Contáctanos
ServiciosCompañía
Contáctanos
No se encontraron resultados.
Agente de IAAgentes de IA

IA agencial para la ciberseguridad: casos de uso y ejemplos

Cem Dilmegani
Cem Dilmegani
actualizado el Ene 28, 2026
Vea nuestra normas éticas

La IA agente se refiere a los sistemas de IA que combinan modelos como los grandes modelos de lenguaje (LLM) con flujos de trabajo automatizados, integración de herramientas y soporte para la toma de decisiones. Estos sistemas ayudan a los equipos de seguridad en SecOps y AppSec mediante el análisis de alertas, la automatización de tareas rutinarias y el apoyo a las investigaciones.

Las herramientas de IA con capacidad de gestión de agentes generalmente operan bajo supervisión humana. No toman decisiones de seguridad totalmente autónomas en entornos de producción.

Explora casos de uso estructurados y reales de la IA con agentes en ciberseguridad, así como qué hacen estos agentes, cómo funcionan y sus limitaciones prácticas:

Ejemplos de agentes de IA en ciberseguridad

  • Agentes de nivel 1
    • Colaborar en la detección inicial y la clasificación de las alertas.
    • Realizar la clasificación, la eliminación de duplicados y el enriquecimiento de alertas.
    • Proporcionar contexto a los analistas para que puedan priorizar las amenazas.
  • Agentes de nivel 2
    • Ejecutar acciones predefinidas bajo supervisión humana.
    • Ejemplos de tareas: aislar los sistemas afectados, iniciar la contención guiada por un manual de procedimientos.
  • Agentes de nivel 3
    • Brindar soporte para análisis avanzados de amenazas.
    • Ejemplos de funcionalidades: correlacionar la telemetría entre sistemas, ayudar en la búsqueda de amenazas, escanear vulnerabilidades .

Los agentes de nivel 3 no reemplazan a los analistas humanos, sino que complementan su flujo de trabajo.

IA agencial para flujos de trabajo de ciberseguridad

A diferencia de la automatización simple basada en reglas que se encuentra en los sistemas de seguridad tradicionales, la IA con agentes puede coordinar múltiples herramientas, integrar información contextual de diversas fuentes y respaldar la toma de decisiones mediante el procesamiento de datos no estructurados. Sin embargo, estos sistemas generalmente operan con supervisión humana o políticas preconfiguradas, en lugar de un aprendizaje y control totalmente autónomos en entornos de producción.

La IA agente aprovecha su capacidad de aprender dinámicamente de su entorno. 1 Mejora las actividades de ciberseguridad mediante:

  • Supervisar y abordar continuamente las amenazas en tiempo real.
  • Automatización de tareas repetitivas de SOC con mínima intervención humana.
  • Ofrecer apoyo a la toma de decisiones contextual.

Arquitectura de agentes de IA integrados con inferencia de IA, para su interacción con LLM y datos empresariales para la automatización del SOC :

Adaptado de: Cloudera 2

Leer más: IA en SOAR .

Capacidades principales de las herramientas de ciberseguridad de Agentic AI

Las principales capacidades de las herramientas de IA de ciberseguridad incluyen:

  • IntelTriage y enriquecimiento de alertas inteligentes : Los sistemas de agentes pueden clasificar y priorizar las alertas, reduciendo el ruido y ayudando a los analistas del SOC a centrarse en las amenazas significativas.
  • Asistencia automatizada en la investigación : Estos sistemas pueden recopilar información contextual (por ejemplo, inteligencia sobre amenazas, correlaciones de registros) y resumir los hallazgos para los analistas humanos.
  • Contención y ejecución de manuales de procedimientos : La IA con capacidad de acción puede ejecutar acciones de contención, como poner en cuarentena a un host o aplicar restricciones de acceso definidas en manuales de procedimientos automatizados, sujetas a la gobernanza y la supervisión humana.
  • Soporte para la búsqueda de amenazas : Ayudan a los analistas correlacionando indicadores de compromiso (IOC) entre diferentes fuentes de datos y sugiriendo hipótesis de investigación, aunque sigue siendo necesaria una interpretación humana sustancial.
  • Análisis y priorización de vulnerabilidades : Los sistemas de IA ayudan a analizar y puntuar las vulnerabilidades a gran escala para facilitar la priorización de recursos.

