Cada arma comienza como una extensión de la mano que la sostiene. La lanza tiene un alcance de brazo más largo. No tiré el arco sino que dejé volar la punta. El rifle colocó la muerte del hombre a 400 metros fuera de la vista y el avión lo transportó a través del océano. Con cada vuelta, la distancia entre el guerrero y la herida crecía, pero una cosa permanecía quieta. Los humanos eligieron los objetivos y los humanos dieron los golpes. A lo largo de la historia de los conflictos, incluso en el ámbito cibernético, las armas han permanecido en nuestras manos.
La IA de ataque es el momento en que un arma aprende a apuntar por sí misma.
Desde hace tres años, la inteligencia artificial (IA) es una extensión del bolígrafo. La herramienta redactó un correo electrónico de phishing, sugirió un exploit, describió una característica maliciosa y luego, como todas las herramientas anteriores, entregó el trabajo a un humano para que lo realizara. En 2023, publiqué un documento técnico en el Instituto de Tecnología SANS que muestra cómo personas prácticamente sin habilidades pueden engañar a los chatbots para que produzcan malware, eludiendo los controles creados para detenerlos. Era la era de los asistentes. Peligroso, claro, pero aún encadenado al operador que lo sostiene. El agente AI rompe la cadena. Cumple su propósito y avanza por sí solo. Este cambio de una herramienta de reclutamiento a una herramienta para actuar corta en dos direcciones a la vez, remodelando las operaciones ofensivas más rápido que las defensas construidas para atrapar ataques. Otorga habilidades reales a los atacantes que no tenían ninguna y brinda una velocidad vertiginosa a los atacantes que ya eran mortales.
Si su trabajo es agresivo, esta es la base sobre la que se encuentra ahora. Las herramientas que los adversarios apuntan a sus objetivos, herramientas que usted debe poder apuntar a sí mismo, han avanzado mucho más allá de los chatbots que constituyen un phishing más sofisticado. Vale la pena estudiar con ojos claros y sin emociones lo que estos agentes pueden hacer hoy, cómo pueden moverse a un ritmo que parecía imposible en estos días y cómo, si los sigues con demasiada fe, silenciosamente te arrojarán por un precipicio.
la puerta cayó
Consideremos los actores de amenazas de nivel básico, que históricamente se han visto limitados por la falta de experiencia técnica. Estas personas ahora pueden aprovechar los agentes para desarrollar exploits y realizar campañas de forma autónoma. El dominio técnico ya no es un requisito previo. Todo lo que necesita es un propósito y acceso a herramientas capaces. A este fenómeno lo llamo «Script Kiddie como servicio». Esto significa la aparición de ataques sofisticados por parte de atacantes que antes no estaban capacitados.
También significa que las limitaciones de un atacante no calificado ahora están definidas por las capacidades del modelo de IA elegido, en lugar de por la propia experiencia del atacante. A medida que un gran número de atacantes no capacitados utilizan modelos similares de manera comparable, las técnicas de ataque comienzan a converger, lo que resulta en una monocultura de comportamiento. Si bien esto aumenta la cantidad de ataques viables, también crea patrones reconocibles, como phishing estandarizado y cadenas de exploits. Los atacantes expertos se adaptarán más allá de estos valores predeterminados, pero la gran mayoría no. Como resultado, los defensores que comprenden estos comportamientos predeterminados pueden predecir y mitigar mejor una amplia gama de amenazas.
Para los profesionales experimentados, la inteligencia artificial no necesariamente mejorará sus habilidades, pero aumentará significativamente su velocidad de operación. Al capacitar a los agentes en técnicas establecidas, las campañas pueden ejecutarse en paralelo, reduciendo tareas que antes tomaban semanas a solo horas. Los efectos duales de un aumento de los atacantes de nivel básico y una aceleración de los ataques de los expertos amplían el panorama general de amenazas. Este es ahora el estándar predominante para quienes llevan a cabo operaciones de ataque autorizadas. Los adversarios ya están aprovechando estas herramientas y los esfuerzos que las ignoran no reflejan las amenazas actuales.
La caza se realiza automáticamente.
Uno de los ejemplos más comunes que comparto con la gente es la ingeniería social autónoma. En este escenario, el atacante despliega agentes para recopilar información pública sobre el objetivo, como perfiles de LinkedIn, comunicados de prensa y notas de reuniones, para crear un perfil detallado. Luego, un segundo agente aprovecha esta inteligencia para generar y enviar mensajes personalizados, administrar respuestas y participar en conversaciones continuas para avanzar gradualmente hacia sus objetivos. No se requiere intervención humana en el proceso de comunicación.
El peligro aquí no es la velocidad. Es la muerte silenciosa de las señales en las que confiábamos. Durante años, nuestras defensas contra el phishing se basaron en métodos producidos en masa, como una sintaxis torpe, plantillas reutilizadas y el mismo correo electrónico enviado 10.000 veces. Eso es exactamente lo que este acuerdo borra. Cada mensaje se transmite de manera fluida, única y basada en la verdad verdadera sobre la marca. De hecho, las señales de infraestructura persisten. Cosas como la reputación del remitente y la autenticación todavía están sujetas a monitoreo, pero ahora, como defensores, tenemos que confiar en ellas más que nunca. ¿Cuánto tiempo tardarán esas defensas en desmoronarse bajo esa presión? La información a nivel de lenguaje y de plantilla muestra que muchas de las capacidades de detección en las que confiaban secretamente se han perdido.
