El reporte Empowering Defenders: AI for Cybersecurity, desarrollado por el World Economic Forum junto a KPMG, muestra cómo la adopción de IA en ciberseguridad está dejando la etapa experimental para pasar a modelos de operación con impacto sobre tiempos de respuesta, productividad y resiliencia.
El documento identifica además una presión creciente sobre las áreas de seguridad. Según el estudio, 76% de los profesionales reportan agotamiento operativo, mientras que 53% de los equipos indican limitaciones presupuestarias y 55% reconocen falta de personal especializado.
IA como multiplicador operativo
El informe plantea que la IA está funcionando como un “force multiplier” para los equipos de seguridad.
La inteligencia artificial comenzó a asumir tareas relacionadas con:
- correlación de amenazas,
- clasificación de alertas,
- threat hunting,
- análisis de malware,
- priorización de vulnerabilidades,
- automatización de investigaciones,
- generación de reportes,
- contención de incidentes.
IBM, por ejemplo, reporta que su plataforma ATOM automatiza alrededor del 95% de las investigaciones diarias dentro de sus servicios administrados de seguridad, reduciendo tiempos de investigación en 37%.
PETRONAS documentó reducciones de entre 30% y 40% en tiempos de respuesta y resolución de incidentes mediante capacidades de IA integradas directamente en los flujos operativos de analistas.
ING señala que su modelo basado en IA procesó más de cinco millones de alertas relacionadas con prevención de fuga de datos, mejorando la precisión operativa de sus analistas en un 20%.
Del copiloto a los agentes autónomos
Uno de los aspectos más interesantes del reporte es la transición desde automatización tradicional hacia modelos de IA agéntica. Mientras los primeros modelos funcionaban como asistentes o copilotos para tareas específicas, los agentes son capaces de ejecutar procesos completos de investigación, correlación y respuesta con distintos niveles de autonomía.
El documento expone casos donde agentes de IA:
- generan hipótesis de ataque,
- identifican información necesaria para validar incidentes,
- correlacionan telemetría,
- crean scripts de remediación,
- ejecutan hunting automático,
- producen resúmenes ejecutivos,
- priorizan alertas,
- recomiendan acciones de contención.
Allianz, por ejemplo, desarrolló un sistema basado en análisis por hipótesis que permite solicitar información bajo demanda para validar amenazas sin necesidad de centralizar volúmenes masivos de datos.
Google también documenta el uso de agentes de IA capaces de identificar vulnerabilidades desconocidas y generar parches de remediación sobre grandes bases de código.
Aramco indica que aproximadamente el 40% de sus soluciones de ciberseguridad incorporan IA como componente central para detección y automatización de respuesta.
La supervisión humana sigue siendo necesaria
Aunque la automatización gana espacio dentro de las operaciones de seguridad, el informe insiste en que la supervisión humana continúa siendo indispensable. El World Economic Forum advierte que una dependencia excesiva de la IA puede debilitar resiliencia operativa y generar una falsa sensación de seguridad.
Por esa razón, muchas organizaciones mantienen esquemas “human-in-the-loop”, donde las decisiones críticas continúan siendo supervisadas, validadas o autorizadas por analistas humanos.
El documento también insiste en la necesidad de incorporar:
- gobierno,
- trazabilidad,
- observabilidad,
- validación continua,
- mecanismos de control,
- pruebas operativas,
- fail-safes.
La adopción de IA en ciberseguridad aparece entonces menos como una sustitución del criterio humano y más como una evolución operativa orientada a ampliar velocidad, capacidad analítica y resiliencia frente a amenazas que ya operan a escala automatizada.
El reporte señala que el cambio está ocurriendo dentro de SOCs, plataformas de detección, análisis de amenazas y procesos de respuesta.
El desafío para CIOs y CISOs pasa ahora por definir cómo integrar estas capacidades dentro de operaciones que requieren velocidad, resiliencia, gobierno y capacidad de adaptación continua.
A medida que las amenazas avanzan hacia modelos automatizados y operaciones a velocidad máquina, la capacidad defensiva también comienza a depender de plataformas capaces de responder con mayor autonomía, precisión y escala.