Ejemplo de flujo de trabajo: Agente de IA para la detección de vulnerabilidades (Nivel 1)

En las pruebas de concepto de ciberseguridad, se han implementado agentes de IA para respaldar los flujos de trabajo de escaneo y clasificación de vulnerabilidades, interactuando con API que proporcionan datos de vulnerabilidades y orquestando tareas como la creación de tickets o la generación de informes.

Además de los sistemas empresariales como Dropzone AI, también existen implementaciones desarrolladas manualmente donde los agentes de nivel 1 se encargan de la detección inicial y la clasificación de posibles amenazas a la seguridad.

Aquí tenéis una demostración para crear un agente automatizado de detección de vulnerabilidades en el entorno de pruebas de DevNet:

Demostración: Agente de IA para la detección de vulnerabilidades 3

Arquitectura agencial utilizada en la demostración: El agente interactúa con una interfaz de usuario (como Streamlit UI) y un agente enrutador (ACCS), enviando API REST y comandos en una dirección y recibiendo respuestas, ya sea en formato JSON o texto sin formato, en la otra dirección.

Flujo de trabajo e interacciones entre agentes

1. Solicitud: El usuario introduce una solicitud, como por ejemplo: "¿Es vulnerable R1? En caso afirmativo, abra un problema en ServiceNow y envíe un informe al equipo de seguridad por correo electrónico a xyz@gmail.com."

2. Procesamiento inicial: El agente recibe la solicitud y la analiza. Identifica que la tarea consiste en comprobar la vulnerabilidad del Router 1 (R1), abrir un ticket de incidencia en ServiceNow y enviar un informe por correo electrónico a la dirección especificada.

3. Ejecución de la consulta: El agente de interfaz (Streamlit UI) y el agente del enrutador (ACCS) se comunican entre sí. El agente del enrutador consulta al sistema el estado del Enrutador 1 y verifica si existen vulnerabilidades. Determina dinámicamente los comandos necesarios y los ejecuta (por ejemplo, utilizando el comando show version para recuperar los detalles de la versión).

4. Recopilación de datos: El agente del enrutador recopila los datos necesarios, como la versión del Enrutador 1, y envía estos datos a la API de PSIRT para comprobar si existen vulnerabilidades conocidas asociadas a esa versión.

5. Detección de vulnerabilidades: El sistema consulta la API de PSIRT, recibe los resultados (en formato JSON o texto sin formato) y procesa la información. De esta forma, identifica si existen vulnerabilidades de alto riesgo relacionadas con el Router 1.

6. Ejecución de la acción: Si se detectan vulnerabilidades:

  • Se abre automáticamente un ticket de incidencia en ServiceNow.
  • Informe de vulnerabilidad del agente al equipo de seguridad por correo electrónico.

Consulte el informe de vulnerabilidades generado por el agente de IA:

Casos de uso reales: IA agencial en operaciones de seguridad

1. Clasificación e investigación

  • Los agentes agrupan las alertas, eliminan los duplicados y enriquecen las alertas con contexto sobre la amenaza.
  • Ejemplo de enriquecimiento: comprobaciones de IOC, información de punto final y de cuenta.
  • Los analistas humanos siguen revisando los resultados para evitar falsos positivos.

Ejemplo de la vida real: Agentes de IA que aprovechan el triaje y la investigación.

Desafíos : La configuración inicial de seguridad de una compañía de seguros digital requería una gestión manual de las alertas, lo que consumía muchos recursos.

  • Alto volumen de alertas de seguridad
  • Procesos que consumen mucho tiempo
  • Necesidad de monitorización continua las 24 horas del día, los 7 días de la semana.

Soluciones: La empresa implementó agentes de IA de ciberseguridad e integró estos agentes con sistemas existentes como AWS, Workspace y Okta.

Consecuencias:

  • La reducción de la carga de trabajo manual permitió a los analistas del SOC priorizar las tareas de mayor valor.
  • Los informes de investigación detallados proporcionaron un nivel de análisis minucioso, lo que aumentó la visibilidad del COI (indicador de compromiso).
  • La reducción de los falsos positivos mejoró la precisión en la detección de amenazas. 4

2. Soporte para la búsqueda de amenazas

La IA con capacidad de gestión de agentes puede utilizarse en sistemas de ciberseguridad para detectar amenazas y responder a ellas en tiempo real.

