La IA está pasando de la prueba de concepto a las operaciones de seguridad cotidianas. En muchos SOC, se utiliza para reducir el ruido de alertas , guiar a los analistas durante las investigaciones y agilizar la respuesta a incidentes. Lo que antes se consideraba tecnología experimental está empezando a ofrecer resultados que los CISO pueden medir.
Parte de esto lleva años en marcha. El aprendizaje automático ya impulsa muchos motores de detección de amenazas y herramientas de análisis del comportamiento. Pero la reciente ola de GenAI ha abierto nuevas puertas. Los CISO ahora evalúan cómo pueden ayudar estas herramientas, dónde necesitan medidas de seguridad y qué significan para sus equipos.
Menos alertas, clasificación más rápida
Los equipos de seguridad están acostumbrados a verse abrumados por las alertas. La mayoría son falsos positivos, algunos son de bajo riesgo y solo unos pocos son relevantes. La IA está ayudando a resolver este caos.
Los proveedores han estado desarrollando modelos de aprendizaje automático para clasificar y puntuar las alertas. Estas herramientas aprenden con el tiempo qué señales son importantes y cuáles pueden ignorarse. Con un buen ajuste, pueden reducir el volumen de alertas a más de la mitad. Esto proporciona a los analistas más tiempo para analizar las amenazas reales.
GenAI aporta algo nuevo. En lugar de simplemente clasificar las alertas, algunas herramientas ahora resumen lo sucedido y sugieren los siguientes pasos. Un aviso podría mostrar al analista qué hizo un atacante, qué sistemas fueron afectados y si se exfiltraron datos. Esto puede ahorrar tiempo, especialmente a los analistas más nuevos.
Erez Tadmor , director de tecnología de campo en Tufin, afirmó que la IA también contribuye a reducir el tiempo dedicado a la resolución de problemas de acceso a la red. Describió un caso en el que un equipo de DevOps que implementaba un nuevo microservicio en Kubernetes no pudo acceder a su base de datos backend en AWS . «En lugar de revisar manualmente la configuración de VPC, los grupos de seguridad y las políticas de red, le preguntaron a un asistente de IA: ‘¿Por qué el servicio A no puede acceder a la base de datos B?’. La IA rastreó la ruta completa, identificó una entrada obsoleta en la ACL de red que bloqueaba la conexión y recomendó un cambio mínimo y seguro, resolviendo el problema en minutos en lugar de horas o días». Añadió que la IA también puede mapear cómo los atacantes podrían haberse movido lateralmente, incluso en entornos complejos de confianza cero o híbridos, lo que permite una toma de decisiones más rápida y segura.
“Un director de tecnología del sector salud ahorró decenas de miles de dólares en consultoría de cumplimiento de HIPAA al mitigar un ataque de correo electrónico empresarial en 4 horas, en lugar de días de respuesta manual. Un importante gobierno de condado evitó cientos de miles de dólares en costos de consultoría al completar un análisis de seguridad integral en minutos en lugar de semanas”, afirmó Josh Ray , director ejecutivo de Blackwire Labs. “En algunos casos, empresas de la lista Fortune 100 han reducido el tiempo de análisis de inteligencia a la mitad e incluso están viendo una reducción en las primas de seguros cibernéticos gracias al análisis avanzado”.
Copilotos de IA en el SOC
La idea de un «copiloto de IA» está cobrando impulso. Estas herramientas actúan como asistentes virtuales para los equipos de seguridad . Pueden responder preguntas, ayudar en las investigaciones e incluso escribir guiones o consultas.
Por ejemplo, un analista podría preguntarle al copiloto: «Muéstrame la actividad reciente de esta dirección IP». La IA puede extraer los datos correctos y explicar lo que encuentra en un lenguaje sencillo. Esto reduce las barreras de entrada para el personal junior y ayuda a todos a trabajar más rápido.
Algunas herramientas también ayudan a automatizar tareas rutinarias, como bloquear IP, aislar equipos o restablecer cuentas. Esto agiliza la respuesta una vez confirmada una amenaza.
“Las personas siguen siendo una parte importante del proceso. Los analistas proporcionan retroalimentación a la IA para que siga mejorando, compartan información específica del entorno, mantengan una supervisión continua y gestionen aspectos que la IA no puede abordar hoy en día”, afirmó Tom Findling , director ejecutivo de Conifers. “Los CISO deberían empezar por centrarse en las áreas que consumen más recursos o conllevan el mayor riesgo, creando a la vez un ciclo de retroalimentación que permita a los analistas guiar la evolución del sistema”.
Entrenando los modelos
Un reto es conseguir que los modelos aprendan de su propio entorno. Los modelos genéricos funcionan hasta cierto punto, pero la red de cada empresa es diferente.
Los proveedores están trabajando en maneras de optimizar las herramientas de IA con datos locales. Esto incluye registros, historial de amenazas y manuales de estrategias. Cuanto más relevantes sean los datos de entrenamiento, mejores serán los resultados. Sin embargo, esto también plantea interrogantes sobre la privacidad y el control de los datos, especialmente si los modelos están alojados en la nube.
Los CISO deben preguntarse cómo se utilizan los datos, si se comparten y cómo se puede auditar el modelo. Aunque la gobernanza no sea el enfoque principal hoy en día, estas preguntas serán importantes a medida que las herramientas se integren más.
Impacto en el equipo
Uno de los cambios más importantes será cómo la IA afectará a los roles de seguridad. Los analistas principiantes podrían no pasarse el día entero revisando paneles. En su lugar, podrían centrarse en verificar las sugerencias de la IA y ajustar el sistema.
Esto podría ser una victoria, especialmente en un mercado donde el talento escasea. Pero también significa que los equipos necesitarán desarrollar nuevas habilidades. Saber redactar indicaciones, interpretar los resultados de la IA y perfeccionar los modelos se convertirá en parte del trabajo.
La mayoría de los CISO aún se encuentran en la fase de prueba, pero los primeros usuarios ya están observando mejoras en velocidad y escalabilidad. La clave es mantener a los humanos informados y considerar la IA como un multiplicador de fuerza, no como un sustituto.
¿Qué buscar a continuación?
La siguiente fase podría incluir la correlación entre herramientas basada en IA, mejores simulaciones de ataques y flujos de trabajo de respuesta adaptativos. A medida que los productos maduren, comprenderán mejor el contexto y la intención.
Los CISO deben mantenerse al tanto de estos avances, pero con un enfoque práctico. No todas las tareas requieren IA, ni todos los productos cumplen lo que prometen. Pero, en los lugares adecuados, estas herramientas pueden dar una ventaja a su equipo.
Fuente y redacción: helpnetsecurity.com / Mirko Zorz
