Podéis llamarme viejo, pero recuerdo los buenos viejos tiempos del SOC. Todo el mundo venía a la oficina, las aplicaciones se ejecutaban en el centro de datos y, si algo fallaba, siempre podía acercarme al centro de datos y desconectar algo. La organización corría riesgos, pero también contaba con controles, y sabías que, si alguien lograba colarse, tenías tiempo y capacidad para detectarlo antes de que una intrusión se convirtiera en una brecha de seguridad. Los buenos viejos tiempos. Pero hoy en día, todo es SaaS o Cloud, los usuarios trabajan a distancia y tratar de bloquear el acceso a algo es mucho más complejo.

Así es la empresa moderna. Es compleja, abarca múltiples ámbitos y genera una superficie de ataque híbrida más amplia que abarca cloud, el SaaS, la identidad, el SASE y el acceso remoto. Los usuarios remotos acceden a aplicaciones cloud de SaaS a través de SASE, o simplemente inician sesión mediante Entra ID. ¿Qué significa esto para el SOC? Una mayor superficie de ataque implica más alertas.
Y aunque es algo reciente, me hace sentir muy mayor pensar que la IA generativa solo tiene unos dos años de vida. Los atacantes están utilizando la IA para hacer más cosas y atacar más rápido. Aprovechan los flujos de trabajo de IA «agente» para gestionar hasta 600 ataques simultáneos en sistemas comprometidos y acelerar la explotación de vulnerabilidades CVE. El tiempo necesario para explotar los CVE publicados es ahora de 8 horas, frente a los 21 días que se tardaba en 2025. Una vez dentro, los atacantes también se desplazan a la velocidad de la IA, con movimientos laterales desde los dispositivos comprometidos en tan solo 29 minutos. A modo de prueba, los investigadores de amenazas simularon la rapidez con la que un atacante podría pasar de una clave de AWS filtrada a la exfiltración cloud utilizando Claude Code; el resultado fue de 60 segundos.
Esto ha transformado el problema al que se enfrenta el SOC. No se trata solo de un mayor número de alertas, ni solo de un mayor número de ataques, ni siquiera de disponer de menos tiempo para responder: ¡se trata de la combinación de estos tres problemas! Las empresas deben cambiar; de lo contrario, su riesgo de sufrir una brecha de seguridad aumentará inexorablemente a medida que los atacantes innoven gracias a la inteligencia artificial.
Qué hay que cambiar
Los tres aspectos clave en los que deben centrarse las empresas son:
- Reducir el radio de la explosión
- Detección de amenazas tras un ataque
- Reducción del tiempo medio de respuesta (MTTR)
Nada de esto es sorprendente ni nuevo. Simplemente cobran mayor importancia en el caso de los ataques basados en la inteligencia artificial.
Reduce el radio de la explosión
Debes actuar de forma proactiva para garantizar que, en caso de que se produzca una brecha de seguridad, se reduzca al mínimo el área total que podría verse afectada. Segmenta tus redes y aplica Zero Trust ». Asegúrate de que los usuarios solo dispongan de los permisos que necesitan, de modo que, si un atacante logra introducirse en el sistema, no pueda llegar muy lejos.
Descubre en nuestro blog cómo Vectra AI ofrecerte visibilidad sobre los privilegios observados y la actividad transfronteriza.
Detectar amenazas tras un ataque
Nunca se podrán corregir todos los problemas. Incluso los equipos más experimentados tienen dispositivos sin gestionar, sistemas obsoletos, configuraciones erróneas, cuentas con privilegios excesivos y nuevas vulnerabilidades (CVE) que los atacantes pueden aprovechar antes de que los equipos de seguridad puedan solucionarlas. La prevención sigue siendo importante, pero no puede ser la única línea de defensa.
Esto significa que los equipos de seguridad deben partir de la base de que se ha producido una intrusión y mejorar su capacidad para detectar lo que ocurre una vez que el atacante ha conseguido acceder al sistema. Aquí es donde cobra importancia la detección de amenazas basada en el comportamiento. ¿Están utilizando credenciales válidas? ¿Se están desplazando lateralmente? ¿Están traspasando los límites de cloud, la identidad, el SaaS y la red? ¿Están accediendo a sistemas a los que no deberían acceder? Estos son los comportamientos que importan cuando un atacante ya ha eludido los controles preventivos.
La detección posterior a la intrusión permite detectar a los atacantes antes de que la intrusión se convierta en una filtración. Ofrece al SOC una forma de detectar la actividad real de los atacantes en tiempo real, comprender hasta qué punto se ha extendido y actuar antes de que aumente el alcance del impacto. De esto se trata precisamente Vectra y, aunque no voy a entrar en detalles aquí, disponemos de abundante material al respecto en otras secciones.
Tiempo de respuesta más rápido
Reducir el alcance de una amenaza y detectar las amenazas tras un ataque son aspectos fundamentales, pero hoy me voy a centrar en lograr un tiempo de respuesta más rápido. Para garantizar que tu respuesta ante una actividad maliciosa sea eficaz, debe producirse lo antes posible.

