La carrera armamentística de la inteligencia artificial está definiendo el nuevo paradigma de la ciberseguridad. Así lo confirman los especialistas reunidos en Cyber Icon, la jornada de referencia sobre ciberseguridad y transformación tecnológica organizada por Deloitte, donde se analizan los escenarios que compañías, instituciones y personas deben contemplar en materia de protección digital.
Expertos de Crowdstrike, Zynap y Kymatio analizan en Cyber Icon de Deloitte la unión de humanos y máquinas en pro de la ciberseguridad empresarial.
La carrera armamentística de la IA: amplificar humanos, no reemplazarlos
"Estamos en un punto de inflexión", afirma Miguel Ángel de Castro, SE de CrowdStrike. "El cambio importante se debe a que hemos modificado la forma en la que nos comunicamos con las máquinas y ellas con nosotros". Esta transformación llega en un momento crítico, donde incluso actores como Corea del Norte han utilizado la inteligencia artificial para infiltrarse en organizaciones.
La propuesta no es elegir entre humanos o máquinas, sino "proporcionar inteligencia artificial a los SOC para aumentar a los humanos. El futuro del SOC son humanos amplificados por inteligencia artificial", enfatiza De Castro.
Edward James Moore, socio de Ciberseguridad de Deloitte, coincide: "La mayoría de los grandes SOC necesitan algún modelo operativo apoyado por agentes de IA. Estamos viendo cómo las estructuras tradicionales de SOC humanas evolucionan hacia un modelo más colaborativo y basado en habilidades, donde los analistas supervisan y validan el trabajo de los agentes de IA".
La batalla contra el tiempo en la detección y respuesta
El contexto actual presenta un desafío crítico: el tiempo de actuación. "Actualmente andamos en 60 y pico minutos el breakout time. Es decir, un atacante llega a una compañía, accede a un entorno y para saltar al siguiente necesita 62 minutos", explica De Castro. "Si un analista va a tardar una o dos horas o tres horas en analizarlo, las matemáticas no fallan".
Antonio Martínez Cubero, Senior Delivery Manager en Deloitte, complementa: "Si el usuario medio utiliza IA para organizar un viaje, ¿qué no hará un atacante? No podemos perder de vista la potencia de estas soluciones". Sin embargo, aclara que "esto no significa que mañana reemplacemos a los humanos por una máquina. Eso no es la realidad de 2026".
La clave está en proporcionar a los analistas todas las herramientas posibles para que su juicio sea lo más certero y rápido posible. "De lo contrario, estaríamos en los modelos clásicos estándar, donde el analista tiene un montón de alertas, tiene que hacer búsquedas manuales, y eso es tiempo, tiempo y tiempo, dando opción a que el atacante vaya un paso por delante", señala Martínez Cubero.
El desafío de la fatiga de alertas y la fragmentación de datos
Uno de los principales problemas que enfrentan los equipos de seguridad es la sobrecarga de alertas sin contexto suficiente. "Tengo alertas que vienen del endpoint, alertas que vienen de cloud, alertas que vienen de identidad, alertas que vienen de red, pero no están consolidadas en un único punto", describe De Castro.
La solución, según el experto de CrowdStrike, reside en "menos herramientas, pero disponer de una que me permita consolidar toda esa información, y que la inteligencia artificial me permita leer todas esas señales para resumir y hacer un veredicto adecuado, siempre con un analista que valide determinadas cuestiones".
Moore identifica la raíz del problema: "Es el resultado de factores como las personas, los procesos y la tecnología. Por ejemplo, casos de uso mal ajustados, modelos de amenazas genéricos que no se ajustan al riesgo real, clientes con muchísimas herramientas de seguridad generando flujos de alerta independientes, o personal insuficiente en sus SOCs".
Autonomía supervisada: el equilibrio entre IA y humanos
"Nos gusta hablar de autonomía supervisada y trabajar en niveles", explica De Castro. "Hay cosas que la IA puede hacer por sí sola, porque son alertas de baja criticidad. Luego hay otra serie de detecciones donde hablamos de autonomía, pero con supervisión humana. Y finalmente hay decisiones donde no puede participar una máquina, porque hablamos de sistemas complejos, caros y críticos".
Moore coincide en que la idea de un SOC autónomo es atractiva pero poco realista actualmente: "La IA sigue teniendo dificultades con la ambigüedad y no es muy buena gestionando excepciones. Produce falsos positivos que parecen peligrosamente creíbles y aún tiene dificultades para comprender por qué sucede algo".
"Hoy en día, enero de 2026, el SOC 100% autónomo es una utopía", concluye Martínez Cubero. "Dentro de unos años, no lo sé. Lo que sí es cierto es que el SOC agéntico cada vez tiene más capacidades".
Automatización inteligente y contextualización: la estrategia preventiva
Vicente Martín García, Field CTO de Zynap, propone "una estrategia de seguridad preventiva basada en automatización e IA, apoyada siempre en el conocimiento del contexto. Anticiparse a una amenaza es mucho mejor que estar constantemente reaccionando".
Samuel de Tomás, socio de Ciberseguridad de Deloitte, explica cómo la ciberinteligencia se vuelve fundamental: "Gracias a las tecnologías que tenemos hoy en día nos está permitiendo hacer un mejor uso y realmente ser esa parte preventiva que siempre hemos querido. Es la conexión entre la inteligencia y los mecanismos de defensa".
Martín García advierte sobre la implementación de la IA: "No podemos utilizar cajas negras que no veamos exactamente qué están haciendo. La idea es generar una automatización clara, que la gente tenga claro qué está haciendo, y utilizar agentes de IA para temas muy específicos".
Un ejemplo práctico lo proporciona De Tomás: "Cuando llega una alerta de una conexión bloqueada, si tienes contexto puedes pintar en qué punto de la kill chain es esa conexión. No es lo mismo una conexión donde se ha bloqueado una descarga inicial, que una conexión a un panel de control o relacionada con exfiltración. Esto nos permite, en este mar de alertas, priorizar gracias al contexto".
El factor humano: la primera línea de defensa y su mayor vulnerabilidad
Fernando Mateus, CEO de Kymatio, advierte sobre otra dimensión crítica: "Cuando miras las estadísticas, las personas somos el principal punto de entrada de todos los problemas. En el informe más severo, más del 60% de las brechas de seguridad están relacionadas con un error humano".
Rubén Frieiro, socio de Ciberseguridad de Deloitte, añade que "la IA ha agravado que toda la concienciación que llevábamos haciendo, entrenando a las personas para identificar errores, temas con traducciones erróneas o culturales, todo eso ha saltado por los aires".
Mateus señala que la estrategia de su empresa es medir cómo se comportan los empleados frente a los diferentes ataques: "Pican mucho cuando se les llama por teléfono y revelan contraseñas, leen un QR que hay por la oficina, les llega un smishing y hacen clic". Con esta información, pueden entrenar a los empleados exponiéndolos a ataques controlados.
"Ahora lo que están haciendo los ciberdelincuentes es llamar por teléfono con IA, que escala mucho más. Lo hemos incorporado a nuestro portfolio, estamos llamando a los empleados con diferentes idiomas y acentos, para intentar obtener contraseñas o correos", explica Mateus. "Así vamos a tener una clarísima visibilidad de cómo se comporta nuestra gente".
Frieiro destaca la importancia de esta estrategia: "Te va a permitir ser eficaz en aplicar otras medidas, como la segregación de funciones. Hay un concepto que me gusta mucho: la superficie de ataque viva, que está realmente viva e interactúas con ella".