La mayoría de la gente conoce la historia de Paul Bunyan. Un leñador gigante, un hacha de confianza y el desafío de una máquina que prometía superarlo. Paul redobló su antigua forma de trabajar, se balanceó con más fuerza y aun así perdió por un cuarto de pulgada. Su error no fue perder el concurso. Su error fue suponer que el esfuerzo por sí solo podría superar a un nuevo tipo de herramienta.
Los profesionales de la seguridad se enfrentan a un momento similar. La IA es nuestra moderna sierra a vapor. Es más rápida en algunas áreas, desconocida en otras y desafía muchos hábitos de larga data. El instinto es proteger lo que sabemos en lugar de aprender lo que realmente puede hacer la nueva herramienta. Pero si seguimos el enfoque de Pablo, nos encontraremos en el lado equivocado de un cambio que ya está en marcha. Lo correcto es aprender a usar la herramienta, entender sus capacidades y aprovecharla para obtener resultados que faciliten su trabajo.
El papel de la IA en el trabajo diario de ciberseguridad
La IA ahora está integrada en casi todos los productos de seguridad que utilizamos. Las plataformas de protección de terminales, los sistemas de filtrado de correo, los SIEM, los escáneres de vulnerabilidades, las herramientas de detección de intrusos, los sistemas de venta de entradas e incluso las plataformas de administración de parches anuncian algún tipo de toma de decisiones «inteligente». El desafío es que la mayor parte de esta inteligencia vive detrás de una cortina. Los proveedores protegen sus modelos como propiedad intelectual exclusiva, por lo que los equipos de seguridad solo ven el resultado.
Esto significa que los modelos están tomando decisiones de riesgo en silencio en entornos en los que los seres humanos aún tienen que rendir cuentas. Esas decisiones provienen del razonamiento estadístico, no de la comprensión de su organización, su personal o sus prioridades operativas. No puede inspeccionar un modelo opaco y no puede confiar en él para captar matices o intenciones.
Es por eso que los profesionales de la seguridad deben crear o ajustar sus propios flujos de trabajo asistidos por IA. El objetivo no es reconstruir las herramientas comerciales. El objetivo es contrarrestar los puntos ciegos mediante la creación de capacidades que usted controle. Cuando diseñas una pequeña utilidad de IA, determinas de qué datos aprende, qué considera riesgosos y cómo debe comportarse. Recuperas la influencia sobre la lógica que configura tu entorno.
Eliminar la fricción y aumentar la velocidad
Una gran parte del trabajo de seguridad es traslacional. Cualquier persona que haya escrito filtros JQ complejos, consultas SQL o expresiones regulares solo para extraer un pequeño fragmento de información de los registros sabe cuánto tiempo puede consumir ese paso de traducción. Estas medidas retrasan las investigaciones no porque sean difíciles, sino porque interrumpen el flujo de pensamiento.
La IA puede eliminar gran parte de esa carga de traducción. Por ejemplo, he estado creando pequeñas herramientas que ponen la IA en la parte delantera y un lenguaje de consulta en la parte trasera. En lugar de escribir la consulta yo mismo, puedo pedir lo que quiera en un inglés sencillo y la IA genera la sintaxis correcta para extraerlo. Se convierte en un traductor de persona a computadora que me permite concentrarme en lo que intento investigar en lugar de en la mecánica del lenguaje de consulta.
En la práctica, esto me permite:
- Extraiga los registros asociados a un incidente específico sin escribir yo mismo el JQ
- Extraiga los datos que necesito utilizando la sintaxis de expresiones regulares o SQL generada por IA
- Cree pequeñas utilidades asistidas por IA que automaticen estos pasos de consulta repetitivos
Cuando la IA gestiona los pasos repetitivos de traducción y filtración, los equipos de seguridad pueden centrar su atención en un razonamiento de orden superior, la parte del trabajo que realmente hace avanzar las investigaciones.
