Ciberseguridad y automatización: equipos invierten en IA, pero persiste la desconfianza

Introducción

La inteligencia artificial (IA) se ha consolidado en los últimos años como una herramienta fundamental en la defensa de entornos digitales, especialmente en la automatización de procesos de remediación ante incidentes de seguridad. Sin embargo, a pesar de las elevadas inversiones en tecnologías basadas en IA, los equipos de ciberseguridad continúan mostrando reticencias a confiar plenamente en estas soluciones. El temor a consecuencias imprevistas y la opacidad inherente de muchos modelos de IA están frenando la adopción total de la automatización, con implicaciones directas en la eficiencia y la postura defensiva de las organizaciones.

Contexto del Incidente o Vulnerabilidad

La irrupción de la IA en el campo de la ciberseguridad ha sido progresiva, pero en los últimos dos años se ha acelerado significativamente. Las plataformas modernas de respuesta a incidentes, como SOAR (Security Orchestration, Automation and Response), han incorporado motores de IA capaces de analizar grandes volúmenes de alertas, priorizar amenazas y ejecutar acciones de contención o remediación sin intervención humana directa. Según datos recientes de Gartner, el 58% de las empresas medianas y grandes en Europa y Norteamérica han invertido en soluciones de automatización impulsadas por IA en sus Centros de Operaciones de Seguridad (SOC).

No obstante, este despliegue tecnológico contrasta con la realidad de la operativa diaria: muchas organizaciones limitan el alcance de la IA a tareas de análisis o recomendación, evitando que tome decisiones autónomas críticas, especialmente aquellas que pueden afectar la disponibilidad, integridad o confidencialidad de activos clave.

Detalles Técnicos

Desde una perspectiva técnica, la automatización de la remediación se apoya, en su mayoría, en modelos de machine learning supervisado y no supervisado. Estos modelos analizan datos históricos de incidentes, flujos de red, logs de endpoints, correlaciones de SIEM y enriquecimiento de amenazas (Threat Intelligence), para identificar patrones maliciosos y sugerir acciones.

CVE y vectores de ataque

Actualmente, las plataformas de IA se utilizan para responder de forma automatizada a incidentes relacionados con vulnerabilidades conocidas (por ejemplo, CVE-2023-23397 de Microsoft Outlook, que permitió la explotación masiva mediante Zero-Day en 2023), ransomware (como LockBit o BlackCat/ALPHV) y campañas de phishing dirigidas. El ciclo de respuesta suele incluir el aislamiento de dispositivos, la revocación de credenciales comprometidas, la actualización de firmas y la aplicación de parches.

Tácticas, Técnicas y Procedimientos (TTP) según MITRE ATT&CK

La IA está siendo entrenada para detectar comportamientos alineados con matrices MITRE ATT&CK –como T1566 (phishing), T1059 (ejecución de comandos y scripts), T1071 (exfiltración de datos mediante canales de comando y control)– y actuar en consecuencia. Sin embargo, la falta de transparencia (black-boxing) en la toma de decisiones y la posibilidad de falsos positivos/negativos generan preocupación entre los CISOs y equipos SOC.

Indicadores de Compromiso (IoC)

La automatización puede bloquear conexiones sospechosas, poner en cuarentena hosts o revocar sesiones basadas en IoCs, pero existen casos documentados en foros profesionales donde una acción automática incorrecta ha generado interrupciones de servicio o la pérdida de logs críticos para posteriores investigaciones forenses.

Impacto y Riesgos

El principal riesgo asociado a la remediación automatizada por IA radica en el potencial de “daños colaterales”. Un modelo mal entrenado podría, por ejemplo, aislar servidores de producción por un falso positivo, generando indisponibilidad y pérdidas económicas que, en algunos sectores como banca o salud, pueden superar los 100.000 euros por hora de caída.

A esto se suma el riesgo de cumplimiento legal: bajo el RGPD y la directiva NIS2, las empresas deben garantizar la trazabilidad y justificación de las acciones tomadas ante incidentes de seguridad. La opacidad de la IA (falta de explicabilidad del modelo) puede dificultar la rendición de cuentas ante reguladores.

Medidas de Mitigación y Recomendaciones

Para minimizar estos riesgos, los expertos recomiendan:

– Implementar modelos de IA con capacidad de “explicabilidad” (XAI, Explainable AI), que permitan auditar las decisiones.
– Configurar la automatización en modo “supervisado” (con intervención humana previa a la acción crítica) en infraestructuras sensibles.
– Actualizar continuamente los modelos y entrenarlos con datos propios del entorno operativo.
– Revisar y documentar todas las acciones automáticas en logs inmutables.
– Someter las soluciones de IA a auditorías externas periódicas y pruebas de penetración específicas (AI Red Teaming).

Opinión de Expertos

Según José María Ramírez, CISO en una multinacional de telecomunicaciones, “la IA es una aliada indispensable para gestionar el volumen de amenazas actual, pero no podemos delegar la última palabra en una máquina cuya lógica apenas comprendemos. La confianza vendrá cuando la explicabilidad y el control estén al nivel de la automatización”.

Por su parte, analistas de SANS Institute señalan que “la tendencia es clara: la automatización aumentará, pero convivirá con la supervisión humana durante años, especialmente en sectores regulados”.

Implicaciones para Empresas y Usuarios

Las empresas que adopten IA para la remediación deben considerar la formación continua de sus equipos, la revisión de sus políticas de respuesta y la integración de la automatización en sus programas de gestión de riesgos. Para los usuarios finales, la automatización puede traducirse en una respuesta más rápida a incidentes, pero también en retos de transparencia y comunicación cuando se vean afectados por acciones automáticas.

Conclusiones

La IA representa una revolución en las operaciones de ciberseguridad, especialmente en la respuesta y remediación automatizada. Sin embargo, la falta de confianza plena, debida a la opacidad y al temor a consecuencias imprevisibles, limita su despliegue total. El equilibrio entre eficiencia y control, junto con la evolución hacia modelos más explicables y auditables, marcarán la dirección futura del sector.

(Fuente: www.darkreading.com)