Contáctenos

Mark Nicholson, líder de modernización cibernética de Deloitte en EE. UU. – Serie de entrevistas: Una conversación de regreso

Entrevistas

Mark Nicholson, líder de modernización cibernética de Deloitte en EE. UU. – Serie de entrevistas: Una conversación de regreso

mm
Publicado

marca nicholson, Líder de Modernización Cibernética de Deloitte en EE. UU., es Socio Principal en Deloitte con más de dos décadas de experiencia en la intersección de la ciberseguridad, la inteligencia artificial y el riesgo empresarial. Lidera las iniciativas de IA cibernética y la estrategia comercial de la práctica de ciberseguridad de Deloitte, ayudando a grandes organizaciones a modernizar sus marcos de seguridad y alinear las inversiones en ciberseguridad con los panoramas de riesgo en constante evolución. Antes de unirse a Deloitte, cofundó y fue Director de Operaciones de Vigilant, Inc., una consultora de seguridad de la información especializada en inteligencia de amenazas y monitoreo de eventos maliciosos. Su trayectoria profesional previa en ventas y desarrollo de negocios en diversas empresas tecnológicas le proporcionó una sólida base tanto en los aspectos técnicos como comerciales de la ciberseguridad.

Deloitte Es una de las firmas de servicios profesionales más grandes del mundo, que ofrece servicios de auditoría, consultoría, impuestos y asesoría a organizaciones de prácticamente todos los sectores. Su práctica de ciberseguridad se centra en ayudar a las empresas a desenvolverse en entornos de amenazas cada vez más complejos, al tiempo que impulsa la transformación digital mediante tecnologías como la inteligencia artificial. La firma ofrece servicios que abarcan la estrategia cibernética, la resiliencia, la gestión de riesgos y la seguridad empresarial, posicionando la ciberseguridad como una función de protección y un factor estratégico clave para la innovación y el crecimiento.

Esto sigue a un entrevista anterior que se publicó en 2025.

Usted ha estado involucrado en la ciberseguridad desde los inicios de la monitorización moderna de amenazas, incluyendo la cofundación de Vigilant y la contribución al lanzamiento al mercado de las primeras capacidades de gestión de información y eventos de seguridad (SIEM) e inteligencia de amenazas. ¿Cómo ha cambiado la evolución desde esos primeros sistemas de monitorización hasta las plataformas de ciberdefensa basadas en IA actuales la forma en que las organizaciones detectan y responden a las amenazas?

Cuando comenzamos a desarrollar plataformas de monitorización en los inicios de SIEM, el principal desafío era centralizar los datos y darles sentido. Recuerdo cuando los analistas imprimían los registros del firewall cada mañana y los revisaban manualmente para intentar detectar anomalías. Incluso con la madurez de SIEM, persistía un problema de escalabilidad. La velocidad humana no era suficiente para procesar la enorme cantidad de eventos detectados. A pesar de la automatización, los ciberdefensores seguían teniendo problemas de correlación y análisis de datos, y se esforzaban constantemente por elaborar nuevas reglas, a menudo en respuesta a fallos de monitorización.

Una de las esperanzas es que la IA cambie esta dinámica de forma fundamental. Más allá de implementar capacidades de automatización para las operaciones de seguridad de nivel 1, la IA promete ayudar a que la detección y la respuesta pasen de ser posteriores a los hechos a ser mucho más inmediatas, aprovechando el ajuste dinámico de los algoritmos de monitorización. En algunos casos, las organizaciones de ciberseguridad también se acostumbrarán a permitir que la IA inicie las acciones correctivas.

Pero la dificultad persiste, solo cambia. A medida que los sistemas se vuelven más autónomos y complejos, la confianza y la observabilidad se convierten en un campo de batalla: ¿Qué está haciendo el sistema, por qué lo hace y cómo podemos estar seguros de que no ha sido manipulado? La oportunidad que ofrece la IA es enorme, pero también aumenta la complejidad cuando el entorno opera a la velocidad de las máquinas.

Has señalado que la IA permite a los adversarios automatizar el reconocimiento, generar exploits y acelerar los ciclos de ataque. En términos prácticos, ¿cuánto ha reducido la IA el tiempo entre el descubrimiento de vulnerabilidades y su explotación?

