Ciberseguridad

Los equipos de seguridad están reparando las amenazas equivocadas. Aquí está cómo corregir el rumbo en la era de los ataques de AI

mm
Published
Updated

Los ciberataques ya no son operaciones manuales y lineales. Con la IA ahora integrada en las estrategias ofensivas, los atacantes están desarrollando malware polimórfico, automatizando la reconnaissance y sorteando las defensas más rápido de lo que muchos equipos de seguridad pueden responder. Esto no es un escenario futuro, está sucediendo ahora.

Al mismo tiempo, la mayoría de las defensas de seguridad todavía son reactivas. Confían en identificar indicadores de compromiso conocidos, aplicar patrones de ataque históricos y marcar riesgos en función de puntuaciones de gravedad que pueden no reflejar el verdadero paisaje de amenazas. Los equipos están abrumados por el volumen, no por la perspicacia, creando un entorno perfecto para que los atacantes tengan éxito.

La mentalidad heredada de la industria, construida alrededor de listas de verificación de cumplimiento, evaluaciones periódicas y herramientas fragmentadas, se ha convertido en una responsabilidad. Los equipos de seguridad están trabajando más duro que nunca, pero a menudo están reparando las cosas equivocadas.

Por qué existe esta brecha

La industria de la ciberseguridad ha confiado durante mucho tiempo en puntuaciones de riesgo como CVSS para priorizar vulnerabilidades. Sin embargo, las puntuaciones de CVSS no reflejan el contexto real de la infraestructura de una organización, como si una vulnerabilidad está expuesta, es alcanzable o explotable dentro de una ruta de ataque conocida.

Como resultado, los equipos de seguridad a menudo dedican tiempo valioso a parchear problemas no explotables, mientras que los atacantes encuentran formas creativas de encadenar debilidades pasadas por alto y sortear controles.

La situación se complica aún más por la naturaleza fragmentada de la pila de seguridad. Los sistemas de detección y respuesta de puntos finales (EDR), las herramientas de gestión de vulnerabilidades (VM) y las plataformas de gestión de postura de seguridad en la nube (CSPM) operan de forma independiente. Esta telemetría siloizada crea puntos ciegos que los atacantes habilitados por IA están cada vez más capacitados para explotar.

La detección basada en firmas está desapareciendo

Una de las tendencias más preocupantes en la ciberseguridad moderna es el valor disminuido de los métodos de detección tradicionales. Las firmas estáticas y la alerta basada en reglas fueron efectivas cuando las amenazas seguían patrones predecibles. Pero los ataques generados por IA no siguen esas reglas. Mutan el código, evaden la detección y se adaptan a los controles.

Tomen el malware polimórfico, que cambia su estructura con cada implementación. O los correos electrónicos de phishing generados por IA que imitan los estilos de comunicación de los ejecutivos con una precisión alarmante. Estas amenazas pueden pasar por completo las herramientas basadas en firmas.

Si los equipos de seguridad continúan confiando en identificar lo que ya ha sido visto, se quedarán un paso atrás de los adversarios que están innovando continuamente.

La presión regulatoria está aumentando

El problema no es solo técnico, es regulatorio. La Comisión de Valores y Bolsa de los EE. UU. (SEC) introdujo recientemente nuevas reglas de divulgación de ciberseguridad, que requieren que las empresas públicas informen sobre incidentes cibernéticos materiales y describan sus estrategias de gestión de riesgos en tiempo real. De manera similar, el Acta de Resiliencia Operativa Digital de la Unión Europea (DORA) exige un cambio de evaluaciones periódicas a una gestión de riesgos cibernéticos continua y validada.

La mayoría de las organizaciones no están preparadas para este cambio. Carecen de la capacidad de proporcionar evaluaciones en tiempo real de si sus controles de seguridad actuales son efectivos contra las amenazas de hoy, especialmente a medida que la IA continúa evolucionando esas amenazas a velocidad de máquina.

La priorización de amenazas está rota

El desafío fundamental radica en cómo las organizaciones priorizan el trabajo. La mayoría todavía confía en sistemas de puntuación de riesgo estáticos para determinar qué se arregla y cuándo. Estos sistemas rara vez tienen en cuenta el entorno en el que existe una vulnerabilidad, ni si está expuesta, es alcanzable o explotable.

Esto ha llevado a que los equipos de seguridad dediquen tiempo y recursos significativos a arreglar vulnerabilidades que no son atacables, mientras que los atacantes encuentran formas de encadenar problemas pasados por alto con puntuaciones más bajas para ganar acceso. El modelo tradicional de “encontrar y arreglar” se ha convertido en una forma ineficiente y a menudo ineficaz de gestionar el riesgo cibernético.

