Connect with us

Chaim Mazal, Jefe de Inteligencia Artificial y Seguridad de Gigamon – Serie de Entrevistas

Entrevistas

Chaim Mazal, Jefe de Inteligencia Artificial y Seguridad de Gigamon – Serie de Entrevistas

mm
Published
Updated

Chaim Mazal es el Jefe de Inteligencia Artificial y Seguridad de Gigamon, responsable de la seguridad global, tecnología de la información, operaciones de red, gobernanza, riesgo, cumplimiento, sistemas de negocio internos y seguridad de productos. Chaim también lidera el programa estratégico de inteligencia artificial de la empresa, impulsando la gobernanza, la adopción transfuncional y el uso seguro y responsable de la inteligencia artificial. Reconocido por Security Magazine como una de las personas más influyentes en seguridad en 2025, es miembro de por vida de la Fundación OWASP y forma parte de consejos asesores que incluyen Cloudflare, GitLab y Rapid7. Anteriormente, ocupó puestos de liderazgo senior en varios líderes de la industria, más recientemente como SVP de Tecnología y CISO en Kandji.

Gigamon es una empresa de tecnología de ciberseguridad y observabilidad que se centra en proporcionar una visibilidad profunda del tráfico de red en entornos híbridos y de múltiples nubes. Su plataforma captura y analiza datos en movimiento, incluidos paquetes, flujos y metadatos de aplicaciones, para proporcionar información útil a herramientas de seguridad, monitoreo de la nube y monitoreo de TI. Esto permite a las organizaciones detectar amenazas ocultas, mejorar el rendimiento, mantener el cumplimiento y reducir la complejidad al eliminar puntos ciegos en sistemas cada vez más distribuidos y cifrados. Confiada por grandes empresas y organizaciones gubernamentales, Gigamon ayuda a proteger y gestionar la infraestructura digital moderna a escala.

Ha tenido un viaje único desde que pasaba tiempo en foros de hacking como adolescente hasta convertirse en Jefe de Inteligencia Artificial y Seguridad de Gigamon. ¿Cómo han influido esas experiencias tempranas en la forma en que piensa sobre las amenazas cibernéticas impulsadas por la inteligencia artificial en la actualidad?

Obtuve mi primera computadora a los ocho años y aprendí experimentando, es decir, descubriendo DOS, leyendo manuales y enseñándome Visual Basic. A medida que me sumergí en las comunidades de Internet, me fascinó cómo se podía manipular el software y dónde los sistemas eran frágiles. Esa curiosidad evolucionó hacia la prueba de penetración de aplicaciones web y la seguridad del ciclo de vida de desarrollo de SaaS.

Lo interesante sobre las amenazas modernas es que la inteligencia artificial no inventa nuevas debilidades, sino que amplía el descubrimiento y la explotación de las existentes. Debido a esa perspectiva temprana, abordo la seguridad de la inteligencia artificial asumiendo un uso adversarial desde el primer día, lo que me ayuda a invertir las defensas para nuestros clientes en Gigamon.

Ha observado que las campañas de phishing, ransomware y malware generadas por la inteligencia artificial están reduciendo el tiempo de impacto de semanas a horas. ¿Qué cambios concretos está viendo en la forma en que se diseñan y despliegan estos ataques?

La inteligencia artificial ha reducido fundamentalmente la barrera de entrada para la delincuencia cibernética. Escribir malware, crear campañas de phishing convincentes y identificar vulnerabilidades solía requerir una gran experiencia técnica. Ahora, estos ataques pueden acelerarse y incluso automatizarse completamente con la ayuda de herramientas de inteligencia artificial. Los hackers ya no necesitan una sólida base técnica para lanzar campañas sofisticadas porque la inteligencia artificial puede generar código, refinar mensajes de ingeniería social y ayudar a los operadores a solucionar problemas en tiempo real.

