Líderes de opinión

Respuesta Autónoma de Incidentes: Dónde el AI Puede Actuar Solo y Dónde los Humanos Todavía Importan

mm

Los SOCs modernos tienen una abundancia de datos de seguridad. El problema es convertir esos datos en acción.

Un inicio de sesión sospechoso puede ser una cuenta comprometida o un empleado legítimo que inicia sesión desde una nueva ubicación. La actividad de malware puede ser solo un falso positivo. Una alerta en la nube puede ser solo una configuración deficiente.

En cualquier caso, los analistas deben saber qué sucedió, qué activo se vio afectado, cuán grave es este riesgo y si actuar podría dañar algo importante. Eso a menudo significa saltar entre herramientas, verificar registros, enriquecer indicadores, construir cronogramas y esperar aprobación.

El AI puede comprimir ese proceso. Puede recopilar pruebas, correlacionar eventos relacionados, comparar el comportamiento con patrones conocidos, enriquecer alertas con inteligencia de amenazas y producir una conclusión en minutos o incluso segundos. En algunos escenarios definidos, puede activar la contención.

Qué Significa Realmente la Respuesta Autónoma

La respuesta autónoma debe tener límites claros y ser específica del escenario.

Un sistema de seguridad autónomo o agente puede evaluar una alerta, investigar el contexto circundante, decidir si coincide con un patrón de respuesta conocido y tomar acción sin esperar a un analista humano. Pero esa acción debe ocurrir solo dentro de los límites aprobados.

Ejemplos incluyen deshabilitar una cuenta comprometida, aislar un punto final infectado, bloquear infraestructura maliciosa conocida, revocar sesiones de riesgo y poner en cuarentena malware. La clave es que el AI solo ejecuta acciones aprobadas contra condiciones definidas.

Dónde Funciona Mejor la Autonomía

La autonomía funciona mejor cuando se cumplen cuatro condiciones:

  • La señal de alta confianza: La alerta está respaldada por pruebas sólidas, como infraestructura maliciosa conocida, comportamiento de malware confirmado, viaje imposible o varios indicadores correlacionados.
  • El comportamiento está bien entendido: La organización ha visto el patrón antes y sabe qué significa normalmente.
  • La acción es limitada: La respuesta afecta a una cuenta, punto final, sesión, dominio o indicador específico, no a todo un proceso empresarial.
  • La acción es reversible: Si el sistema se equivoca, la organización puede restaurar el acceso, reconectar el punto final o eliminar el bloqueo rápidamente.

Una cuenta de usuario comprometida es un buen ejemplo.

Si un sistema de identidad detecta viaje imposible, reglas de buzón sospechosas, actividad de OAuth de riesgo y un inicio de sesión desde infraestructura maliciosa conocida, los atacantes pueden haber causado daños antes de que un humano apruebe el primer paso de contención. Sin embargo, un sistema de AI puede revocar sesiones, forzar un restablecimiento de contraseña, deshabilitar temporalmente la cuenta y crear un caso para revisión de analista.

Un punto final infectado es otro buen ejemplo. Si la herramienta de punto final confirma el comportamiento de malware conocido en un dispositivo no crítico, el aislamiento puede detener el movimiento lateral mientras se conservan las pruebas.

Dónde los Humanos Todavía Importan

Sin embargo, la supervisión humana sigue siendo esencial, especialmente para incidentes ambiguos, decisiones de alto impacto y casos en los que el impacto empresarial no está claro.

Aislar una laptop de un empleado puede ser de bajo riesgo. Aislar un servidor de pago, un sistema de fabricación, un dispositivo de atención médica o una aplicación orientada al cliente no lo es. Deshabilitar una cuenta de contratista puede ser sencillo. Deshabilitar una cuenta de servicio con privilegios vinculada a sistemas de producción podría crear una interrupción grave.

En resumen, cuanto mayor sea el impacto potencial, más importante es la supervisión humana.

