Al visitar nuestro sitio, usted acepta política de privacidad sobre cookies, estadísticas de seguimiento, etc.

AI en Ciberdefensa

Cómo AI cambia la ciberdefensa en todo el ciclo de vida del ciberincidente

Inicio
AI en Ciberdefensa
AI en Ciberdelincuencia

El objetivo de la ciberdefensa es proteger los sistemas, las redes y los datos contra la infiltración, la interrupción o la destrucción. El sitio ciclo de vida de los incidentes cibernéticos ofrece una forma útil de entender la ciberdefensa, desglosándola en cuatro fases:

  • Prevención: prevenir y reducir el riesgo de incidentes y minimizar sus posibles efectos.
  • Preparación: desarrollar planes, herramientas y capacidades para apoyar una respuesta eficaz.
  • Respuesta: atajar el incidente y evitar daños mayores.
  • Recuperación: restablecer rápidamente las operaciones y volver a un nivel de seguridad normal o superior.

 

La inteligencia artificial (AI) ha adquirido relevancia en las cuatro fases. A diferencia de las herramientas tradicionales, que encajan perfectamente en una sola fase, muchas de las funciones de la AI abarcan todo el ciclo de vida: la misma técnica que ayuda a la preparación también puede permitir una respuesta más rápida o contribuir a la recuperación. Esta integración hace que AI sea a la vez potente y difícil de clasificar: su valor reside no sólo en mejorar las tareas individuales, sino en vincular las fases entre sí de forma más fluida.

Prevención

Preparación

Respuesta

Recuperación

Cartografía de la superficie de ataque

Escaneado de códigos

Resumen de datos

Clasificación de los datos

Detección de anomalías

Redacción y análisis

Datos sintéticos

Gestión de identidades y accesos

Gestión de identidades y accesos

Análisis de registros

Análisis de malware

Formación y laboratorios

Formación y laboratorios

En las secciones siguientes, examinamos aplicaciones concretas de AI para la ciberdefensa, mostrando cómo encajan en distintas fases del ciclo de vida de los incidentes y, en muchos casos, abarcan varias a la vez.

Cartografía de la superficie de ataque

El mapeo de la superficie de ataque identifica todos los activos, puntos de entrada y vulnerabilidades que un adversario podría explotar en un ataque. Proporciona a los defensores visibilidad de su exposición y ayuda a priorizar qué proteger.

Cómo AI cambia el mapeo de la superficie de ataque:

AI transforma el mapeo de la superficie de ataque automatizando escaneos a gran escala de redes y activos, reduciendo drásticamente el esfuerzo manual. Gracias al reconocimiento avanzado de patrones, puede detectar puntos finales ocultos u olvidados que los métodos tradicionales suelen pasar por alto. Los sistemas AI pueden actualizar los mapas continuamente a medida que evolucionan las infraestructuras, reduciendo los puntos ciegos y garantizando que los defensores mantengan una imagen precisa y en tiempo real de su entorno.
Prevención. Reduce los riesgos antes de que los agresores los exploten.
Preparación. Mantiene una visión actualizada de la infraestructura para la planificación de incidentes.

Caso destacado: Uso de LLM para descubrir activos en infraestructuras críticas

En 2025, Luigi Coppolino y otros ha publicado un estudio que muestra cómo los modelos de grandes lenguajes (LLM) pueden mejorar el descubrimiento de activos en infraestructuras críticas. Las herramientas tradicionales, como Nmap o las plataformas de seguridad industrial, corren el riesgo de interrumpir los sistemas sensibles mediante exploraciones activas o no detectan los dispositivos ocultos al basarse únicamente en la supervisión pasiva.

Los investigadores propusieron un marco de "Mezcla de Expertos" basado en LLM que combina datos procedentes de la observación pasiva del tráfico, sondeos activos cuidadosamente limitados y señales físicas como emisiones electromagnéticas. A continuación, agentes LLM especializados interpretan estos datos: uno se centra en los protocolos industriales, otro en las vulnerabilidades de las redes IT/OT y otro en la arquitectura y las dependencias de los sistemas.

El sistema también puede recurrir a fuentes de inteligencia externas (como las bases de datos ATT&CK o CVE de MITRE) para identificar puntos débiles y recomendar medidas de seguridad. En las pruebas realizadas en una red industrial simulada, clasificó con éxito activos como controladores lógicos programables, brazos robóticos e impresoras, al tiempo que señalaba prácticas inseguras como el tráfico Modbus sin cifrar.

Este enfoque convierte el mapeo de la superficie de ataque en un proceso adaptable y consciente del contexto que proporciona visibilidad en tiempo real y reduce los riesgos del escaneado tradicional. Al reducir las barreras técnicas para los defensores, permite una supervisión más exhaustiva y refuerza la postura general de seguridad de las infraestructuras críticas.

Otras lecturas
  • Impacto de AI para la detección de amenazas - "AI para la Defensa" (Donnie W. Wendt 2024)
    El capítulo muestra cómo AI ha avanzado en la detección y clasificación de amenazas, donde los modelos de aprendizaje automático procesan grandes cantidades de datos heterogéneos para identificar posibles ataques. Los resultados ponen de relieve cómo las primeras aplicaciones en los años 2000-2010 se centraron en la detección de malware, intrusiones y spam, demostrando la fuerza de AI para analizar grandes conjuntos de datos y mejorar los sistemas de detección existentes, al tiempo que se mejoran gradualmente las funciones de ciberseguridad de larga data.
  • Detección de amenazas de nueva generación - "Revolucionando la ciberseguridad: Unleashing the Power of Artificial Intelligence and Machine Learning" (Manoharan & Sarker 2022)
    El documento muestra cómo AI y el aprendizaje automático están revolucionando la detección de amenazas, permitiendo a las organizaciones detectar anomalías, analizar patrones de comportamiento y predecir posibles ataques. Los resultados ponen de relieve cómo técnicas como la PNL para extraer inteligencia sobre amenazas y el aprendizaje profundo para el reconocimiento de patrones pueden automatizar la detección y la respuesta, mientras que estudios de casos reales confirman su eficacia.

