/
Socios e integraciones

Cómo responder a los modelos de IA de Frontier: Un líder cibernético de Deloitte opina

Los equipos de seguridad siempre corrieron contra el reloj. Durante la mayor parte de la historia de la ciberseguridad, ese reloj avanzó lo suficientemente lento como para poder funcionar.

Los atacantes necesitaban tiempo para encontrar vulnerabilidades y construir exploits. La ventana entre el descubrimiento y la explotación se medía en días o semanas — a menudo lo suficientemente larga para que un parche eliminara un cambiador.

Esa ventana se derrumbó.

Los modelos de IA de Frontier ahora pueden descubrir vulnerabilidades, encadenarlas y generar exploits en segundos. Eso incluye vulnerabilidades en sistemas heredados que no vieron un parche en décadas. La velocidad de la explotación alcanzó niveles récord.

Nos sentamos con Andrew Rafla, socio de Deloitte & Touche LLP y líder de Zero Trust dentro de su práctica de Riesgo Cibernético, para entender qué significa este cambio para los programas de seguridad empresarial y qué diferencia a los equipos que responden bien de los que no lo hacen.

Por qué los modelos de IA ofensivos son un cambio importante

La mayoría de las amenazas de ciberseguridad evolucionaron a un ritmo que los equipos pueden seguir. Surge una nueva técnica de ataque y la comunidad de seguridad la analiza. Los proveedores liberan firmas y los defensores responden.

Los modelos fronterizos de IA ofensiva rompen ese ciclo.

Estos sistemas encuentran vulnerabilidades desconocidas a gran escala y pueden encadenarlas en exploits funcionales. Eso incluye infraestructuras envejecidas que nadie ha parcheado en décadas.

Los modelos más sofisticados estuvieron muy restringidos debido a esas capacidades ofensivas. Pero las restricciones no se mantendrán para siempre y ya existen imitadores de código abierto.

Los clientes de Deloitte ya están preguntando cómo conseguir estos modelos para escanear sus propios entornos antes que los adversarios. Andrew piensa que ese instinto es correcto. La ventana entre "esta capacidad existe" y "se está usando en tu contra" es más corta que cualquier ciclo de amenazas anterior en la historia de la seguridad empresarial.

El riesgo más amplio es que incluso las herramientas de vulnerabilidad de IA defensiva puedan acabar siendo armadas. El momento de implementar controles compensatorios para la superficie de ataque ampliada es ahora.

El paradigma de gestión de vulnerabilidades debe cambiar

Durante décadas, la gestión de vulnerabilidades siguió una secuencia previsible. Los equipos de seguridad escanearon sus entornos, triaron los resultados, priorizaron los hallazgos, probaron las correcciones, borraron el cambiador y parchearon los sistemas vulnerables. El ciclo se repetía cada trimestre, a veces cada mes.

Ese proceso siempre fue lento, pero ahora es insostenible.

Como explicó Andrew, "Los procesos históricos y bastante manuales para la gestión de vulnerabilidades — desde la identificación hasta la remediación — simplemente no funcionarán en el nuevo modelo, con la velocidad con la que se pueden detectar vulnerabilidades y crear los exploits asociados."

El cambio de paradigma que deben hacer los líderes de seguridad es fusionar la gestión de vulnerabilidades y explotaciones en una operación de respuesta rápida y contención. Ya no puede ser principalmente un ejercicio de detección y documentación.  

