal de ataque precisa que se puede utilizar para ver y detener los ataques sin la latencia que se introduce al hacerlo manualmente. Y además de todas esas cosas buenas, ¿a quién no le apetece decir las palabras "consúltalo con mi agente"?
Para obtener más detalles sobre los agentes de IA y cómo los utiliza Vectra AI , vea el podcast: Aceleración de la detección de amenazas con agentes de IA.
O
Lea cómo los equipos de seguridad están obteniendo resultados empresariales reales de la IA, por ejemplo:
- 52% más de amenazas potenciales identificadas
- 51% menos de tiempo dedicado a supervisar y clasificar las alertas
- 60% menos de tiempo dedicado a evaluar y priorizar las alertas