Por ejemplo, estos agentes pueden identificar comportamientos inusuales en la red y aislar de forma autónoma los dispositivos afectados para evitar una vulneración de la seguridad sin intervención humana.

  • Los agentes ayudan a los analistas a detectar comportamientos inusuales en la red.
  • Clasifican las alertas según indicadores atómicos, computacionales y de comportamiento.
  • Correlacionan indicadores a través de datos históricos y en tiempo real.
  • Los analistas interpretan los pasos de investigación sugeridos; la IA no reemplaza el juicio de los expertos.

Caso práctico real: Agentes de IA que aprovechan la búsqueda de amenazas

Desafíos: El Sistema de Salud de la Universidad de Kansas tuvo dificultades para coordinar la respuesta ante incidentes; algunos de los desafíos clave incluyen:

  • Falta de visibilidad
  • Respuesta limitada ante incidentes
  • limitaciones de recursos humanos

Soluciones: La Universidad implementó una plataforma de seguridad con capacidades de IA de agente para mejorar la visibilidad y automatizar la búsqueda de amenazas en respuesta a incidentes.

Consecuencias:

  • La visibilidad entre sistemas aumentó en más del 98%.
  • La cobertura de detección ha mejorado en un 110% en seis meses.
  • Los procesos automatizados de respuesta a incidentes filtraron y resolvieron 74.826 de las 75.000 alertas, y solo 174 requirieron revisión manual.
  • Entre las alertas escaladas, el número de casos positivos reales ascendió a 38, lo que redujo el ruido y permitió respuestas más específicas. 5

3. Acciones de respuesta

Los agentes pueden generar plantillas de infraestructura como código (por ejemplo, OpenTofu, Pulumi). Pueden realizar acciones en los puntos finales o actualizar los controles de seguridad bajo supervisión humana.

Ejemplo de la vida real: Agentes de IA que aprovechan las acciones de respuesta

Desafíos: APi Group, una organización de distribución, se enfrentó a los siguientes desafíos de ciberseguridad:

  • Diversas pilas tecnológicas
  • Visibilidad en todo el ecosistema

Soluciones : Para abordar los desafíos anteriores, APi Group implementó la plataforma de IA con agentes de ReliaQuest para mejorar la detección de amenazas en sus entornos Microsoft.

Consecuencias:

  • Se redujeron los tiempos de respuesta en un 52 % gracias a la automatización y a los manuales de procedimientos integrados.
  • Se logró un aumento del 47% en la visibilidad en las pilas de Microsoft 365, Cisco y Palo Alto.
  • Se ha ampliado la cobertura de MITRE ATT&CK en un 275%. 6

Explicación de la IA agente y las operaciones de seguridad (SecOps).

Las operaciones de seguridad (SecOps) son un enfoque colaborativo entre los equipos de seguridad informática y de operaciones informáticas, centrado en identificar, detectar y responder de forma proactiva a las ciberamenazas.

El problema:

Los equipos de seguridad operativa (SecOps) se enfrentan a una fatiga considerable, ya que manejan grandes cantidades de datos procedentes de sistemas diversos y amenazas en rápida evolución, al tiempo que deben desenvolverse en estructuras organizativas complejas y cumplir con los requisitos normativos.

Cómo ayuda la IA con agentes:

La IA es especialmente eficaz en "tareas de razonamiento", como el análisis de alertas, la realización de investigaciones predictivas y la síntesis de datos procedentes de diversas herramientas.

De este modo, los agentes de IA en SecOps pueden ayudar a automatizar tareas que requieren análisis y toma de decisiones en tiempo real, como el phishing, el malware, las filtraciones de credenciales, el movimiento lateral y la respuesta a incidentes.