Andrew compartió tres cambios concretos en cómo deberían estructurar los programas de Gestión Continua de Exposición a Amenazas (CTEM):

  • La priorización debe ser despiadada y automatizada. No puedes parchear todo lo suficientemente rápido. Los equipos que superen este momento serán los que puedan identificar rápidamente qué vulnerabilidades en su entorno están más expuestas, más críticas y más propensas a ser explotadas — y centrar los recursos allí. Los procesos de priorización manual diseñados para ciclos trimestrales de parches no sobrevivirán al contacto con la generación de exploits impulsada por IA.
  • Los plazos de remediación deben comprimir significativamente. Eso implica replantear los procesos de gestión del cambio y agilizar las aprobaciones para parches críticos en seguridad. Algunos equipos están creando funciones centralizadas de oficina de gestión de proyectos (PMO) para acelerar esta coordinación.
  • Los controles compensatorios deben convertir en una parte de primera clase de la respuesta a vulnerabilidades. Siempre habrá vulnerabilidades que no puedes parchear, incluyendo sistemas heredados, aplicaciones críticas que no pueden tener tiempo de inactividad y paquetes de software de décadas sin soporte por parte del fabricante. Para eso, tu estrategia debe pasar de la remediación a la contención.

Controles compensatorios: la defensa más efectiva que probablemente estás usando poco

Cuando Andrew habló de lo que Deloitte está recomendando a los clientes ahora mismo, los controles de compensación encabezaban la lista, especialmente la microsegmentación.

"Las organizaciones con capacidades de segmentación, donde se puedan crear y desplegar políticas rápidamente para activos conocidos como vulnerables, deberían poder reducir mejor el radio de impacto del riesgo de movimiento lateral", dijo Andrew.

La microsegmentación fue una piedra angular de Zero Trust durante años. El entorno de amenazas creado por los modelos de IA de vanguardia le da una nueva urgencia y una aplicación más específica.

Cuando un sistema heredado vulnerable no tiene parche, la pregunta cambia. Solucionar la vulnerabilidad ya no es la prioridad; Reducir la exposición a exploits mediante controles compensatorios se vuelve fundamental.

La microsegmentación hace que esa segunda pregunta sea respondible. Estos controles pueden convertir una brecha potencialmente catastrófica en un incidente contenido mediante:

  • Cercado de anillos activos vulnerables y críticos
  • Crear políticas basadas en etiquetas que marquen sistemas vulnerables conocidos y restrinjan su comunicación en red
  • Limitar lo que esos activos pueden alcanzar y reducir el uso de puertos y protocolos de red riesgosos

La velocidad es el requisito operativo clave. Si tarda semanas en construir y enviar una política de segmentación a un activo vulnerable recién identificado, perdiste la ventana.

Los equipos que puedan gestionar esto eficazmente deberían poder pasar de identificar un activo vulnerable a rodearlo en cuestión de minutos.

La visibilidad es lo que está en juego, y la mayoría de los equipos no tienen suficiente

La segunda capacidad que Andrew señaló como crítica es la visibilidad este-oeste en tiempo real. La mayoría de los equipos están muy por detrás de lo que deberían estar.

"La mayoría de las organizaciones aún tienen redes planas heredadas con una capacidad muy limitada para identificar e inspeccionar el tráfico este-oeste", dijo Andrew. "Siguen mirando los firewall perimetrales como punto de estrangulamiento donde pueden ver lo que entra y sale de su red."

En la era de la amenaza de la IA, ese punto ciego es peligroso.

Un modelo de IA ofensivo explota vulnerabilidades, se mueve a través de una red, encadena ataques y convierte activos comprometidos en plataformas para el siguiente ataque.

La seguridad tradicional se basaba en la visibilidad norte-sur, que es el tráfico que entra y sale del perímetro. Pero los actores amenazantes que ejecutan con éxito una brecha aceleran sus ataques mover lateralmente hasta alcanzar las joyas de la corona de la organización. El tráfico este-oeste, donde saltan entre cargas de trabajo y sistemas, es donde ocurre el daño real.

Los equipos de seguridad necesitan visibilidad del tráfico este-oeste en tiempo real, para detectar patrones anómalos o potencialmente maliciosos y actuar con rapidez.

Andrew recomendó ir más allá de los modelos centrados en EDR, que se centran en los anfitriones individuales. Un beneficio agregado de las soluciones de microsegmentación es su capacidad para mejorar la visibilidad del tráfico de red en todo el entorno empresarial, incluyendo el tráfico este-oeste y dentro de entornos en la nube. También actúan como un punto de control crítico que puede aislar regiones enteras, centros de datos o clústeres de aplicaciones cuando surgen patrones sospechosos.

