Dirección de la oficina
Sevilla, España
Sevilla, España
Número de teléfono
+(34) 624 816 969
Dirección de correo electrónico
Disponible en Google Play
Sevilla, España
Sevilla, España
+(34) 624 816 969
by ForgeNEX Tabla de contenidos [Mostrar]
La evolución de los Centros de Operaciones de Seguridad (SOC) hacia modelos semiautónomos representa uno de los avances más significativos en ciberseguridad empresarial. La promesa de sistemas capaces de investigar, priorizar y responder a incidentes con intervención humana mínima no solo optimiza recursos, sino que transforma radicalmente cómo las organizaciones enfrentan amenazas digitales cada vez más sofisticadas. Sin embargo, esta transición plantea interrogantes fundamentales sobre el control, la responsabilidad y la gobernanza en entornos donde las decisiones críticas son delegadas a agentes de inteligencia artificial.
Alberto Bellé, analista principal de Foundry España, establece una distinción crucial: la autonomía de un agente de IA en un SOC debe medirse por la autoridad delegada y los permisos asignados. "En un contexto donde el phishing industrializado y la explotación de vulnerabilidades ocurren en horas o días, como advierte ENISA, la respuesta exclusivamente humana resulta cada vez menos viable", explica Bellé. Los agentes pueden investigar, correlacionar datos, priorizar alertas y preparar respuestas, pero existe una línea roja que no deben cruzar: la toma de decisiones que impacten directamente en el negocio.
Acciones como aislar temporalmente un endpoint en escenarios específicos son aceptables cuando son reversibles y trazables. Sin embargo, decisiones como cerrar incidentes definitivamente, modificar privilegios sensibles o activar paradas que afecten la producción deben permanecer bajo supervisión humana. "El AI Act es claro al respecto: la supervisión humana debe ser efectiva y proporcional al riesgo, nivel de autonomía y contexto de uso", añade Bellé. Este marco regulatorio establece las bases para lo que Martín Trullás, director de Soluciones Avanzadas de Ingram Micro España, describe como "un modelo híbrido donde los agentes actúan dentro de límites definidos y bajo supervisión humana en decisiones sensibles".
Eutimio Fernández, director regional de Ventas para la Península Ibérica en Thales Cybersecurity Products, enfatiza que la automatización de decisiones en el SOC no es primordialmente un problema de velocidad, sino de confianza y contexto. "Un SOC con agentes autónomos puede tomar decisiones de contención con garantías siempre que se cumplan tres condiciones: visibilidad completa sobre los datos procesados, controles de acceso rigurosos que delimiten su radio de acción, y una capa de seguridad en tiempo real que proteja al propio agente frente a manipulaciones externas", detalla Fernández.
El desafío actual, según Fernández, es que "la industria aún no ha alcanzado ese punto de madurez". El informe Thales 2026 Data Threat Report revela que el 70% de las organizaciones identifica la IA como su principal riesgo para la seguridad de datos, incluyendo riesgos provenientes de la IA propia cuando opera con acceso amplio y controles deficientes. La calidad del contexto que recibe el agente al momento de decidir es fundamental: "Si el agente opera sobre datos parciales, entornos cloud opacos o pipelines de datos no validados, el margen de error se dispara independientemente de la precisión del modelo subyacente".
Bajo este nuevo paradigma, la responsabilidad del Chief Information Security Officer (CISO) experimenta una transformación profunda. Ignazio Franzoni, director de Ingeniería de Soluciones en Netskope, explica: "Ya no se trata de validar incidentes individuales, sino de diseñar los límites operativos y éticos (guardrails) dentro de los cuales la IA puede actuar de forma autónoma. El CISO se convierte en el responsable del riesgo algorítmico y la continuidad del negocio".
Alberto Bellé añade: "El cambio profundo para el CISO es que pasa a gobernar una autoridad que está delegando en una máquina". Esto implica decisiones estratégicas sobre permisos, alcance sobre activos específicos, y mecanismos de reversión de acciones. Cada decisión relevante de un agente debe dejar un paquete auditable, evitando lo que Bellé describe como "actos de fe" en sistemas automatizados. La normativa NIS2 refuerza esta responsabilidad, exigiendo que la dirección apruebe y supervise las medidas de gestión de riesgo, con formación obligatoria para comprender y supervisar estas medidas.
Ángel Ortiz, director de Ciberseguridad en Cisco España, señala un punto crítico: "Los agentes de IA constituyen identidades con acceso privilegiado. Sin embargo, hasta hace muy poco la industria los trataba como procesos de sistema, sin los controles de autenticación, privilegio mínimo y trazabilidad que se aplican a cualquier usuario humano". El informe Sophos Active Adversary Report 2026 revela que el 67% de los incidentes investigados en 2025 tuvieron origen en ataques relacionados con identidad, explotando credenciales comprometidas o sistemas de identidad mal protegidos.