Por ejemplo, estas herramientas pueden entrenarse con las bases de conocimiento de MITRE ATT&CK para imitar la experiencia de los analistas humanos o utilizar manuales de respuesta a incidentes para:

  • enriquecer alertas
  • detectar sistemas afectados
  • aislar/clasificar los sistemas infectados
  • crear informes de incidentes

Las herramientas de ciberseguridad basadas en IA, como Trase, pueden automatizar gran parte del trabajo de cumplimiento normativo para estándares como SOC 2 y HIPAA. 7

Fuente: SCALE 8

Casos de uso reales: IA agencial en seguridad de aplicaciones

4. Identificación de riesgos

La IA con capacidad de análisis actúa como un centinela vigilante, analizando continuamente su entorno en busca de amenazas y posibles vulnerabilidades en aplicaciones y bases de código. Los agentes de IA pueden realizar descubrimientos externos e internos para identificar amenazas:

Descubrimiento externo:

  • almacenar y clasificar datos sobre tus aplicaciones y API.
  • Escaneo en busca de servidores web expuestos.
  • Descubrir puertos abiertos en direcciones IP con acceso a Internet.

Descubrimiento interno:

  • Evaluar las configuraciones de tiempo de ejecución, identificar problemas y establecer prioridades.
  • Visualización de la accesibilidad y la funcionalidad de la API
  • Visualización y uso de la API de la aplicación
  • Monitorización de cargas de trabajo de API de AWS sin agente y Azure
  • Análisis del volumen y los patrones de tráfico de la aplicación

5. Creación y adaptación de pruebas de aplicación

Los agentes de IA generan pruebas automáticamente en función de las interacciones del usuario con la aplicación. A medida que los evaluadores o desarrolladores utilizan la herramienta para capturar casos de prueba, la IA supervisa y crea scripts de prueba.

Si la interfaz de usuario de la aplicación cambia (por ejemplo, si cambia el ID de un elemento o el diseño), el agente de IA puede identificar estos cambios y personalizar los scripts de prueba para evitar fallos.

6. Ejecución de pruebas de aplicaciones dinámicas

La IA automatizada ejecuta pruebas de forma continua en diversos contextos (por ejemplo, en múltiples navegadores y dispositivos) sin intervención humana. Los agentes de IA pueden programar pruebas y analizar el comportamiento de la aplicación de forma autónoma para garantizar una cobertura de pruebas completa.

También pueden personalizar dinámicamente los parámetros de prueba, como copiar diferentes datos de entrada del usuario o cambiar las condiciones de la red, para permitir un análisis más exhaustivo de la aplicación.

7. Informes autónomos y sugerencias predictivas

Los agentes de IA pueden examinar de forma autónoma los datos de las pruebas de las aplicaciones, encontrando patrones de fallos y determinando las causas principales.

Por ejemplo, si numerosas pruebas fallan debido al mismo problema, el agente de IA combinará los resultados y resaltará el problema subyacente para el equipo de desarrollo.

Basándose en datos de pruebas anteriores, los agentes de IA pueden predecir posibles fallos futuros y recomendar metodologías de prueba de aplicaciones para abordar estos problemas.

8. Remediación autónoma

La IA automatiza el proceso de remediación; por ejemplo, si el agente de IA detecta que ciertas pruebas son redundantes o no cubren adecuadamente riesgos específicos, puede optimizar el conjunto de pruebas eliminando las pruebas no relacionadas y priorizando aquellas que se centran en áreas más relevantes.

El agente de IA también puede detectar cuándo falla una prueba debido a errores menores (como un pequeño cambio en la interfaz de usuario) y "corregir" el script de prueba para que cumpla con la aplicación revisada, eliminando los falsos positivos y requiriendo menos intervención manual.

9. Pruebas de penetración automatizadas

La IA automatiza el proceso de pruebas de penetración , incluyendo la identificación de vulnerabilidades, la generación de planes de ataque y su ejecución. Algunas prácticas clave de los agentes de IA en las iniciativas de pruebas de penetración incluyen:

Simulación de adversario en tiempo real:

  • Realizar simulaciones de ataques a redes, aplicaciones e ingeniería social.
  • Realizar pruebas de penetración como DAST (pruebas dinámicas de seguridad de aplicaciones).

Reconocimiento :

  • Escanear internet, incluyendo la web profunda, la web oscura y la web superficial, para detectar activos de TI expuestos (por ejemplo, puertos abiertos, depósitos en la nube mal configurados).
  • Integración de OSINT (inteligencia de fuentes abiertas) e inteligencia sobre amenazas para mapear las superficies de ataque.

Explicación de la IA agencial y la seguridad de las aplicaciones (AppSec).

