La mayoría de la gente conoce la historia de Paul Bunyan. Desafíos de un leñador gigante, su fiel hacha y una máquina que promete superarlo. Paul se esforzó y giró con más fuerza como lo había hecho antes, pero aún así perdió un cuarto de pulgada. Su error fue no perder el concurso. Su error fue creer que podía vencer a nuevos tipos de herramientas sólo con esfuerzo.
Los profesionales de la seguridad se enfrentan a momentos similares. La IA es la sierra moderna impulsada por vapor. Rápido en algunas áreas, desconocido en otras y plantea muchos desafíos a hábitos arraigados desde hace mucho tiempo. El instinto es proteger lo que sabemos en lugar de aprender lo que realmente pueden hacer las nuevas herramientas. Pero si seguimos el enfoque de Pablo, nos encontraremos en el lado equivocado de los cambios que ya están en marcha. Lo correcto es conocer la herramienta, comprender sus capacidades y aprovecharla para ofrecer resultados que faciliten su trabajo.
El papel de la IA en las operaciones cotidianas de ciberseguridad
La IA ahora está integrada en casi todos los productos de seguridad que tocamos. Las plataformas de protección de terminales, los sistemas de filtrado de correo electrónico, los SIEM, los escáneres de vulnerabilidades, las herramientas de detección de intrusiones, los sistemas de emisión de tickets e incluso las plataformas de gestión de parches promocionan alguna forma de toma de decisiones «inteligente». El desafío es que la mayor parte de esta inteligencia vive detrás de la cortina. Los proveedores protegen sus modelos como su propia IP, por lo que los equipos de seguridad solo ven el resultado.
Esto significa que el modelo toma silenciosamente decisiones de riesgo en un entorno donde los humanos todavía están a cargo. Estas decisiones se toman basándose en inferencias estadísticas más que en una comprensión de la organización, sus empleados o sus prioridades operativas. No se puede inspeccionar un modelo opaco ni confiar en él para captar matices o intenciones.
Como resultado, los profesionales de la seguridad deben crear o adaptar sus propios flujos de trabajo basados en IA. El objetivo no es reconstruir herramientas comerciales. El objetivo es compensar los puntos ciegos creando capacidades que puedas controlar. Cuando diseñas una utilidad de IA a pequeña escala, decides de qué datos aprender, qué considerar como riesgo y cómo operar. Recuperas influencia sobre la lógica que da forma a tu entorno.
Eliminar la fricción y aumentar la velocidad.
La mayor parte del trabajo de seguridad es traslacional. Si alguna vez ha escrito un filtro JQ complejo, una consulta SQL o una expresión regular solo para obtener una pequeña porción de información de un registro, sabrá cuánto tiempo puede llevar ese paso de transformación. Estos pasos ralentizan la investigación, no porque sea difícil, sino porque interfieren con el flujo del pensamiento.
La IA puede eliminar gran parte de esa carga de traducción. Por ejemplo, he estado creando pequeñas herramientas que colocan la IA en el front-end y un lenguaje de consulta en el back-end. En lugar de escribir una consulta usted mismo, puede preguntar lo que quiera en inglés sencillo y la IA generará la sintaxis correcta para extraerlo. Esto se convierte en un traductor de persona a computadora, lo que le permite concentrarse en lo que está tratando de investigar, en lugar de en cómo funciona el lenguaje de consulta.
En la práctica, esto le permite:
Recupere registros asociados con un incidente específico sin escribir el JQ usted mismo. Extraiga los datos que necesita utilizando SQL generado por IA o sintaxis de expresiones regulares. Cree pequeñas utilidades asistidas por IA que automaticen estos pasos de consulta repetitivos.
Una vez que la IA maneja los pasos iterativos de transformación y filtrado, los equipos de seguridad pueden centrar su atención en la inferencia de orden superior, la parte del trabajo que realmente hace avanzar la investigación.