Kyle Falkenhagen, vicepresidente Senior de Gestión de Producto en Sophos, advierte: "Si este es el vector de ataque preferido contra personas, imaginemos lo que supone desplegarlo contra agentes de IA con acceso privilegiado". Los agentes deben estar sometidos a principios de mínimo privilegio, autenticación multifactor y segregación de funciones igual o más estrictos que los aplicados a usuarios humanos. "Un agente que puede aislar un endpoint, bloquear tráfico o modificar reglas en un SOAR es, por definición, un activo de alto valor y una superficie de ataque potencial", afirma Falkenhagen.
Carlos Castro, responsable de cuentas estratégicas de WatchGuard Technologies Iberia, recomienda tratar a los agentes de IA como Identidades No Humanas (NHI) con privilegios mínimos en entornos de confianza cero. Esto incluye segregación de funciones bien definida (separando, por ejemplo, el agente que investiga del que tiene privilegios para cambiar políticas de firewall) e implementación de controles como autenticación multifactor para los propios agentes. "Estos controles evitarán que tu IA pueda comportarse como un insider threat", explica Castro.
Raquel Brar, coordinadora SOC de Factum, destaca que "la responsabilidad del CISO no desaparece con la automatización, sino que evoluciona hacia un modelo de gobernanza más amplio y exigente". El foco se desplaza desde la ejecución directa de acciones hacia el diseño, supervisión y control de los sistemas que toman decisiones. "Aunque la ejecución la realice un agente, la responsabilidad sobre los límites, criterios y salvaguardas sigue siendo de la organización", afirma Brar.
Francisco Valencia, director general de Secure&IT, señala una paradoja interesante: "La decisión que toma un agente la tiene que explicar a veces otro agente, por lo que nos encontramos con que es la propia IA la que toma la decisión, y la propia IA la que nos tiene que dar esta explicabilidad". Aunque las IAs dejan rastro de la lógica utilizada para tomar decisiones, persisten desafíos como alucinaciones, información malinterpretada o sesgos que complican la comprensión completa de estas explicaciones.
Contrario a la creencia popular, los SOC autónomos no eliminan la necesidad de talento humano, sino que la transforman. Pedro Jorge Viana, director de Preventa de Kaspersky en España y Portugal, explica: "El SOC autónomo no eliminará la escasez de talento, sino que la transformará". Ignazio Franzoni añade: "El SOC autónomo está diseñado para erradicar las tareas de bajo valor cognitivo y cambiar el enfoque hacia perfiles de supervisión y gobernanza altamente especializados".
El estudio de Kaspersky sobre el uso de IA en SOC revela que el 32% de las empresas españolas considera la falta de talento especializado en IA un reto importante. El informe Cisco Cybersecurity Readiness Index 2025 añade que el 74% de las empresas españolas señala la escasez de profesionales de ciberseguridad como desafío clave, con el 45% teniendo puestos vacantes por cubrir. "En ese contexto, el SOC agente ofrece una respuesta a una crisis de capacidad, pero también genera una demanda creciente de perfiles capaces de diseñar, validar y supervisar agentes", apunta Ángel Ortiz.
Carlos Castro detalla cómo se desplaza el problema del talento hacia arriba en la cadena de valor:
Martín Trullás concluye: "El talento siempre será necesario, independientemente de las capacidades de las máquinas, porque alguien debe diseñar y supervisar esas máquinas. Vamos hacia perfiles más especializados, capaces de gestionar no solo herramientas de ciberseguridad, sino también modelos de IA, políticas de automatización y marcos de control".
La implementación de SOC autónomos con agentes de IA representa una evolución inevitable en la ciberseguridad empresarial, especialmente considerando el contexto actual de entornos cloud híbridos y la creciente sofisticación de amenazas. Sin embargo, el éxito de esta transición depende fundamentalmente de establecer mecanismos robustos de control, gobernanza y supervisión humana.
Como señala Eutimio Fernández de Thales, "el verdadero ROI del SOC autónomo no se mide en analistas eliminados, sino en incidentes gestionados correctamente con la misma plantilla. Y eso requiere, inevitablemente, invertir en gobernanza de la IA tanto o más que en la propia IA". Las organizaciones deben adoptar un enfoque progresivo, comenzando con automatización en áreas bien delimitadas y expandiendo gradualmente la autonomía a medida que se establecen controles efectivos y se desarrolla el talento necesario para supervisar estos sistemas.
El futuro de los SOC no apunta hacia la eliminación del factor humano, sino hacia su evolución hacia roles más estratégicos y de mayor valor. Como concluye Carlos Castro: "El SOC autónomo sí reducirá la dependencia de determinados perfiles operativos escasos, pero a cambio elevará la demanda de profesionales con más criterio técnico, capacidad de supervisión y conocimiento de gobernanza. El futuro no apunta a un SOC sin personas, sino a un SOC en el que las personas aportarán mucho más valor en menos puntos, pero más decisivos".
Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.