En lugar de aliviar la carga de trabajo de los equipos de seguridad tal y como se esperaba, la IA añade presión sobre estos, dado que se ven obligados a gestionarla y adoptarla mientras se ocupan de sus responsabilidades diarias. Y esto, a menudo, sin la formación adecuada.
Se suponía que la IA aumentaría la eficiencia de los equipos de seguridad, pero lo que hace es dificultarles su trabajo. En consecuencia, los profesionales de la seguridad se ven empujados en dos direcciones: por un lado, se espera que regulen el uso de la IA en sus organizaciones; y, a la vez, que sepan cómo integrarla en sus propios flujos de trabajo. Y todo eso, en no pocas ocasiones sin la formación adecuada. El resultado es equipos sobrecargados, presión creciente y una brecha de habilidades cada vez mayor.
Aún así, Richard Addiscott, vicepresidente y analista de Gartner, destaca que las empresas ya están adoptando la IA a un ritmo sin precedentes. “Nuestra investigación muestra que el 98% de las organizaciones ya ha adoptado o tiene previsto adoptar la IA generativa u otra forma de IA. Solo el 1% no tiene previsto hacerlo y el otro 1% no está seguro”, afirma a CSO, para añadir: “Pero si eres el responsable de la organización de seguridad, bloquear la IA probablemente no te beneficiará ni a ti ni a tu equipo”.
No obstante, esta adopción añade una nueva capa de responsabilidad a los profesionales de la ciberseguridad, que deben supervisar la gobernanza de la IA mientras ellos mismos la utilizan. “Como función de seguridad, en la que aspectos como la rentabilidad, la productividad operativa, la continuidad operativa y la escasez de talento ya tienen un impacto, es totalmente apropiado que esos equipos se planteen: “¿Cómo puedo utilizar la IA desde el punto de vista de la seguridad, ya sea para mejorar la eficiencia operativa, la rentabilidad o para dar a mi equipo la oportunidad de hacer más con el mismo nivel de recursos?”, prosigue Addiscott.
La carga de seguridad que conlleva la IA
Uno de los principales retos es que se espera que muchos profesionales de la ciberseguridad implementen y supervisen herramientas de IA, en no pocas ocasiones sin disponer de formación oficial. Un informe de O’Reilly, Tendencias tecnológicas para 2025, destaca la rapidez con la que crece el interés por las habilidades relacionadas con la IA. Entre 2023 y 2024, el interés por la inteligencia artificial creció un 190%, mientras que la IA generativa se disparó un 289%. Sin embargo el aumento más significativo se produjo en los principios de la IA, con un 386%, y en la ingeniería de prompts, que se disparó un 456%.
A juicio de Addiscott, “está muy bien querer adoptar las ambiciones de IA de la organización, pero si nadie del equipo entiende el funcionamiento de los grandes modelos lingüísticos o la ingeniería de prompts… entonces va a ser muy difícil”. Por eso, añade: “Es necesario cambiar la combinación de capacidades y habilidades, lo que tiene un impacto fundamental en el plan estratégico de personal… y un montón de otras repercusiones posteriores que debemos tener en cuenta desde una perspectiva operativa estratégica en materia de seguridad”.
Por su parte, Anil Appayanna, director de Seguridad de la Información de India International Insurance y fundador de NexisCyber, está de acuerdo y señala que las organizaciones suelen darse prisa por implementar la IA sin asegurarse de que sus equipos estén preparados. Por eso, cree que “existe el temor de quedarse atrás porque todo el mundo habla hoy en día de la IA”. En suma, “francamente, si estoy hablando en un seminario y le digo a la gente que hago esto y lo otro, los demás se sienten muy presionados para volver a sus empresas y decir: “Oye, ellos lo están utilizando, ¿por qué nosotros no podemos?”.
A lo que añade: “Pero la preparación es muy importante. No se trata sólo de poner las cosas en marcha, sino de entender hacia dónde se dirige. ¿Qué es lo que buscas? Y luego, ¿tienes las habilidades y las personas adecuadas para implementarlo?”.
Más allá de las habilidades técnicas, usar la IA también requiere un cambio de mentalidad, Appayanna insiste en que se mantenga la supervisión humana para verificar cualquier resultado generado por la IA en lugar de confiar ciegamente en sus recomendaciones. Y más claro no puede ser: “Nunca automatizaré por completo ni dependeré excesivamente de la IA”.
Su razonamiento se apoya en estos pilares: “Siempre tendrá que haber una interfaz humana en algún lugar. Puede ser tan simple como “verlo, olvidarlo, no hay problema”, pero no quiero que se convierta en “sólo porque la IA me ha dicho que esto es así tengo que creerla”. Hay que incluir algún tipo de intervención humana para ver qué está pasando de verdad”.
Así que, con todo este revuelo, normal que exista cierto grado de desilusión. El informe de O’Reilly advierte de que muchas organizaciones que adoptan la IA podrían no comprender plenamente sus capacidades o limitaciones, especialmente en campos emergentes como la ingeniería de prompts. Las búsquedas acerca de dicha ingeniería crecieron considerablemente en 2023 y, sin embargo, el informe ya mostró a principios de 2024 los primeros signos de descenso. También se pregunta si se trata sólo de ruido o del primer indicio de fatiga de la IA, y sugiere que a un desvanecimiento del interés por la ingeniería de prompts se desvanece le podría seguir un entusiasmo más generalizado por el aprendizaje automático y la IA.
Appayanna compara la prisa por adoptar la IA con la ola de transformación digital de la última década. Entonces, las empresas sintieron la presión para pasarse a la nube, automatizar los flujos de trabajo y adoptar las tecnologías digitales. No obstante, muchas no tuvieron en cuenta de qué manera se ajustaban esos cambios a las necesidades de su negocio.