Ese principio evita dos resultados desfavorables. El primero: la subautomatización, donde los equipos pierden tiempo aprobando acciones de contención obvias. El segundo: la superautomatización, donde se permite que los sistemas realicen cambios amplios sin suficiente contexto o control.

El AI Puede Automatizar Más que la Triage

La mayoría de las personas están familiarizadas con la triage de alertas asistida por AI, pero creen que la investigación es exclusivamente una tarea humana. Pero eso está empezando a cambiar.

Muchas investigaciones siguen pasos repetibles. Los analistas recopilan registros, revisan el comportamiento del punto final, verifican la actividad del usuario, enriquecen indicadores, comparan eventos con inteligencia de amenazas y escriben una conclusión. Un analista de SOC de AI ahora puede realizar gran parte de ese trabajo rápidamente y de manera consistente.

Eso cambia el papel del analista, pero no lo elimina por completo. En lugar de recopilar pruebas manualmente para cada alerta, los analistas revisan los hallazgos generados por el AI, investigan excepciones, ajustan detecciones, cazan amenazas y toman decisiones sobre casos complejos o de alto impacto.

Esto importa porque la mayoría de los SOCs no pueden investigar a fondo cada alerta. La investigación de violación de datos de IBM de 2025 encontró que el uso extensivo de AI y automatización redujo los costos de violación en $1,9 millones y acortó los ciclos de violación en unos 80 días. El AI permite a los equipos elevar la calidad básica de la investigación sin agregar personal o depender de grandes equipos de contratistas para trabajo repetitivo.

La Adopción es un Tema Tanto Técnico como de Confianza

Los líderes de seguridad tienen razón en ser cautos con el AI en el SOC. La acción automatizada incorrecta puede bloquear a los usuarios, interrumpir sistemas o erosionar la confianza en el SOC. Incluso cuando el AI es preciso, los equipos pueden dudar si no pueden ver por qué se tomó una decisión.

Es por eso que la autonomía efectiva necesita salvaguardias:

  • Límites de acción claros
  • Aprobación humana para sistemas sensibles
  • Registros de auditoría para cada decisión
  • Acciones de contención reversibles
  • Umbral de confianza
  • Procedimientos de reversión

La mayoría de los equipos deben comenzar en modo de observación. Dejen que el AI investigue, recomiende y documente acciones mientras los humanos las aprueban. Una vez que el sistema demuestre ser confiable en escenarios específicos, esos escenarios pueden moverse a la automatización basada en aprobación, y luego a la autonomía total donde corresponda. La confianza se gana con éxitos controlados y repetidos.

Qué Deben Reconsiderar los Líderes de Seguridad

El AI pertenece a la respuesta de incidentes. La pregunta es dónde debe permitirse que actúe.

Comience con escenarios de respuesta que sean frecuentes, sensibles al tiempo, bien entendidos, respaldados por señales de alta confianza y reversibles. La investigación de phishing, la contención de cuentas sospechosas, el aislamiento de malware y el bloqueo de dominios maliciosos son candidatos lógicos.

El objetivo es eliminar la decisión repetitiva del SOC, no eliminar a los humanos por completo. El AI puede validar, decidir y actuar en escenarios definidos. Los humanos deben gobernar los límites, manejar la ambigüedad y seguir siendo responsables del resultado.

t, aislamiento de malware, y bloqueo de dominios maliciosos son candidatos lógicos. El objetivo es eliminar la decisión repetitiva del SOC, no eliminar a los humanos por completo. El AI puede validar, decidir y actuar en escenarios definidos. Los humanos deben gobernar los límites, manejar la ambigüedad y seguir siendo responsables del resultado.

Una defensora apasionada de la privacidad de los datos personales y de la tecnología detrás de ella, Katrina Thompson es una escritora freelance que se centra en la criptografía, la legislación de privacidad de datos y la intersección de la tecnología de la información y los derechos humanos. Ha escrito para Bora, Venafi, Tripwire y muchos otros sitios.