Hace dos semanas, un presunto actor de amenazas norcoreano deslizó un código malicioso en un paquete dentro de Axios, una biblioteca JavaScript ampliamente utilizada. La preocupación inmediata fue el radio de la explosión: aproximadamente 100 millones de descargas semanales que abarcan empresas, nuevas empresas y sistemas gubernamentales. Pero más allá de la magnitud, la velocidad del ataque fue igualmente preocupante: un crudo recordatorio del ritmo al que ahora operan los adversarios modernos.

El compromiso de Axios se identificó a los pocos minutos de la publicación. por un investigador de Elastic utilizando una herramienta de monitoreo impulsada por IA que analizó los cambios en el registro de paquetes en tiempo real. El enfoque era correcto: la IA clasifica los cambios de código a la velocidad de la máquina, en el momento de la publicación, antes de que se produzcan daños. Desde cualquier punto de vista, fue una respuesta rápida. El paquete comprometido fue eliminado en unas tres horas. Pero incluso en esas tres horas, es posible que el paquete ampliamente utilizado se haya descargado más de medio millón de veces.

Esto subraya una nueva realidad. Las empresas y el sector público se están viendo abrumados por ataques que aumentan tanto en velocidad como en complejidad, impulsados ​​en parte por la IA. Los adversarios están investigando cada eslabón de la cadena de suministro y lo están haciendo a un ritmo que las defensas de velocidad humana no pueden igualar.

Este proyecto es un ejemplo del uso de la IA para abordar un problema de seguridad, pero también presenta un argumento más amplio: la seguridad impulsada por la IA puede mejorar drásticamente la eficiencia del SOC, especialmente cuando las organizaciones de todo el sector público y más allá se están ahogando en ataques.

La amenaza directa al sector público

Las agencias gubernamentales dependen cada vez más de los mismos marcos de JavaScript de código abierto que el sector privado, por lo que un paquete envenenado puede dar a un adversario acceso a sistemas sensibles antes de que alguien se dé cuenta de que la cadena de suministro ha sido envenenada. Esta es una amenaza directa a la seguridad nacional y la infraestructura crítica, especialmente cuando las cargas útiles son multiplataforma y afectan a macOS, Windows y Linux.

Lo más crítico ahora es comprender y prepararse correctamente para la frecuencia y velocidad con la que ocurren estos ataques.

La IA ha reducido fundamentalmente la barrera a las operaciones cibernéticas sofisticadas, otorgando a los malos actores relativamente poco sofisticados y a los pequeños Estados-nación capacidades que alguna vez estuvieron reservadas para grupos y países criminales de élite. Los adversarios ahora aprovechan la IA para automatizar el reconocimiento, crear ingeniería social convincente y desarrollar malware evasivo. Con una nueva vulnerabilidad descubierta cada pocos minutos, el ritmo se está acelerando.

Para el sector público, el modelo de amenaza se ha ampliado. Defenderse de las estrategias conocidas de los Estados-nación ya no es suficiente; eso es sólo el punto de partida. Grupos que hace cinco años no podían ejecutarse a nivel de Estado-nación ahora operan con una sofisticación comparable, mientras que los actores patrocinados por el Estado operan con una velocidad y una automatización sin precedentes. Mantenerse a la vanguardia significa ir más allá de la defensa tradicional para enfrentar un panorama de amenazas cada vez más automatizado y ubicuo.

La IA no es opcional

La IA adversaria es la amenaza que define el entorno operativo actual. Reconocimiento automatizado. Ofuscación generada por IA. Implementación a velocidad de máquina en múltiples vectores simultáneamente. El adversario ha implementado la IA de forma más rápida y agresiva que la mayoría de los equipos defensivos.

La seguridad se está volviendo rápidamente incuestionable: si no utilizas la IA para luchar contra ella, perderás.

Eso no significa aceptar la fantasía del SOC autónomo. Ese enfoque trata la IA de forma aislada, como si los defensores fueran los únicos con acceso a la tecnología. La IA defensiva no es un botón para ganar, sino la tarifa de entrada mínima para mantenerse al nivel del atacante. Aún necesita contexto empresarial, conocimiento de la misión y criterio humano.

La transformación del SOC agente

El compromiso de Axios debería servir como una señal clara. Los actores del Estado-nación se dirigen a la cadena de suministro de software con una frecuencia y sofisticación cada vez mayores. Las agencias y organizaciones gubernamentales que se defenderán con éxito contra estas amenazas son las que construyen operaciones de seguridad que pueden moverse tan rápido como los actores de amenazas a los que se enfrentan.

Desde el punto de vista operativo, son necesarias operaciones de seguridad impulsadas por IA que puedan igualar la velocidad de las amenazas modernas, como flujos de trabajo agentes que clasifican, investigan y contienen automáticamente actividades sospechosas. Tener una mentalidad y un enfoque SOC agentes el funcionamiento de estos centros potenciará la actividad de los analistas. Los agentes operarán en nombre del analista de forma automática y transparente.

La pirámide SOC tradicional coloca a los humanos en la base, realizando el mayor volumen de trabajo. Un amplio nivel de analistas que clasifica las alertas, alimentando a un nivel más reducido de alto nivel que maneja las investigaciones. La IA adversaria ha hecho que esa capa base sea insostenible. El volumen es demasiado alto, la velocidad demasiado rápida, la superficie demasiado amplia. La pirámide se invierte en un diamante: la IA toma la base mientras los analistas ascienden para convertirse en ingenieros de amenazas: gestionan, validan y mejoran a los agentes que trabajan en su nombre.

Los agentes de IA manejan el gran volumen de trabajo de correlación de alertas, enriquecimiento de la investigación y contención inicial, mientras que los analistas humanos se centran en las decisiones estratégicas y el contexto de la misión. Estos agentes amplifican la experiencia que aportan los profesionales de seguridad del gobierno, entregando hallazgos correlacionados y previamente investigados en lugar de una avalancha de alertas desconectadas.

La rápida aceleración de ataques sofisticados exige este cambio esencial en todo el SOC. El sector público y la industria están experimentando una transformación significativa, alejándose de la clasificación de alertas presenciales hacia una era de ingeniería de amenazas de alto impacto. Al hacerlo, los equipos del sector público tendrán la capacidad de reducir en gran medida el tiempo medio para detectar/responder, lo que a su vez reducirá la fatiga de los analistas de SOC y comprimirá los plazos de investigación.

Mike Nichols es el director general de seguridad de Elastic.