También es importante recordar que, si bien la IA puede almacenar más información que los humanos, la seguridad efectiva no consiste en saberlo todo. Se trata de saber cómo aplicar lo que importa en el contexto de la misión y la tolerancia al riesgo de una organización. La IA tomará decisiones matemáticamente sólidas pero contextualmente incorrectas. Se aproximará a los matices, pero no podrá entenderlos realmente. Puede simular la ética, pero no puede sentirse responsable por un resultado. El razonamiento estadístico no es un razonamiento moral, y nunca lo será.
Nuestro valor en las funciones ofensivas, defensivas e investigativas no reside en la memorización de la información. Está en aplicar el juicio, comprender los matices y orientar las herramientas hacia los resultados correctos. La IA mejora lo que hacemos, pero las decisiones aún recaen en nosotros.
Cómo pueden empezar los profesionales de la seguridad: habilidades que deben desarrollarse ahora
Gran parte del trabajo actual de la IA se lleva a cabo en Python y, para muchos profesionales de la seguridad, tradicionalmente se ha sentido como una barrera. La IA cambia esa dinámica. Puede expresar su intención en un lenguaje sencillo y hacer que el modelo produzca la mayor parte del código. El modelo te ayuda a lograr la mayor parte del camino. Su trabajo consiste en cerrar la brecha restante con buen juicio y conocimientos técnicos.
Eso requiere un nivel básico de fluidez. Necesitas suficiente Python para leer y refinar lo que genera el modelo. Necesitas tener una idea práctica de cómo los sistemas de IA interpretan las entradas para poder reconocer cuándo la lógica se desvía. Además, necesitas tener un conocimiento práctico de los conceptos básicos del aprendizaje automático para saber qué es lo que hace la herramienta de manera oculta, incluso si no estás creando modelos completos tú mismo.
Con esa base, la IA se convierte en un multiplicador de fuerza. Puede crear utilidades específicas para analizar los datos internos, usar modelos lingüísticos para comprimir la información que tardaría horas en procesarse manualmente y automatizar las medidas rutinarias que ralentizan las investigaciones, las pruebas ofensivas y los flujos de trabajo forenses.
Estas son algunas maneras concretas de empezar a desarrollar esas capacidades:
- Comience con una auditoría de herramientas: Haga un mapa de los lugares en los que la IA ya opera en su entorno y comprenda qué decisiones toma de forma predeterminada.
- Interactúe activamente con sus sistemas de IA: No trate los resultados como definitivos. Proporcione a los modelos mejores datos, cuestione sus resultados y ajuste los comportamientos siempre que sea posible.
- Automatiza una tarea semanal: Elige un flujo de trabajo recurrente y usa Python y un modelo de IA para agilizar parte de él. Las pequeñas victorias generan impulso.
- Desarrolle un conocimiento ligero del aprendizaje automático: Aprenda los conceptos básicos sobre cómo los modelos interpretan las instrucciones, dónde se interrumpen y cómo redirigirlas.
- Participe en el aprendizaje comunitario: Comparta lo que construya, compare enfoques y aprenda de otras personas que están atravesando la misma transición.
Estos hábitos se agravan con el tiempo. Hacen que la IA pase de ser una función opaca del producto de otra persona a convertirse en una capacidad que puedes entender, dirigir y usar con confianza.
Únase a mí para una inmersión más profunda en SANS 2026
La IA está cambiando la forma en que trabajan los profesionales de la seguridad, pero no disminuye la necesidad de juicio humano, creatividad y pensamiento estratégico. Cuando comprendes la herramienta y la guías con intención, te vuelves más capaz, no menos necesario.
Trataré este tema con mayor detalle durante mi sesión principal en SIN 2026 . Si queréis una guía práctica y práctica para reforzar vuestra fluidez en la IA en las disciplinas defensivas, ofensivas e investigativas, espero que os unáis a mí en la sala.
Nota: Este artículo fue escrito expertamente por Mark Baggett, miembro de SANS .