Históricamente, solía haber un lapso de tiempo entre el descubrimiento de una vulnerabilidad y su explotación. Si bien existía urgencia, por lo general, a menos que se tratara de una vulnerabilidad de día cero, había tiempo para comprender la amenaza, aplicar parches y mitigarla antes de que un atacante pudiera desplegar exploits a gran escala. La IA prácticamente ha eliminado ese lapso.

Los adversarios pueden automatizar el reconocimiento, escanear continuamente en busca de vulnerabilidades y utilizar herramientas con IA para acelerar el desarrollo y la selección de objetivos para los exploits. En muchos casos, lo que antes tardaba semanas ahora puede comprimirse en horas, y en escenarios altamente automatizados, puede ser más rápido de lo que la mayoría de los programas de seguridad están diseñados para gestionar.

La conclusión es sencilla: los equipos de seguridad necesitan automatización e inteligencia artificial en el lado de la defensa, junto con controles sólidos, si quieren mantenerse al día.

Los equipos de seguridad están pasando cada vez más de modelos de supervisión con intervención humana a modelos con intervención humana en el proceso. ¿Cómo se traduce este cambio en la práctica dentro de un Centro de Operaciones de Seguridad (SOC) moderno, y cómo deberían las organizaciones replantearse las funciones de los analistas a medida que la IA asume tareas más autónomas?

En un SOC tradicional, los analistas se encuentran en el centro de cada punto de decisión. Llegan las alertas, los analistas las clasifican, las investigan y determinan qué acciones deben tomarse. Este enfoque funcionaba cuando el volumen de alertas y el ritmo de los ataques eran manejables. Pero en el entorno actual, la magnitud de la actividad es simplemente demasiado grande para que los humanos actúen como guardianes de cada decisión.

El cambio hacia la intervención humana implica que los sistemas de IA pueden realizar muchas de las tareas rutinarias que antes llevaban a cabo los analistas, como priorizar alertas, recopilar contexto, correlacionar datos y ejecutar ciertas acciones correctivas. El rol humano pasa a ser de supervisión y validación, en lugar de ejecución manual.

En términos operativos, esto permite que los analistas dediquen menos tiempo a la gestión de alertas y más a tareas de mayor valor, como la búsqueda de amenazas, la ingeniería de detección, la simulación de adversarios y la mejora de la arquitectura defensiva. Si bien los humanos siguen siendo esenciales, su función evoluciona hacia la supervisión, el juicio y la estrategia, en lugar de ser los principales procesadores de datos de seguridad.

Se habla mucho de "IA segura desde el diseño". Desde su perspectiva, ¿por qué este concepto debe extenderse más allá de la seguridad de los modelos e incluir sistemas de identidad, arquitectura de permisos y capas de orquestación?

Muchos debates sobre la IA segura se centran en el modelo en sí, por ejemplo, en la protección de los datos de entrenamiento, la prevención de la manipulación del modelo o la defensa contra ataques de inyección rápida. Si bien estos son problemas reales, representan solo una parte del riesgo.

En la práctica, los sistemas de IA operan como parte de ecosistemas digitales mucho más amplios. Acceden a datos, interactúan con API, activan flujos de trabajo y, cada vez más, operan a través de agentes que pueden actuar con cierto grado de autonomía.

Cuando esto sucede, la identidad y los permisos se convierten en el eje de control. Los agentes de IA son, en esencia, nuevas identidades digitales dentro de la empresa. Si estas identidades no se gestionan adecuadamente, pueden generar riesgos significativos.

Por lo tanto, la IA segura desde su diseño debe abarcar la gobernanza de identidades, los controles de acceso, las capas de orquestación y los sistemas de monitorización que rastrean las actividades de estos agentes. Las organizaciones deben tratar a los agentes de IA como si fueran usuarios humanos, con permisos definidos, auditorías y supervisión; de lo contrario, la superficie de ataque se expande rápidamente.

Muchas empresas están integrando herramientas de IA en sus flujos de trabajo de seguridad tradicionales, diseñados para la velocidad humana. ¿Cuáles son los cambios arquitectónicos más importantes que las organizaciones deben implementar para aprovechar al máximo la IA en la ciberdefensa?

