Durante mucho tiempo, los equipos de seguridad han estado lidiando con el mismo problema: un flujo constante de alertas de seguridad, pero no suficiente contexto.
Faltan detalles como el comportamiento del usuario, la importancia de los activos o las actividades relacionadas, lo que significa que se depende en gran medida de los analistas para determinar qué es lo que realmente importa.
No sólo ralentiza al equipo; Esto ejerce una presión real sobre los equipos y limita el nivel de realismo con el que pueden revisar o comprender.
La IA agente cambia esta dinámica.
Director de tecnología, Meta Cumplimiento
En lugar de observar las alertas de forma aislada, estos sistemas pueden reconstruir la actividad, comprender lo que sucede en contexto y, en algunos casos, tomar medidas por sí solos.
A menudo, los problemas se resuelven antes de que se agraven. Elimina muchos de los esfuerzos manuales que han dado forma a las operaciones de seguridad durante años.
Pero si bien es una clara mejora, no elimina el riesgo: lo cambia.
El escrutinio disminuye a medida que el sistema mejora
Una comparación útil es la aviación. A medida que los sistemas se vuelven más confiables, la gente naturalmente retrocede. No porque sean descuidados, sino porque comprobar constantemente lo que casi siempre es correcto empieza a parecer innecesario. Con el tiempo, la fe deja de ser algo en lo que piensas activamente y se convierte en algo que asumes.
Lo mismo está empezando a suceder en ciberseguridad. A medida que estos sistemas demuestran su eficacia, los equipos dedican menos tiempo a cuestionar las decisiones individuales. El ambiente se siente tranquilo y la falta de problemas refuerza esa sensación de control. El riesgo real no es el fracaso frecuente, sino que cuando algo sale mal, es menos probable que lo cuestionen.
La fatiga por advertencia surge de prestar demasiada atención, demasiado rápido. Lo que sigue es algo diferente: una disminución gradual de la atención, mientras que una mayor confianza en el sistema debilita el instinto de volver a verificar.
Un modelo construido en dos niveles interdependientes
La estructura de las operaciones de seguridad también empezó a cambiar. En lugar de que todo dependa de la toma de decisiones humana, terminas con dos capas conectadas. Las personas establecen la intención (estableciendo políticas, acceso y límites) mientras los agentes la interpretan y actúan en consecuencia, a menudo mucho más rápido que cualquier individuo.
Ambos niveles pueden verse afectados. Los ataques convencionales dirigidos a personas no van a desaparecer, pero ahora hay otra superficie en la que pensar: los datos, las indicaciones y los flujos de trabajo que dan forma al comportamiento de los agentes. Si esas entradas son manipuladas, el sistema aún puede producir acciones que parecen válidas, porque siguen su lógica interna.
Al mismo tiempo, aumenta la distancia entre la decisión y la ejecución. Los operadores humanos no están tan involucrados en el momento en que ocurre una acción, lo que hace que sea más difícil detectar cuando algo no está bien. En la práctica, cada capa depende de la otra para su validación.
Cuando esa suposición se cumple, el sistema funciona de manera eficiente. Cuando funciona, todo funciona sin problemas. Cuando este no es el caso, la brecha entre ellos puede resultar difícil de ver en tiempo real.
Cómo un agente escala el riesgo en el entorno
El riesgo no sólo aumenta en un entorno así, sino que se distribuye de manera diferente. Cada agente tiene su propia identidad, permisos y lógica de toma de decisiones y, a menudo, están conectados. Las acciones tomadas en una parte del sistema pueden desencadenar reacciones en otras partes, creando cadenas de comportamiento automatizado.
Esto significa no tener ni una sola mala aportación o decisión errónea. Puede moverse rápidamente por el sistema sin que nadie entre. El problema no es sólo la velocidad, sino qué tan conectado está todo. Los pequeños errores pueden tener consecuencias de gran alcance, ya que pasan por múltiples capas de automatización.
¿Por qué es necesario cambiar de identidad y acceso?
La forma en que se configuran los agentes hoy añade otra capa de riesgo. En muchos casos, se consideran extensiones de usuarios con las mismas credenciales y acceso. Esto es conveniente, pero también amplía el radio de explosión si algo sale mal.
Un enfoque más flexible es tratar a los agentes como entidades por derecho propio. Bríndeles identidades individuales, limite lo que pueden hacer en determinadas tareas y asegúrese de que sus acciones puedan rastrearse y revertirse si es necesario, sin afectar todo lo demás.
Se trata menos de eficiencia y más de sentar las bases adecuadas para sistemas que funcionan cada vez más por sí solos.
Mantener el control a medida que crece la dependencia
Un aspecto complicado es que el fracaso no siempre parece un fracaso. Menos alertas y una resolución más rápida pueden hacer que parezca que el riesgo se reduce, cuando en realidad la supervisión puede ser menos proactiva.
Tener el control se reduce a cómo se diseñan y utilizan estos sistemas. Las acciones de alto impacto aún requieren algún tipo de verificación, incluso si la mayoría de las rutinas no funcionan. También es importante que los equipos puedan ver no sólo lo que hizo un agente, sino también cómo llegó allí: qué entradas utilizó y cómo las interpretó.
La capacidad de pisar es igualmente importante. Si detener o anular un proceso automatizado es lento o complicado, probablemente no sucederá a tiempo si algo sale mal. Estas intervenciones deben ser lo suficientemente sencillas como para poder utilizarlas bajo presión.
En términos más generales, el papel de los profesionales de la seguridad está cambiando. Ya no se trata sólo de detectar problemas obvios, sino que cuando algo parece sutil aún puede requerir una segunda mirada para identificarlo.
Un riesgo más silencioso y concentrado
La IA agente contribuirá en gran medida a reducir la fatiga de las alertas, que ha afectado a los equipos de seguridad durante años. La contrapartida es que el riesgo se vuelve menos visible y más concentrado en el espacio entre lo que los humanos quieren y lo que las máquinas realmente hacen.
En sistemas que funcionan correctamente la mayor parte del tiempo, el verdadero desafío no es el fallo constante. Cuando algo sale mal, sucede y si todavía hay señales normales que puedan detectarlo.
Hemos revisado, calificado y clasificado el mejor software de firewall.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
