.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
A pesar de todo el revuelo que rodea a la «IA agencial» en ciberseguridad, los centros de operaciones de seguridad siguen lidiando con las mismas preguntas fundamentales: ¿Qué mejora realmente la IA hoy en día? ¿En qué se queda corta? ¿Cómo pueden las organizaciones distinguir la diferencia?
En el reciente webinar de Sophos, «The Agentic SOC: Separating Signal from Noise», Kyle Falkenhagen, vicepresidente sénior de gestión de productos de Sophos, ofreció una de las explicaciones más claras y sinceras de ambos lados de la historia. Lo más importante es que se centró en lo que los defensores están viviendo realmente sobre el terreno, y no en las promesas del ciclo de hype que han inundado el mercado.
En un panorama en el que casi todos los proveedores de ciberseguridad afirman ahora ofrecer algún tipo de IA y muchos más han «agenteado» las herramientas tradicionales, esa distinción se ha vuelto más importante que nunca.
El auge del mercado frente a la realidad operativa
A pesar de la explosión de herramientas etiquetadas como IA, son relativamente pocas las organizaciones que utilizan la IA en producción hoy en día. Como señaló Falkenhagen, Gartner estima que menos de una cuarta parte de las empresas confía actualmente en herramientas de ciberseguridad mejoradas con IA, a pesar de que el bombo publicitario en torno a ellas es más fuerte que nunca.
Esa discrepancia crea un dilema. Muchos SOC sienten la presión de «hacer algo con la IA», pero la mayoría sigue evaluando dónde encaja o si realmente encaja. Y detrás del bombo publicitario se esconde una verdad práctica: los equipos de SOC ya están bajo presión.
Los falsos positivos siguen siendo el principal problema de detección para la mayoría de los equipos, y el volumen de alertas sigue superando lo que los analistas humanos pueden gestionar de forma realista.
Estos retos operativos son los que hacen que la IA sea útil hoy en día. Cuando los equipos la implementan con cuidado, la IA les ayuda a centrarse en las amenazas reales en lugar del torbellino interminable de eventos benignos.
Dónde la IA está marcando realmente la diferencia
La primera área en la que la IA ha madurado es la detección: no las llamativas capacidades generativas que acaparan los titulares, sino la inversión de años en modelos de comportamiento, aprendizaje automático y PLN que funcionan silenciosamente en segundo plano. Como dijo Falkenhagen: «La IA en la detección no es nueva ni es una moda pasajera. Lleva años mejorando discretamente los productos de seguridad».
Esa base ahora sustenta nuevas capas de automatización en la clasificación de alertas. Aquí es donde la IA puede ayudar, evaluando enormes volúmenes de telemetría en tiempo real, puntuando las alertas en el contexto del entorno de una organización y enviando a los analistas solo las que son relevantes. Solo Sophos genera más de 34 millones de detecciones al día.
«La encuesta SANS 2025 sobre detección y respuesta reveló que el 73 % de los equipos de seguridad señalaron los falsos positivos como su principal reto de detección, una cifra superior a la de años anteriores y que sigue aumentando», dijo Falkenhagen. «No es una molestia menor. Es el problema operativo por excelencia... y el panorama de amenazas está agravando el problema».
En lugar de tener que lidiar con un torrente de alertas sin filtrar, los equipos reciben una cola refinada y contextualizada, lo que permite que el trabajo de seguridad real comience antes y avance más rápido.
Ese mismo tema se traslada a las investigaciones. La IA puede correlacionar datos de registros, endpoints, fuentes de autenticación y actividad de red mucho más rápido de lo que pueden hacerlo los humanos. Durante el webinar, Falkenhagen describió cómo las investigaciones asistidas por IA ahora construyen cronologías automáticamente, sacan a la luz indicadores relevantes y rastrean cadenas de ataques basadas en la identidad, a menudo en cuestión de minutos. Para los equipos acostumbrados a reunir pruebas manualmente a través de múltiples herramientas, este cambio es profundo.
No elimina la necesidad del juicio humano, pero acelera todo lo que ocurre antes de que se aplique ese juicio. Dado que el 88 % del ransomware se ejecuta fuera del horario laboral, la IA autónoma proporciona una vigilancia las 24 horas del día que los humanos no pueden mantener. Y como el 59 % de las organizaciones se enfrentan a una grave escasez de personal cualificado, la IA amplía las capacidades de tu equipo, de modo que detecta y contiene las amenazas críticas sin importar cuándo se produzcan.
Las consultas en lenguaje natural también están reduciendo las barreras para los analistas junior que no tienen una gran experiencia en SIEM. Pedir «todas las cuentas con más de 50 intentos fallidos de inicio de sesión en la última hora» es ahora una interacción en inglés sencillo en lugar de una consulta de varias líneas.
«La IA se convierte en un igualador. Ofrece a los analistas con menos experiencia el tipo de enriquecimiento contextual y la investigación guiada que antes requerían años de experiencia», dijo Falkenhagen.
Lo que la IA aún no hace bien
A pesar de todos estos avances, la IA sigue teniendo límites, y confiar demasiado en estas herramientas puede conllevar sus propios riesgos.
La primera limitación es el contexto empresarial. La IA puede sugerir medidas de contención, pero no puede comprender las consecuencias operativas.
«La IA no conoce tu negocio», dijo Falkenhagen.
Por ejemplo, apagar un servidor comprometido puede ser técnicamente correcto, pero devastador para los ingresos si el momento no es el adecuado.
La IA también tiene dificultades con lo verdaderamente novedoso. Las amenazas que se salen de los patrones existentes (cadenas de día cero, nuevas técnicas de ingeniería social, riesgo interno, etc) a menudo requieren razonamiento humano para descifrarlas.
Y luego está el problema de la erosión de habilidades. Si los analistas pasan años simplemente aprobando decisiones de la IA, en lugar de llevar a cabo investigaciones por sí mismos, su experiencia puede atrofiarse. Gartner advierte que hasta el 75 % de los equipos de SOC podrían enfrentarse a esto para 2030.
«Tendremos una generación de profesionales de la seguridad que pueden supervisar la IA, pero que no pueden funcionar sin ella», dijo Falkenhagen.
La comunicación es la última barrera. La IA puede recomendar acciones, pero aún no puede gestionar las conversaciones con las partes interesadas, las notificaciones de brechas o las reuniones informativas con la dirección. Esas tareas requieren matices, empatía y una comprensión profunda del impacto en el negocio, cualidades que los líderes de los SOC no pueden permitirse ceder a la IA.
Separar lo real de lo renombrado
¿En qué situación deja todo esto a las organizaciones que intentan evaluar herramientas impulsadas por IA?
La primera pregunta que debería hacerse cualquier usuario potencial es: ¿cómo funciona realmente la IA? No en un sentido de marketing, sino en uno arquitectónico. Si un proveedor no puede explicar sus modelos, fuentes de datos o lógica de decisión, eso es una señal de alerta.
Además, piensa en qué principios la rigen. La IA debe estar centrada en el ser humano, ser transparente y responsable, o corre el riesgo de introducir nuevos modos de fallo en lugar de prevenirlos. Los responsables de los SOC deben buscar indicios de supervisión humana y asegurarse de que los analistas puedan anular el sistema fácilmente cuando sea necesario.
La tercera pregunta es la más sencilla y, a menudo, la más reveladora: ¿qué pasa cuando la IA se equivoca?
«Si un proveedor no puede explicar cómo funciona su IA, qué principios la rigen y qué pasa cuando se equivoca, pasa de largo. Estas tres preguntas aclaran las cosas [más rápido] que cualquier informe de analistas», dijo Falkenhagen.