Como resultado de este aumento en el acceso, todo el panorama de amenazas ha cambiado. Sin marcos de gobernanza, requisitos de cumplimiento o restricciones éticas que los frenen, los atacantes pueden experimentar, adaptarse y desplegar a velocidad y con un costo mínimo. Como resultado, el tiempo de impacto se ha reducido drásticamente, y lo que antes tardaba semanas ahora puede ocurrir en cuestión de horas. Mientras tanto, muchas organizaciones aún están en las primeras etapas de adoptar la inteligencia artificial de manera defensiva, lo que significa que algunos de los usos más efectivos de la inteligencia artificial están siendo impulsados actualmente por actores amenazantes.

¿Qué separa fundamentalmente un ataque cibernético impulsado por la inteligencia artificial de las amenazas automatizadas tradicionales, y puede compartir un ejemplo que haga que esa diferencia sea clara?

Lo que separa fundamentalmente un ataque cibernético impulsado por la inteligencia artificial de las amenazas automatizadas tradicionales es la autonomía y la persistencia. En el pasado, los hackers ejecutaban un script y se detenían cuando fallaba. El “tiempo de vida” estaba limitado a la duración de la automatización. Con la inteligencia artificial, los agentes se les da un objetivo y, si fallan, no se detienen. Continúan iterando, buscando rutas alternativas para lograr el mismo objetivo. El tiempo de vida es efectivamente infinito.

Por ejemplo, con una dependencia de compilación de producción, los atacantes pueden insertar algo tan pequeño como dos líneas de script mientras mantienen el tamaño del archivo sin cambios, lo que significa que los bytes parecen idénticos. Cuando se compila y ejecuta el archivo, lanza una instancia de terminal que instala un agente autónomo en el entorno corporativo, que luego realiza una serie de tareas maliciosas que pueden iterar indefinidamente. En el pasado, los binarios se consideraban vectores de amenazas post-despliegue. Ahora, se manipulan constantemente, incluso durante el propio proceso de compilación, para ejecutar acciones habilitadas por la inteligencia artificial dentro de los entornos corporativos.

Muchas organizaciones aún confían en controles de seguridad heredados y libros de jugadas establecidos. ¿Por qué estos enfoques están fallando contra los ataques habilitados por la inteligencia artificial, y dónde ve los puntos ciegos más peligrosos?

Hemos llegado a un punto en el que, si no se innova y se incorpora pensadamente la inteligencia artificial en las soluciones y operaciones de seguridad, ya se está quedando atrás, y eso se aplica tanto a grandes empresas como a startups. Las organizaciones que no integran la inteligencia artificial en su estrategia de seguridad corren el riesgo de ser superadas por atacantes que se mueven más rápido y operan a una mayor escala.

Dicho esto, defenderse contra las amenazas habilitadas por la inteligencia artificial no necesariamente requiere una reinversión completa de la pila tecnológica. Muchas de las herramientas que las empresas necesitan ya están en su lugar. El verdadero cambio es en cómo se utilizan esas herramientas de manera efectiva. Se trata de reforzar los fundamentos, aplicar tecnologías existentes de manera más inteligente y adaptar las defensas para tener en cuenta a los atacantes no entrenados pero habilitados por la inteligencia artificial.

Los actores amenazantes están utilizando la inteligencia artificial de manera creativa y estratégica. Si las empresas no adoptan un enfoque similarmente estratégico, corren el riesgo de crear puntos ciegos masivos. Los líderes deben pensar de manera diferente sobre cómo desplegar las herramientas que ya tienen, integrar la inteligencia artificial en sus operaciones y evolucionar sus libros de jugadas para defenderse contra la velocidad y la escala de los ataques de hoy en día.

La inteligencia artificial parece estar reduciendo la barrera de entrada para la delincuencia cibernética. ¿Cómo ha cambiado este desplazamiento el perfil de los atacantes de hoy en día, y qué riesgos plantea eso para las empresas?

La inteligencia artificial ha hecho que casi cualquier persona pueda convertirse en un hacker. Con herramientas de inteligencia artificial a su disposición, actores inexpertos, incluso adolescentes, ahora pueden lanzar campañas de phishing sofisticadas, desplegar rootkits y ejecutar ataques de ransomware que antes requerían una gran experiencia técnica.