Escaneado y evaluación de códigos

El escaneado de código revisa el código fuente para detectar vulnerabilidades, bibliotecas inseguras o prácticas de seguridad deficientes antes de que puedan ser explotadas.

Cómo AI cambia el escaneado y la evaluación de códigos:

AI acelera la detección de vulnerabilidades resaltando las funciones inseguras e identificando los patrones de codificación de riesgo aprendidos de exploits anteriores. También ofrece sugerencias de corrección automatizadas, ayudando a los desarrolladores a escribir código más seguro y reduciendo la ventana de oportunidad para los atacantes.

Prevención. Soluciona los puntos débiles antes de que los atacantes los descubran.
Preparación. Refuerza la postura de seguridad de base para la preparación ante incidentes.

Caso destacado: Uso de LLM para escaneo de código y desarrollo seguro

En 2025, Belozerov et al investigaron cómo los grandes modelos lingüísticos pueden apoyar las prácticas de codificación segura. Su estudio comparó ChatGPT con el conjunto de datos DevGPT, que contenía código real de desarrolladores junto con vulnerabilidades conocidas detectadas por escáneres estáticos. De las 32 vulnerabilidades confirmadas, ChatGPT detectó correctamente 18 e incluso sugirió correcciones para 17 de ellas.

Los resultados muestran cómo AI puede reducir el esfuerzo manual en la revisión de código, ayudar a clasificar los patrones de codificación de riesgo y proporcionar sugerencias de corrección automatizadas. De este modo se pueden ampliar las prácticas de codificación segura y acortar el plazo en el que se pueden explotar las vulnerabilidades.

Al mismo tiempo, el estudio puso de relieve importantes limitaciones: ChatGPT producía ocasionalmente resultados demasiado confiados pero incorrectos, introducía nuevos fallos al intentar corregirlos y era menos fiable que el análisis estático o la revisión humana por expertos. Una conclusión clave de este estudio es que AI puede ser un poderoso asistente en la evaluación de código, pero sólo cuando se combina con herramientas tradicionales y una supervisión adecuada.

Otras lecturas
  • Revisión automatizada del código - "Revisión de la aplicación de AI a la ciberseguridad: Oportunidades, riesgos y estrategias de mitigación" (Ndibe & Ufomba 2024)
    El documento muestra cómo AI y los grandes modelos lingüísticos pueden apoyar las revisiones automatizadas de código y las evaluaciones de vulnerabilidades, ayudando a las organizaciones a detectar proactivamente los puntos débiles del código fuente y reducir los tiempos de respuesta. Los resultados también ponen de relieve riesgos como el código inseguro generado por AI, lo que subraya la necesidad de supervisión humana y marcos de gobernanza.
  • Aprendizaje profundo interpretable para la detección de vulnerabilidades - "Detección de vulnerabilidades con interpretaciones detalladas" (Li et al. 2021)
    Este artículo presenta IVDetect, un modelo de aprendizaje profundo que detecta vulnerabilidades en códigos y señala las declaraciones y dependencias específicas responsables. IVDetect mejora la precisión con respecto a las herramientas más avanzadas y proporciona explicaciones detalladas. Los resultados muestran mejoras sustanciales en el rendimiento de la detección y una identificación más precisa del código vulnerable, lo que permite el análisis automatizado y la corrección por parte de los desarrolladores.
  • Detección multilingüe de vulnerabilidades del código - "Detección de vulnerabilidades de código en distintos lenguajes de programación con modelos AI" (Humran & Sonmez 2025)
    En este artículo se investigan modelos basados en transformadores, como CodeBERT y CodeLlama, para detectar vulnerabilidades en múltiples lenguajes de programación. Mediante el ajuste fino en diversos conjuntos de datos, los modelos capturan tanto la sintaxis como la semántica, alcanzando una precisión de hasta 97%. El estudio también incorpora métodos ensemble y AI explicable para reducir los falsos positivos y mejorar la confianza de los desarrolladores. Demuestra que los modelos AI pueden superar a los analizadores estáticos tradicionales en entornos multilingües, aunque siguen existiendo retos en cuanto a robustez, precisión y preparación para el despliegue.

Resumen de datos

El resumen de datos condensa grandes volúmenes de datos técnicos (por ejemplo, registros, informes e información sobre amenazas) en perspectivas accesibles.

Cómo AI cambia el resumen de datos:

AI reduce la sobrecarga cognitiva transformando la información bruta y no estructurada en inteligencia procesable. Puede identificar patrones recurrentes o anomalías en conjuntos de datos fragmentados. También puede generar informes en lenguaje sencillo para no especialistas. De este modo, AI facilita el consumo de la información, su comunicación y la adopción de medidas.

Preparación. Ayuda a digerir la información sobre amenazas y a planificar con mayor eficacia.
Respuesta. Agiliza el conocimiento de la situación en tiempo real.
Recuperación. Elabora resúmenes e informes sobre las lecciones aprendidas.

