La idea de que cualquier tipo de tecnología pueda tomar decisiones de forma autónoma y realizar tareas en nombre de los humanos no es necesariamente fácil de digerir, al menos no sin un cierto nivel de comprensión sobre lo que hace exactamente la tecnología. Quizá por eso parece que todas las ferias, reuniones y conferencias tecnológicas se centran en temas relacionados con la IA y, más recientemente, con la IA agéntica. En mi último artículo hablamos un poco de lo que significan los agentes de IA en ciberseguridad, pero hoy me gustaría ir más allá de las palabras de moda y hablar de cómo la IA se está convirtiendo rápidamente en la herramienta adecuada para los defensores encargados de detener los ciberataques modernos, especialmente cuando se aplica al problema adecuado.
Para ello, vamos a plantear algunas cuestiones generales sobre la detección de amenazas y la respuesta a las mismas y a debatir dónde encajan tanto la IA agéntica como la IA Gen, porque ¿por qué no utilizar las dos palabras de moda para este ejercicio? Como recordatorio, los agentes de IA (IA agéntica) son capaces de realizar tareas en nombre de un usuario, mientras que la IA Gen se refiere a la IA centrada en la creación de contenidos como texto o imágenes - un LLM (Large Language Model), por ejemplo, es un tipo de IA Gen que puede generar texto.
¿Puede la IA Gen ayudar a los defensores a detectar y detener más rápidamente los ciberataques modernos?
Según el Informe sobre Amenazas Globales 2025 de CrowdStrike, el tiempo medio desde la infiltración hasta que los atacantes comienzan a moverse lateralmente dentro de una red es de 48 minutos, que en realidad es inferior a los 62 minutos de 2024. Los atacantes son cada vez más rápidos. Así que cuando pienso en si la IA Gen puede ayudar a detectar y detener un ciberataque moderno, mi reacción inicial es "no", teniendo en cuenta que es difícil ver cómo un LLM, por ejemplo, podría acelerar la detección mediante la generación de contenido, al menos en apariencia. Sin embargo, resulta que Gen AI está demostrando ser un recurso valioso para la gente que construye modelos de detección.
Como explica Matt Silver, Vicepresidente de Ciencia de Datos de Vectra AI en el podcast: Cuantifique su multiplicador de fuerza de IA: Entities and Detection - Gen AI puede usarse para aprender representaciones de datos de seguridad benignos, que pueden ser útiles para "entrenar detectores aguas abajo". Básicamente, las detecciones de amenazas se construyen para detectar comportamientos de atacantes súper específicos, sin embargo, parte de hacer eso con precisión es también saber qué comportamientos no son maliciosos. Gracias a la capacidad que ofrece Gen AI para procesar grandes conjuntos de datos, ya no tenemos que crear conjuntos de datos desde cero para utilizarlos en el modelado de la detección, lo que puede llevar mucho tiempo. Ahora somos capaces de aprovechar cantidades masivas de datos de ciberseguridad existentes y aplicar un preentrenamiento autosupervisado para ayudar a construir modelos de detección a un ritmo mucho más rápido. Si pensamos en la rapidez con la que se mueven los ciberataques modernos, no cabe duda de que es muy valioso eliminar cualquier latencia que podamos durante el proceso de ingeniería de la detección".
¿Por qué los defensores están incorporando la IA agéntica a sus herramientas para detener los ciberataques modernos?
Otra vez ese zumbido. Pero, si me pongo en la piel de un analista de seguridad, probablemente sea aquí donde me asegure de sintonizar con la conversación. De forma similar a cómo puedo utilizar Gen AI como escritor y persona de contenidos para hacer parte o todo el trabajo sucio que conlleva la elaboración de un contenido escrito (si lo hubiera utilizado en este post, habría salido antes), la IA agéntica se acerca a los analistas y les dice: "hola, ¿quieres que eche un vistazo a esas tres mil alertas y te diga cuáles necesitas abordar?".
Por supuesto, hay mucho más en el backend, que este podcast cubre en detalle, pero los agentes de IA son realmente sólo para manejar las cosas que no puede llegar a hacer, no quiere hacer, o le gustaría descargar porque su tiempo y experiencia podrían ser utilizados de manera más eficaz en otro lugar. Los defensores pueden utilizar agentes de IA para ayudar a determinar qué detecciones o alertas están vinculadas a hosts o cuentas específicas, para que sepas cuáles son relevantes. También pueden unir las detecciones en las superficies de red, identidad y cloud para saber cuáles están relacionadas, o incluso ofrecer una clasificación de urgencia, para saber qué actividad supone el mayor riesgo para una organización. Los agentes de IA acercan a los defensores a un contexto de detección más rápido, lo que, por supuesto, significa estar más cerca de detener los ataques en lugar de gastar ciclos en tareas manuales de triaje, por ejemplo.
Es interesante pensar en todas las herramientas, aplicaciones o programas que utilizamos en nuestro trabajo, sea cual sea. La mayoría de nosotros probablemente utilizamos las mismas herramientas desde hace años o, cuando introducimos una nueva, es porque creemos que nos hará mejores en nuestro trabajo y el valor supera el coste o la inversión de tiempo para adaptarnos a algo nuevo. A pesar de todas las palabras de moda en torno a la IA, no es más que una herramienta que podemos utilizar para hacer nuestro trabajo y, en función de los resultados que busquemos, puede que sea la más adecuada.
Para más conversaciones sobre IA en ciberseguridad, echa un vistazo al programa AI in Action en elcanal de YouTube Vectra AI .