La inteligencia artificial (IA) se está introduciendo rápidamente en las operaciones de seguridad, pero muchos profesionales aún luchan por convertir los primeros experimentos en un valor operativo consistente. Esto se debe a que los SOC están implementando la IA sin un enfoque deliberado de integración operativa. Algunos equipos tratan esto como un atajo para procesos rotos. Algunas personas intentan aplicar el aprendizaje automático a problemas que no están bien definidos.
Los resultados de la encuesta SANS SOC de 2025 refuerzan esa desconexión. Si bien una parte importante de las organizaciones ya está experimentando con IA, el 40 % de los SOC utilizan herramientas de IA o ML sin definirlas como parte de sus operaciones, y el 42 % depende de herramientas de IA/ML “listas para usar” sin ninguna personalización. Los resultados son un patrón común. La IA existe dentro del SOC, pero no está operativa. Los analistas lo están utilizando de manera informal, a menudo con confianza mixta, pero el liderazgo aún tiene que establecer un modelo consistente sobre dónde pertenece la IA, cómo validar su producción y qué flujos de trabajo son lo suficientemente maduros para beneficiarse de la expansión.
La IA puede mejorar de manera realista las capacidades de SOC, la madurez, la repetibilidad de los procesos e incluso la competencia y satisfacción del personal. Esto solo funciona si el equipo reduce el alcance del problema, valida la lógica y trata el resultado con el mismo rigor que uno esperaría del trabajo de ingeniería. La oportunidad no reside en crear nuevas categorías de trabajo, sino en mejorar las categorías existentes y permitir pruebas, desarrollo y experimentación para ampliar la funcionalidad existente. Cuando la IA se aplica a tareas específicas y bien definidas y se combina con un proceso de revisión claro, su impacto se vuelve más predecible y útil.
A continuación se presentan cinco áreas en las que la IA puede brindar un apoyo confiable a los SOC.
1. Ingeniería de detección
La ingeniería de detección consiste esencialmente en crear alertas de alta calidad que se pueden colocar en su SIEM, canalización MDR u otro sistema operativo. Para que la lógica sea ejecutable, debe desarrollarse, probarse, refinarse y operarse con un alto nivel de confianza, dejando poco lugar a la ambigüedad. Aquí es donde la IA tiende a aplicarse de manera ineficaz.
No asuma que la IA corregirá las fallas de DevSecOps o resolverá los problemas en su canal de alertas a menos que ese sea el resultado deseado. La IA es útil cuando se aplica a problemas bien definidos que pueden respaldar la validación y el ajuste operativo continuo. Un claro ejemplo del curso SANS SEC595: Ciencia de datos aplicada e IA/ML para ciberseguridad es un ejercicio de aprendizaje automático que examina los primeros 8 bytes de un flujo de paquetes para determinar si el tráfico se puede reensamblar como DNS. Si la reconstrucción no coincide con lo visto anteriormente para DNS, el sistema genera una alerta de alta fidelidad. Su valor proviene de la precisión de la tarea y la calidad del proceso de formación, más que de una automatización generalizada. La implementación esperada es inspeccionar todos los flujos a través de UDP/53 (y TCP/53) y evaluar la pérdida de reconstrucción del codificador automático sintonizado con aprendizaje automático. Las corrientes que violan el umbral se marcan como anomalías.
Este ejemplo detallado muestra la detección de ingeniería de IA que se puede implementar. Cree un problema de clasificación claro y comprobable examinando los primeros 8 bytes del flujo de paquetes y viendo si se vuelve a ensamblar como DNS según los patrones aprendidos del tráfico histórico. Si estos bytes no coinciden con lo normal en DNS, el sistema emite una advertencia. La IA puede ayudar aquí porque el alcance es limitado y los criterios de evaluación objetivos. Esto puede ser más efectivo que la detección heurística basada en reglas porque aprende a codificar/decodificar lo que ve. Algo desconocido (en este caso DNS) no se puede codificar/decodificar correctamente. Lo que la IA no puede hacer es resolver problemas de alerta vagamente definidos o completar áreas de ingeniería faltantes.