Caso destacado: AI para resumir registros y conocer la situación

En 2024, Balasubramanian et al ha presentado CYGENT, un agente conversacional basado en GPT-3 capaz de analizar y resumir los registros del sistema. En lugar de obligar a los analistas a examinar miles de entradas de registro sin procesar, CYGENT las condensa en resultados breves y legibles que ponen de relieve los principales eventos y anomalías.

En las evaluaciones, CYGENT superó a otros grandes modelos lingüísticos en la producción de resúmenes claros y procesables. El sistema redujo la sobrecarga cognitiva, facilitó el conocimiento de la situación durante incidentes en directo y agilizó la toma de decisiones.

Este caso ilustra cómo AI puede transformar datos técnicos sin procesar en inteligencia accesible. Al facilitar la interpretación de los registros, ayuda a los defensores a prepararse con mayor eficacia, responder más rápidamente y recuperarse con mejor documentación tras los incidentes.

Otras lecturas

Clasificación de los datos

La clasificación de datos organiza la información en función de su sensibilidad o de los requisitos de cumplimiento, garantizando que los activos críticos reciban la protección adecuada.

Cómo AI cambia la clasificación de los datos:

AI utiliza el procesamiento del lenguaje natural para etiquetar automáticamente contenidos sensibles y detectar datos mal clasificados o expuestos a escala.

Prevención. Reduce la exposición accidental de datos sensibles.
Preparación. Apoya el cumplimiento de la normativa.

Caso destacado: AI para la clasificación de datos sensibles

En 2024, De Renzis et al investigó cómo podían utilizarse grandes modelos lingüísticos para mejorar la clasificación de información sensible. Un reto fundamental en este ámbito es que no siempre pueden utilizarse datos personales reales para el entrenamiento debido a los riesgos para la privacidad. Los autores propusieron generar datos de entrenamiento sintéticos que siguieran reflejando los patrones de categorías sensibles, como la salud, la política o la religión.

Su enfoque permitió el entrenamiento de clasificadores precisos sin exponer los datos reales de los usuarios, lo que demuestra cómo AI puede ayudar a las organizaciones a cumplir con regulaciones como el GDPR, al tiempo que aumenta su capacidad para detectar y proteger la información sensible. Este caso ilustra cómo AI refuerza tanto la prevención (reduciendo la exposición accidental de datos) como la preparación (apoyando los marcos de cumplimiento). Al mismo tiempo, subraya la importancia de la gobernanza y la validación para garantizar que los datos sintéticos y los modelos resultantes sigan siendo representativos y fiables.

Otras lecturas
  • Etiquetado de categorías GDPR basado en transformadores - "Detección automática de datos sensibles mediante clasificadores basados en transformadas" (Petrolini et al. 2022)
    Este estudio aplica modelos AI para marcar automáticamente texto sensible, que abarca áreas como la política, la salud, la religión y la sexualidad, dentro de grandes colecciones de documentos. Demuestra que los enfoques basados en transformadores pueden clasificar estos datos de forma fiable, respaldando el cumplimiento del GDPR y permitiendo el etiquetado automatizado a gran escala para la clasificación de datos basada en el cumplimiento.
  • Análisis semántico para la detección automatizada de datos sensibles - "Identificación automatizada de datos sensibles a partir de la especificación implícita del usuario (S3)" (Yang & Liang 2018)
    Este artículo presenta S3, un sistema que identifica datos sensibles en aplicaciones móviles analizando la semántica en lugar de basarse en palabras clave. Mediante el aprendizaje de las preferencias de privacidad del usuario, logra una mayor precisión que las herramientas tradicionales, lo que ilustra cómo AI puede adaptar la clasificación de datos a contextos del mundo real. El estudio subraya que la sensibilidad de la información depende tanto del contexto de la aplicación como de las preferencias del usuario, y que una protección eficaz en la era de la nube exige poder identificar primero esos datos.

Detección de anomalías en puntos finales o redes

La detección de anomalías supervisa los puntos finales y el tráfico de red en busca de comportamientos inusuales que puedan indicar un peligro.

Cómo AI cambia la detección de anomalías en endpoints y redes:

AI aprende cómo es la actividad normal y señala las desviaciones que podrían indicar actividad maliciosa. A diferencia de los sistemas basados en firmas, puede detectar intrusiones más sutiles que eluden la detección tradicional. AI permite una respuesta más rápida y eficaz a los incidentes al priorizar las alertas y reducir los falsos positivos.

Preparación. Establece líneas de base de la actividad normal.
Respuesta. Detecta anomalías en tiempo real para señalar y contener los ataques.

Caso destacado: Uso de AI para la detección de anomalías en sistemas críticos

En 2024, Nwoye y Nwagwughiagwu examinaron cómo la detección de anomalías basada en AI podía mejorar la ciberdefensa en puntos finales y redes. Utilizando modelos de aprendizaje automático entrenados en patrones normales de comportamiento del sistema y tráfico de red, su enfoque les permitió identificar desviaciones sutiles que los sistemas tradicionales basados en firmas pasarían por alto, incluyendo, por ejemplo, señales tempranas de amenazas internas y violaciones de datos.

