Mark Nicholson, Líder de Modernización de Ciberseguridad de Deloitte en EE. UU. – Serie de Entrevistas: Una Conversación de Regreso

Mark Nicholson, Líder de Modernización de Ciberseguridad de Deloitte en EE. UU., es un director de Deloitte con más de dos décadas de experiencia en la intersección de la ciberseguridad, la inteligencia artificial y el riesgo empresarial. Lidera las iniciativas de ciberseguridad con inteligencia artificial y la estrategia comercial para la práctica de ciberseguridad de Deloitte, ayudando a las grandes organizaciones a modernizar sus marcos de seguridad y a alinear las inversiones en ciberseguridad con los paisajes de riesgo en constante evolución. Antes de unirse a Deloitte, cofundó y se desempeñó como director de operaciones de Vigilant, Inc., una empresa de consultoría de seguridad de la información centrada en la inteligencia de amenazas y el monitoreo de eventos maliciosos. Su carrera anterior en ventas y desarrollo de negocios en varias empresas de tecnología le proporcionó una base sólida en ambos aspectos técnicos y comerciales de la ciberseguridad.

Deloitte es una de las firmas de servicios profesionales más grandes del mundo, que ofrece servicios de auditoría, consultoría, impuestos y asesoramiento a organizaciones de casi todas las industrias. Su práctica de ciberseguridad se centra en ayudar a las empresas a navegar por entornos de amenazas cada vez más complejos, al mismo tiempo que habilita la transformación digital a través de tecnologías como la inteligencia artificial. La firma proporciona servicios que abarcan la estrategia de ciberseguridad, la resiliencia, la gestión de riesgos y la seguridad empresarial, posicionando la ciberseguridad como una función protectora y un habilitador estratégico de la innovación y el crecimiento.

Esta entrevista sigue a una entrevista anterior que se publicó en 2025.

Ha estado involucrado en la ciberseguridad desde los primeros días del monitoreo de amenazas modernas, incluyendo la cofundación de Vigilant y el lanzamiento de capacidades de Seguridad de la Información y Gestión de Eventos (SIEM) y de inteligencia de amenazas. ¿Cómo ha cambiado la evolución desde esos primeros sistemas de monitoreo hasta las plataformas de defensa cibernética impulsadas por inteligencia artificial de hoy en día la forma en que las organizaciones detectan y responden a las amenazas?

Cuando empezamos a construir plataformas de monitoreo en los primeros días de SIEM, el desafío principal era obtener los datos en un solo lugar y darles sentido. Recuerdo cuando los analistas imprimían los registros de firewall cada mañana y los revisaban manualmente para tratar de encontrar anomalías. Incluso cuando SIEM maduró, había un problema de escala. La velocidad humana no podía seguir el ritmo de la gran cantidad de eventos detectados. A pesar del uso de la automatización, los defensores cibernéticos todavía tenían un problema de correlación de datos y análisis, constantemente laborando para redactar nuevas reglas, a menudo en respuesta a fallos de monitoreo.

Una de las esperanzas es que la inteligencia artificial cambie esa dinámica de manera fundamental. Más allá de desplegar capacidades de agente para automatizar las operaciones de seguridad de nivel 1, la inteligencia artificial promete ayudar a mover la detección y la respuesta de “después del hecho” a “mientras sucede” mediante el uso de algoritmos de monitoreo de ajuste dinámico de máquina. En algunos casos, las organizaciones cibernéticas también se sentirán cómodas permitiendo que la inteligencia artificial inicie acciones de remediación.

Pero la parte difícil no desaparece, se desplaza. A medida que los sistemas se vuelven más autónomos y complejos, la confianza y la observabilidad se convierten en un campo de batalla: ¿Qué está haciendo el sistema, por qué lo está haciendo y cómo sabemos que no ha sido manipulado? La oportunidad con la inteligencia artificial es enorme, pero también aumenta las apuestas cuando el entorno opera a velocidad de máquina.

Ha señalado que la inteligencia artificial está permitiendo a los adversarios automatizar la exploración, generar exploits y acelerar los ciclos de ataque. En términos prácticos, ¿cuánto ha comprimido la inteligencia artificial el tiempo entre el descubrimiento de la vulnerabilidad y la explotación?

