En RSAC 2026, el Instituto SANS hizo una declaración definitoria. Por primera vez en los 25 años de historia de la conferencia, cada técnica de ataque peligrosa en su lista anual involucra IA.
En demostraciones en vivo, los atacantes pasaron del acceso inicial al control total del dominio en menos de un minuto utilizando un flujo de trabajo impulsado por IA.
Los ciclos de vida de los ataques se han acortado hasta el punto en que muchas organizaciones no pueden ejecutar una respuesta antes de que ya se haya determinado el resultado.
Ésta es la incómoda realidad que deben afrontar las empresas: más allá de las capacidades de detección, la limitación que define la ciberseguridad es la velocidad organizacional.
La resiliencia cibernética depende ahora tanto de las respuestas organizacionales como de las capacidades tecnológicas de detección. Las empresas deben poder adaptarse, desplegar y ejecutar defensas ante un ataque de ritmo.
Ese requisito se extiende más allá del SOC. Los ciclos de adquisiciones, las aprobaciones de gobernanza, las revisiones de seguridad, las barreras de implementación y la gestión de cambios operativos ahora son parte del plano de control de seguridad de Internet, ya sea que las organizaciones los reconozcan o no.
Un ciclo de compra de doce meses era ineficaz cuando los atacantes necesitaban semanas para moverse lateralmente por un entorno. Ahora que los ataques habilitados por IA pueden atravesar la nube, SaaS y la infraestructura de gestión de identidades en minutos, ese mismo ciclo plantea un riesgo material.
La mayoría de las organizaciones todavía presupuestan las compras de ciberseguridad con doce meses de antelación. Sólo una minoría de los proyectos se pone en marcha dentro de los seis meses posteriores a la aprobación del contrato, mientras que algunas grandes empresas tardan un año o más en implementar nuevas capacidades después de la firma del contrato.
Esto crea una exposición retardada. El ritmo del cambio organizacional se ha convertido en un control de seguridad compensatorio.
Por qué las arquitecturas SoC heredadas se están rompiendo
El SOC tradicional fue diseñado para un modelo de amenaza fundamentalmente diferente definido por firmas conocidas, controles basados en perímetro y flujos de trabajo de investigación dirigidos por humanos. Solía asumirse que el analizador era el motor lógico principal, pero aparentemente esto ya no es así. El problema más profundo es la arquitectura operativa.
Los modelos operativos de seguridad heredados se construyeron en torno a una cadencia de procesos deliberada: aprobaciones en niveles, propiedad dividida, investigaciones secuenciales, ciclos de planificación trimestrales y cronogramas de implementación ampliados. Estas estructuras sobrevivieron cuando los defensores y atacantes operaron a velocidades aproximadamente humanas. La IA ha roto ese equilibrio.
Las tecnologías de prevención basadas en el comportamiento, como CNAPP y CSPM, reducen la exposición pero ofrecen un valor limitado contra las amenazas activas de la nube en tiempo real. Las plataformas SIEM heredadas agregan datos sin procesar, pero no están diseñadas para la lógica en cientos de aplicaciones SaaS, múltiples entornos de nube y vastas redes de identidades humanas y no humanas a la velocidad de la máquina.
El flujo de trabajo de la investigación es esencialmente secuencial. Los analistas clasifican las alertas, cambian entre consolas, reconstruyen manualmente la actividad y escalan los hallazgos a través de múltiples capas operativas. Cada transición introduce latencia. En una cadena de ataques impulsada por IA, la latencia se convierte en un compromiso.
Los atacantes ya no necesitan exploits de día cero. Cruzan la puerta principal utilizando el abuso de OAuth, la integración de API, las relaciones de confianza de SaaS a SaaS, el secuestro de sesiones y el compromiso de identidad. Integran flujos de trabajo legítimos mientras se ejecutan con precisión y velocidad en la nube, SaaS, IA y sistemas de identidad.
El volumen de advertencia sólo magnifica el problema estructural. Un importante SOC administrado informó haber procesado un promedio de dos alertas por minuto durante 2025. Esto no es solo un desafío de personal. Es una evidencia de que el modelo operativo subyacente ya no se adapta a los delitos a velocidad de máquina.
Aparición del SOC agente
Los SOC heredados requieren un reinicio estructural hacia los SOC Agentic: un modelo operativo que iguale a los adversarios en velocidad, automatización y adaptabilidad.
En este modelo, los sistemas de IA manejan de forma autónoma tareas de investigación de gran volumen. Correlacionan evidencia en sistemas dispares, generan hipótesis, validan rutas de ataque y recomiendan o ejecutan acciones de respuesta dentro de canales definidos. Los analistas humanos siguen siendo responsables, pero sus funciones cambian hacia la supervisión, el juicio empresarial, el manejo de excepciones y la toma de decisiones estratégicas.
La detección, la investigación y la respuesta se agrupan en un proceso operativo continuo en lugar de fases individuales separadas por colas incrementales y pivotes manuales. Los datos forenses se incorporan y correlacionan en tiempo real, creando una línea de tiempo de ataque unificada sin la fricción del cambio de consola o herramientas fragmentadas. Los agentes de IA pueden realizar investigaciones continuas, comprimiendo los tiempos de respuesta de horas a segundos.
