Durante años, los ciberataques siguieron un patrón familiar: reconocimiento, explotación, persistencia, impacto. Los defensores construyeron sus estrategias en torno a ese ciclo, parcheando vulnerabilidades, monitoreando indicadores y trabajando para reducir el tiempo de permanencia. Pero se está produciendo un cambio más silencioso.

Los adversarios más sofisticados de la actualidad utilizan la IA para estudiar cómo se defienden las organizaciones. Llevan a cabo lo que llamamos “campañas de sondeo silencioso”: operaciones sutiles a largo plazo diseñadas para mapear cómo un equipo detecta amenazas, intensifica los problemas y responde bajo presión. Estas campañas se centran en conocer los hábitos, el flujo de trabajo y los puntos de decisión del defensor para que los atacantes puedan cronometrar y adaptar las acciones de seguimiento para evadir la detección. Esto reformula el riesgo cibernético, convirtiéndolo de un problema técnico en uno de comportamiento.

De encontrar vulnerabilidades a estudiar a los defensores

Históricamente, los atacantes se centraban únicamente en lagunas técnicas, ya fuera de un servidor sin parches, credenciales expuestas o una nube mal configurada. El objetivo era encontrar la debilidad y explotarla antes de que alguien más lo hiciera. El sondeo silencioso añade una nueva fase de “aprendizaje” a ese manual.

Los atacantes estudian cómo responde una organización con tanto cuidado como estudian sus sistemas. Utilizando IA durante semanas o meses, miden silenciosamente la velocidad de detección y escalamiento, aprenden qué alertas se ignoran e infieren patrones como cobertura de turnos, fatiga de alertas y cuellos de botella en los procesos.

Con el tiempo, estas sutiles sondas generan datos que alimentan los modelos adaptativos. Esos modelos ayudan a los atacantes a aprender qué desencadena una respuesta, qué tan rápido reaccionan los equipos y dónde tiende a fallar la detección. Esto significa que cuando finalmente se desarrolla un ataque importante, ya se ha optimizado frente a los patrones defensivos reales de la organización.

Al mismo tiempo, las organizaciones están incorporando IA en sus operaciones de seguridad, desde la clasificación automatizada hasta la orquestación de respuestas autónomas. Sin embargo, este cambio introduce un nuevo riesgo: los mismos sistemas diseñados para defender la empresa pueden convertirse en parte de la superficie de ataque.

A medida que las organizaciones dependen cada vez más de la IA para ejecutar sus operaciones de seguridad, estos sistemas necesitan una amplia visibilidad y acceso para funcionar correctamente. A menudo se conectan a plataformas en la nube, sistemas de identidad y controles de puntos finales para poder detectar amenazas y actuar rápidamente. Pero ese nivel de acceso crea una cantidad sustancial de poder. Si uno de estos sistemas impulsados ​​por IA se ve comprometido o manipulado, no solo expone una sola herramienta, sino que puede darle al atacante un amplio alcance en todo el entorno. En ese escenario, la tecnología diseñada para proteger a la organización puede acelerar el daño.

La automatización aumenta el riesgo cuando los sistemas de IA pueden tomar medidas sin la aprobación humana, como aislar dispositivos, restablecer contraseñas o cambiar configuraciones. Se requieren límites y barreras de seguridad claros, ya que las entradas manipuladas o las interpretaciones erróneas pueden desencadenar una perturbación rápida y de gran alcance. El riesgo depende de la autoridad del sistema y de los controles que lo rodean.

Las alucinaciones de la IA en las operaciones de seguridad pueden hacer que los sistemas identifiquen erróneamente las amenazas, aíslen los activos equivocados o pasen por alto la amenaza real. Los errores repetidos pueden erosionar la confianza en el sistema o, peor aún, crear una falsa sensación de confianza en sus decisiones automatizadas. Esto afecta el juicio, la toma de decisiones y cómo se entiende el riesgo en tiempo real.

