Servicios
Contáctanos

Modelos de Lenguaje Grandes en Ciberseguridad

Cem Dilmegani
Cem Dilmegani
actualizado el 5 de jun. de 2026

Evaluar 7 modelos de lenguaje grandes en 9 dominios de ciberseguridad utilizando SecBench, un benchmark a gran escala y de múltiples formatos para tareas de seguridad.

Probamos cada modelo con 44,823 preguntas de opción múltiple (MCQs) y 3,087 preguntas de respuesta corta (SAQs), cubriendo áreas como seguridad de datos, gestión de identidad y acceso, seguridad de red, gestión de vulnerabilidades y seguridad en la nube.

Modelos especializados de ciberseguridad LLM

Modelo
Fecha de lanzamiento
Tipo de modelo
Enfoque de entrenamiento
SecLLM
2024
Variante de Code LLaMA
– Muestras de código inseguro
– Fragmentos de código vinculados a CVE
– Patrones de explotación
LLM4Cyber
2024
LLM general ajustado
– MITRE ATT&CK
– CVE
– Fuentes de inteligencia de amenazas (CTI)
LlamaGuard
2024
LLaMA alineado con seguridad
– Prompts de filtro de seguridad
– Aplicación de políticas de entrada/salida
– Manejo de prompts adversarios
SecGPT
2023
LLM estilo GPT
– Texto de ciberseguridad
– Informes de CVE
Cybersecurity-BERT
2023
BERT (solo codificador)
– Informes de malware
– Descripciones de vulnerabilidades
– Documentación técnica de seguridad

LLM de propósito general para ciberseguridad

Estos modelos de lenguaje grandes no se entrenan exclusivamente con datos de ciberseguridad, pero aún pueden rendir bien en el dominio cuando se les solicita correctamente o se evalúan en benchmarks como SecBench.

Ejemplos:

Evaluación del rendimiento de LLM en dominios de ciberseguridad

Este benchmark evalúa 7 LLM generales, incluyendo tanto propietarios (p. ej., GPT-4) como modelos de código abierto (p. ej., DeepSeek, Mistral). El benchmark abarca 9 subcampos de ciberseguridad, incluyendo:

  • Seguridad de datos
  • Gestión de identidad y acceso
  • Seguridad de aplicaciones
  • Seguridad de red
  • Estándares de seguridad (y otros)

Los dominios del eje X se ordenan según el rendimiento de LLM, con los dominios de menor puntuación a la izquierda y los de mayor puntuación a la derecha.

Evaluación de MCQs (Preguntas de opción múltiple):

SAQs (Preguntas de respuesta corta):

Fuente: Diseño de SecBench1 Ver metodología del benchmark.

El papel de LLM en ciberseguridad

Los modelos de lenguaje grandes (LLM) se utilizan en operaciones de ciberseguridad para extraer información procesable de fuentes no estructuradas como informes de inteligencia de amenazas, registros de incidentes, bases de datos de CVE y TTPs de atacantes.

LLM automatizan tareas clave, incluyendo clasificación de amenazas, resumen de alertas y correlación de indicadores de compromiso (IOCs).

Cuando se ajustan con datos de ciberseguridad, los modelos de lenguaje grandes pueden detectar anomalías en registros, analizar correos de phishing, priorizar vulnerabilidades y mapear amenazas a marcos como MITRE ATT&CK.

Descubre más de nuestros análisis comparativos e insights basados en datos en la Búsqueda de Google.
GoogleAñadir como fuente preferida

Aplicaciones de modelos de lenguaje grandes en ciberseguridad

Inteligencia de amenazas

Co-piloto para análisis contextual de amenazas: Herramientas impulsadas por LLM como CyLens apoyan a los analistas de seguridad en toda la inteligencia de amenazas analizando extensos informes de amenazas con pipelines modulares de NLP y filtros de correlación de entidades.2

Inteligencia de amenazas proactiva en tiempo real: los sistemas integran LLM con marcos de generación aumentada por recuperación (RAG) para ingerir flujos continuos de CTI (p. ej., CVE) en bases de datos vectoriales (como Milvus), permitiendo detección automatizada actualizada, puntuación y razonamiento contextual.3

Extracción de CTI basada en foros: LLM analizan datos no estructurados de foros de ciberdelincuencia para extraer indicadores clave de amenazas usando prompts simples.4

Detección de vulnerabilidades

Riqueza de descripción de vulnerabilidades: LLM como CVE-LLM enriquecen las descripciones de vulnerabilidades usando ontologías de dominio, permitiendo triaje automatizado e integración de puntuación CVSS dentro de sistemas existentes de gestión de seguridad.5

Detección de vulnerabilidades en sistema de archivos de Android: Investiga cómo LLM pueden detectar vulnerabilidades de acceso al sistema de archivos en aplicaciones de Android, incluyendo abuso de permisos y almacenamiento inseguro.6

Ajuste fino con RL para detección de vulnerabilidades: Aplica aprendizaje por refuerzo (RL) para ajustar LLM (LLaMA 3B/8B, Qwen 2.5B) para mejorar la precisión en la identificación de vulnerabilidades de software.7

Anomalía detección y análisis de registros

Detección de anomalías semánticas en registros: Marcos como LogLLM utilizan codificadores/decodificadores de LLM para analizar y clasificar entradas de registros, mejorando la detección de anomalías más allá de la coincidencia de patrones.8

