Impacto de la IA en la ciberseguridad

Un poco de historia...

La integración del machine learning (ML) en la ciberseguridad comenzó hace muchos años con una idea simple pero ambiciosa: aprovechar el poder de los algoritmos para identificar patrones en conjuntos de datos masivos. Tradicionalmente, la detección de amenazas se basaba en técnicas de firmas - esencialmente huellas digitales de amenazas conocidas. Estos métodos, aunque efectivos contra malware familiar, luchaban contra ataques de día cero y las tácticas cada vez más sofisticadas de los ciberdelincuentes. Esta brecha llevó a un aumento del interés en usar ML para identificar anomalías, reconocer patrones indicativos de comportamiento malicioso y, en última instancia, predecir ataques antes de que pudieran desarrollarse completamente. 

Una de las primeras aplicaciones exitosas de ML en la ciberseguridad fue en la detección de spam, seguida de sistemas de detección de intrusiones basados en anomalías (IDS). Estas primeras iteraciones dependían en gran medida del aprendizaje supervisado, donde se alimentaban datos históricos - tanto benignos como maliciosos - a los algoritmos para ayudarles a diferenciar entre los dos. Con el tiempo, las soluciones impulsadas por ML crecieron en complejidad, incorporando aprendizaje no supervisado e incluso aprendizaje por refuerzo para adaptarse a la naturaleza evolutiva de las amenazas cibernéticas. 

Aunque los enfoques basados en ML mejoraron drásticamente las tasas de detección y redujeron la carga de trabajo en los equipos de seguridad, no estaban exentos de desafíos. Los falsos positivos se convirtieron en un problema significativo, creando "fatiga de alertas" entre los analistas de seguridad. Además, los atacantes comenzaron a adaptarse, aprovechando técnicas adversariales para engañar a los modelos de machine learning. No obstante, la evolución de ML transformó la ciberseguridad, introduciendo formas de defensa más dinámicas y adaptativas. 

El papel actual de los modelos de Large Language en la ciberseguridad

En los últimos años, la introducción de modelos de lenguaje grande (LLMs) como GPT-4 ha cambiado la conversación en torno a la IA en la ciberseguridad. Estos modelos sobresalen en tareas como sintetizar grandes volúmenes de información, resumir informes y generar contenido en lenguaje natural. En el espacio de la ciberseguridad, los LLMs se han utilizado para analizar feeds de inteligencia de amenazas, generar resúmenes ejecutivos y asistir en la documentación - todas tareas que requieren manejar grandes cantidades de datos y presentarlos de manera comprensible.

Sin embargo, a pesar de sus fortalezas, los LLMs aún no han encontrado un "caso de uso asesino" en la ciberseguridad. Su valor a menudo radica en aumentar a los analistas humanos en lugar de reemplazarlos. Pueden mejorar la productividad automatizando tareas mundanas, pero carecen de la comprensión contextual profunda y las habilidades de toma de decisiones necesarias para la respuesta a incidentes o la caza de amenazas. Los LLMs pueden ser asistentes útiles, pero luchan por superar este rol, limitando su impacto en las operaciones defensivas del mundo real.

La realidad de los copilotos de seguridad: ¿Una solución en busca de un problema?

Con el auge de la IA en el desarrollo de software, surgió el concepto de un "copiloto para la seguridad" - una herramienta destinada a asistir a los analistas de seguridad al igual que los copilotos de codificación ayudan a los desarrolladores a escribir código. La idea era que un copiloto impulsado por IA pudiera actuar como un analista virtual del Centro de Operaciones de Seguridad (SOC), ayudando a filtrar alertas, contextualizar incidentes e incluso proponer acciones de respuesta. Sin embargo, esta visión ha quedado en gran parte corta.