2. Caza de amenazas
La búsqueda de amenazas a menudo se presenta como un lugar donde la IA «descubre» amenazas automáticamente, pero eso no cumple con el propósito del flujo de trabajo. La caza no es ingeniería de detección de producción. Esta debería ser la función de investigación y desarrollo del SOC, donde los analistas exploran ideas, prueban hipótesis y evalúan señales que no son lo suficientemente fuertes como para operacionalizar la detección. Esto es necesario porque el panorama de vulnerabilidades y amenazas está cambiando rápidamente y las operaciones de seguridad deben adaptarse constantemente a la volatilidad e incertidumbre del mundo del aseguramiento de la información.
Este trabajo es exploratorio, por lo que la IA encaja bien aquí. Los analistas pueden utilizarlo para probar enfoques, comparar patrones y ver si vale la pena investigar una hipótesis. Acelera las etapas iniciales del análisis, pero no determina qué es importante. El modelo es una herramienta útil, no la autoridad final.
La caza también tiene un impacto directo en la ingeniería de detección. La IA puede ayudar a generar lógica candidata o resaltar patrones anómalos, pero aún depende del analista interpretar el entorno y decidir qué significan las señales. Si no puedes evaluar el resultado de la IA o explicar por qué algo es importante, es posible que la exploración no arroje nada útil. La ventaja de la IA aquí no es la certeza o el juicio, sino la velocidad y la amplitud de la exploración. Alertándole para que utilice seguridad operativa (OpSec) y protección de la información. Solo proporcione información relacionada con la caza a sistemas autorizados, IA u otros.
3. Desarrollo y análisis de software.
El SOC moderno se ejecuta con código. Los analistas escriben Python para automatizar investigaciones, crear herramientas PowerShell para interrogar al host y crear consultas SIEM adaptadas a sus entornos. Esta necesidad constante de programación hace que la IA sea una opción natural para el desarrollo y análisis de software. Puede crear borradores de código, mejorar fragmentos existentes y acelerar la construcción lógica que los analistas previamente creaban a mano.
Pero la IA no comprende el problema fundamental. Los analistas deben interpretar y validar todo lo que produce el modelo. Si el analista no tiene un conocimiento profundo de un campo en particular, la salida de la IA puede parecer correcta incluso cuando es incorrecta, y es posible que el analista no pueda notar la diferencia. Esto plantea riesgos únicos. Los analistas pueden enviar o confiar en un código que no comprenden completamente y que no han probado adecuadamente.
La IA es más eficaz aquí cuando reduce los gastos mecánicos. Esto permite a los equipos llegar más rápido a los puntos de partida disponibles. Admite la escritura de código en lenguajes de consulta Python, PowerShell o SIEM. Sin embargo, la responsabilidad de la precisión recae en las personas que comprenden los sistemas, los datos y las implicaciones operativas de ejecutar ese código en un entorno de producción.
Los autores sugieren que los equipos creen buenas pautas de estilo para su código y utilicen solo bibliotecas y paquetes aprobados (es decir, probados y aprobados). Incluya pautas y requisitos de dependencia como parte de todas las indicaciones, o utilice herramientas de desarrollo de IA/ML que permitan la configuración de estas especificaciones.
4. Automatización y orquestación
La automatización ha sido parte de las operaciones SOC durante mucho tiempo, pero la IA está remodelando la forma en que los equipos diseñan estos flujos de trabajo. En lugar de ensamblar manualmente secuencias de acción o convertir runbooks en lógica de automatización, los analistas ahora pueden usar IA para redactar andamios. La IA también puede delinear pasos, sugerir lógica de ramificación y traducir descripciones en lenguaje sencillo al formato estructurado requerido por las plataformas de orquestación.
Sin embargo, la IA no puede decidir cuándo realizar la automatización. El problema central de la orquestación sigue siendo el mismo. ¿Es necesario tomar medidas automatizadas de inmediato o es necesario presentar información para que un analista la revise primero? La elección depende de la tolerancia al riesgo de su organización, la sensibilidad de su entorno y las acciones específicas que esté considerando.