Análisis de registros con modelos de lenguaje grandes: El análisis automatizado de LLM convierte registros no estructurados en formatos estructurados mediante enfoques basados en prompts y ajustados.9

Red teaming / prevención de ataques asistida por LLM

Pruebas de penetración impulsadas por LLM y remediación (penheal): Automatiza pruebas de penetración usando un pipeline de dos etapas; primero identificando debilidades de seguridad, luego generando acciones de remediación usando una configuración personalizada de LLM.10

Agente de red team local para seguridad interna (hackphyr): Despliega un agente LLM ajustado de 7B localmente para realizar tareas de red team como simulación de movimiento lateral, recolección de credenciales y escaneo de vulnerabilidades en redes.11

Metodología del benchmark

SecBench es un benchmark a gran escala y multidimensional para evaluar LLM en ciberseguridad en diferentes tareas, dominios, idiomas y formatos.

Dimensiones de evaluación

1. Razonamiento multinivel:

  • Retención de conocimiento (KR): Preguntas que prueban conocimiento factual o definiciones. Estas son más directas.
  • Razonamiento lógico (LR): Preguntas que requieren inferencia y comprensión profunda. Estas son más desafiantes y prueban la capacidad del modelo para razonar basado en contexto.

2. Multi-formato:

  • MCQs (Preguntas de opción múltiple): Formato tradicional donde el modelo selecciona entre respuestas predefinidas. Total de 44,823 preguntas.
  • SAQs (Preguntas de respuesta corta): Formato abierto que requiere que el modelo genere su respuesta para evaluar razonamiento, claridad y resistencia a alucinaciones. Total de 3,087 preguntas.

3. Multi-idioma:

SecBench incluye preguntas tanto en chino como en inglés.

4. Multi-Dominio:

Las preguntas abarcan 9 dominios de ciberseguridad (D1–D9), incluyendo: gestión de seguridad, seguridad de datos, seguridad de red, seguridad de aplicaciones, seguridad en la nube, y más.

Evaluación

Las MCQs se califican verificando si el modelo selecciona la(s) opción(es) correcta(s).

Las SAQs se califican usando un GPT-4o mini "agente de calificación", que compara la respuesta del modelo con la verdad fundamental y asigna una puntuación basada en precisión y completitud'.

Evaluación del rendimiento de LLM: Por ejemplo, Seguridad de Red (D3) se evalúa agrupando preguntas relevantes de su conjunto de datos de 44,823 preguntas MCQ.

La precisión se mide según el rendimiento de cada modelo, específicamente en preguntas etiquetadas bajo el dominio D3. El porcentaje de puntuación de un modelo para D3 refleja la proporción de preguntas de seguridad de red que respondió correctamente.

Cita esta investigación

Elige el formato que se ajuste al lugar donde vas a publicar. Pegar la versión con enlace en tu CMS conserva el enlace de retroceso.

Cem Dilmegani (2026) - "Modelos de Lenguaje Grandes en Ciberseguridad". Publicado en línea en AIMultiple.com. Recuperado el 5 de Junio de 2026, de: https://aimultiple.com/llms-in-cybersecurity [Recurso en línea]

Dilmegani, C. (2026, 5 de Junio). Modelos de Lenguaje Grandes en Ciberseguridad. AIMultiple. https://aimultiple.com/llms-in-cybersecurity

@misc{dilmegani2026,
  author = {Dilmegani, Cem},
  title  = {{Modelos de Lenguaje Grandes en Ciberseguridad}},
  year   = {2026},
  month  = jun,
  howpublished    = {\url{https://aimultiple.com/llms-in-cybersecurity}},
  note   = {AIMultiple. Recuperado el 5 de Junio de 2026}
}
Cem Dilmegani
Cem Dilmegani
Analista principal
Cem ha sido el analista principal de AIMultiple desde 2017. AIMultiple informa a cientos de miles de empresas (según similarWeb), incluyendo el 55% de las empresas Fortune 500 cada mes. El trabajo de Cem ha sido citado por importantes publicaciones globales como Business Insider, Forbes, Washington Post, firmas globales como Deloitte, HPE y ONG como el Foro Económico Mundial y organizaciones supranacionales como la Comisión Europea. Puede consultar más empresas y recursos de renombre que citan a AIMultiple. A lo largo de su carrera, Cem se desempeñó como consultor, comprador y emprendedor tecnológico. Asesoró a empresas en sus decisiones tecnológicas en McKinsey & Company y Altman Solon durante más de una década. También publicó un informe de McKinsey sobre digitalización. Lideró la estrategia y adquisición de tecnología de una empresa de telecomunicaciones, reportando directamente al CEO. Asimismo, lideró el crecimiento comercial de la empresa de tecnología avanzada Hypatos, que alcanzó ingresos recurrentes anuales de siete cifras y una valoración de nueve cifras partiendo de cero en tan solo dos años. El trabajo de Cem en Hypatos fue reseñado por importantes publicaciones tecnológicas como TechCrunch y Business Insider. Cem participa regularmente como ponente en conferencias internacionales de tecnología. Se graduó en ingeniería informática por la Universidad de Bogazici y posee un MBA de la Columbia Business School.
Ver perfil completo

Sé el primero en comentar

Tu dirección de correo electrónico no será publicada. Todos los campos son obligatorios. Los comentarios se dejan en su idioma original.

0/450