En este momento estás viendo Los equipos rojos están a salvo de los robots por ahora, ya que la IA crea un mejor escudo que la lanza
¿La mala noticia?. Las máquinas y sus operadores se están acercando rápidamente.

Los equipos rojos están a salvo de los robots por ahora, ya que la IA crea un mejor escudo que la lanza

  • Autor de la entrada:
  • Categoría de la entrada:Resto del Mundo
  • Última modificación de la entrada:agosto 12, 2025

En la inauguración de Black Hat, el mayor evento de seguridad de la semana del Hacker Summer Camp, previo a DEF CON y BSides, el ponente principal sugirió que el estado actual de la IA favorece ligeramente a los defensores sobre los atacantes, pero advirtió que esto no sería un hecho por mucho tiempo.

«Creo firmemente que la IA es clave [en seguridad] porque es uno de los pocos campos donde los defensores van por delante de los atacantes», declaró Mikko Hyppönen, director de investigación saliente de la empresa finlandesa de seguridad WithSecure, a la audiencia.

«Todas las empresas de ciberseguridad presentes les dirán lo mucho que utilizan la IA generativa en sus productos. Sí, los atacantes también la utilizan, pero apenas están empezando. Hasta ahora solo hemos visto ataques bastante simples con IA. Esto cambiará, pero por ahora, diría que vamos por delante».

Hyppönen señaló que en 2024 los sistemas de IA no descubrirían ninguna vulnerabilidad de día cero, que él supiera. En lo que va de 2025, los investigadores han detectado alrededor de dos docenas de casos que utilizan el escaneo LLM, todos ellos corregidos. Sin embargo, advirtió que los hackers utilizan cada vez más la IA para realizar este tipo de investigaciones y que seguramente encontrarán más.

En una conferencia posterior de Black Hat, Nicole Perlroth, excorresponsal de seguridad del New York Times y actual socia de la empresa de capital riesgo Silver Buckshot Ventures, discrepó, afirmando que para el próximo año: «En cuanto a si la IA favorecerá la defensa o el ataque, los primeros indicios sugieren que el ataque tendrá la ventaja».

Por otra parte, también afirmó que había 500.000 vacantes en la industria de la seguridad estadounidense, lo que provocó risas huecas en algunos sectores en este difícil mercado laboral.

Durante la semana, hemos estado encuestando a profesionales del sector, proveedores, expertos en pruebas de penetración y a quienes trabajan en el sector de la seguridad, y, si bien muchos se muestran positivos sobre la contribución de la IA, existe la preocupación de que la época dorada no dure.

Pentesters positivos, pero escépticos.

En primer lugar, nadie con quien hablamos predice que las IA puedan atacar una red sin ayuda, al menos no durante una década aproximadamente.

Varias presentaciones a lo largo de la semana abordaron el uso de herramientas de IA para el trabajo en equipo (red teaming), es decir, la realización de pruebas de penetración para simular un ataque a una red objetivo. Sin embargo, simplemente no se considera confiable y es propenso a errores básicos si se usa incorrectamente.

Charles Henderson, vicepresidente ejecutivo de ciberseguridad en Coalfire, afirmó que su empresa utilizaba herramientas de IA, pero que, sin humanos al mando, su efectividad era muy limitada.

«Bien dirigida, la IA realiza aproximadamente el 60% del trabajo, así que es excelente si se intenta aligerar la carga de trabajo de los empleados, pero es terrible si se intenta delegarle una misión», declaró.

Explicó que la IA tenía sus puntos fuertes, especialmente en la detección de fallos, pero que su implementación era crucial. Simplemente lanzar herramientas de IA a un objetivo no era útil, y algunos en la industria habían estado exagerando sus capacidades. Es fácil de implementar —solo es cuestión de comprar tokens—, pero es mucho más difícil de usar correctamente.

Chris Yule, director de investigación de amenazas de la Unidad de Ciberamenazas de Sophos, opinó de manera similar. Para los equipos rojos, afirmó, lo ideal es usarlos para complementar las habilidades humanas en lugar de intentar reemplazarlas. Los sistemas de aprendizaje automático deben configurarse con objetivos claros y limitados, y luego ser guiados por controladores humanos para su mejor uso, sugirió.

Al mismo tiempo, este tipo de equipos rojos muestra cómo los futuros delincuentes intentarán usar estos sistemas, y parece que la comunidad de seguridad está adelantando sus ataques para modelar lo que los villanos podrían intentar a continuación.

Y luego está la defensa.

El gobierno estadounidense, a través de su brazo de investigación militar, la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA), considera claramente la IA como una herramienta de defensa, y lo demostró financieramente al otorgar 8,5 millones de dólares a tres equipos que compitieron en su Desafío Cibernético de IA.

La idea era crear un sistema de IA capaz de identificar vulnerabilidades y luego parchearlas sin colapsar la red. El concurso, que duró dos años, redujo de 42 a solo siete equipos en una competencia muy reñida, según nos informó un portavoz de DARPA. Finalmente, el equipo ganador fue un esfuerzo conjunto de Estados Unidos y Corea del Sur, compuesto por los mejores equipos estadounidenses de Georgia Tech, Samsung Research, el Instituto Coreano de Ciencia y Tecnología Avanzada (KAIST) y la Universidad de Ciencia y Tecnología de Pohang (POSTECH).

Los organizadores del concurso introdujeron 70 vulnerabilidades en el conjunto de datos de prueba; los equipos descubrieron 54 y parchearon con éxito 43 de ellas. Pero, crucialmente, los sistemas también descubrieron otras 18 vulnerabilidades que no se habían añadido (seis en C y 12 en Java) y lograron parchear 11 de ellas.

Si se pregunta si esto es un buen uso del dinero de los contribuyentes, el código ahora es de código abierto para que cualquiera lo use. Se planean más concursos en el futuro.

En otras partes del debate, varias fuentes señalaron que la IA era particularmente hábil para detectar vulnerabilidades de SQL. Esto puede deberse a los datos de entrenamiento, ya que las fallas de SQL son comunes, pero es alentador considerando su prevalencia.

En cuanto al empleo, la IA podría ser una excusa.

Una de las principales preocupaciones de los asistentes fue el impacto que tendrían los sistemas de IA en el mercado laboral.

Si bien es cierto que las empresas han estado recortando personal de seguridad, especialmente para puestos de nivel inicial, otros sintieron que esta brecha no se estaba abordando.

«Creo que se ha exagerado el impacto de la IA en el mercado laboral de seguridad», declaró Chris Yule, director de investigación de amenazas de la Unidad de Ciberamenazas de Sophos. Añadió que algunos utilizan la IA como excusa publicitaria para despedir personal.

Añadió que, si bien la IA tiene sus usos, usarla para reemplazar a grupos enteros de trabajadores de seguridad no era realmente viable dado el estado actual de la tecnología, y puede que nunca lo sea. Otros coinciden.

«Nunca se superará el factor humano», declaró un CISO extraoficialmente. «[Los sistemas de IA] son buenos para procesar datos, pero el ingenio humano es difícil de convencer en este momento, aunque eso podría cambiar. Sin embargo, confío más en mis programadores que en la IA».

Lo cierto es que la IA sirve como una herramienta de aumento útil, por ahora. Lo que se avecina, a medida que los modelos mejoren, es una situación mucho más fluida y nadie está dispuesto a arriesgar en ningún sentido.

Etiquetas: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,