ITRES

La automatización de los ciberataques vuelve a poner el foco en la prevención

La automatización de los ciberataques vuelve a poner el foco en la prevención

Si analizamos la evolución de la ciberseguridad, hablar hoy de «prevención» parece un paso atrás. Los que llevamos tiempo en esto sabemos que la industria nació siendo preventiva (cortafuegos, antivirus, contraseñas, …). Sin embargo, cuando quedó claro que los actores de amenazas siempre encontraban la grieta, la estrategia pivotó, como era lógico, hacia la detección y la respuesta. De ahí nació el paradigma de asumir la brecha y prepararse para minimizar el daño.

Entonces, ¿por qué firmas analistas y expertos vuelven a poner la prevención en el centro del debate?

No es por nostalgia, ni porque hayan inventado una nueva defensa mágica impenetrable. La realidad que mueve todo es que el ecosistema tecnológico ha cambiado, y depender exclusivamente de la respuesta a incidentes se ha vuelto insostenible frente a la automatización continua de los ataques.

La asimetría del riesgo

A menudo se presenta a la Inteligencia Artificial como una especie de «supervillano», pero la realidad técnica es más pragmática. El verdadero peligro de la IA en manos de actores de amenazas radica en una profunda desventaja matemática para quien defiende.

Un cibercriminal puede utilizar modelos de IA para automatizar la búsqueda de vulnerabilidades, generar código malicioso o lanzar campañas de ingeniería social a gran escala. Y aquí está la clave. Al atacante no le importa que su IA cometa errores. Si el modelo se equivoca el 30% de las veces, su coste operativo sigue siendo bajísimo. Solo necesita acertar una vez para comprometer un sistema.

Por el contrario, en el equipo de defensa no existe ese margen de error. No se puede implementar un sistema automatizado que bloquee todo lo que le parezca remotamente sospechoso. Si la defensa falla por defecto, falsos negativos, el ataque entra. Pero, es más, si la herramienta defensiva se equivoca y bloquea una operación legítima, falsos positivos, se puede detener la producción, tirar una base de datos o paralizar el comercio electrónico de una compañía.

En este caso, el atacante juega con la fuerza bruta iterativa, mientras que el defensor está limitado por la necesidad de garantizar la continuidad del negocio.

Qué significa realmente hacer prevención hoy

Dado que los equipos del SOC no pueden gestionar manualmente miles de alertas diarias generadas por ataques automatizados, donde además el nivel de impacto es cada día más significativo en buena parte de ellas, la prevención moderna no trata de crear un perímetro perfecto, sino que intenta aplicar una higiene operativa constante para reducir la superficie de exposición y reducir en la medida de lo posible el «ruido» (que no siempre es tal). Esto se traduce en tres prácticas fundamentales.

La primera es la gestión continua de la exposición. Las auditorías anuales o los ejercicios de pentesting puntuales han dejado de reflejar el día a día. Eso no quiere decir que no tengan valor, pero su valor no es el de antaño. Debemos entender que un entorno con servicios en la nube, teletrabajo e integraciones con terceros, la superficie de exposición de una empresa cambia de forma constante. La prevención actual exige sistemas que monitoricen continuamente los activos. Si una configuración errónea expone un servidor a Internet, unas credenciales se exfiltran o una vulnerabilidad afecta a un servicio, el equipo debe saberlo lo antes posible, no en la revisión del siguiente trimestre.

La segunda es establecer una priorización basada en contexto. Ante la avalancha diaria de nuevas vulnerabilidades, parchear todo es materialmente imposible. La estrategia preventiva madura consiste en cruzar datos de inteligencia para saber qué fallos están siendo activamente explotados por actores de amenazas en ese momento, cuáles afectan directamente a sistemas críticos de la organización expuestos y qué posibilidades de mitigación o actualización automatizada existen para esas tecnologías. La intención final es reparar lo urgente y real de la manera más inmediata y desatendida posible.

La tercera es la automatización delimitada. Para lidiar con ataques a la velocidad de la IA, es necesario automatizar ciertas respuestas defensivas (como aislar un equipo infectado o revocar una credencial comprometida). Sin embargo, debido a la intolerancia al error que mencionamos antes, estas automatizaciones se deben aplicar con límites estrictos basados en el riesgo. Siendo conscientes que para decisiones que afectan a sistemas críticos, la máquina puede detectar y sugerir, pero sigue siendo necesario el ya famoso «human-in-the-loop» que lo valide.

Conclusión

La ciberseguridad preventiva no es un producto milagroso ni un concepto revolucionario. Es el reconocimiento de que, frente a un volumen de amenazas automatizadas sin precedentes, la única forma de que los equipos de respuesta no colapsen es reducir drásticamente la exposición y el número de eventos a gestionar. Al final es limpiar el terreno de juego constantemente para que, cuando llegue un ataque dirigido y sofisticado, los analistas, con la ayuda de las mayores automatizaciones, tengan el tiempo y los recursos necesarios para responder a él y contener la amenaza.