En el bullicioso ámbito de la ciberseguridad, es habitual encontrarse con proveedores que presentan la inteligencia artificial (IA) como la solución definitiva para salvar los Centros de Operaciones de Seguridad (SOC). Sin embargo, Martin Jakobsen, director general de Cybanetix, propone una visión más realista y crítica sobre estas expectativas, afirmando claramente que el SOC totalmente autónomo es un mito.
Jakobsen subraya que la IA debe considerarse como la siguiente evolución del SOC, no como un reemplazo. «Muchos hablan del SOC autónomo, pero, en mi opinión, carece de sentido», declara en un podcast reciente. La clave, sostiene, es entender que la IA es una herramienta para potenciar y asistir a los analistas, no para suplantarlos.
En el escenario actual, los atacantes utilizan la IA para realizar tareas de reconocimiento con velocidades sin precedentes. Herramientas habilitadas con copilotos automatizados permiten a los intrusos identificar cuentas administrativas en cuestión de minutos, lo que intensifica la necesidad de respuestas rápidas y eficientes por parte de los equipos de defensa. Aquí es donde la IA puede ser de gran ayuda, agilizando la recopilación y análisis de datos para reducir los tiempos de investigación drásticamente. 
No obstante, Jakobsen insiste en que la supervisión humana resulta indispensable. Destaca que el 99,9% de las alertas generadas en un SOC suelen ser falsos positivos. Si una IA, entrenada simplemente con estos datos estadísticos, decidiera ignorar automáticamente todas las alertas como ruido, se correría un grave riesgo de pasar por alto incidentes reales y peligrosos.
La apuesta de Cybanetix se basa en un modelo híbrido que combina flujos de trabajo deterministas para la recopilación eficiente de datos, ahorrando costes de procesamiento, con capacidades de IA que sintetizan estos hallazgos para presentar al analista una visión clara y accionable. Esta metodología ha permitido reducir el tiempo medio de investigación de 19 minutos a menos de cinco, sin caer en la opacidad ni los riesgos asociados a sistemas completamente autónomos y cerrados.
Además, Jakobsen señala que en el mercado actual muchos compradores optan por proveedores de servicios gestionados de seguridad (MSSP) basándose principalmente en el precio. Para reducir costes, estos MSSP tienden a filtrar o descartar alertas de menor gravedad, lo que puede dejar vulnerabilidades para que los atacantes las aprovechen. En contraposición, Cybanetix invierte notablemente en prácticas de DevOps y desarrollo de guiones operativos (playbooks) que guían a los analistas de primer nivel desde tareas más sencillas hasta investigaciones complejas, potenciando así la capacidad y eficiencia del equipo.
Ante esta realidad, los responsables empresariales deben plantearse si buscan simplemente una herramienta o un reemplazo completo del SOC. La decisión determinará la capacidad de sus organizaciones para hacer frente a la creciente oleada de ataques impulsados por IA. ¿Evolucionará su estrategia de seguridad o se quedará obsoleta?