Para Appayanna, la pregunta es: “Sí, se puede introducir la IA, pero ¿en qué contexto? Hay que definirlo y también asegurarse de que se cumplen los requisitos empresariales. Sólo entonces la IA puede aportar valor”.
Este especialista ha formado su enfoque personal respecto a la IA de manera metódica, lo que le permite explicar cómo introdujo la IA en su equipo para gestionar tareas repetitivas y de bajo nivel antes de ampliar gradualmente su uso a áreas más complejas, como la automatización de equipos rojos. “Si voy a introducir una tecnología de IA, lo primero que miro es: “¿Dispongo de las habilidades adecuadas y mi equipo tiene las habilidades necesarias para siquiera planteárselo?”. Porque siempre me aseguro de que la formación sea lo primero”.
Los atacantes están utilizando la IA, pero ¿están preparados los defensores?
La IA aumenta la carga de trabajo y también eleva las expectativas. No son pocos los equipos de seguridad que ya están al limite de sus capacidades, por lo que la presión para integrar la IA supone una carga adicional. “Si tienes un equipo muy reducido que apenas tiene tiempo para levantar la cabeza y ya vas con retraso en el trabajo habitual, la IA supone un reto“, destaca Addiscott.
Otro factor crítico en el debate sobre la escasez de habilidades en IA es que los atacantes también están aprovechando de ella, lo que pone a los defensores en una desventaja aún mayor. Los ciberdelincuentes ya la utilizando para generar correos electrónicos de phishing más convincentes, automatizar el reconocimiento y desarrollar malware que puede evadir la detección. Mientras tanto, los equipos de seguridad bastante tienen con estar al día.
Rona Spiegel, asesora de Riesgos Cibernéticos en GroScale y antigua responsable de Gobernanza en la Nube en Wells Fargo y Cisco, tiene claro que “la IA exacerba lo que ya está sucediendo a un ritmo acelerado”, y añade: “En ciberseguridad, los defensores tienen que acertar siempre, mientras que los atacantes solo tienen que acertar una vez. La IA aumenta la probabilidad de que los atacantes acierten más a menudo”.
Sin una formación adecuada en IA, puede que los profesionales de la seguridad ni siquiera se den cuenta de que se enfrentan a amenazas generadas por la IA. “Nos encontramos en un entorno de amenazas que quiere aprovechar al máximo la IA. Por lo general, [los atacantes] disponen de mucho más tiempo y dinero para poder entrenarse con estas cosas”, afirma Addiscott.
¿Puede la IA solucionar la escasez de competencias en seguridad?
De todas formas, no todo va a ser negativo. Spiegel reconoce la complejidad de la adopción de la IA, pero sostiene que la cuestión radica más bien en cómo los líder abordan su adquisición. Sugiere que los equipos de ciberseguridad necesitan un conjunto de habilidades y experiencias diversas y completas.
“No creo que tengamos una escasez de habilidades en ciberseguridad, sino una escasez de comprensión por parte de los líderes”, argumenta Spiegel, para añadir: “Los líderes se ven presionados para adoptar la IA a la velocidad del rayo y se centran en la eficiencia que se puede obtener mediante la automatización de la IA, pero están buscando personal con una visión muy limitada de lo que es la ciberseguridad”.
De ahí que sea de la opinión de que la IA podría ayudar en última instancia a paliar parte de la escasez de habilidades. Por eso explica que “los CISO tendrán que adoptar un enfoque más táctico. Hay mucha presión para que automaticen una y otra vez. Creo que lo mejor sería que se asociaran con otras funciones y se centraran en aspectos como las políticas, impulsaran la unificación y la simplificación de la forma en que se adaptan las políticas, y se aseguraran de que estamos educando a todo el entorno, a toda la plantilla, no sólo a los responsables de la ciberseguridad”.
Conocida esta opinión, Appayanna argumenta que el uso correcto de la IA puede aliviar la escasez de talento en lugar de agravarla. De ahí que crea que dicha tecnología libera a los profesionales de la seguridad para que desarrollen habilidades de mayor nivel en lugar de quedarse estancados en tareas habituales y repetitivas.
“Si mis analistas de seguridad de nivel 1 pasan dos o tres horas revisando registros, algo que mi IA puede hacer en cinco minutos, quiero utilizarla en ese caso, no como sustituto, sino como complemento”, explica.
A pesar del potencial de la IA, la realidad a corto plazo sigue siendo difícil. Addiscott cree que se situará por encima de las responsabilidades de seguridad actuales, en lugar de sustituirlas en un futuro. “Seguimos necesitando supervisión de la seguridad, de las aplicaciones, de la infraestructura, de la nube y de las políticas, pero también concienciación sobre la seguridad. Todas esas cosas siguen siendo necesarias”, afirma.
Por eso, cree que “lo que va a pasar a corto y medio plazo es que la IA se situará por encima de todas esas cosas. Y hasta que empecemos a ver la integración, lo que probablemente llevará un cambio generacional, pasará mucho tiempo antes de que podamos mirar atrás con satisfacción y decir: “Creo que hemos dado con la mejor práctica”.
Appayanna advierte contra la idea errónea de que la IA por sí sola puede resolver los retos de seguridad. En su opinión, las organizaciones que invierten en formación estructurada en IA y en una implementación cuidadosa estarán mejor posicionadas para tener éxito.
“Las herramientas de IA sólo pueden automatizar. Pueden ayudarte y apoyarte, pero nunca sustituirán la experiencia humana, y las organizaciones deben gestionar sus expectativas con sus consejos de administración o sus equipos para que reconozcan que la IA es una herramienta complementaria, pero no un sustituto”, dice para concluir.
Fuente: Computerworld