Fundamentalmente, el SOC agente es un rediseño organizacional centrado en la velocidad de ejecución. Las organizaciones que utilizan SOC agentes desarrollarán modelos operativos capaces de implementar y adaptar continuamente esas herramientas. Reducirán la fricción entre seguridad, adquisiciones, gobernanza, ingeniería y operaciones para que las capacidades defensivas puedan evolucionar para acelerar las amenazas.
Esa distinción es importante. Muchas empresas ya poseen tecnología habilitante, pero están limitadas por la velocidad del cambio interno. Los equipos de seguridad identifican brechas rápidamente pero no pueden implementar soluciones lo suficientemente rápido. En la práctica, la inercia organizacional se convierte en una ventaja adversaria.
Problemas de visibilidad y expansión de SaaS
La superficie de ataque continúa expandiéndose agresivamente en todo el ecosistema SaaS. Las empresas ahora dependen de cientos de aplicaciones interconectadas, cada una de las cuales presenta modelos de identidad, integraciones, estructuras de permisos y posibles configuraciones erróneas únicos. Estos entornos crean condiciones ideales para un compromiso rápido y un movimiento lateral.
Las herramientas de gestión de postura a menudo pasan por alto el compromiso inicial y la posterior actividad de ataque en vivo. Los puntos ciegos de identidad, las cadenas de abuso de OAuth y la telemetría fragmentada crean situaciones en las que los atacantes pueden operar casi de forma invisible.
Una limitación importante es la brecha de visibilidad de SaaS. Muchas empresas aún no logran recopilar y ejecutar de manera significativa la telemetría SaaS en sus entornos. Incluso cuando se ingieren registros, a menudo se descargan en plataformas SIEM como datos sin procesar que los analistas luchan por normalizar, correlacionar e investigar a velocidades de máquina. El resultado son enormes volúmenes de telemetría con visibilidad operativa limitada cuando los atacantes se mueven a una velocidad vertiginosa.
Los ciclos de implementación retrasados agravan el problema. Las capacidades de seguridad que tardan meses en evaluarse, aprobarse e implementarse a menudo ya están detrás del panorama de amenazas que pretendían abordar. En la era de la IA, la propia velocidad de ejecución se convierte en parte de la arquitectura defensiva.
¿Qué deberían hacer ahora las juntas directivas, los CIO y los CISO?
Las juntas directivas y los equipos de liderazgo ejecutivo deben reconstruirse en torno a una nueva realidad: la agilidad organizacional ahora es inseparable de la ciberresiliencia. Requiere rigor en cuanto a la evaluación de proveedores, revisión de la gobernanza, diligencia debida de contratos y planificación de implementación. Pero estos ciclos deben comprimirse para alinearse con los riesgos materiales introducidos por los ataques a velocidad de IA.
Los equipos de liderazgo deberían comenzar con el realismo. Mida el tiempo medio real de respuesta (MTTR), no el número teórico registrado en el libro de jugadas, sino el número real que se muestra en los eventos recientes. Luego pregunte si el cronograma incluirá un ataque habilitado por IA capaz de atravesar la nube y la infraestructura SaaS en veinte minutos. Si la respuesta es no, la organización se enfrenta a un problema estructural y no a una brecha aislada de herramientas.
Igualmente importante es que las organizaciones deben comenzar a medir la velocidad del cambio. ¿Cuánto tiempo lleva implementar y operar una capacidad desde la detección de una brecha de seguridad hasta la producción? ¿Cuánto tiempo lleva la aprobación de la cobranza? ¿Cuánto tiempo permanece la integración estancada en el entorno de prueba? ¿Cuántas dependencias operativas existen antes de que se active un control de seguridad? Se debe realizar un seguimiento de esos cronogramas, compararlos con la velocidad de las amenazas e informar junto con el MTTR y las métricas de tiempo de permanencia.
Las organizaciones deben establecer marcos de evaluación e implementación acelerados para tecnologías de seguridad, particularmente plataformas nativas de la nube y de IA donde el riesgo de una implementación retrasada puede superar el riesgo introducido por una implementación acelerada.
Los líderes de seguridad deben auditar sus propios entornos para detectar latencia operativa. ¿Cuántos pivotes manuales realiza un analista durante una investigación? ¿Cuánto tiempo lleva convertir la telemetría sin procesar en una línea de tiempo de ataque correlacionada? Cada punto de fricción representa el tiempo de residencia de un oponente con otro nombre.
Y, lo que es más importante, las organizaciones deben reconocer las limitaciones de la seguridad basada en posturas. La configuración reduce la exposición, pero no detiene un ataque activo que ya se está ejecutando en el entorno. Un SOC exitoso en la era de la IA no será con el tablero más limpio. Podrá detectar y contener amenazas reales antes de que tengan un impacto operativo.
Enumeramos las mejores herramientas ITSM.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