La velocidad importa. Triar activo por activo para contener una amenaza en expansión bajo condiciones de ataque asistido por IA no es una estrategia viable; Aquí es donde las soluciones escalables de microsegmentación pueden destacar

Cómo defender de modelos de IA que aún no entiendes del todo

Los modelos de frontera cibernética ofensiva no demostraron plenamente sus capacidades. La mayoría de los equipos no tienen atajo para probar contra sus propios entornos.  

¿Cuál es entonces un camino práctico a seguir?

Aquí va el consejo de Andrew:

  • Haz balance primero. Que se sientan las personas adecuadas en la mesa, incluidos los equipos de ciberseguridad, riesgos, cumplimiento normativo y operaciones. No esperes a la información perfecta para empezar a actuar.
  • Involucra a tus proveedores de tecnología. La cuestión del manuscrito de software (SBOM) es ahora urgente. ¿Sabes qué componentes están funcionando en tu entorno? ¿Tus proveedores de Software como Servicio (SaaS)? La gestión de riesgos de terceros en la era de la IA significa hacer preguntas difíciles a los proveedores sobre su propia exposición a vulnerabilidades y qué están haciendo al respecto.
  • Observa detenidamente tu entorno de control. ¿Estás usando al máximo las herramientas de seguridad que ya tienes? Muchas organizaciones cuentan con controles compensatorios, como la segmentación o el aislamiento basado en políticas, que están subdesplegados. Usa lo que tienes, rápida y deliberadamente, antes de comprar algo nuevo.
  • Las integraciones nativas importan. ¿Las tecnologías de tu ecosistema ofrecen integración nativa? Pasar de una postura defensiva a una postura de seguridad proactiva, donde los controles pueden orquestar en tiempo real a través de un ecosistema totalmente integrado, ayuda a reducir riesgos y agilizar las operaciones. La tecnología integrada y los controles de seguridad que funcionen bien juntos son clave para identificar y responder a amenazas impulsadas por IA.
  • Piensa en el futuro agente. Los equipos líderes están construyendo marcos donde los agentes de IA descubren, priorizan y remedian vulnerabilidades en un flujo de trabajo coordinado. Ese es el modelo operativo que iguala la velocidad de la amenaza mientras mantiene controles y equilibrios con el personal en el bucle.

Esperar para reaccionar a los modelos de IA vanguardistas es una estrategia arriesgada

Los modelos fronterizos de IA ofensiva representan un cambio radical en las amenazas cibernéticas.

El enfoque de gestión de vulnerabilidades en el que la mayoría de los equipos confió durante dos décadas ya estaba bajo presión. La expansión de las superficies de ataque, la complejidad de la nube y la deuda heredada la llevaron al límite. Pero la generación de exploits asistida por IA la hace prácticamente obsoleta.

Los equipos que naveguen bien esta situación se tomarán en serio la nueva amenaza de la IA, actuarán sin esperar la claridad perfecta, construirán controles compensatorios alrededor de sus activos más expuestos y convertirán la gestión de vulnerabilidades en una operación de respuesta rápida.

Este es el nuevo entorno operativo. Los líderes de seguridad que consideran la IA ofensiva como una interrupción temporal pueden ver expuestos a ataques y a la regulación y a la responsabilidad de los consejos de administración que se derivan cuando esos ataques tienen éxito.

La ventana para actuar antes de la explotación adversarial está abierta ahora. No se mantendrá abierto.

Para una visión más profunda de lo que significa la IA de frontera para el modelo de seguridad en su conjunto, Lee la opinión del CEO y fundador de Illumio, Andrew Rubin.

Artículos relacionados

Experimente Illumio Insights hoy

Vea cómo la observabilidad impulsada por IA le ayuda a detectar, comprender y contener amenazas más rápido.