Historicamente, había una ventana entre el descubrimiento de la vulnerabilidad y la explotación. Había urgencia, pero generalmente, a menos que se fuera golpeado por un día cero, había tiempo para entender la amenaza, parchear y mitigar antes de que un atacante pudiera desplegar exploits a gran escala. La inteligencia artificial ha eliminado prácticamente esa ventana.

Los adversarios pueden automatizar la exploración, escanear continuamente en busca de exposición y utilizar herramientas habilitadas por inteligencia artificial para acelerar partes del desarrollo de exploits y la orientación. En muchos casos, lo que solía desarrollarse durante semanas puede ahora comprimirse en horas, y en escenarios altamente automatizados, puede ser más rápido de lo que la mayoría de los programas de seguridad están diseñados para manejar.

La moraleja es simple: los equipos de seguridad necesitan automatización y inteligencia artificial en el lado de la defensa, combinados con controles sólidos, si desean mantener el ritmo.

Los equipos de seguridad están pasando cada vez más de modelos de “humano en el bucle” a modelos de supervisión “humano en el bucle”. ¿Cómo se ve ese cambio operativamente dentro de un Centro de Operaciones de Seguridad (SOC) moderno, y cómo deben las organizaciones replantear los roles de los analistas a medida que la inteligencia artificial asume tareas más autónomas?

En un SOC tradicional, los analistas se sientan en el centro de cada punto de decisión. Las alertas llegan, los analistas las triajan, las investigan y determinan qué acciones deben tomarse. Ese enfoque funcionaba cuando el volumen de alertas y el ritmo de los ataques eran manejables. Pero en el entorno actual, la escala de la actividad es simplemente demasiado grande para que los humanos actúen como guardianes de cada decisión.

El cambio a humanos en el bucle significa que los sistemas de inteligencia artificial pueden realizar muchas de las tareas rutinarias que los analistas manejaban previamente, como la triaje de alertas, la recopilación de contexto, la correlación de datos y la ejecución de ciertas acciones de remediación. El papel humano se convierte en uno de supervisión y validación en lugar de ejecución manual.

Operativamente, eso desplaza el tiempo de los analistas lejos de “moler alertas” y hacia un trabajo de mayor valor, como la caza de amenazas, la ingeniería de detección, la simulación de adversarios y la mejora de la arquitectura defensiva. Los humanos siguen siendo esenciales, pero su papel evoluciona hacia la supervisión, el juicio y la estrategia en lugar de actuar como el procesador principal de datos de seguridad.

Estamos escuchando mucho sobre “Seguridad de Inteligencia Artificial por Diseño”. Desde su perspectiva, ¿por qué ese concepto necesita extenderse más allá de la seguridad del modelo hasta los sistemas de identidad, la arquitectura de permisos y las capas de orquestación?

Muchas discusiones sobre la seguridad de la inteligencia artificial se centran mucho en el modelo en sí, como proteger los datos de entrenamiento, prevenir la intoxicación del modelo o defenderse contra ataques de inyección de prompts. Esos son problemas reales, pero solo son parte del riesgo.

En la práctica, los sistemas de inteligencia artificial operan como parte de ecosistemas digitales mucho más grandes. Acceden a datos, interactúan con API, desencadenan flujos de trabajo y operan cada vez más a través de agentes que pueden actuar con un grado de autonomía.

Cuando eso sucede, la identidad y los permisos se convierten en el plano de control. Los agentes de inteligencia artificial son efectivamente nuevas identidades digitales dentro de la empresa. Si esas identidades no se gobiernan adecuadamente, pueden introducir riesgos significativos.

La seguridad de la inteligencia artificial por diseño, por lo tanto, necesita extenderse a la gobernanza de identidad, el control de acceso, las capas de orquestación y los sistemas de monitoreo que rastrean lo que esos agentes están haciendo. Las organizaciones necesitan tratar a los agentes de inteligencia artificial de la misma manera que tratan a los usuarios humanos, con permisos definidos, auditorías y supervisión, de lo contrario, la superficie de ataque se expande rápidamente.

Muchas empresas están superponiendo herramientas de inteligencia artificial sobre flujos de trabajo de seguridad heredados que se diseñaron para la velocidad humana. ¿Cuáles son los cambios arquitectónicos más importantes que las organizaciones necesitan hacer para aprovechar realmente la inteligencia artificial en la defensa cibernética?

