Ocean sale del modo sigiloso con 28 millones de dólares para revolucionar la seguridad del email con agentes de IA

Introducción

El correo electrónico continúa siendo uno de los vectores de ataque más utilizados por los ciberdelincuentes para comprometer la seguridad de las organizaciones. A pesar del uso generalizado de soluciones tradicionales de filtrado y detección, el volumen y la sofisticación de las amenazas, especialmente el phishing dirigido y los ataques BEC (Business Email Compromise), siguen en aumento. En este contexto, la startup Ocean ha salido del modo sigiloso tras recibir una ronda de financiación de 28 millones de dólares para lanzar una plataforma de seguridad de email basada en agentes de inteligencia artificial especializados.

Contexto del Incidente o Vulnerabilidad

El correo electrónico corporativo es el principal canal de comunicación empresarial, pero también el punto de entrada más habitual para ataques avanzados. Según el último informe de Proofpoint, un 84% de las organizaciones españolas experimentaron al menos un ataque de phishing exitoso en 2023. Técnicas como el spear phishing, el uso de archivos adjuntos maliciosos, enlaces a sitios fraudulentos y la suplantación de identidad siguen eludiendo los sistemas tradicionales de detección basados en reglas y firmas. Además, la proliferación de ataques BEC ha provocado pérdidas globales superiores a 2.700 millones de dólares según el IC3 del FBI.

Ocean emerge en este panorama como una respuesta a la insuficiencia de los filtros convencionales, apostando por una arquitectura de agentes IA capaces de analizar de forma granular e individual cada mensaje entrante utilizando modelos de lenguaje avanzados y análisis contextual.

Detalles Técnicos

La plataforma de Ocean se basa en un enfoque “agentic”, es decir, utiliza agentes de IA especializados que actúan de forma autónoma y colaborativa para inspeccionar todos los mensajes de correo electrónico recibidos en una organización. Cada agente está entrenado para detectar patrones de ataque específicos, correlacionar señales débiles e identificar intentos de manipulación lingüística o ingeniería social avanzada.

Aunque Ocean no ha publicado todavía CVE específicos asociados a fallos explotados en su plataforma, su objetivo es cubrir TTPs (tácticas, técnicas y procedimientos) catalogadas en el marco MITRE ATT&CK, especialmente en las categorías TA0001 (Initial Access), T1192 (Spearphishing Link), T1193 (Spearphishing Attachment) y T1566 (Phishing). Los agentes de IA pueden extraer y analizar indicadores de compromiso (IoC) tales como URLs maliciosas, hashes de archivos adjuntos, patrones de redacción atípicos y metadatos de remitentes.

La plataforma se integra en entornos Microsoft 365 y Google Workspace mediante API, y no requiere instalación de agentes locales. Ocean afirma que su motor de detección puede analizar tanto el texto como los adjuntos (PDF, Office, imágenes), utilizando modelos IA propios y de terceros, y aplicar scoring de riesgo en tiempo real. Además, la arquitectura permite el despliegue de agentes personalizados para necesidades sectoriales específicas (finanzas, legal, industria, etc.).

Impacto y Riesgos

La automatización y sofisticación de las amenazas basadas en email exige soluciones capaces de adaptarse dinámicamente y detectar ataques desconocidos (zero-day). La solución de Ocean pretende reducir la tasa de falsos positivos y negativos que aquejan a los filtros tradicionales, especialmente en ataques BEC y phishing dirigidos que suelen evadir las reglas de detección por su bajo volumen y alta personalización.

El impacto potencial es significativo: una mejora en la detección puede evitar la filtración de credenciales, la ejecución de malware y la transferencia fraudulenta de fondos, mitigando así riesgos legales (GDPR, NIS2), reputacionales y financieros. La plataforma está diseñada para intervenir antes de que el usuario interactúe con el mensaje, bloqueando o poniendo en cuarentena aquellos con mayor scoring de riesgo.

Medidas de Mitigación y Recomendaciones

Aunque la plataforma Ocean representa un avance técnico, los expertos recomiendan mantener una defensa en profundidad. Se aconseja:

– Complementar soluciones de IA con formación continua a empleados en detección de phishing y BEC.
– Activar autenticación multifactor (MFA) en todos los accesos al correo corporativo.
– Configurar políticas estrictas de DMARC, DKIM y SPF para validación de remitentes.
– Implementar procesos de doble verificación para transferencias financieras.
– Auditar y monitorizar el acceso a buzones críticos.
– Mantener un programa activo de threat intelligence para actualizar IoCs y reglas de correlación.

Opinión de Expertos

Según Miguel Ángel Gómez, analista SOC en una multinacional española: “La llegada de soluciones agentic basadas en IA es necesaria para combatir la personalización de los ataques. Sin embargo, su eficacia dependerá de la calidad de los modelos y de su capacidad de integración con los SIEM y SOAR corporativos”.

Por su parte, Laura García, CISO del sector financiero, señala: “El cumplimiento de normativas como NIS2 y GDPR exige no solo prevención sino trazabilidad. Es fundamental que estas plataformas generen logs detallados y permitan auditoría forense ante incidentes”.

Implicaciones para Empresas y Usuarios

Las organizaciones que adopten plataformas como Ocean pueden beneficiarse de una reducción del riesgo operativo y del cumplimiento más sencillo de normativas regulatorias. No obstante, la adopción de IA en la protección del correo electrónico requiere revisar las políticas de privacidad de datos, especialmente en sectores regulados. Además, la integración con los flujos de trabajo existentes y la interoperabilidad con herramientas SIEM, SOAR y EDR será clave para un despliegue efectivo.

Conclusiones

La irrupción de Ocean y su plataforma de agentes IA marca un avance significativo en la protección del correo electrónico corporativo frente a ataques avanzados. La inversión recibida y el enfoque técnico responden a una necesidad real del mercado, aunque su eficacia dependerá de la evolución continua de las amenazas y de una integración efectiva en los ecosistemas de ciberseguridad empresarial. Las organizaciones deberán combinar estas innovaciones con formación y políticas robustas para lograr una protección integral.

(Fuente: www.securityweek.com)