Un reciente informe de Zero Networks advierte sobre el impacto disruptivo de la inteligencia artificial (IA) en la ciberseguridad, específicamente en la facilidad con la que ahora pueden realizarse movimientos laterales dentro de las redes empresariales. Según los datos analizados, basados en 54 billones de actividades monitorizadas en 312 entornos corporativos, los ataques dirigidos mediante herramientas IA alcanzan sus objetivos en un tiempo récord de apenas 27 segundos. Esto deja al 80% de los servidores vulnerables una vez que se ha producido una brecha inicial.
Este ritmo vertiginoso de los ataques alimentados por IA impone un cambio radical en las estrategias de defensa: los equipos de seguridad deben dejar de centrar sus esfuerzos únicamente en proteger el perímetro y pasar a priorizar la contención interna para evitar una rápida propagación de los incidentes.
Un caso paradigmático es el de un enlace de phishing que, cuando un usuario lo abre, sirve como puerta de entrada automática para que sistemas de IA inicien la exploración de la red. En cuestión de segundos, estos sistemas mapean el entorno, localizan credenciales y elevan privilegios. Los centros de operaciones de seguridad (SOC) simplemente no logran reaccionar a tiempo. El Dr. Chase Cunningham, asesor estratégico en ciberseguridad de Cyberbridge Partners, subraya que estos números deberían alertar a cualquier ejecutivo: «El tiempo más rápido registrado para una incursión completa fue de 27 segundos. El 87% de los servidores estudiados aceptaban conexiones RDP o SSH desde múltiples fuentes internas y casi el 79% estaban accesibles vía SMB o WinRM». 
Además, los datos señalan que un 43,2% de la autenticación interna sigue dependiendo del protocolo NTLM, famoso por ser vulnerable a ataques de repetición de credenciales y escalada de privilegios. También destaca que un 12,2% de las organizaciones permiten acceso administrativo directo desde usuarios a servidores, convirtiendo cualquier dispositivo comprometido en un medio inmediato para atacar sistemas críticos.
¿Por qué los sistemas tradicionales de defensa no funcionan?
Los mecanismos de defensa convencionales se diseñaron para responder a ataques humanos con movimientos secuenciales, donde cada paso se identifica y mitiga en orden. Esta estrategia, basada en una “reconnaissance” lenta y metódica, ya no es válida. Ahora, herramientas equipadas con IA realizan múltiples ataques simultáneos, alcanzando gran cantidad de objetivos a velocidades que superan en miles de veces la capacidad de respuesta humana.
Según el informe, un host comprometido puede alcanzar el 85% de los sistemas internos en el primer movimiento lateral, y la relación entre la velocidad del atacante IA y la respuesta del defensor se estima en 771.200 a 1. Además, la segunda generación de agentes IA, usados por las empresas, cuentan con identidades propias y acceso que pueden ser manipulados, convirtiéndose en otro vector para explotaciones mediante técnicas como la inyección de comandos o el envenenamiento de herramientas.
El riesgo del “modelo de confianza heredado”
Una de las mayores debilidades detectadas es que muchas organizaciones continúan operando bajo el paradigma de “asumir la brecha” pero manteniendo una “confianza implícita” dentro de su red, lo que García denomina una “brecha de confianza heredada”. Esto significa que, aunque se presuponga una intrusión, los sistemas internos no están segmentados ni supervisados como se debería, manteniendo en esencia la red interna como un territorio seguro, lo que facilita el movimiento lateral no detectado.
Este paradigma se refleja en cifras tan preocupantes como que el 87% de servidores acepten conexiones internas sin restricciones, junto con el uso extendido de protocolos administrativos inseguros y accesos administrativos por defecto a muchos usuarios.
Movimientos laterales: un reto sin resolver desde hace décadas
El informe destaca que las técnicas para moverse lateralmente en redes no son nuevas – se han documentado en incidentes emblemáticos como el APT1 (2006-2013), la Operación Aurora (2009), Stuxnet (2010), el ransomware Conti (2019-2022) y el ataque a la cadena de suministro de SolarWinds (2020). Sin embargo, la irrupción de la IA acelera y amplifica la capacidad de estos movimientos, evidenciando la necesidad urgente de cambiar el enfoque en la gestión de la seguridad.
El cambio recomendado es pasar de centrarse en la detección a la aplicación efectiva de controles que bloqueen los movimientos no autorizados. “Si puedes verlo, puedes bloquearlo. Si no lo bloqueas, eres parte del problema”, concluye el texto.
Medidas clave para frenar el avance de la IA maliciosa
Entre las acciones propuestas, el informe insiste en la importancia de eliminar el “confianza por defecto” en conexiones internas mediante la microsegmentación. Esta técnica restringe los accesos a niveles específicos de máquina y aplicación, reduciendo significativamente la superficie de ataque.
Además, se recomienda modernizar los protocolos de autenticación, sustituyendo NTLM por opciones más seguras como Kerberos, OAuth2 o OpenID Connect. También es fundamental eliminar privilegios permanentes excesivos en administradores y adoptar elevaciones de privilegio just-in-time para endurecer la seguridad sin sobrecargar a los usuarios.
Otra recomendación apunta a regular con mayor rigor los agentes de IA utilizados, garantizando su gobernanza y aplicando los mismos controles de privilegios y acceso temporal que se exigen a los usuarios humanos.
Herramientas para medir y gestionar el riesgo
Para ayudar a las organizaciones a comprender su exposición, Zero Networks lanzó la herramienta gratuita “Breach Map”, que permite visualizar las áreas más vulnerables y la posible propagación de un ataque. Esta iniciativa se complementará con seminarios web donde se analizarán estrategias prácticas para mitigar los riesgos emergentes en entornos corporativos.
En definitiva, el informe impulsa un análisis profundo de las arquitecturas de red y las políticas de seguridad actuales, advirtiendo que no se requieren inversiones masivas en tecnología, sino una reorientación estratégica hacia el control preciso y la eliminación de riesgos conocidos.