El estudio presentaba ejemplos de sectores críticos que demostraban que la detección de anomalías mediante AI reducía los tiempos de respuesta y ayudaba a mantener la continuidad de la actividad al detectar actividades sospechosas antes de que causaran daños graves. Los autores también reconocen los retos, como los falsos positivos y la necesidad de transparencia en los complejos modelos AI. Este caso demuestra cómo AI contribuye tanto a la preparación (estableciendo líneas de base de actividad normal) como a la respuesta (detectando y priorizando anomalías en tiempo real).

Otras lecturas
  • Detección de anomalías basada en GAN - "TadGAN: Time Series Anomaly Detection Using Generative Adversarial Networks" (Geiger et al. 2020)
    Este artículo presenta TadGAN, un marco no supervisado que aplica GANs consistentes en ciclos para detectar anomalías en datos de series temporales. Combinando errores de reconstrucción con resultados críticos, TadGAN genera puntuaciones de anomalías fiables y reduce los falsos positivos. Probado en 11 conjuntos de datos de referencia de dominios, superó sistemáticamente a los métodos más avanzados. El estudio muestra cómo los GAN pueden mejorar la detección de anomalías temporales sutiles en diversos sistemas del mundo real.
  • Aprendizaje automático para la detección de anomalías en las infraestructuras - "Defensores AI: Machine Learning Driven Anomaly Detection in Critical Infrastructures" (Nebebe et al. 2024)
    Este artículo compara modelos de aprendizaje automático para detectar anomalías en infraestructuras críticas, utilizando series temporales de datos de un simulador de sistemas hidráulicos. Se distinguen las anomalías puntuales (valores atípicos aislados) de las contextuales (desviaciones sólo aparentes en el contexto) y se comparan modelos interpretables sencillos (por ejemplo, regresión logística, árboles de decisión) con modelos más complejos de caja negra en conjuntos de datos coherentes. El objetivo es evaluar qué métodos funcionan mejor en entornos industriales reales. El artículo subraya que, si bien los modelos complejos pueden arrojar índices de detección más elevados, los métodos más sencillos siguen ofreciendo ventajas en cuanto a interpretabilidad y solidez en ámbitos de infraestructuras sensibles.

Tareas generales de redacción y recopilación/análisis de datos

Las operaciones defensivas también implican una amplia labor de redacción, investigación y análisis de datos para documentar incidentes, fundamentar decisiones y formar al personal.

Cómo modifica AI las tareas generales de redacción y recopilación o análisis de datos:

AI puede redactar informes, políticas y resúmenes de incidentes, aliviando la carga administrativa de los analistas. Puede automatizar la recopilación de información de fuentes abiertas para ejercicios, lo que permite a estudiantes y profesionales centrarse en análisis y estrategias de alto nivel en lugar de en tareas repetitivas.

Respuesta. Apoya la elaboración rápida de informes y el conocimiento de la situación.
Recuperación. Permite la documentación exhaustiva posterior al incidente y las lecciones aprendidas.

Caso destacado: Recopilación automatizada de información y elaboración de informes

En 2024, Gao et al presentó ThreatKG, un sistema impulsado por AI que recopila automáticamente información sobre ciberamenazas de fuentes abiertas, extrae entidades clave como actores y vulnerabilidades, y las organiza en un gráfico de conocimiento estructurado. En lugar de que los analistas lean manualmente informes largos y desestructurados, el sistema proporciona una visión general consolidada y consultable. Esto reduce la carga administrativa de las operaciones defensivas, agiliza la elaboración de informes sobre incidentes y mejora el conocimiento de la situación durante las amenazas activas. Al transformar la información fragmentada en perspectivas accesibles, ThreatKG permite al personal dedicar más tiempo a la interpretación y la toma de decisiones. El estudio ilustra cómo AI puede remodelar el trabajo defensivo cotidiano haciendo que la recopilación de inteligencia sea más eficiente y procesable, al tiempo que pone de relieve la necesidad de supervisión para garantizar la precisión y la pertinencia.

Otras lecturas
  • Implicaciones de gobernanza, éticas, legales y sociales de AI en OSINT - "Inteligencia de código abierto y AI: una revisión sistemática" (Ghioni et al. 2023)
    El artículo revisa 571 estudios sobre AI en OSINT, sobre el uso de AI en inteligencia de código abierto (OSINT), examinando su gobernanza, implicaciones éticas, legales y sociales. La revisión concluye que la AI ha ampliado las capacidades de la OSINT mediante el aprendizaje automático, la minería de datos y la ciencia forense visual, pero también ha suscitado acuciantes preocupaciones en torno a la privacidad, la responsabilidad, la parcialidad y el uso indebido. Los autores subrayan las lagunas en la regulación, la supervisión y la transparencia, y reclaman marcos más sólidos para garantizar que la inteligencia operativa basada en la AI respalde las operaciones de inteligencia sin socavar los derechos, la confianza o la responsabilidad democrática.
  • Generación automática de informes - "AGIR: Automatización de los informes de inteligencia sobre ciberamenazas con generación de lenguaje natural" (Perrina et al. 2023)
    Este artículo presenta AGIR, un sistema de generación de lenguaje natural que crea informes CTI exhaustivos a partir de gráficos de entidades formales. AGIR reduce el tiempo de redacción de informes en más de 40% manteniendo una gran precisión y fluidez, lo que demuestra cómo AI puede automatizar las tareas de redacción y análisis de informes, liberando a los analistas para que se centren en la interpretación y la estrategia de más alto nivel.

Generación de datos sintéticos

La generación de datos sintéticos crea conjuntos de datos artificiales para entrenamiento, pruebas o simulación sin exponer información sensible del mundo real.

