114 red seguridad cuarto trimestre 2025 opinión Cuando se implementa una nueva tecnología, los primeros pasos son, con frecuencia, erráticos. Y no hablo de la irrupción de las inteligencias artificiales (IA) generativas, con ChatGPT a la cabeza. En ciberseguridad llevamos muchos años hablando de IA, especialmente de modelos de aprendizaje automático o Machine Learning (ML) que estudian el comportamiento de un sistema para generar un patrón o baseline y detectar anomalías. Pero no podemos negar que, en la actualidad, cualquier tecnología utilizada en ciberseguridad debe contar con algún tipo de IA si no quiere ser olvidada para siempre. Que no se me malinterprete. Utilizar la IA en ciberseguridad es una necesidad, pero si hace años ya era peligrosa la falacia de autoridad de esta tecnología, actualmente hay una corriente hacia la conversión del SOC (centro de operaciones de seguridad) en un entorno cerrado IA-céntrico donde muchas decisiones las toma la IA, lo cual no es malo siempre que podamos saber por qué se ha tomado esa decisión. Retos de la IA La IA, especialmente muchos modelos de ML no supervisados, tiene múltiples retos. Estos modelos prometen detectar cualquier anomalía, considerando una todo aquello que se sale de ese baseline generado. Algunos de esos desafíos son la alta tasa de falsos positivos. Cada vez que un usuario haga alguna acción que se salga de los patrones habituales, se generará una alerta más en nuestros SOC, que ya de por sí están fatigados de alertas. ¿Y qué pasa cuando hay cualquier cambio en los sistemas, como migraciones, nuevos despliegues, picos estacionales, etcétera? De nuevo emergen los falsos positivos, e incluso se requerirá una nueva fase de aprendizaje, que llevará de nuevo semanas o meses. Además, los atacantes también pueden evadir estos sistemas ralentizando su actividad para evitar la fluctuación estadística. Pero hay un reto aún mayor por el cual los SOC maduros están empezando a rechazar las soluciones cerradas (black box) IA-céntricas: su baja explicabilidad. Dicho de otra manera, los sistemas IA-céntricos lanzan alertas cuando detectan una anomalía, pero no saben explicar por qué. En consecuencia, el personal del SOC necesita mucho tiempo para investigar las posibles causas en cada alerta, malgastando su tiempo. Estrategia de seguridad En otro orden de cosas, hay varias claves que se deben tener en cuenta a la hora de diseñar la estrategia de seguridad de una organización. La primera es tan obvia como importante: no hay dos organizaciones iguales. Por lo tanto, hay que diseñar una estrategia personalizada para cada organización y, en general, huir de las black boxes, que pese a que prometen adaptarse a cada entorno, no son amigables ni para el analista del SOC ni para las herramientas de automatización que necesitan contexto para poder responder a cada alerta de forma muy rápida. Por ello, en DotForce solo buscamos tecnologías que utilicen la IA de forma Las limitaciones de la IA: huyendo del SOC IA-céntrico José Luis Pozo Operations Manager de DotForce La IA no es más que una herramienta, muy potente, pero que debe ser aplicada de forma apropiada en cada entorno
RkJQdWJsaXNoZXIy MTI4MzQz