Y no se trata sólo de ingeniería social. La misma automatización está superando a la explotación. A medida que el modelo de frontera se practica más al encadenar llamadas a herramientas y modificarlas para entornos del mundo real, el listón para crear exploits funcionales disminuye con cada lanzamiento. Así que ahora el gobierno federal se está involucrando, obligando a que modelos como el Fable 5 de Anthropic sean retirados del mercado debido a preocupaciones sobre su funcionalidad. Pero esto es sólo la punta del iceberg. Incluso un modelo moderadamente capaz, cuando se vincula a una base de datos de búsqueda de vulnerabilidades conocidas, realizará su propio reconocimiento, determinará a qué puede estar expuesto el objetivo, sacará exploits coincidentes del estante e informará como un perro de caza olfateando. Según estas métricas, creo que esto funcionará. ¿Lo intentarías? El malware está siguiendo el mismo camino, convirtiéndose en agentes por derecho propio, y ya estamos viendo agentes que reescriben el malware existente en variedades más silenciosas que se han propagado para eludir los controles que reconocían formas más antiguas. Esto comenzó hace unos años con la introducción del arma de acceso guiado a la red (GNAW), que presenté en la conferencia Hackers Teaching Hackers.
La confianza de un falso oráculo
Todo esto hace que sea muy atractivo confiar en el agente. Son rápidos, corren solos y hablan con autoridad inquebrantable de principio a fin. Esta última cualidad es una trampa, y llamarla mentira es adularla deliberadamente. Los agentes no buscan la verdad. Quiere una tarea completada y una respuesta que parezca correcta. No tenemos una visión privilegiada de si el anfitrión es realmente vulnerable. Alinee sus métricas con sus conclusiones y comuníqueselas con la misma voz firme, ya sea que esas conclusiones sean sólidas o vacías. Combinar eso con una búsqueda de vulnerabilidades empeora aún más las fallas, ya que la búsqueda revela lo que podría ser relevante en lugar de lo que realmente se aplica. No comprueba la versión, la configuración ni siquiera si el servicio es accesible.
donde se realiza la certificación
Esta cuestión de juicio es precisamente la razón por la que la posición que ocupa esta obra es tan importante. El plan SANS Secure AI Blueprint fue escrito por Rob T. Lee, director de inteligencia artificial de SANS, y divide los desafíos generales en tres áreas: proteger la inteligencia artificial, aprovechar la inteligencia artificial y administrar la inteligencia artificial. Los gobiernos crean políticas y supervisión para responsabilizar a estos sistemas. La seguridad fortalece los sistemas que su organización realmente ejecuta. La IA se puede utilizar tanto para atacar como para defender, siendo las operaciones ofensivas su parte más importante.
Cuando los líderes escuchan las palabras “seguridad de la IA”, imaginan carpetas de políticas y comités de gobernanza en salas silenciosas. Pero Utilize es el único de los tres que aporta evidencia. Los ataques reales se realizan contra sistemas reales para determinar si las políticas y el refuerzo se mantienen cuando son atacados. Las organizaciones pueden crear todas las pautas y poner todas las defensas en su lugar, pero hasta que alguien apunte esta herramienta a su propio muro, todavía no sabrán qué pautas serán efectivas. La defensa es una teoría hasta el momento del contacto, y es el operador quien la lleva hasta ese punto. Por este motivo, los operadores asumen cada vez más la responsabilidad de todo el programa.
¿Para qué sirven los guerreros?
Así que volvamos al punto de partida. A lo largo de la historia de la humanidad, las manos han permanecido en las armas porque no eran dignas de confianza al elegirlas, y eso no ha cambiado. La máquina puede apuntar automáticamente, pero no puede indicarle si debe disparar o no. Da el nombre de un objetivo que no estaba allí y pide permiso para disparar con la misma voz tranquila que utilizas cuando corresponde. Todas las partes mecánicas de esta nave espacial están entregadas a las máquinas. Las partes que no lo son, el juicio que distingue la verdad de las mentiras seguras de uno mismo, y las partes que te toman de la mano hasta que estás seguro se están convirtiendo en el todo de la obra. Los guerreros nunca han estado tan alejados de sus heridas, y las decisiones que los unen nunca han tenido tanto peso. Ya no necesitamos un guerrero para blandir un arma, pero nunca hemos necesitado que alguien decida si blandir o no un arma tanto como lo necesitamos ahora.
Aprenda IA ofensiva en SANS San Antonio 2026
Exploraremos estas preguntas en detalle en nuestro curso SEC535: IA ofensiva: herramientas y técnicas de ataque en SANS San Antonio 2026 en agosto. A través de un laboratorio práctico de tres días, abordará las técnicas descritas aquí desde la perspectiva de un operador. Reconocimiento e ingeniería social asistidos por IA, ataques de clonación de voz y deepfakes, descubrimiento de vulnerabilidades asistido por IA y el uso de la IA en el desarrollo y el desarrollo. Evitación de malware. Manejará la herramienta en sus propias manos y comprenderá verdaderamente su alcance, sus límites y exactamente en qué no confiar. Hasta ahí llegan estos ataques desde saber que existen hasta poder ejecutarlos.
La máquina apuntará. Sea el juez detrás del tiro.
Regístrate para SANS San Antonio 2026 aquí.
Nota: Este artículo fue escrito y contribuido profesionalmente por el autor del curso SANS SEC535, Foster Nethercott.
Source link