Una práctica común consiste en integrar la IA en procesos y flujos de trabajo heredados, diseñados para operaciones manuales. No es un mal primer paso, sobre todo ahora que la visión artificial es una realidad. Por ejemplo, Deloitte ha creado un agente que puede entrenarse para reemplazar al humano en el proceso de administración y gestión de identidades sin necesidad de desechar las soluciones de software existentes, cuyo desmantelamiento sería complejo. Esto puede generar importantes ahorros de costes.

Sin embargo, la ventaja futura radica en que las empresas probablemente comenzarán a replantearse los flujos de trabajo de seguridad de principio a fin: modernizar la base de datos para que las herramientas de seguridad puedan acceder de forma fiable a una telemetría bien estructurada y de alta calidad; y crear una orquestación para que las funciones de detección, respuesta e identidad operen como un sistema coordinado, no como herramientas desconectadas.

La identidad se erige como uno de los controles más críticos. Con la creciente automatización y la introducción de agentes de IA, el número de identidades no humanas aumenta significativamente. Gestionar estas identidades de forma eficaz se vuelve esencial para mantener el control.

La seguridad nativa de la IA es, en última instancia, una combinación de mejores datos, mejor orquestación y gobernanza que tiene en cuenta tanto a los actores humanos como a las máquinas.

A medida que los sistemas de IA se vuelven más autónomos, la superficie de ataque se expande a áreas como la orquestación de agentes, las cadenas de API y los flujos de toma de decisiones automatizados. ¿Cuál de estas superficies emergentes le preocupa más?

Si tuviera que elegir un área que merece atención inmediata, sería la identidad y los permisos de acceso a los datos dentro de los sistemas controlados por agentes.

A medida que las organizaciones incorporan más IA con capacidad de gestión, crean una creciente población de agentes autónomos que operan dentro de la empresa. Estos agentes pueden tener acceso a datos, API y flujos de trabajo increíblemente potentes, lo que los convierte en un objetivo atractivo para un atacante si los permisos no se diseñan, supervisan y auditan rigurosamente. Es fundamental tratar a cada agente como a un nuevo empleado: asignarle un nombre, definir su alcance, supervisarlo y permitir su desconexión rápida en caso necesario.

Las cadenas de API y los sistemas automatizados de toma de decisiones también conllevan riesgos, pero la gobernanza de identidades suele ser el control fundamental. Si no se puede determinar con claridad quién es un agente, qué puede gestionar y qué acciones realizó, en realidad no se le controla.

Desde la perspectiva del consejo de administración, ¿cómo perciben actualmente los ejecutivos y directores el riesgo cibernético impulsado por la IA, y dónde observa la mayor brecha entre la realidad técnica y la comprensión a nivel del consejo?

Los consejos de administración son cada vez más conscientes de que, si bien la IA ofrece enormes oportunidades, también conlleva riesgos significativos. La mayoría de los consejeros entienden que la IA transformará las empresas y están empezando a plantearse preguntas sobre gobernanza, seguridad y resiliencia.

La brecha suele manifestarse en la velocidad y la complejidad. Muchas conversaciones en los consejos de administración siguen recurriendo a los marcos de ciberseguridad tradicionales —que siguen siendo importantes—, pero estos no siempre reflejan la rapidez con la que pueden evolucionar y escalar las amenazas impulsadas por la IA.

Otro problema radica en que la pregunta "¿Es segura nuestra IA?" parece una simple cuestión, pero la respuesta abarca la gobernanza de datos, la integridad de los modelos, la gestión de identidades y la orquestación en múltiples sistemas. Los consejos de administración que están reduciendo esta brecha impulsan informes basados ​​en controles que hacen visibles y verificables estos componentes, e invierten tiempo en capacitar a los directivos para que la supervisión avance al ritmo de la tecnología.

La IA se utiliza cada vez más en ambos bandos del campo de batalla. ¿Estamos entrando en una carrera armamentística permanente de ciberseguridad entre IA? Y, de ser así, ¿qué ventajas tienen los defensores que los atacantes podrían tener dificultades para replicar?

Estamos claramente en una era donde la IA es utilizada tanto por atacantes como por defensores. Los adversarios ya la aplican para acelerar el reconocimiento, identificar vulnerabilidades y automatizar partes del ciclo de vida del ataque. Pero los defensores aún cuentan con ventajas reales si deciden utilizarla.