La seguridad debe evolucionar desde reaccionar a las alertas hacia comprender el comportamiento del adversario: cómo un atacante movería realmente a través de un sistema, qué controles podría sortear y dónde se encuentran las verdaderas debilidades.

Un mejor camino hacia adelante: defensa proactiva y basada en rutas de ataque

¿Qué pasa si, en lugar de reaccionar a las alertas, los equipos de seguridad pudieran simular continuamente cómo los atacantes reales intentarían infiltrarse en su entorno y arreglar solo lo que más importa?

Este enfoque, a menudo llamado validación de seguridad continua o simulación de rutas de ataque, está ganando impulso como un cambio estratégico. En lugar de tratar las vulnerabilidades de forma aislada, mapea cómo los atacantes podrían encadenar malas configuraciones, debilidades de identidad y activos vulnerables para llegar a sistemas críticos.

Al simular el comportamiento del adversario y validar los controles en tiempo real, los equipos pueden centrarse en riesgos explotables que realmente exponen al negocio, no solo en los que marcan las herramientas de cumplimiento.

Recomendaciones para los CISO y los líderes de seguridad

Aquí hay lo que los equipos de seguridad deben priorizar hoy para mantenerse por delante de los ataques generados por IA:

  • Implementar simulaciones de ataque continuas Adoptar herramientas de emulación de adversarios automatizadas y impulsadas por IA que prueben sus controles de la manera en que los atacantes reales lo harían. Estas simulaciones deben ser continuas, no solo reservadas para ejercicios de equipo rojo anuales.
  • Priorizar la explotabilidad sobre la gravedad Ir más allá de las puntuaciones de CVSS. Incorporar el análisis de rutas de ataque y la validación contextual en sus modelos de riesgo. Preguntar: ¿Es esta vulnerabilidad alcanzable? ¿Puede ser explotada hoy?
  • Unificar la telemetría de seguridad Consolidar datos de SIEM, CSPM, EDR y VM en una vista centralizada y correlacionada. Esto permite el análisis de rutas de ataque y mejora la capacidad de detectar intrusiones complejas y multietapa.
  • Automatizar la validación de la defensa Cambiar de la ingeniería de detección manual a la validación impulsada por IA. Utilizar el aprendizaje automático para asegurarse de que las estrategias de detección y respuesta evolucionen junto con las amenazas que están diseñadas para detener.
  • Modernizar los informes de riesgo cibernético Reemplazar los paneles de riesgo estáticos con evaluaciones de exposición en tiempo real. Alinear con marcos como MITRE ATT&CK para demostrar cómo los controles se relacionan con comportamientos de amenazas del mundo real.

Las organizaciones que cambian a la validación continua y la priorización basada en la explotabilidad pueden esperar mejoras medibles en múltiples dimensiones de las operaciones de seguridad. Al centrarse solo en amenazas de alto impacto y acción, los equipos de seguridad pueden reducir la fatiga de las alertas y eliminar las distracciones causadas por falsos positivos o vulnerabilidades no explotables. Este enfoque enfocado permite respuestas más rápidas y efectivas a los ataques reales, reduciendo significativamente el tiempo de permanencia y mejorando el aislamiento de incidentes.

Además, este enfoque mejora la alineación regulatoria. La validación continua satisface las crecientes demandas de marcos como las reglas de divulgación de ciberseguridad de la SEC y la regulación DORA de la UE, que requieren visibilidad en tiempo real del riesgo cibernético. Quizás lo más importante es que esta estrategia garantiza una asignación de recursos más eficiente y permite que los equipos inviertan su tiempo y atención donde más importa, en lugar de dispersarse en una amplia superficie de riesgo teórico.

Es hora de adaptarse

La era del cibercrimen impulsado por IA ya no es una predicción, es el presente. Los atacantes están utilizando la IA para encontrar nuevos caminos. Los equipos de seguridad deben utilizar la IA para cerrarlos.

No se trata de agregar más alertas o parchear más rápido. Se trata de saber qué amenazas importan, validar las defensas continuamente y alinear la estrategia con el comportamiento real de los atacantes. Solo entonces pueden los defensores recuperar la ventaja en un mundo donde la IA está reescribiendo las reglas de compromiso.

mm

Om Moolchandani es el co-fundador, Director de Seguridad de la Información (CISO) y Director de Producto (CPO) de Tuskira. Con una licenciatura y maestría en Ciencias de la Computación, Om aporta una profunda experiencia en seguridad en la nube, cumplimiento y software empresarial. Anteriormente, ocupó puestos de seguridad y producto senior en empresas líderes como CrowdStrike, Tenable, GE y AutoGrid. Antes de Tuskira, también co-fundó Accurics, una empresa pionera en CNAPP adquirida por Tenable. Om es conocido por crear soluciones seguras y escalables que abordan los desafíos de ciberseguridad modernos.