El riesgo de defensas predecibles

Un sondeo silencioso revela cuán predecibles son las defensas de una organización. Los atacantes ahora buscan patrones en el comportamiento defensivo: consistencia de respuesta entre turnos, alertas ignoradas rutinariamente, pasos de respuesta a incidentes predecibles y si herramientas ruidosas ocultan accidentalmente amenazas que se mueven lentamente.

Cuando el comportamiento defensivo se vuelve visible y predecible, puede estudiarse y explotarse. Las organizaciones necesitan comprender cómo se ven sus defensas desde el exterior y evaluar su exposición conductual de la misma manera que los equipos rojos prueban los controles técnicos. Esto incluye comprender con qué facilidad un extraño puede identificar los umbrales de detección, con qué claridad se pueden medir los tiempos de respuesta y cuánta rutina operativa se puede aprender mediante sondeos silenciosos y repetidos. La pregunta clave es si los patrones de respuesta están enseñando involuntariamente a los atacantes cómo tener éxito.

Preparación en la era de la IA

Dado que la IA desempeña un papel más importante en las operaciones de seguridad, la supervisión debe evolucionar junto con ella. Una gobernanza sólida comienza con una definición clara de lo que se permite hacer a los sistemas de IA. Las organizaciones deben ser explícitas sobre qué acciones pueden ocurrir automáticamente y cuáles requieren aprobación humana. Por el contrario, los principios de privilegios mínimos deberían aplicarse no sólo a las personas, sino también a las máquinas. Las herramientas impulsadas por la IA deben probarse periódicamente y revisarse para detectar derivas, sesgos y conclusiones inexactas. Siempre que sea posible, las autoridades de detección y respuesta deben estar separadas para evitar concentrar demasiada energía en un solo sistema. La centralización sin control puede parecer eficiente, pero en la práctica crea fragilidad.

Aun así, las políticas y las barreras de seguridad por sí solas no son suficientes. A medida que los atacantes utilizan la IA para comprender a los defensores, estos deben perfeccionar su propia capacidad para pensar como sus adversarios. Los profesionales de seguridad necesitan evaluar cómo funcionan sus herramientas y cómo podrían ser observadas, manipuladas o engañadas. Esto requiere cuestionar las decisiones automatizadas, intervenir cuando sea necesario e investigar anomalías, especialmente cuando el sistema parece confiar en sus conclusiones.

Por eso son importantes las simulaciones prácticas y los equipos rojos centrados en la IA. Los equipos necesitan experiencia en entornos que simulen adversarios adaptativos que ajustan sus tácticas en función de respuestas defensivas. no sólo escenarios de ataque de libros de texto. Necesitan comprender las capacidades de detección de la IA y los riesgos que introducen las configuraciones deficientes o la confianza ciega. La brecha que enfrentan las organizaciones se ha vuelto más cognitiva que tecnológica, y cerrar esa brecha requiere un desarrollo continuo y mensurable de habilidades, incluida la alfabetización en IA, la conciencia ofensiva sobre la IA y la capacidad de evaluar críticamente los resultados automatizados.

En una era en la que la IA es lo primero, la resiliencia ahora depende de cómo una organización se defiende como si estuviera siendo vigilada. El sondeo silencioso permite a los atacantes comprender los umbrales de detección, la velocidad de escalada y la coherencia de la respuesta durante semanas o meses. y la coherencia con la que responden los equipos. Esta tranquila observación puede servir ahora como precursora de un ataque importante a una empresa.

Los líderes de seguridad deben centrarse en lo que sus organizaciones revelan a través del comportamiento defensivo diario. Cuando los atacantes pueden observar, aprender y adaptarse con el tiempo, las respuestas predecibles se convierten en un problema porque son fáciles de estudiar y explotar.

Dimitrios Bougioukas es vicepresidente senior de capacitación en Hack The Box, donde lidera el desarrollo de iniciativas y certificaciones de capacitación avanzada que equipan a los profesionales de la ciberseguridad de todo el mundo con habilidades listas para la misión.