Los defensores tienen visibilidad de su propio entorno, acceso a la telemetría interna y la capacidad de crear arquitecturas por capas que los atacantes deben sortear. La IA puede ayudar a los defensores a analizar enormes volúmenes de datos en redes, dispositivos y identidades, lo que les permite detectar comportamientos anómalos mucho antes.

El problema radica en la adopción. Si los defensores se estancan en flujos de trabajo manuales mientras los atacantes automatizan, la asimetría se vuelve brutal. La carrera armamentística es real, y los ganadores serán quienes implementen la IA con una gobernanza sólida, no quienes solo la prueben experimentalmente.

En su trabajo asesorando a grandes empresas, ¿cuáles son los errores más comunes que cometen las organizaciones al intentar integrar la IA en su estrategia de ciberseguridad?

Uno de los errores más comunes que observamos es tratar la IA como una herramienta independiente en lugar de como un cambio arquitectónico. Los equipos realizan experimentos aislados sin actualizar la base de datos, el modelo de gobernanza ni los procesos operativos necesarios para mantener el impacto, lo que provoca un estancamiento en los resultados.

Otro error consiste en implementar capacidades de IA sin tener plenamente en cuenta los nuevos riesgos: nuevas identidades, nuevos flujos de datos y rutas de decisión automatizadas que amplían la superficie de ataque. Si se incorporan sin los controles adecuados, la IA puede generar fragilidad en lugar de resiliencia.

Finalmente, muchas organizaciones subestiman la importancia del compromiso de la fuerza laboral. Los profesionales que gestionan las operaciones de seguridad a diario saben dónde radican los problemas y qué significa un buen desempeño. Las transformaciones más exitosas involucran a estos equipos desde el principio para que la tecnología potencie su criterio en lugar de interferir con él.

De cara a los próximos tres a cinco años, ¿cómo será el centro de operaciones de seguridad nativo de IA en comparación con los entornos SOC actuales?

Bueno, probablemente tendrá un aspecto muy diferente, en muchos aspectos que no puedo predecir. Lo más probable es que el SOC del futuro funcione como un equipo híbrido, compuesto por personal humano y digital. Los sistemas de IA se encargarán de gran parte del procesamiento de datos, la correlación y la respuesta inicial. Los sistemas basados ​​en agentes ayudarán a automatizar los flujos de trabajo en la gestión de vulnerabilidades, la gobernanza de identidades, la respuesta a incidentes y la monitorización continua de controles.

Los analistas humanos siguen siendo esenciales, pero el centro de gravedad se desplaza: supervisar los sistemas de IA, validar los casos de uso de detección (en lugar de escribirlos), investigar amenazas complejas y mejorar la arquitectura defensiva.
El objetivo no es eliminar a los humanos, sino potenciar su papel. En lugar de dedicar tiempo a priorizar alertas y recopilar datos manualmente, los analistas se centrarán en los aspectos estratégicos de la ciberseguridad. La pregunta será: "¿Cómo formaremos a la próxima generación de profesionales de la seguridad cuando los niveles 1 y 2 estén completamente automatizados?". Quizás la respuesta resida en la notable mejora de la tecnología de simulación y formación que la IA puede ayudarnos a desarrollar.

Las organizaciones que logren crear una plantilla híbrida eficaz, combinando la experiencia humana con la automatización impulsada por la IA, probablemente estarán mejor posicionadas para operar a la velocidad que exige el entorno de amenazas actual.

Gracias por la gran entrevista, los lectores que deseen obtener más información deben visitar Deloitte o leer nuestra entrevista anterior.

Temas relacionados:
mm

Antoine es un líder visionario y socio fundador de Unite.AI, impulsado por una pasión inquebrantable por dar forma y promover el futuro de la IA y la robótica. Es un emprendedor en serie y cree que la IA será tan disruptiva para la sociedad como la electricidad, y a menudo se le escucha hablar maravillas sobre el potencial de las tecnologías disruptivas y la IA general.

Como titular de futurista, se dedica a explorar cómo estas innovaciones darán forma a nuestro mundo. Además, es el fundador de Valores.io, una plataforma centrada en invertir en tecnologías de vanguardia que están redefiniendo el futuro y transformando sectores enteros.