Este desplazamiento agrega un nuevo nivel de imprevisibilidad al panorama de amenazas. En lugar de enfrentarse a un número menor de grupos altamente sofisticados, las empresas ahora se enfrentan a un espectro más amplio de actores que experimentan rápidamente, aprenden en tiempo real y colaboran a través de comunidades en línea.

Para las organizaciones, esto significa no solo más ataques, sino también una mayor variabilidad en cómo se ejecutan. Las empresas deben prepararse para un entorno de amenazas en el que la capacidad ya no está directamente vinculada a la experiencia, y en el que cualquier persona puede llevar a cabo campañas que rivalizan con las de grupos históricamente avanzados.

Basándose en lo que ve en las comunidades de atacantes, ¿qué herramientas impulsadas por la inteligencia artificial están ganando tracción, y qué tan rápido están mejorando esas capacidades?

No se trata de herramientas de inteligencia artificial singulares que ayudan a los hackers, sino más bien de la compartición de recursos. En lugar de una herramienta que ejecuta un proceso lineal, los atacantes están utilizando agentes descentralizados que cruzan referencias de datos y comparten información colectivamente a través de diferentes herramientas. El resultado funciona más como una red de ataques, o un enjambre, en lugar de una capacidad de un solo uso.

Lo más notable de esto es la velocidad de mejora. Estas capacidades están cambiando día a día, y muchas de las herramientas que se están utilizando eran conceptos de prueba solo semanas atrás. El ritmo de innovación y iteración dentro de las comunidades de atacantes está acelerándose rápidamente, con nuevas técnicas y herramientas emergiendo casi en tiempo real.

Desde la perspectiva de un defensor, ¿qué señalesales sugieren que una organización se enfrenta a una campaña impulsada por la inteligencia artificial en lugar de un ataque más convencional?

Desde la perspectiva de un defensor, una señal importante es que la exploración ya no parece secuencial o compartimentalizada. Históricamente, los atacantes seguían pasos claros: recopilar información en fases, espaciar la actividad y apuntar a una superficie a la vez. Ahora, todas esas actividades están sucediendo al mismo tiempo. Los pasillos de correo electrónico, los servicios disponibles externamente, la actividad de la cuenta, las técnicas de detección y evasión se están ejerciendo en unión en lugar de secuencialmente.

Otra señal es la unificación y coordinación de la actividad. Lo que solía estar fragmentado ahora se condensa y se comparte colectivamente a través de herramientas, actuando más como un enjambre que como un esfuerzo de un solo uso. Estos agentes están iterando continuamente, adaptándose y expidiendo la toma de decisiones alrededor de los vectores de amenazas, y no aceptan un no por respuesta. Ese nivel de actividad simultánea, coordinación y persistencia sugiere fuertemente una campaña impulsada por la inteligencia artificial en lugar de un ataque convencional.

Ha argumentado que muchas herramientas de seguridad de inteligencia artificial actuales están perdiendo estas amenazas por completo. ¿Qué están haciendo mal, y qué capacidades son las más urgentemente necesarias?

Muchas herramientas de seguridad de inteligencia artificial actuales aún están construidas alrededor de la suposición errónea de que la prevención es el objetivo principal. Los proveedores continúan posicionando la inteligencia artificial como una mejor manera de bloquear amenazas en el perímetro, pero los atacantes son más rápidos, más adaptables y cada vez más pacientes, utilizando la inteligencia artificial, deepfakes y malware avanzado que puede evadir controles y permanecer sin detectar durante meses.

Lo que se necesita con urgencia es una visibilidad y capacidades de detección y respuesta más fuertes en tiempo real. Las organizaciones deben implementar una evaluación de riesgos continua, mantener la visibilidad en el tráfico cifrado donde muchas amenazas se esconden, y aprovechar la telemetría derivada de la red y las API para comprender qué se está ejecutando en sus sistemas y cómo se mueve la información. La resiliencia hoy en día no se trata de mantener fuera todas las amenazas, sino de ver, detener y aprender de las amenazas antes de que se escalen.