Cómo cambia AI la generación de datos sintéticos:

AI puede producir muestras realistas de tráfico de red o de malware para su uso en laboratorio, colmar lagunas cuando no se dispone de datos del mundo real y salvaguardar la privacidad al tiempo que permite la experimentación. Esto ayuda a educadores y defensores a prepararse para incidentes reales sin arriesgar la exposición de datos sensibles.

Prevención. Permite experimentar de forma segura sin exponer información sensible.
Preparación. Admite la formación y la simulación con conjuntos de datos realistas.
Recuperación. Recrea escenarios de ataque para realizar pruebas y mejoras tras los incidentes.

Caso destacado: Uso de GAN para producir datos de entrenamiento seguros y realistas

En 2022, Nukavarapu et al ha desarrollado MirageNet, un marco que utiliza redes generativas de adversarios (GAN) para crear tráfico de red sintético realista. El sistema puede reproducir patrones de tráfico DNS y otros protocolos de forma muy similar a los datos del mundo real, pero sin exponer información sensible de redes activas.

Esta innovación es importante porque los defensores y educadores a menudo necesitan datos realistas para formación, pruebas y experimentación, pero no siempre pueden utilizar el tráfico operativo por motivos de privacidad o seguridad. MirageNet permite realizar simulaciones seguras que preparan a los analistas para ataques reales al tiempo que evitan riesgos de divulgación. El uso de AI, y en este caso de GANs, permite una experimentación más segura y escalable. Al mismo tiempo, sigue siendo importante validar que los datos sintéticos reflejen realmente las condiciones operativas reales, garantizando que la formación y las pruebas sigan siendo fiables.

Otras lecturas
  • Aprendizaje profundo para el modelado sintético del tráfico de red - "STAN: Generación de tráfico de red sintético con modelos neuronales generativos" (Xu et al. 2021)
    El artículo presenta STAN (Synthetic network Traffic generation with Autoregressive Neural models), una arquitectura neuronal que modela dependencias temporales y de atributos en el tráfico de red para generar conjuntos de datos realistas. Los resultados muestran que los modelos de detección de anomalías entrenados en el tráfico sintético de STAN lograron una precisión casi comparable a los entrenados en datos reales, lo que demuestra cómo el aprendizaje profundo permite conjuntos de datos sintéticos de alta calidad para el entrenamiento y la simulación de preparación, preservando la privacidad.
  • Evaluación de métodos sintéticos de generación de tráfico - "Generación de datos sintéticos de tráfico de red: Un estudio comparativo" (Ammara et al., 2025)
    El estudio evalúa doce métodos de generación de tráfico sintético, entre ellos enfoques estadísticos, AI clásicos y AI generativos, utilizando conjuntos de datos estándar. Los resultados muestran que los modelos basados en GAN ofrecen una fidelidad y una utilidad superiores, mientras que los métodos estadísticos mantienen el equilibrio de clases pero pierden complejidad estructural.

Gestión de identidades y accesos (IAM)

La gestión de identidades y accesos (IAM) garantiza que sólo los usuarios autorizados tengan acceso adecuado a los sistemas y recursos.

Cómo AI cambia la gestión de identidades y accesos:

AI refuerza la IAM detectando patrones de inicio de sesión anómalos que pueden indicar un uso indebido de las credenciales, recomendando políticas de autenticación adaptables y automatizando las comprobaciones rutinarias. Durante los incidentes, puede detectar rápidamente las cuentas comprometidas y activar controles más estrictos para contener las amenazas.

Prevención. Refuerza la autenticación y reduce el acceso no autorizado.
Respuesta. Se adapta en tiempo real en caso de sospecha de uso indebido de credenciales.

Caso destacado: Detección de accesos inusuales e inapropiados

En 2024, Vender realizó un estudio de prueba de concepto sobre la aplicación de AI a los sistemas IAM. Al integrar un modelo de detección de anomalías en una plataforma IAM en funcionamiento, el sistema fue capaz de detectar comportamientos de inicio de sesión inusuales y privilegios de acceso inadecuados. Este enfoque permite a las organizaciones detectar más rápidamente las cuentas comprometidas o el uso indebido de información privilegiada y adaptar dinámicamente las políticas de autenticación cuando se detectan riesgos. El estudio puso de manifiesto un claro aumento de la eficiencia, al tiempo que subrayó la necesidad permanente de supervisión humana para interpretar las anomalías señaladas y evitar interrupciones innecesarias. AI permite, por tanto, reforzar el control de acceso cotidiano y puede convertir la IAM en una línea de defensa más adaptativa y proactiva.

Otras lecturas
  • Auditoría de infraestructuras críticas - "Auditoría IAM potenciada por AI para la detección de anomalías en infraestructuras críticas" (Rodríguez et al. 2025)
    Este artículo propone un marco de auditoría IAM basado en AI que combina la ingeniería de características, la detección de anomalías no supervisada y la clasificación supervisada para analizar los registros IAM. En un conjunto de datos sintético modelado a partir de infraestructuras críticas, el sistema alcanzó una tasa de detección de 92% con una tasa de falsos positivos inferior a 3%. Los resultados demuestran cómo AI mejora la auditoría de registros IAM, permitiendo la detección proactiva de amenazas internas y sutiles anomalías de acceso que los métodos tradicionales a menudo pasan por alto.

Análisis de registros

El análisis de registros examina los registros del sistema y de seguridad para detectar, investigar y comprender los incidentes.