La seguridad de las aplicaciones implica protegerlas durante todo su ciclo de vida, que abarca el diseño, el desarrollo, la implementación y el mantenimiento continuo.

El problema:

A medida que las aplicaciones alojadas adquirieron mayor importancia como principales generadores de ingresos para las empresas públicas, también lo hizo su seguridad. Esto dio lugar a tendencias recientes como:

  • El uso generalizado de la nube y las aplicaciones SaaS ha adelantado la importancia de la seguridad en el ciclo de vida del desarrollo de software (SDLC) para minimizar los riesgos antes de que lleguen a producción.
  • Con el aumento de la programación nativa en la nube, se ha producido una mayor migración a plataformas de terceros como AWS, por lo que la superficie de ataque para las aplicaciones queda más expuesta a vulnerabilidades.

Como consecuencia del aumento de la superficie de ataque y del potencial de vulnerabilidad, los atacantes desarrollaron métodos nuevos e ingeniosos para comprometer las aplicaciones.

Cómo ayuda la IA con agentes:

La IA de Agentic puede ayudar a mejorar la seguridad de las aplicaciones mediante la integración y automatización de diversas etapas del ciclo de vida de la aplicación para reforzar la seguridad, incluyendo la monitorización de sus pipelines de CI/CD o la automatización de sus pruebas de penetración.

Desafíos de la IA con agentes en la ciberseguridad

1. Falta de transparencia e interpretabilidad

  • Toma de decisiones poco transparente: Las operaciones y los sistemas de seguridad basados en IA pueden ser difíciles de interpretar, especialmente cuando modifican las políticas o decisiones de seguridad por su cuenta. Los ingenieros de pruebas y los desarrolladores pueden tener dificultades para comprender por qué se realizaron ciertas acciones o para confirmar las decisiones de la IA.
  • Confianza y fiabilidad: Sin explicaciones explícitas, puede resultar difícil para los equipos confiar en las recomendaciones o revisiones de la IA, lo que puede generar resistencia a la implementación de soluciones de IA basadas en agentes.

2. Problemas relacionados con la calidad de los datos

  • Dependencia de los datos: Los agentes de IA necesitan datos diversos para aprender a realizar acciones de forma eficaz. Los datos insuficientes o sesgados pueden dar lugar a acciones erróneas o pronósticos incorrectos.
  • Casos excepcionales en las configuraciones del sistema: Si la infraestructura de TI de una organización incluye configuraciones a medida o combinaciones de software poco comunes, un agente de IA puede interpretar erróneamente los comportamientos normales como anomalías o no detectar amenazas reales.

3. Mantener la fiabilidad

  • Falsos positivos y negativos: La IA de Agentic puede clasificar incorrectamente los datos relacionados con SecOps o AppSec, lo que genera falsos positivos (denuncia de errores inexistentes) o falsos negativos (no detecta problemas reales). Estos errores pueden comprometer la confianza en el sistema y requerir intervención manual para validar los resultados.
  • Problemas de adaptabilidad: Si bien la IA con capacidad de gestión de agentes está diseñada para adaptarse a los cambios, ciertos cambios complejos o inesperados en la aplicación (por ejemplo, rediseños importantes de la interfaz de usuario o cambios en la arquitectura del backend) aún pueden provocar fallos en las operaciones de seguridad, lo que requiere la intervención humana para actualizar los modelos de IA.

4. Complejidad de la implementación

  • Dificultad para asegurar la integración de API: Los agentes de IA interactúan frecuentemente con sistemas externos; por lo tanto, proteger las API es fundamental. La tokenización y la validación de API son medidas que contribuyen a garantizar una interacción fiable.
  • Formación e implementación: Para que los modelos de IA agente sean eficaces, deben entrenarse con grandes conjuntos de datos y escenarios diversos, lo que puede requerir muchos recursos y tiempo.

5. Requisitos de supervisión humana

  • Supervisión continua: Si bien la IA con agentes busca reducir la intervención humana, aún requiere supervisión y mantenimiento para garantizar su correcto funcionamiento. Los equipos de seguridad deben verificar los resultados de la IA, ajustar los modelos según sea necesario e intervenir cuando la IA se enfrente a escenarios complejos o inesperados.
  • Requisitos de personal altamente cualificado: La gestión de la IA con agentes exige experiencia en IA, aprendizaje automático o seguridad de aplicaciones. Las organizaciones pueden tener dificultades para encontrar o capacitar personal con las habilidades necesarias.