Gran parte del debate sobre la eficiencia de los SOC sigue centrándose en la detección, pero para muchos equipos con experiencia, la detección ya no es el eslabón más lento de la cadena de respuesta.
Tomemos como ejemplo Attack Signal Intelligence TDIR y Attack Signal Intelligence Vectra AI. Las detecciones Vectra AIse activan a los pocos minutos de que se produzca la actividad del atacante en tiempo real. La priorización tampoco supone un problema; hemos perfeccionado el equilibrio entre evitar falsos positivos y detectar la actividad real gracias a nuestro motor de priorización basado en IA. Además, nos hemos centrado específicamente en la velocidad de los atacantes para asegurarnos de ir un paso por delante de ellos. Por último, las medidas de respuesta deben ser intrínsecamente rápidas una vez tomada la decisión. Si sabes que un host es malicioso, hacer clic en unos cuantos botones para contenerlo no debería formar parte de un proceso que lleve horas. Si necesitas tres autorizaciones de la dirección antes de tomar una medida de respuesta, tienes problemas más graves.
No, el cuello de botella es la investigación.

Ahí es donde el analista tiene que analizar las detecciones, comprender la secuencia de actividades, reconstruir la cronología del ataque, cotejar el contexto externo, comprobar el contexto interno, evaluar el alcance del impacto, decidir si el comportamiento es malicioso o benigno, determinar qué hay que contener y, a continuación, elaborar un informe o un resumen de escalación que otra persona pueda entender. Este trabajo es valioso, pero una parte significativa del mismo consiste también en tareas repetitivas de recopilación y síntesis.
Esa distinción es importante. La cuestión no es que la investigación sea fácil, ni que los analistas dediquen tiempo a tareas sin importancia. La cuestión es que, a menudo, los analistas se ven obligados a dedicar demasiado tiempo a reconstruir el panorama general antes de poder aplicar su criterio al respecto. Están copiando información de un sistema a otro, comprobando si una dirección IP es conocida, investigando cuál es la actividad habitual de una cuenta, tratando de entender si un privilegio observado es relevante y reconstruyendo la historia de un incidente a partir de fragmentos dispersos por múltiples herramientas.
La síntesis de datos es una de las grandes fortalezas de los modelos de lenguaje a gran escala (LLM), lo que convierte la automatización de las investigaciones en una de las oportunidades más evidentes para la IA en el SOC.
Pero antes de lanzarnos a incorporar la IA a nuestros flujos de trabajo, analicemos dónde nos encontramos y hacia dónde nos dirigimos.
Usemos la IA
El marco que se muestra a continuación es una visión habitual en muchos sistemas de inteligencia artificial, incluidos los coches autónomos.

Cada paso implica una mayor integración de la inteligencia artificial y menos trabajo manual.