Cómo AI cambia el análisis de registros:

AI puede procesar volúmenes masivos de registros en tiempo real, resaltar secuencias inusuales de eventos y generar resúmenes concisos. Esto mejora la detección y permite agilizar la enseñanza y los simulacros de incidentes.

Preparación. Establece líneas de base e identifica posibles puntos débiles.
Respuesta. Acelera la investigación y facilita la gestión de incidentes en tiempo real.
Recuperación. Informa las revisiones y los informes posteriores a los incidentes.

Caso destacado: Agentes AI para el análisis sintáctico de registros y el descubrimiento de patrones de amenazas

En 2025, Karaarslan et al examinó cómo los agentes AI podían ayudar al análisis de los extensos registros generados por los honeypots Cowrie. Los honeypots imitan deliberadamente a los sistemas vulnerables para atraer a los atacantes, pero el resultado es un volumen abrumador de datos en bruto que resulta difícil de interpretar para los analistas humanos.

Los investigadores demostraron que los agentes AI pueden analizar y resumir automáticamente estos registros, extrayendo patrones de ataque recurrentes y generando informes concisos. Esta automatización reduce el esfuerzo manual, mejora el conocimiento de la situación y permite a los defensores detectar tendencias y ajustar las medidas de seguridad con mayor rapidez. El estudio ilustra cómo AI puede transformar conjuntos de datos inmanejables en inteligencia procesable, al tiempo que subraya la necesidad de validar cuidadosamente los resultados para no malinterpretar tácticas adversarias engañosas o en evolución.

Otras lecturas
  • Análisis autosupervisado de registros - "AI-Driven Log Analysis Using Transformer Constructs" (Pan 2023)
    Este estudio explora cómo AI puede ayudar al análisis de registros para la detección e investigación de incidentes. Utilizando un modelo Transformer entrenado en entradas de registro normales, el enfoque aplica el aumento de registro para el aprendizaje de características auto-supervisado y luego afina el modelo con el aprendizaje de refuerzo en un pequeño conjunto de datos etiquetados. Los resultados indican que este método puede superar los retos que plantean la heterogeneidad de las fuentes de registro y la escasez de datos etiquetados, por lo que resulta prometedor para su aplicación práctica y real en operaciones de ciberseguridad.
  • Análisis de registros basado en el aprendizaje profundo para la detección de intrusiones - "Clasificación de registros de eventos de ciberataques mediante aprendizaje profundo con análisis de características semánticas" (Alzu'bi et al. 2025)
    Este estudio propone un marco basado en aprendizaje profundo que utiliza vectorización semántica e incrustaciones BERT para analizar registros de eventos para la detección de intrusiones. Al categorizar los registros por tipos de eventos y ataques con AI explicable, el enfoque mejora la precisión de la detección, logrando más de 99% de recuperación y precisión, y supera a los modelos existentes.

Análisis de malware

El análisis de malware investiga el software malicioso para comprender su comportamiento, origen e impacto potencial.

Cómo AI cambia el análisis de malware:

AI acelera la clasificación identificando similitudes de código entre familias de malware y generando explicaciones de la ejecución en sandbox. Ayuda a los analistas a comprender rápidamente cómo funciona el malware, lo que permite una respuesta más rápida y una mitigación más eficaz.

Respuesta. Acelera la identificación y contención del malware.
Recuperación. Contribuye a la adquisición de conocimientos para futuras defensas.

Caso destacado: Desmontaje de malware asistido por AI

En 2025, Apvrille y Nakov evaluó R2AI, un complemento AI para el desensamblador Radare2, en muestras recientes de malware de Linux e IoT. El sistema integra LLM en el proceso de ingeniería inversa, ayudando a los analistas a descompilar funciones, renombrar variables e identificar comportamientos sospechosos. Su estudio demostró que la asistencia de AI podía reducir el tiempo de análisis de varios días a aproximadamente la mitad, manteniendo una calidad igual o superior a la del análisis realizado únicamente por humanos. Por ejemplo, en el caso del malware Linux/Devura, AI dedujo correctamente formatos de argumentos que los analistas humanos habían pasado por alto. Sin embargo, seguían existiendo limitaciones: los modelos producían ocasionalmente alucinaciones, exageraciones u omisiones, y requerían la validación constante de expertos cualificados. Los resultados sugieren que el desensamblaje asistido por AI es más eficaz como multiplicador de fuerza, ya que acelera el triaje y descubre detalles con mayor rapidez, aunque sigue dependiendo de la supervisión humana para garantizar la precisión y evitar interpretaciones erróneas.

Otras lecturas
  • Segmentación semántica para la clasificación - "Aprendizaje profundo con segmentación semántica para la clasificación de malware" (Chen et al. 2025)
    El estudio demuestra que la aplicación de AI a partes seleccionadas de archivos de malware, en lugar de a secuencias completas de archivos, puede mejorar significativamente el rendimiento. Al centrarse en los datos de cabecera de los archivos ejecutables portátiles, su modelo alcanzó una precisión del 99,54% en la clasificación de familias de malware. Esto sugiere que centrarse en las secciones de código más informativas permite una detección de amenazas más rápida y fiable.
  • Aprendizaje de pocos disparos para malware novedoso - "A few-shot malware classification approach for unknown family recognition using malware feature visualization" (Conti et al. 2022)
    El artículo propone utilizar el aprendizaje de pocos disparos para clasificar familias de malware con sólo un puñado de ejemplos, evitando así la necesidad de volver a entrenar los modelos cada vez que surge un nuevo malware. Al visualizar binarios de malware como imágenes de tres canales y probar dos arquitecturas (CSNN y Shallow-FS), el estudio muestra una alta precisión en la clasificación de malware tradicional y novedoso. Esto demuestra el potencial de los enfoques de pocos disparos para mejorar la adaptabilidad y la rapidez en la detección de amenazas emergentes.