Independientemente de si la plataforma es SOAR, MCP u otro sistema de orquestación, la responsabilidad de iniciar acciones debe recaer en el ser humano, no en el modelo. La IA puede ayudar a crear y mejorar los flujos de trabajo, pero no debería tener el poder de habilitarlos. Los límites claros mantienen la automatización predecible, explicable y alineada con la postura de riesgo del SOC.
El nivel de comodidad de una organización con la automatización será el umbral que permitirá una acción rápida de manera automatizada. Este nivel de comodidad proviene de pruebas exhaustivas y de personas que responden de manera oportuna a las acciones tomadas por los sistemas automatizados.
5. Informes y comunicación
La presentación de informes es uno de los desafíos más persistentes en las operaciones de seguridad. Esto no se debe a que los equipos carezcan de habilidades técnicas, sino a que es difícil traducir esas habilidades en una comunicación clara y procesable. La encuesta SANS SOC de 2025 pone de relieve lo rezagado que sigue el sector. El 69% de los SOC todavía dependen de procesos manuales o mayoritariamente manuales para informar métricas. Esta brecha es importante. Cuando los informes son inconsistentes, el liderazgo pierde visibilidad, el contexto se diluye y las decisiones operativas se retrasan.
La IA ofrece una forma inmediata y de bajo riesgo de mejorar el rendimiento de los informes de su SOC. Estandarice la estructura, mejore la claridad y ayude a los analistas a pasar de notas sin procesar a resúmenes bien organizados para suavizar las partes mecánicas de los informes. En lugar de hacer que cada analista escriba en un estilo diferente o enterrar al lector en detalles técnicos, la IA ayuda a producir resultados consistentes y legibles que el lector puede interpretar rápidamente. Enfatizar la coherencia general del SOC, incluidos los promedios móviles y los límites de desviación estándar, es una historia que vale la pena contarle a la gerencia.
El valor no está en hacer el informe más sofisticado. Se trata de hacerlos consistentes y comparables. Cuando todos los resúmenes de incidentes, los agregados semanales o los informes de métricas siguen una estructura predecible, los líderes pueden reconocer las tendencias antes y priorizar de manera más efectiva. También les devuelve a los analistas el tiempo que de otro modo habrían dedicado a la redacción, el formato o las explicaciones repetitivas.
¿Eres un tomador, un moldeador o un creador? Hablemos en SANS Security Central 2026
A medida que los equipos comienzan a experimentar con la IA en estos flujos de trabajo, es importante reconocer que no existe un camino único hacia la adopción. El aprovechamiento de SOC AI se puede describir en tres categorías útiles. Los interesados utilizan las herramientas de inteligencia artificial proporcionadas. Los modeladores ajustan o personalizan estas herramientas para adaptarlas a su flujo de trabajo. Los fabricantes crean algo nuevo, como el ejemplo de detección de aprendizaje automático con alcance estricto que se analizó anteriormente.
Todos estos casos de uso encajan en una o más categorías. Puede tomar y crear ingeniería de detección, implementar reglas de IA de su proveedor SIEM y escribir sus propias detecciones. La mayoría de los equipos son autores de manuales y de informes (simplemente utilizan informes del sistema de emisión de tickets listos para usar). Puede ser un modelador de automatización y personalizar partes de los runbooks SOAR proporcionados por los proveedores. Como mínimo, espero que esté utilizando una búsqueda impulsada por el COI proporcionada por su proveedor. Eso es lo que todo SOC debe hacer. Aspirar a la caza autodirigida te sitúa en la categoría de fabricante.
Es importante que cada flujo de trabajo tenga expectativas claras sobre dónde se puede utilizar la IA, cómo se validan los resultados, las actualizaciones son continuas y que, en última instancia, los analistas siguen siendo responsables de proteger los sistemas de información.
Exploraremos estos temas con más detalle durante la sesión magistral en SANS Security Central 2026 en Nueva Orleans. Aprenda a evaluar su panorama SOC actual y diseñar un modelo de implementación de IA que mejore la experiencia de su equipo. ¡gracias!
Regístrese para SANS Security Central 2026 aquí.
Nota: Este artículo fue escrito y contribuido profesionalmente por el instructor principal de SANS, Christopher Crowley.
Source link
