La llegada de la inteligencia artificial (IA) ha revolucionado la dinámica del fraude cibernético, modificando por completo la economía de la suplantación y el engaño digital. Los ciberdelincuentes ahora pueden crear miles de señuelos de phishing convincentes, identidades falsas y escenarios personalizados en el tiempo que a un equipo de seguridad le cuesta completar un único ciclo de control de cambios. Este desequilibrio genera un nuevo desafío para la ciberseguridad: mientras el engaño se vuelve más rápido y barato, la verificación de la verdad se mantiene lenta y costosa.
Gran parte del debate sobre el uso de la IA en defensa se centra en mejorar los modelos de detección de ataques. Aunque la detección es importante, no representa el cuello de botella principal. El verdadero desafío reside en la gestión de evidencias: la ubicación de los datos, su disponibilidad inmediata, la velocidad a la que pueden ser correlacionados, cuánto tiempo se conservan y la confianza que los analistas o agentes pueden tener en ellos.
En definitiva, protegerse en la era de la IA es, sobre todo, un problema de datos antes que un simple reto de detección. 
La verdad como baza fundamental del defensor
Los atacantes operan a escala empresarial y pueden permitirse mentir sin límite. Disponen de capacidad para ensayar infinitas combinaciones de mensajes, identidades, dominios y vías de ataque, fallando infinidad de veces sin coste relevante.
Los defensores, en cambio, no cuentan con ese lujo. Su ventaja decisiva es la verdad: acceder con rapidez a qué ha ocurrido, dónde, cuándo, qué identidad está implicada, qué activos han sido afectados, qué cambios se han producido y qué procesos de negocio podrían estar en riesgo.
Esta verdad debe estar documentada, regulada, auditada y defendible. Mientras los atacantes impulsan el engaño, la suplantación y la ingeniería social de manera acelerada mediante IA, los defensores necesitan herramientas basadas en inteligencia artificial para escalar la verificación y ratificación de datos.
El objetivo no es simplemente actuar más rápido que el adversario, sino realizar acciones fundamentadas en evidencias robustas que tanto humanos como máquinas puedan confiar y seguir.
La fragmentación de información, el talón de Aquiles de la defensa
Imaginemos un acceso sospechoso detectado desde una cuenta de un contratista. Por sí sola, esta anomalía de autenticación puede parecer aislada. Para evaluar su impacto, el equipo de seguridad necesita analizar rápidamente el historial de identidad, actividad en endpoints, registros de acceso en la nube, tickets, propiedad y configuración de activos, la telemetría de red y el contexto operativo.
Si estos datos están dispersos en diferentes sistemas, con periodos de retención desiguales, y requieren la intervención de múltiples departamentos para obtenerlos, los responsables de seguridad no están realmente investigando la amenaza: están desperdiciando tiempo negociando con sus propios sistemas.
Cuando la información puede ser consultada en su ubicación original y correlacionada de manera inmediata, el análisis deja de centrarse simplemente en si un acceso es inusual y pasa a evaluar si la organización dispone de pruebas y contexto suficientes para justificar una acción responsable y segura.
Este reto se acentúa aún más con la incorporación de asistentes y agentes impulsados por IA, cuyo razonamiento depende totalmente de la calidad, cantidad y actualidad de los datos que pueden consultar. Si estos datos son incompletos, arcaicos, fragmentados o carecen de contexto, la inteligencia artificial no genera certezas, sino que aviva la incertidumbre.
Del repositorio pasivo a un control defensivo activo
Durante años, las empresas han gestionado sus plataformas de seguridad, sistemas SIEM y lagos de datos como almacenes pasivos, destinados a guardar datos para búsquedas y análisis posteriores. Esta estrategia ya no es suficiente frente a las amenazas actuales.
Lo que ahora se precisa es una capa de control defensivo: un sistema que articule lo ocurrido, su significado y las acciones que la organización pueda llevar a cabo. En términos arquitectónicos, este sistema integra datos de máquina en bruto, el contexto de negocio y las políticas vigentes, no solo almacenando evidencia sino también facilitando su uso para decisiones y acciones transparentes y confiables.