A medida que la inteligencia artificial acelera tanto la ofensiva como la defensiva, ¿cree que la inteligencia artificial defensiva puede mantener el ritmo realista, o estamos entrando en un período en el que los atacantes mantendrán una ventaja estructural?

La inteligencia artificial está acelerando ambos lados de la ecuación, pero en el corto plazo, creo que los atacantes tienen la ventaja. No enfrentan restricciones regulatorias, requisitos de cumplimiento o guardias éticas. Esto significa que pueden experimentar libremente e iterar a un ritmo elevado. Por otro lado, las empresas tienen que equilibrar la innovación con la gobernanza, la privacidad y el riesgo operativo, lo que ralentiza naturalmente la adopción e implementación de la inteligencia artificial.

Dicho esto, la inteligencia artificial defensiva puede salir victoriosa si las organizaciones y los líderes cambian su enfoque. Las tácticas de seguridad exitosas no provendrán del uso de la inteligencia artificial puramente para la prevención. Requerirán integrar la inteligencia artificial en flujos de trabajo de detección, investigación y respuesta respaldados por visibilidad en tiempo real. La ventaja no está permanentemente del lado del atacante, pero permanecerá allí hasta que las organizaciones dejen de confiar en la prevención. El daño real ocurre cuando un atacante viola la red, a menudo viviendo del terreno y esperando para exfiltrar datos. Los líderes deben cambiar de “¿podemos prevenir una violación?” a “¿cómo podemos detectar y eliminar a los intrusos?”

Mirando hacia adelante seis a doce meses, ¿qué técnicas de ataque impulsadas por la inteligencia artificial espera que se vuelvan comunes, y qué deberían estar haciendo ahora los equipos de seguridad para prepararse?

Seis a doce meses es un tiempo inmenso en este entorno. Las cosas están cambiando realistamente cada seis a doce semanas. El rápido progreso de la inteligencia artificial hace que sea difícil predecir técnicas específicas que los hackers usarán en el futuro, así que el enfoque debería ser menos en adivinar qué viene a continuación y más en cómo prepararse.

Los defensores necesitan aprovechar la misma tecnología impulsada por la inteligencia artificial que los atacantes están utilizando, con un fuerte énfasis en la defensa en profundidad. Eso significa utilizar la inteligencia artificial para cruzar referencias constantes de datos en tiempo real a través de puntos finales, confiar en la telemetría de red inmutable para identificar el comportamiento transaccional en entornos de nube privada, nube pública y locales, y alimentar esa telemetría en la herramienta adecuada, para que los equipos de seguridad estén activamente conscientes de cuando su organización está siendo examinada.

Al mismo tiempo, la mentalidad de defensa perimetral primero necesita ser jubilada. No se trata de si ocurre un ataque habilitado por la inteligencia artificial, sino de cuándo. La prioridad ahora es la identificación temprana, la reducción del impacto y la remediación oportuna. Eso incluye tener un sólido plan de respuesta a incidentes, aplicar principios de confianza cero, hacer cumplir la segmentación de red, mantener la gestión de acceso con revisiones continuas y hacer ajustes dinámicos según sea necesario para proteger los datos del cliente y limitar el impacto.

Gracias por la entrevista perspicaz, los lectores interesados en la observabilidad profunda y la seguridad de la red impulsada por la inteligencia artificial pueden visitar Gigamon.

mm

Antoine es un líder visionario y socio fundador de Unite.AI, impulsado por una pasión inquebrantable por dar forma y promover el futuro de la IA y la robótica. Un empresario serial, cree que la IA será tan disruptiva para la sociedad como la electricidad, y a menudo se le escucha hablando con entusiasmo sobre el potencial de las tecnologías disruptivas y la AGI. Como un futurista, está dedicado a explorar cómo estas innovaciones darán forma a nuestro mundo. Además, es el fundador de Securities.io, una plataforma enfocada en invertir en tecnologías de vanguardia que están redefiniendo el futuro y remodelando sectores enteros.