Un patrón común es agregar inteligencia artificial a procesos y flujos de trabajo heredados que se diseñaron para operaciones impulsadas por humanos. No es un enfoque malo, especialmente a medida que la visión por computadora se ha vuelto una realidad. Por ejemplo, Deloitte ha creado un agente que puede entrenarse para reemplazar al humano en el proceso de gobernanza y administración de identidad sin descartar las soluciones de software de propósito específico existentes que serían difíciles de reemplazar. Esto puede impulsar ahorros de costos dramáticos.

El beneficio futuro, sin embargo, es que las empresas probablemente comenzarán a replantear los flujos de trabajo de seguridad de principio a fin: modernizar la base de datos para que las herramientas de seguridad puedan acceder de manera confiable a telemetría de alta calidad y bien estructurada; construir orquestación para que las funciones de detección, respuesta e identidad operen como un sistema coordinado, no como herramientas desconectadas.

La identidad prevalece como uno de los controles más críticos. A medida que se introducen más automatización y agentes de inteligencia artificial, el número de identidades no humanas crece significativamente. Administrar esas identidades de manera efectiva es esencial para mantener el control.

La seguridad nativa de inteligencia artificial es en última instancia una mezcla de mejores datos, mejor orquestación y gobernanza que tiene en cuenta tanto a actores humanos como a máquinas.

A medida que los sistemas de inteligencia artificial se vuelven más autónomos, la superficie de ataque se expande a áreas como la orquestación de agentes, las cadenas de API y las tuberías de decisión automatizadas. ¿Cuál de estas superficies emergentes le preocupa más?

Si tuviera que elegir un área que merece atención inmediata, es la identidad y los permisos de acceso de datos dentro de los sistemas impulsados por agentes.

A medida que las organizaciones introducen más inteligencia artificial agente, están creando una población en crecimiento de actores autónomos que operan dentro de la empresa. Esos agentes pueden tener acceso a datos, API y flujos de trabajo que son increíblemente poderosos, y eso los convierte en un camino atractivo para un atacante si los permisos no se diseñan, monitorean y auditan rigurosamente. Es importante tratar a cada agente como a un nuevo empleado: nombrarlo, delimitarlo, monitorearlo y permitir que se desconecte rápidamente si es necesario.

Las cadenas de API y las tuberías de decisión automatizadas introducen riesgos, también, pero la gobernanza de identidad es a menudo el control fundamental. Si no puede responder claramente a quién es un agente, qué puede tocar y qué hizo, no controla realmente el agente.

Desde la perspectiva de la sala de juntas, ¿cómo están pensando actualmente los directivos y consejeros sobre el riesgo cibernético impulsado por inteligencia artificial, y dónde ve el mayor vacío entre la realidad técnica y la comprensión a nivel de junta directiva?

Las juntas directivas están cada vez más conscientes de que, si bien la inteligencia artificial trae enormes oportunidades, también puede traer riesgos significativos. La mayoría de los directores entienden que la inteligencia artificial dará forma a la transformación empresarial y están comenzando a hacer preguntas sobre la gobernanza, la seguridad y la resiliencia.

Donde se produce el vacío es a menudo la velocidad y la complejidad. Muchas conversaciones de la junta directiva todavía se basan en marcos de ciberseguridad tradicionales, que siguen siendo importantes, pero no siempre reflejan cómo pueden evolucionar y escalarse rápidamente las amenazas impulsadas por inteligencia artificial.

La otra desconexión es que “¿Está nuestra inteligencia artificial segura?” suena como una sola pregunta, pero la respuesta se encuentra en la gobernanza de datos, la integridad del modelo, la gestión de identidad y la orquestación a través de múltiples sistemas. Las juntas directivas que están cerrando el vacío están presionando para obtener informes basados en controles que hagan visibles y verificables esas partes móviles, y están invirtiendo tiempo en desarrollar la fluidez de los directores, para que la supervisión siga el ritmo de la tecnología.

La inteligencia artificial se está utilizando cada vez más en ambos lados del campo de batalla. ¿Estamos entrando en una carrera armamentística permanente de ciberseguridad de inteligencia artificial versus inteligencia artificial, y si es así, ¿qué ventajas tienen los defensores que los atacantes pueden tener dificultades para replicar?