Según Vectra AI de Vectra AI , el 80 % de nuestros clientes están trabajando para conseguir un sistema al menos parcialmente autónomo. Esto tiene mucho sentido, ya que potenciará su centro de operaciones de seguridad (SOC) y hará que su organización sea más segura.
Pero apenas el 10 % se encuentra en ese nivel actualmente, y nadie ha alcanzado el nivel 4, es decir, la autonomía total. Esto no es nada sorprendente; la IA tiene un exceso de confianza y no está claro quién es responsable si comete un error. Además, se desconocen los costes de estos sistemas, y dependen de datos de referencia que a muchas organizaciones les cuesta establecer. Las empresas deben asegurarse de contar con los controles adecuados, además de prever los costes para cuando las empresas de IA, como OpenAI, dejen de estar en un paraíso subvencionado por el capital riesgo y empiecen a obtener beneficios. Otro aspecto a tener en cuenta es que los datos que alimentan cualquier sistema de IA deben ser precisos y exhaustivos. Por ejemplo, en caso de falta de señal, esto no significa necesariamente que no haya ocurrido nada ( más información sobre cómo los atacantes pueden eludir la protección de los puntos finales), y, en la mayoría de los casos, se requiere un analista muy experimentado para reconocerlo.
Pero nadie está contento con la situación actual. El agotamiento de los analistas es un hecho documentado. La IA que están intentando utilizar no funciona, al igual que los sencillos chatbots de Copilot, que intentan responder sin contexto ni comprensión del entorno del cliente. A menudo, los analistas acaban copiando y pegando la información en una ventana aparte de todos modos. Las respuestas de la IA parecen inteligentes, pero eso no significa que sean precisas.
Cómo llegar a AI
Entonces, ¿cómo podemos conseguir un SOC proactivo y basado en la inteligencia artificial? Hemos observado que nuestros clientes barajan cuatro vías principales para lograrlo.

Elegir el camino supone elegir el equilibrio entre simplicidad y control. La solución más sencilla es utilizar las herramientas listas para usar que ofrecen los proveedores, pero te encontrarás con limitaciones. En el otro extremo, puedes crear un ecosistema de IA totalmente personalizado.
Sea cual sea la vía que elijas, la Vectra AI te la facilita, tanto si accedes a nuestros análisis a través de la API o del MCP, como si utilizas los agentes de nuestra interfaz de usuario o si proporcionas acceso a nuestros agentes mediante la API o el MCP. La cuestión es que queremos y vamos a facilitarte que te conviertas en un experto en tu entorno, ya que Vectra AI la experta en seguridad nativa de IA.
La utopía está a la vuelta de la esquina
Si los atacantes pueden pasar del acceso inicial a causar un impacto significativo en cuestión de minutos, un proceso de investigación que dure varias horas no es suficiente. Es imprescindible reducir los tiempos de respuesta y detectar las intrusiones antes de que se conviertan en violaciones de seguridad. Unos tiempos de respuesta más rápidos no solo suponen una reducción del riesgo de violación de seguridad, sino que también se traducen en analistas más productivos, capaces de supervisar más alertas en menos tiempo y, lo que es más importante, en un centro de operaciones de seguridad (SOC) más satisfecho, que puede centrarse en los aspectos más valiosos e interesantes y en la toma de decisiones propiamente dicha.
La IA ya no es opcional en el SOC, ya que el modelo antiguo no se adapta a la nueva realidad. La superficie de ataque es más amplia, los atacantes actúan con mayor rapidez y el trabajo manual necesario para comprender los incidentes se ha convertido en el cuello de botella. Las organizaciones que tengan éxito no serán aquellas que se limiten a añadir un chatbot junto a la consola. Serán aquellas que utilicen la IA para rediseñar el propio proceso de investigación, de forma cuidadosa, transparente y con el control suficiente para que los analistas puedan confiar en lo que hace el sistema.

.jpg)