Formación y laboratorios

La formación y los laboratorios proporcionan entornos controlados para ejercicios prácticos y simulaciones de ciberseguridad.

Cómo AI cambia la formación y los laboratorios:

AI puede generar escenarios de laboratorio dinámicos adaptados al progreso del alumno, crear retos adaptativos de dificultad variable y automatizar la retroalimentación y la evaluación. Esto permite una formación más realista y escalable.

Preparación. Refuerza la preparación mediante simulaciones adaptativas.
Recuperación. Incorpora a la formación lecciones extraídas de incidentes reales.

Caso destacado: Cibersalas con AI para formación adaptativa

En 2025, Sisodiya et alha presentado una plataforma cibernética impulsada por AI diseñada para mejorar el realismo y la eficacia de la formación en ciberseguridad. A diferencia de los laboratorios estáticos tradicionales, la plataforma utiliza AI para ajustar la dificultad de los escenarios en función del progreso del alumno, inyectar eventos de ataque realistas y proporcionar retroalimentación automatizada.

El estudio constató que los estudiantes formados en este entorno lograban una mayor precisión en la detección y una reducción de los tiempos de mitigación en comparación con los enfoques convencionales. Para los educadores, el sistema permite escalar los ejercicios, personalizar los retos e incorporar a las simulaciones lecciones extraídas de incidentes reales.

Técnicamente, la investigación también demostró que las arquitecturas híbridas, que combinan la escalabilidad de la nube con la fidelidad de los sistemas físicos, ofrecen escenarios más realistas y adaptables. Las conclusiones ponen de relieve cómo AI puede transformar la formación de ejercicios fijos en entornos de aprendizaje dinámicos que preparen mejor a estudiantes y profesionales para las ciberamenazas reales.

Otras lecturas
  • Métodos de formación en ciberseguridad - "Revisión sistemática de los métodos actuales de formación en ciberseguridad" (Prümmer et al. 2024)
    El documento muestra que una amplia gama de enfoques de formación en ciberseguridad, incluidos los métodos basados en juegos, mejoran el comportamiento del usuario final y los resultados de seguridad de la organización. Los resultados ponen de relieve la eficacia de los programas de formación estructurados, pero también revelan problemas como el pequeño tamaño de las muestras y los diseños no experimentales. Esto subraya el valor de integrar AI en la formación y los laboratorios para ampliar las intervenciones, personalizar los contenidos y generar ejercicios adaptativos que superen las limitaciones de los métodos tradicionales.

Preguntas para el debate

  • ¿Qué fase del ciclo de vida de los ciberincidentes (prevención, preparación, respuesta, recuperación) es más probable que se vea transformada por la AI en el futuro, y en qué fase está marcando actualmente la AI la mayor diferencia? ¿Dónde parece menos eficaz la AI?
  • ¿Cambia el AI el equilibrio de poder en el ciberespacio hacia los defensores, o ayuda sobre todo a los atacantes a mantener la ventaja?
  • ¿Las herramientas AI de código abierto y ampliamente disponibles igualarán las condiciones para los pequeños defensores, o los sistemas propietarios avanzados seguirán dando a las grandes organizaciones una ventaja abrumadora?
  • ¿Cómo cambia la velocidad y la naturaleza de las operaciones defensivas la capacidad de AI para automatizar la detección, el triaje y la respuesta? ¿Podría dejar obsoletos los "modelos SOC tradicionales"?
  • ¿Podrían los defensores volverse demasiado dependientes de AI, provocando puntos ciegos si los modelos fallan, son envenenados o engañados por las aportaciones del adversario?
  • ¿Quién asume la responsabilidad si los sistemas AI pasan por alto amenazas críticas o hacen recomendaciones erróneas: los desarrolladores, las organizaciones que los despliegan o los analistas humanos que confían en ellos?
  • ¿Cómo deben fomentar los responsables políticos el uso responsable de la AI en defensa sin ahogar la innovación ni limitar el acceso de educadores y organizaciones más pequeñas?
  • A medida que atacantes y defensores adopten la AI, ¿se convertirá el conflicto cibernético en una contienda de "defensa autónoma contra ataque autónomo"?

Bibliografía

Alzu'bi, Ahmad, Omar Darwish, Amjad Albashayreh y Yahya Tashtoush. Cyberattack Event Logs Classification Using Deep Learning with Semantic Feature Analysis'. Informática y seguridad 150 (marzo de 2025): 104222. https://doi.org/10.1016/j.cose.2024.104222. 

Ammara, Dure Adan, Jianguo Ding y Kurt Tutschku. Generación sintética de datos de tráfico de red: A Comparative Study'. arXiv:2410.16326. Versión 2. Preprint, arXiv, 22 de febrero de 2025. https://doi.org/10.48550/arXiv.2410.16326. 

Balasubramanian, Prasasthy, Justin Seby y Panos Kostakos. CYGENT: A Cybersecurity Conversational Agent with Log Summarization Powered by GPT-3'. arXiv:2403.17160. Preprint, arXiv, 25 de marzo de 2024. https://doi.org/10.48550/arXiv.2403.17160. 