Estamos claramente en una era en la que la inteligencia artificial se está utilizando tanto por los atacantes como por los defensores. Los adversarios ya están aplicando inteligencia artificial para acelerar la exploración, identificar vulnerabilidades y automatizar partes del ciclo de ataque. Pero los defensores todavía tienen ventajas reales si eligen utilizarlas.

Los defensores tienen visibilidad en su propio entorno, acceso a telemetría interna y la capacidad de construir arquitecturas en capas que los atacantes deben navegar. La inteligencia artificial puede ayudar a los defensores a analizar enormes volúmenes de datos a través de redes, puntos finales e identidades, lo que les da el potencial de detectar comportamiento anómalo mucho antes.

El problema es la adopción. Si los defensores se quedan atascados en flujos de trabajo manuales mientras los atacantes se automatizan, la asimetría se vuelve brutal. La carrera armamentística es real, y los ganadores serán aquellos que desplieguen inteligencia artificial con una sólida gobernanza, no aquellos que solo la prueben.

En su trabajo asesorando a grandes empresas, ¿cuáles son los errores más comunes que cometen las organizaciones al intentar integrar la inteligencia artificial en su estrategia de ciberseguridad?

Uno de los errores más comunes que vemos es tratar a la inteligencia artificial como una herramienta independiente en lugar de un cambio arquitectónico. Los equipos realizan experimentos aislados sin mejorar la base de datos, el modelo de gobernanza o los procesos operativos necesarios para sostener el impacto, lo que lleva a un estancamiento en los resultados.

Otro error es desplegar capacidades de inteligencia artificial sin tener completamente en cuenta los nuevos riesgos: nuevas identidades, nuevos flujos de datos y tuberías de decisión automatizadas que expanden la superficie de ataque. Si esas se agregan sin los controles adecuados en su lugar, la inteligencia artificial puede agregar fragilidad en lugar de resiliencia.

Finalmente, muchas organizaciones subestiman la importancia de la participación de la fuerza laboral. Los profesionales que operan la seguridad todos los días saben dónde está la fricción y qué se considera “bueno”. Las transformaciones más fuertes involucran a esos equipos desde el principio para que la tecnología amplifique su juicio en lugar de interrumpirlo.

Mirando hacia adelante tres a cinco años, ¿cómo se ve el centro de operaciones de seguridad nativo de inteligencia artificial en comparación con los entornos de SOC de hoy en día?

Bueno, probablemente se verá muy diferente, de muchas maneras que no puedo predecir. Es probable que el SOC del futuro opere como una fuerza laboral híbrida humana y digital. Los sistemas de inteligencia artificial manejarán gran parte del procesamiento de datos, la correlación y la respuesta inicial. Los sistemas agente ayudarán a automatizar flujos de trabajo a través de la gestión de vulnerabilidades, la gobernanza de identidad, la respuesta a incidentes y el monitoreo continuo de controles.

Los analistas humanos siguen siendo esenciales, pero el centro de gravedad se desplaza: supervisando los sistemas de inteligencia artificial, validando casos de uso de detección (en lugar de escribirlos), investigando amenazas complejas y mejorando la arquitectura defensiva.
El objetivo no es eliminar a los humanos, sino más bien elevar sus roles. En lugar de pasar tiempo triajeando alertas y ensamblando manualmente datos, los analistas se centrarán en los aspectos estratégicos de la ciberseguridad. La pregunta será, “¿cómo capacitaremos a la próxima generación de profesionales de la seguridad cuando los niveles 1 y 2 estén completamente automatizados?” Quizás la respuesta se encuentre en la mejora dramática de la tecnología de simulación y capacitación que la inteligencia artificial puede ayudarnos a desarrollar.

Las organizaciones que construyan con éxito una fuerza laboral híbrida exitosa, combinando la experiencia humana con la automatización impulsada por inteligencia artificial, probablemente estarán mejor posicionadas para operar a la velocidad requerida en el entorno de amenazas moderno.

Gracias por la gran entrevista, los lectores que deseen aprender más pueden visitar Deloitte o leer nuestra entrevista anterior.