Los centros de operaciones de seguridad (SOC) no se han librado del hype de la inteligencia artificial (AI).
Los proveedores prometen sistemas capaces de priorizar alertas, investigar incidentes y responder de forma autónoma. Las demostraciones son impecables. Para los equipos saturados de alertas, parece que por fin hay un respiro.
Sin embargo, la realidad suele ser diferente. La mayoría no funciona como un SOC propiamente dicho. Agilizan la priorización, resumen las alertas, enriquecen los eventos y sugieren los siguientes pasos. Todo esto es útil, pero no resuelve la parte más difícil de las operaciones de seguridad: el tiempo y la coordinación.
Una alerta rara vez se presenta de forma aislada. Gestionarla correctamente suele implicar obtener contexto de múltiples herramientas, validar la actividad con el usuario, actualizar los tickets y los sistemas de registro, notificar a las personas adecuadas y tomar medidas en sistemas de identidad, endpoints o en la nube.
Incluso en entornos bien gestionados, este trabajo suele estar fragmentado. Abarca sistemas que nunca fueron diseñados para funcionar juntos y depende de pasos manuales que no son escalables. La AI que resume una alerta permite comenzar más rápido, pero no elimina esa carga.
Índice de temas
La adopción de AI para la ciberseguridad
Una investigación de Kaspersky revela que 96% de las empresas en México planea incorporar AI en sus operaciones de seguridad, especialmente en sus SOC, para detectar amenazas con mayor rapidez, automatizar respuestas y mejorar la eficiencia de sus equipos.
Sin embargo, esa adopción enfrenta una brecha importante entre expectativa y ejecución: la falta de datos de entrenamiento de calidad, la escasez de especialistas, los altos costos de integración y las nuevas amenazas asociadas al uso de esta tecnología siguen dificultando su implementación efectiva.
De acuerdo con el estudio global de Kaspersky, que analiza las prioridades, expectativas y desafíos relacionados con el uso de la AI para mejorar el desempeño de estos centros, en el país 79% de los encuestados afirma que probablemente incorporará AI en sus operaciones, mientras que el 18% asegura que definitivamente lo hará.
La firma de ciberseguridad asegura que esta tendencia refleja la percepción de la AI como un motor clave para mejorar la detección de amenazas, acelerar los procesos de investigación y aumentar la eficiencia general del SOC.
Lo que sí es escalable
Los equipos que perciben un impacto real de la AI no se limitan a la clasificación. La integran en flujos de trabajo que ejecutan procesos de principio a fin. Recopilan automáticamente el contexto adecuado en diversas herramientas, aplican una lógica coherente para tomar decisiones, activan acciones en todos los sistemas e congregan a especialistas solo cuando se requiere criterio.
Los resultados hablan por sí solos. Jamf automatizó el ciclo de vida completo de las alertas comunes, incluyendo la verificación y resolución por parte del usuario. El 90 % de las alertas se gestionan ahora de principio a fin sin la intervención de analistas, lo que ahorra 150 horas solo en el primer mes y permite al equipo centrarse en tareas más complejas y de mayor impacto.
Udemy utiliza la AI en sus flujos de trabajo de seguridad para recopilar alertas de múltiples sistemas, enriquecerlas con contexto y generar comunicaciones personalizadas automáticamente, eliminando la redacción y la coordinación manuales que antes ralentizaban la respuesta a incidentes.
Estos resultados no se consiguen solo con mejores resúmenes. Se necesitan sistemas que puedan completar el trabajo.
La ejecución es donde reside la dificultad
Pasar de las recomendaciones a la ejecución plantea un conjunto diferente de desafíos.
La fiabilidad se vuelve fundamental. Los flujos de trabajo de seguridad deben comportarse de forma consistente, incluso cuando las entradas son confusas o incompletas. Los resultados de la AI no siempre son predecibles, lo que hace que las salvaguardas sean esenciales.
La integración se vuelve inevitable. Los entornos reales se componen de decenas de herramientas. Lograr que trabajen juntas de forma coordinada es difícil y, a menudo, frágil.
El control se vuelve innegociable. Los equipos de seguridad necesitan saber qué sucedió, por qué sucedió y cómo intervenir si algo sale mal.
Por eso, un enfoque combinado es fundamental. Las implementaciones de SOC con AI más efectivas combinan tres elementos: agentes de AI capaces de analizar, priorizar e investigar; flujos de trabajo deterministas para procesos que requieren confiabilidad, auditabilidad y control preciso; y la intervención humana en las decisiones que requieren criterio, contexto o responsabilidad.
Ni la AI ni la automatización de operaciones de seguridad por sí solas son suficientes. La arquitectura debe ser compatible con los tres.
La supervisión humana es indispensable
Se habla mucho de operaciones de seguridad totalmente autónomas. En la práctica, esto no es lo que la mayoría de los equipos realmente desean… ni deberían desear. La AI puede eliminar el trabajo repetitivo y acelerar el análisis. Lo que no puede hacer es reemplazar la responsabilidad. Si un proveedor afirma lo contrario, desconfíe.
Los equipos que lo están logrando están diseñando sistemas en los que las tareas rutinarias se gestionan automáticamente, las decisiones son transparentes y rastreables, y los humanos pueden intervenir fácilmente cuando sea necesario. Los usuarios autorizados siempre deben poder revisar y anular las decisiones automatizadas.
Esa visibilidad es importante no solo para el cumplimiento normativo y la gestión de riesgos. El informe Voice of Security descubrió que los equipos con políticas formalizadas de gobernanza de AI reportaron una confianza significativamente mayor en su postura de seguridad.
Cuando los humanos participan activamente en el proceso, los equipos también reportan mayor control y menor riesgo de agotamiento. Los mecanismos de control en sí mismos constituyen una ventaja.
¿Qué probar antes de contratar?
Si evalúa la AI para el SOC, la demostración es la parte menos interesante. Lo que importa es cómo se comporta el sistema cuando se conecta a su entorno y ejecuta sus flujos de trabajo reales.
Algunas preguntas importantes: ¿Puede ejecutar procesos de varios pasos en sus herramientas actuales? ¿Se comporta de forma consistente a gran escala? ¿Cómo se registran y auditan las decisiones? ¿En qué momento intervienen los humanos? ¿Qué sucede si el modelo produce un resultado incorrecto? ¿Qué modelos son compatibles y se pueden integrar modelos propios? ¿Cómo varía el precio según el uso?
Si estas respuestas no son claras, es probable que el sistema esté optimizado para mostrar valor, no para proporcionarlo.
La AI desempeñará un papel fundamental en el futuro de las operaciones de seguridad. Pero su valor no reside en la rapidez con la que puede resumir una alerta, sino en su capacidad para ayudarle a pasar de la señal a la acción de forma fiable, a gran escala y sin sobrecargar al equipo en el proceso.
Esa es la diferencia entre algo que parece un SOC de AI y algo que realmente lo gestiona.