Reflexiones finales

La IA agente tiene el potencial de mejorar las operaciones de ciberseguridad al optimizar los tiempos de respuesta y aliviar la carga de trabajo de los equipos de seguridad.

Sin embargo, los desafíos Factores como la falta de transparencia, las preocupaciones sobre la calidad de los datos y los falsos positivos/negativos pueden aumentar la dificultad general de implementar soluciones de IA basadas en agentes de manera efectiva.

Implementación exitosa La implementación de IA con capacidad de gestión en las operaciones requiere personal cualificado, supervisión y actualizaciones constantes, procesos eficaces de validación de falsos positivos y atención a otros desafíos clave.

Enlaces de referencia

1.
AI Model Security: A CISO’s Complete Guide
SentinelOne
2.
AI-Driven SOC Transformation with Cloudera: Enhancing Security Operations with Agentic AI | Blog | Cloudera
3.
Network Security AI Agent: Automated Vulnerability Reports! - YouTube
4.
Transformando las operaciones de seguridad
5.
University of Kansas Health System Grows Visibility by 98% with GreyMatter - ReliaQuest
6.
APi Group Increases Visibility by 47% - ReliaQuest
7.
Trase | A Smarter Way to Work, Powered by AI
Trase
8.
AI SOC Analysts: LLMs find a home in the security org | Insights | Scale
Scale Venture Partners
Cem Dilmegani
Cem Dilmegani
Analista principal
Síguenos
Cem ha sido el analista principal de AIMultiple desde 2017. AIMultiple informa a cientos de miles de empresas (según similarWeb), incluyendo el 55% de las empresas Fortune 500 cada mes. El trabajo de Cem ha sido citado por importantes publicaciones globales como Business Insider, Forbes, Washington Post, firmas globales como Deloitte, HPE y ONG como el Foro Económico Mundial y organizaciones supranacionales como la Comisión Europea. Puede consultar más empresas y recursos de renombre que citan a AIMultiple. A lo largo de su carrera, Cem se desempeñó como consultor, comprador y emprendedor tecnológico. Asesoró a empresas en sus decisiones tecnológicas en McKinsey & Company y Altman Solon durante más de una década. También publicó un informe de McKinsey sobre digitalización. Lideró la estrategia y adquisición de tecnología de una empresa de telecomunicaciones, reportando directamente al CEO. Asimismo, lideró el crecimiento comercial de la empresa de tecnología avanzada Hypatos, que alcanzó ingresos recurrentes anuales de siete cifras y una valoración de nueve cifras partiendo de cero en tan solo dos años. El trabajo de Cem en Hypatos fue reseñado por importantes publicaciones tecnológicas como TechCrunch y Business Insider. Cem participa regularmente como ponente en conferencias internacionales de tecnología. Se graduó en ingeniería informática por la Universidad de Bogazici y posee un MBA de la Columbia Business School.
Ver perfil completo

Sé el primero en comentar

Tu dirección de correo electrónico no será publicada. Todos los campos son obligatorios.

0/450

Siguiente para leer

Agentes de IAAbr 24

Entornos de aprendizaje por refuerzo: la infraestructura detrás de la IA agenica

Cem Dilmegani
Berk Kalelioğlu
Cem Dilmegani
con
Berk Kalelioğlu
Web agencialMay 6

Búsqueda basada en agentes en 2026: Evaluación comparativa de 8 API de búsqueda para agentes

Hazal Şimşek
Ekrem Sarı
Hazal Şimşek
con
Ekrem Sarı
Gestión de servicios de TIMay 6

IA agencial en ITSM: 10 casos de uso y ejemplos

Sıla Ermut
Sıla Ermut
Agentes de IAMar 30

Creación de agentes de IA personales + 18 plataformas y herramientas para agentes

Cem Dilmegani
Cem Dilmegani
Agentes de IAFeb 6

Creación de agentes de IA con patrones componibles

Cem Dilmegani
Cem Dilmegani
Marcos de IA agencialEne 26

Evaluación comparativa de marcos de IA agencial en flujos de trabajo analíticos

Cem Dilmegani
Nazlı Şipi
Cem Dilmegani
con
Nazlı Şipi