BLOG | OFICINA DEL CTO

IA generativa para el modelado de amenazas y la respuesta a incidentes

Miniatura de Caitlin Arnspiger
Caitlin Arnspiger
Publicado el 7 de abril de 2025

Hace unos años, la mayoría de nosotros asociaba la “IA generativa” con actividades artísticas: pintar retratos surrealistas, componer música o incluso escribir cuentos. Hoy en día vemos que estas mismas técnicas generativas se convierten en herramientas poderosas para la ciberseguridad. Es un poco irónico que la tecnología que alguna vez se utilizó para crear imágenes extravagantes de gatos ahora nos ayude a detectar vectores de amenaza compleja y responder a incidentes del mundo real.

Pero ¿es esta convergencia de IA generativa y ciberseguridad mera exageración? ¿O estamos en el umbral de una nueva era en modelado de amenazas y respuesta a incidentes, una que podría reducir drásticamente el tiempo promedio para detectar y mitigar ataques? Voy a argumentar que la IA generativa está preparada para convertirse en un elemento revolucionario tanto a la hora de identificar nuevas amenazas como de orquestar respuestas eficientes basadas en datos. Sin embargo, como cualquier tecnología emergente, no está exenta de inconvenientes. Vamos a profundizar en el tema.

Tesis: La capacidad única de la IA generativa para sintetizar patrones, predecir nuevos vectores de ataque y automatizar estrategias de respuesta mejorará significativamente nuestras capacidades de modelado de amenazas y respuesta a incidentes, pero solo si abordamos directamente los desafíos relacionados con la confiabilidad, la ética y la gobernanza de datos.

Las amenazas cibernéticas evolucionan a una velocidad vertiginosa y los sistemas tradicionales basados en reglas o firmas a menudo se quedan atrás. Los modelos generativos (como los modelos de lenguaje grandes avanzados) pueden detectar anomalías y formular hipótesis sobre posibles patrones de ataque futuros que van mucho más allá del alcance de las heurísticas convencionales. Sin embargo, también introducen nuevas vulnerabilidades, como la posibilidad de “alucinar” falsos positivos o generar inadvertidamente código malicioso. Debemos abordar estas capacidades con dosis iguales de entusiasmo y cautela.

Modelado de amenazas más allá de las firmas conocidas

¿Por qué usar IA generativa para el modelado de amenazas?

Tradicionalmente, el modelado de amenazas ha dependido de firmas de ataques conocidas, patrones históricos y experiencia humana. Pero el aumento del malware polimórfico, las vulnerabilidades de la cadena de suministro y los exploits de día cero hacen que los métodos puramente reactivos sean inadecuados.

Presentamos la IA generativa. Si bien «generativa» suele implicar grandes modelos de lenguaje (LLM) en el lenguaje actual, también puede incluir otros algoritmos capaces de generar nuevos patrones de datos. Estos modelos detectan correlaciones sutiles en conjuntos masivos de datos de telemetría (cosas como secuencias de comandos sospechosas, intentos de movimiento lateral o patrones de exfiltración). Es importante destacar que no se limitan a etiquetas explícitas de lo que es “malicioso”. En cambio, aprenden la distribución subyacente de los comportamientos “normales” y pueden señalar anomalías que no han sido enumeradas explícitamente como amenazas.

Sin embargo, detectar anomalías es sólo el primer paso. Si nadie ha etiquetado ciertos comportamientos como maliciosos o benignos, es posible que sea necesario encadenar un LLM (o cualquier enfoque generativo) con clasificadores adicionales o controles heurísticos para confirmar si algo es verdaderamente nefasto o simplemente inusual. Por ejemplo, se podría plantear la hipótesis de que un nuevo patrón de movimiento lateral es sospechoso, pero algunas organizaciones utilizan legítimamente un host de salto al que rara vez se accede, lo que hace que la anomalía sea inofensiva en contexto. En última instancia, la IA generativa se destaca por descubrir posibilidades que van más allá de las firmas convencionales, pero debe combinarse con una lógica de decisión robusta (ya sea automatizada o dirigida por humanos) para determinar qué anomalías representan amenazas reales.

Un ensayo en el mundo real: Entorno de pruebas de F5

En F5, realizamos una simulación controlada a fines de 2024 para ver cómo podría funcionar un modelo de IA generativa en un entorno de amenazas en evolución. Alimentamos el entorno de prueba interno de F5 con datos de registros anónimos de un entorno de múltiples inquilinos, inyectando deliberadamente patrones de ataque nuevos y nunca antes vistos. Inicialmente, el modelo generó algunas “falsas alarmas” (estos modelos pueden ser demasiado ansiosos), pero con entrenamiento iterativo, comenzó a detectar anomalías con mayor precisión que nuestro sistema base basado en firmas. ¿La parte realmente impresionante? También señaló posibles vulnerabilidades que ni siquiera nuestros analistas del equipo azul habían considerado, como ciertos intentos de movimientos laterales disfrazados bajo protocolos normales de intercambio de archivos.

Acortar el plazo medio de remediación

Manuales de respuesta adaptativa

Los modelos generativos no sólo sirven para la detección: pueden generar rápidamente manuales de estrategias sugeridos cuando ocurren incidentes. Piense en ello como un colaborador de IA que monitorea registros en tiempo real, fusiona inteligencia de múltiples fuentes de datos y propone un plan de respuesta coordinado.