En la práctica, esta solución debe cumplir cuatro tareas esenciales: preservar evidencias, acceder a datos donde se encuentren, añadir contexto de negocio y gobernar las acciones derivadas de los análisis.
El antiguo sistema de registro respondía únicamente a: «¿Cuál es el registro oficial?». Por el contrario, un plano de control defensivo ofrece respuestas relevantes para la operación diaria: «¿Qué ocurrió? ¿Qué significa? ¿Qué pruebas avalan esta conclusión? ¿Qué acciones podemos tomar con confianza?». La IA no elimina la necesidad de registros autorizados, sino que eleva su exigencia y funcionalidad.
Las cuatro funciones clave de un plano de control defensivo
-
Preservación de evidencias: Registros de logs, métricas, trazas, eventos, historiales de identidad, cambios en configuración, tickets y estados de activos ayudan a reconstruir la cadena de sucesos. Su valor a menudo solo se percibe tras el inicio de un incidente.
-
Acceso donde se encuentren los datos: La información relevante para la seguridad está repartida en almacenes de objetos, plataformas en la nube, herramientas operativas y sistemas empresariales. Transportar todos los datos a un único lugar puede ser lento, costoso y complejo de gobernar. La estrategia óptima consiste en aplicar análisis directamente en la ubicación original de los datos.
-
Incorporación de contexto empresarial: Relacionar los datos técnicos con la información de negocio convierte una simple anomalía en un activo crítico o un proceso esencial bajo amenaza, permitiendo priorizar respuestas adecuadamente.
-
Gobernanza de acciones: En la era de los agentes inteligentes, los sistemas irán más allá de resumir los incidentes: enriquecerán alertas, abrirán casos, dispararán flujos de trabajo, aislarán activos, actualizarán políticas y escalarán decisiones. Las organizaciones deben garantizar qué evidencia fue usada, qué políticas rigieron la acción, que esta se mantuvo dentro del alcance requerido y cómo pueden revisarse posteriormente las decisiones automatizadas.
El verdadero problema en los centros SOC no es la escasez, sino la falta de contexto
Los centros de operaciones de seguridad (SOC) modernos no padecen falta de datos, sino carencia de contexto útil y usable.
Según el informe Splunk State of Security 2025, los analistas enfrentan retos recurrentes: exceso de alertas (59%), alta cantidad de falsos positivos (55%) y alertas que carecen de contexto suficiente (46%).
El problema no radica en el volumen de datos, sino en la dificultad de integrar señales fragmentadas para tomar decisiones fundamentadas y confiables rápidamente.
Actualmente, los analistas deben crear el contexto a mano, navegando entre herramientas desconectadas y tomando decisiones clave sin contar con la imagen completa a tiempo. Aunque la IA mejora sus capacidades, los resultados dependen en gran medida de la disposición humana para validar medidas sobre entornos fragmentados.
Esto genera una crisis diaria de contexto que deriva en demoras, incoherencias, oportunidades perdidas y exposición a riesgos innecesarios.
La acción confiable, la ventaja sostenible
Una arquitectura basada en data fabric ofrece el camino para unificar inteligentemente las fuentes de datos de SecOps, ITOps y NetOps. El propósito no es centralizar por centralizar, sino romper silos y ofrecer insights contextuales al ritmo que requiere la defensa impulsada por IA.
Esto es más un modelo operativo que un producto en sí: la defensa mediante inteligencia artificial se apoya en una base que preserve evidencias, acceda a datos nativos, añada contexto y mantenga una correlación auditable entre dato, decisión y acción. Esta es la evolución arquitectónica que representa Cisco Data Fabric potenciado por la plataforma Splunk, que integra datos de máquinas, federación, contexto de negocio, gobernanza y procedencia para ayudar a los equipos a transformar señales en acciones confiables.
Los agresores seguirán perfeccionando el engaño, haciéndolo más rápido, barato y personalizado. Los defensores no ganarán esa carrera generando más ruido, sino acelerando la verdad y fundamentando cada acción en evidencias que humanos y máquinas puedan confiar.