El problema central es que los copilotos de seguridad aún no han cumplido su promesa de transformar las operaciones del SOC. No reemplazan la experiencia de un analista experimentado ni abordan eficazmente ningún punto doloroso evidente que enfrentan los analistas humanos hoy en día. En lugar de servir como un analista virtual confiable, estas herramientas a menudo se convierten en una "solución en busca de un problema" - añadiendo otra capa de tecnología que los analistas necesitan entender y gestionar, sin ofrecer un valor proporcional 7. Por ejemplo, el Copiloto de Seguridad de Microsoft, aunque prometedor, ha luchado por reemplazar eficazmente el papel de un analista de SOC capacitado, a menudo proporcionando sugerencias que carecen de contexto o requieren intervención humana adicional para ser accionables.

Parte del desafío es que la naturaleza del trabajo de ciberseguridad es inherentemente compleja y contextual. Los analistas del SOC operan en un entorno de alta presión, ensamblando información fragmentada, entendiendo las implicaciones más amplias de una amenaza y tomando decisiones que requieren una comprensión matizada del contexto único de la organización. Los copilotos de IA actuales pueden ayudar a reducir opciones o resumir datos, pero carecen de la conciencia situacional y la comprensión profunda necesarias para tomar decisiones críticas de seguridad de manera efectiva.

El futuro de los agentes de IA en la ciberseguridad

Aunque las implementaciones actuales han luchado por encontrar su ritmo, el futuro de la IA en la ciberseguridad puede estar en el desarrollo de los agentes de IA - sistemas de IA capaces de tomar acciones proactivas y autónomas. Los agentes de IA se refieren a sistemas que pueden evaluar situaciones de manera independiente y tomar decisiones sin intervención humana, permitiendo un enfoque más dinámico y adaptativo a la ciberseguridad. Los agentes de IA ofrecen una dirección más prometedora para la seguridad defensiva al permitir potencialmente que entidades impulsadas por IA defiendan activamente sistemas, participen en la caza de amenazas y se adapten a amenazas novedosas sin la necesidad constante de dirección humana.

Los agentes de IA podrían cerrar la brecha entre la automatización y la autonomía en la ciberseguridad. En lugar de esperar a que un analista interprete datos o emita comandos, Los agentes de IA podrían tomar medidas por sí mismos: aislar un punto final comprometido, redirigir el tráfico de la red o incluso participar en técnicas de engaño para confundir a los atacantes. Tales capacidades marcarían un salto significativo desde los roles en gran parte pasivos y asistivos que la IA desempeña actualmente.

Microsoft tiene algunos grandes planes en este área para la próxima etapa de Copilot de Seguridad. Consulta con nuestros especialistas todos los detalles.

Confiando en la máquina

Las organizaciones han sido típicamente lentas en adoptar cualquier nueva tecnología de seguridad que sea capaz de tomar acciones por sí misma. Los falsos positivos siempre son un riesgo y nadie quiere causar una interrupción en la producción o impedir que un ejecutivo senior use su laptop basado en una suposición falsa.

Los atacantes no tienen este impedimento - usarán la IA en su máxima extensión para robar datos, causar interrupciones y ganar dinero. Llamadas telefónicas deepfake, videollamadas deepfake, correos electrónicos de phishing hiperpersonalizados - estas amenazas están en aumento. Es probable que las organizaciones en 2025 enfrenten el panorama de amenazas más sombrío en la historia de la ciberseguridad, impulsado por el uso malicioso de la IA. Según un informe de Gartner, se espera que la proliferación de ciberataques impulsados por IA aumente significativamente para 2025, lo que llevará a un entorno más desafiante para los defensores 12. La única forma de combatir esto será ser parte de la carrera armamentista - usando nuevos Agentes de IA para tomar decisiones.

Habrá daños colaterales, por supuesto, los usuarios se quejarán y se culpará a los equipos de seguridad, pero puede que finalmente sea el momento de luchar fuego con fuego y adentrarse en el futuro del control de la IA. Creo que el riesgo de amenazas de seguridad impulsadas por IA superará el riesgo de interrupciones causadas por IA debido a falsos positivos en 2025 - y deberíamos comenzar a reconsiderar nuestros cálculos de riesgo en un futuro muy cercano cuando la tecnología esté disponible.

Consulta aquí nuestras soluciones de ciberseguridad.

¿Tienes alguna pregunta?

Contacta con uno de nuestros especialistas