Coppolino, Luigi, Antonio Iannaccone, Roberto Nardone y Alfredo Petruolo. Descubrimiento de activos en infraestructuras críticas: An LLM-Based Approach". Electrónica 14, nº 16 (2025): 3267. https://doi.org/10.3390/electronics14163267. 

Gao, Peng, Xiaoyuan Liu, Edward Choi, Sibo Ma, Xinyu Yang y Dawn Song. ThreatKG: An AI-Powered System for Automated Open-Source Cyber Threat Intelligence Gathering and Management'. arXiv:2212.10388. Preprint, arXiv, 30 de octubre de 2024. https://doi.org/10.48550/arXiv.2212.10388. 

Geiger, Alexander, Dongyu Liu, Sarah Alnegheimish, Alfredo Cuesta-Infante y Kalyan Veeramachaneni. TadGAN: Time Series Anomaly Detection Using Generative Adversarial Networks'. arXiv:2009.07769. Preprint, arXiv, 14 de noviembre de 2020. https://doi.org/10.48550/arXiv.2009.07769. 

Ghioni, Riccardo, Mariarosaria Taddeo y Luciano Floridi. Open Source Intelligence and AI: A Systematic Review of the GELSI Literature". Inteligencia Artificial y Sociedad, 28 de enero de 2023, 1-16. https://doi.org/10.1007/s00146-023-01628-x. 

Humran, Hael Abdulhakim Ali, y Ferdi Sonmez. Code Vulnerability Detection Across Different Programming Languages with AI Models'. arXiv:2508.11710. Preprint, arXiv, 14 de agosto de 2025. https://doi.org/10.48550/arXiv.2508.11710. 

Karaarslan, Enis, Esin Güler, Efe Emir Yüce y Cagatay Coban. Towards Log Analysis with AI Agents: Cowrie Case Study'. arXiv:2509.05306. Preprint, arXiv, 22 de agosto de 2025. https://doi.org/10.48550/arXiv.2509.05306. 

Nebebe, Betelhem, Pavlina Kröckel, Romarick Yatagha, Natasha Edeh y Karl Waedt. Defensores AI: Machine Learning Driven Anomaly Detection in Critical Infrastructures". Gesellschaft für Informatik e.V., 2024, 1917-27. https://dl.gi.de/handle/20.500.12116/45143. 

Nukavarapu, Santosh Kumar, Mohammed Ayyat y Tamer Nadeem. MirageNet - Towards a GAN-Based Framework for Synthetic Network Traffic Generation". GLOBECOM 2022 - 2022 Conferencia Mundial de Comunicaciones del IEEEIEEE, 4 de diciembre de 2022, 3089-95. https://doi.org/10.1109/GLOBECOM48099.2022.10001494. 

Nwoye, Chukwujekwu Charles, y Stephen Nwagwughiagwu. AI-Driven Anomaly Detection for Proactive Cybersecurity and Data Breach Prevention". Revista internacional de investigación y gestión de tecnologías de ingeniería 8, nº 11 (2024): 339-56. 

Ogundairo, Obaloluwa, y Peter Broklyn. Procesamiento del lenguaje natural para el análisis de incidentes de ciberseguridad. 2024. 

Peng, Wei, Junmei Ding, Wei Wang, et al. 'CTISum: A New Benchmark Dataset For Cyber Threat Intelligence Summarization'. arXiv:2408.06576. Preprint, arXiv, 30 de junio de 2025. https://doi.org/10.48550/arXiv.2408.06576. 

Perrina, Filippo, Francesco Marchiori, Mauro Conti y Nino Vincenzo Verde. AGIR: Automating Cyber Threat Intelligence Reporting with Natural Language Generation'. arXiv:2310.02655. Preprint, arXiv, 4 de octubre de 2023. https://doi.org/10.48550/arXiv.2310.02655. 

Petrolini, Michael, Stefano Cagnoni y Monica Mordonini. Detección automática de datos sensibles mediante clasificadores basados en transformadores". Internet del futuro 14, nº 8 (2022): 228. https://doi.org/10.3390/fi14080228. 

Rani, Nanda, Bikash Saha, Vikas Maurya y Sandeep Kumar Shukla. TTPXHunter: Actionable Threat Intelligence Extraction as TTPs from Finished Cyber Threat Reports'. Amenazas digitales: Investigación y práctica 5, no. 4 (2024): 1–19. https://doi.org/10.1145/3696427. 

Rodríguez, David, Sarah Lee, Joshua Wilson y Sadis Bello. Auditoría IAM potenciada por AI para la detección de anomalías en infraestructuras críticas. 18 de abril de 2025. 

Selling, Felix. Advancing Identity and Access Management with Artificial Intelligence for Anomaly Detection: A Proof of Concept Implementation Study". 2024. 

Xu, Shengzhe, Manish Marwah, Martin Arlitt y Naren Ramakrishnan. STAN: Synthetic Network Traffic Generation with Generative Neural Models'. arXiv:2009.12740. Preprint, arXiv, 3 de agosto de 2021. https://doi.org/10.48550/arXiv.2009.12740. 

Yang, Ziqi, y Zhenkai Liang. Automated Identification of Sensitive Data from Implicit User Specification'. Ciberseguridad 1, nº 1 (2018): 13. https://doi.org/10.1186/s42400-018-0011-x.

Gracias por suscribirse a nuestro boletín.

Gracias RSVP recibido para AI en ciberdefensa

AI en ciberdefensa

Cargando...

Cargando...