Por ejemplo, si el sistema detecta una anomalía de alto riesgo, puede recomendar políticas de firewall dinámicas o poner en cuarentena máquinas virtuales (VM) sospechosas. Como aprende de incidentes pasados, estas sugerencias se perfeccionan con el tiempo. Este es un gran paso más allá de los manuales de ejecución estáticos que rara vez se actualizan después de la configuración inicial.

Orquestando herramientas a escala

Hemos visto una ola reciente de integraciones de IA generativa en las principales conferencias de seguridad (como Black Hat 2024 y la recién lanzada AI-SecOps Summit este año). Se centran en respuestas “autónomas” o “agencial”, donde una capa de IA orquesta múltiples herramientas de seguridad (SIEM, protección de puntos finales, WAF) en tiempo real. Si la multicloud es la norma hoy en día, un modelo generativo único que coordine las respuestas a amenazas en AWS, Azure y entornos locales comienza a parecer muy atractivo.

Pero aquí está el truco: Si simplemente automatizamos procesos obsoletos o ineficientes, corremos el riesgo de “fallar más rápido” en lugar de mejorar nuestra postura de seguridad general. Al adoptar la IA sin repensar los flujos de trabajo fundamentales, podríamos acelerar la ejecución de procedimientos defectuosos. Es por eso que la IA debería ser vista como un catalizador para reimaginar el modo en que abordamos la seguridad y la entrega , en lugar de simplemente acelerar lo que ya estamos haciendo.

También vale la pena señalar que el hecho de que un modelo generativo pueda automatizar una respuesta no significa que deba hacerlo. Necesitamos barandillas y vías de escalada para garantizar que los humanos permanezcan informados sobre decisiones críticas (como aislar segmentos enteros de producción). En resumen, la IA generativa presenta una oportunidad emocionante para desafiar viejas suposiciones y diseñar marcos de respuesta a incidentes más eficientes y adaptativos, si estamos dispuestos a actualizar los cimientos mismos de nuestros procesos, no solo la velocidad.

Actualidad en 2025

  • Las guerras de LLM continúan: Los principales proveedores de la nube compiten por lanzar el modelo de lenguaje grande (LLM) más “seguro”, y cada uno de ellos afirma tener un ajuste avanzado para reducir las alucinaciones y mejorar el cumplimiento.
  • Proyectos de código abierto: Están surgiendo iniciativas impulsadas por la comunidad (como AI-SIGS o ThreatGen ) que brindan a los investigadores de seguridad marcos de código abierto para crear modelos de amenazas generativos personalizados.
  • Foco regulatorio: Las nuevas propuestas de Reglamento de IA de la UE sitúan las aplicações de ciberseguridad generativa dentro de la tecnología de “alto riesgo”, exigiendo transparencia y procedencia explícita de los datos.

Es un momento emocionante: vemos una mayor adopción por parte de grandes empresas y actores de nivel medio ansiosos por superar las soluciones heredadas. Pero la prisa por implementar una IA generativa puede generar problemas si las organizaciones omiten pasos fundamentales como una gobernanza de datos sólida, la explicabilidad de los modelos y los marcos de responsabilidad.

Alucinaciones, privacidad y dilemas éticos

Si bien los modelos generativos pueden deslumbrar con inferencias creativas, también pueden “alucinar” amenazas que parecen plausibles pero que no existen. Una ola de falsos positivos podría sepultar a su equipo de operaciones de seguridad en una avalancha de alertas sin sentido. Con el tiempo, esto puede erosionar la confianza en los sistemas impulsados por IA.

Para entrenar modelos robustos se necesitan datos, muchos datos. Dependiendo de la región, las leyes de privacidad pueden restringir qué registros o telemetría se pueden utilizar. La depuración o anonimización de datos confidenciales de los usuarios es esencial para evitar pesadillas de cumplimiento y defender el uso ético de los datos.

No podemos ignorar el lado oscuro: Los actores de amenazas pueden (y han) utilizado IA generativa para redactar correos electrónicos de phishing convincentes, desarrollar nuevas formas de malware o descubrir ataques de día cero más rápidamente. A medida que construimos estas capacidades defensivas, debemos asumir que los atacantes están haciendo lo mismo en la ofensiva.

Abrazando el futuro

De cara al futuro, la IA generativa podría evolucionar hasta convertirse en una capa estándar en cada conjunto de herramientas SecOps , integrada tan estrechamente como lo están hoy los escáneres de vulnerabilidad o los sistemas de detección de intrusiones. Con mejoras en la explicabilidad (pensemos en mayor transparencia sobre cómo la IA llega a sus conclusiones), los equipos de seguridad se sentirán más seguros al dejar que la IA gestione mayores partes del ciclo de vida del modelado de amenazas.

También podríamos ver coaliciones de inteligencia sobre amenazas globales , donde modelos generativos entrenados en diferentes organizaciones comparten información parcial mientras mantienen la privacidad. Esto podría conducir a respuestas más rápidas y coordinadas a los ataques de día cero en todas las industrias.

Aun así, vale la pena reiterar que estamos en las primeras etapas. Las organizaciones deben invertir en las mejores prácticas de datos, canales de capacitación sólidos y una gobernanza bien definida antes de confiar en la IA generativa en escenarios de misión crítica.

¿Listo para repensar la seguridad?

La IA generativa tiene el potencial de revolucionar los enfoques tradicionales del modelado de amenazas y la respuesta a incidentes. Al analizar patrones de forma creativa y automatizar estrategias de respuesta, puede ofrecer una velocidad y precisión incomparables, suponiendo que abordemos desafíos inherentes como las alucinaciones, el cumplimiento y las garantías éticas.