Si bien la IA puede almacenar más información que los humanos, también es importante recordar que una seguridad efectiva no significa saberlo todo. Se trata de saber cómo aplicar lo que es importante en el contexto de la misión y la tolerancia al riesgo de una organización. La IA tomará decisiones matemáticamente correctas pero contextualmente incorrectas. Puedes aproximarte a los matices, pero realmente no puedes entenderlos. Puedes simular la ética, pero no puedes sentirte responsable de los resultados. La inferencia estadística no es, ni será nunca, inferencia moral.
Nuestro valor en roles ofensivos, defensivos y de investigación no es memorizar información. Se trata de aplicar el criterio, comprender los matices y orientar las herramientas hacia el resultado correcto. La IA mejorará nuestras acciones, pero aún tendremos el poder de decidir.
Cómo pueden empezar los profesionales de la seguridad: habilidades que desarrollar ahora
Gran parte del trabajo actual de IA se realiza en Python, que tradicionalmente ha parecido una barrera para muchos profesionales de la seguridad. La IA cambia esa dinámica. Puede expresar su intención en un lenguaje sencillo y dejar que el modelo genere la mayor parte del código. Puedes usar el modelo para descubrir la mayoría de las cosas. Su trabajo es llenar los vacíos restantes en el juicio y la alfabetización técnica.
Requiere un nivel básico de fluidez. Necesitas suficiente Python para leer y mejorar lo que produce el modelo. Para reconocer cuándo la lógica está apagada, es necesario comprender cómo el sistema de inteligencia artificial interpreta la entrada. E incluso si no construye un modelo completo usted mismo, necesita una comprensión práctica de los conceptos básicos del aprendizaje automático para comprender qué hacen sus herramientas debajo de la superficie.
Con esa base, la IA se convierte en un multiplicador de poder. Puede crear utilidades específicas para analizar datos internos, utilizar modelos de lenguaje para comprimir información que tardaría horas en procesarse manualmente y automatizar pasos mundanos que ralentizan las investigaciones, las pruebas agresivas y los flujos de trabajo forenses.
A continuación se muestran algunas formas específicas de comenzar a desarrollar estas funciones:
Empiece por auditar sus herramientas. Mapee dónde ya se está ejecutando la IA en su entorno y comprenda qué decisiones está tomando de forma predeterminada. Interactúe activamente con los sistemas de IA. No trate el resultado como final. Alimente el modelo con mejores datos, cuestione sus resultados y ajuste su comportamiento cuando sea posible. Automatice una tarea cada semana: elija un flujo de trabajo recurrente y optimice parte del mismo utilizando modelos de Python e IA. Las pequeñas victorias crean impulso. Desarrolle una alfabetización ligera en ML: aprenda los conceptos básicos de cómo los modelos interpretan las instrucciones, dónde se interrumpen las instrucciones y cómo redirigir las instrucciones. Únase al aprendizaje comunitario: comparta lo que ha creado, compare enfoques y aprenda de otros que están pasando por la misma transición.
Estos hábitos empeoran con el tiempo. Transforman la IA de una característica opaca en el producto de otra persona a una característica que puede comprender, dirigir y utilizar con confianza.
Profundice más con SANS 2026
La IA está cambiando la forma en que trabajan los profesionales de la seguridad, pero no disminuirá la necesidad del juicio humano, la creatividad y el pensamiento estratégico. Comprender sus herramientas y guiarlas con intención aumentará su capacidad, no disminuirá su necesidad de ellas.
Este tema se tratará con más detalle en la conferencia magistral de SANS 2026. Si desea orientación práctica y práctica para mejorar su fluidez en IA en los ámbitos defensivo, ofensivo y de investigación, únase a nosotros en esta sala.
Haga clic aquí para registrarse en SANS 2026.
Nota: Este artículo fue escrito de manera experta por Mark Baggett, miembro de SANS.
Source link
