logo nova
Search
logo nova

Mes: abril 2026

Publicado en

frontera de la IA: por qué la defensa del futuro es una operación de riesgo en tiempo real

defensa contra ataques de IA avanzada

Escucha este artículo aquí:

La ciberseguridad siempre ha tenido una ventaja implícita: el tiempo. Detectar, investigar y responder solía ser suficiente para contener la mayoría de los incidentes antes de que escalaran. Esa ventaja se está erosionando.

Con la llegada de modelos de IA avanzados, los atacantes ya no dependen únicamente de habilidades humanas o ciclos manuales. Ahora pueden automatizar la búsqueda de vulnerabilidades, encadenar fallas en sistemas complejos y ejecutar ataques a una velocidad que reduce drásticamente la ventana de reacción de las organizaciones.

El mensaje de fondo de iniciativas como Unit 42 Frontier AI Defense de palo alto networks es claro: el modelo tradicional de defensa ya no escala frente a ataques impulsados por IA.

El cambio clave: de ataques humanos a ataques autónomos

Lo que está cambiando no es solo la velocidad, sino la naturaleza del atacante.

Los ataques ya no son necesariamente lineales ni manuales. Un sistema impulsado por IA puede:

  • explorar superficies de ataque completas en minutos,
  • identificar vulnerabilidades encadenables,
  • y ejecutar secuencias de explotación sin intervención humana constante.

Esto genera un problema estructural: la defensa tradicional está diseñada para interpretar eventos, no para competir contra sistemas que operan en ciclos mucho más cortos.

En ese contexto, el tiempo entre “detección” y “respuesta” deja de ser una métrica operativa… y se convierte en una variable de riesgo.

El verdadero problema no es la IA, es la velocidad compuesta

Cuando los ataques son automatizados, no solo se vuelven más rápidos. También se vuelven iterativos.

Un atacante puede probar múltiples variantes de explotación en paralelo, ajustar rutas de ataque en tiempo real y escalar intentos sin costo marginal relevante. Esto genera lo que se puede entender como “velocidad compuesta”: cada iteración mejora la siguiente.

En ese escenario, la exposición no es estática. Cambia mientras la organización todavía está investigando lo que ocurrió.

Qué propone este nuevo enfoque de defensa

El planteamiento de Unit 42 de palo alto networks va en una dirección interesante: mover la seguridad hacia una lógica de tres capas operativas:

Primero, identificar la exposición antes de que sea explotada, entendiendo qué vulnerabilidades realmente pueden encadenarse en un ataque real.

Segundo, reducir la superficie de ataque de forma estructural, no solo parcheando incidentes aislados.

Tercero, modernizar la operación de seguridad para responder en tiempo real, apoyándose en automatización y analítica avanzada para acortar los ciclos de decisión.

Más allá del nombre de la iniciativa, el concepto clave es este: la defensa ya no puede depender de ciclos humanos tradicionales.

De detección de incidentes a operación del riesgo

Aquí es donde este enfoque conecta directamente con la evolución que hemos venido trabajando en la serie CROC.

Un SOC tradicional está optimizado para detectar y responder eventos. Pero en un entorno donde la IA acelera el ciclo completo del ataque, eso ya no es suficiente.

Lo que empieza a tomar relevancia es otro enfoque: operar la exposición de forma continua.

Eso implica cambiar la pregunta central de seguridad:

  • De “¿qué pasó?”
  • A “¿qué es explotable ahora mismo y qué impacto tendría?”

Ese cambio es sutil, pero profundo. Porque convierte la seguridad en una función que no solo reacciona, sino que gestiona activamente la probabilidad de que un ataque ocurra con éxito.

El rol de la IA en defensa: no es opcional, es estructural

Así como los atacantes están usando IA para escalar su capacidad, la defensa también necesita apoyarse en sistemas inteligentes para analizar exposición, priorizar riesgos y acelerar decisiones.

No se trata de “automatizar el SOC” como un objetivo aislado. Se trata de algo más amplio: reducir el tiempo entre exposición y mitigación por debajo del ciclo del atacante.

En términos simples: si el atacante piensa en minutos, la defensa ya no puede pensar en horas.

Qué cambia para la organización

Este tipo de cambio no es solo tecnológico. Es operativo y estructural.

Para TI, significa que la gestión de vulnerabilidades deja de ser un proceso periódico y se convierte en un flujo continuo.
Para SecOps, implica que la priorización ya no puede basarse solo en severidad, sino en explotabilidad real en contexto.
Para el CISO, cambia la conversación: el foco deja de ser cuántos incidentes se atendieron y pasa a ser cuánto riesgo se redujo frente a un adversario que también evoluciona en tiempo real.

Conexión con CROC: el siguiente nivel de madurez

Este tipo de enfoques encajan naturalmente con la idea de un Cyber Risk Operations Center (CROC).

Porque cuando el adversario opera con IA, la seguridad deja de ser un sistema de alertas y pasa a ser un sistema de gestión continua de exposición.

Un CROC no compite con la velocidad del atacante desde la detección. La compite desde la reducción estructural del riesgo.

Y esa es la verdadera transición que está ocurriendo:
de defender eventos → a operar riesgo en tiempo real.
Para mantenerte informado y protegido, sigue las redes sociales de Nova en: Instagram,  Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

#NovaInforma

Publicado en

visibilidad real: por qué el inventario “mensual” ya no sirve

visibilidad de activos en tiempo real

Escucha este artículo aquí :

Durante mucho tiempo, el inventario de activos fue una de las bases más importantes de la gestión de TI. Saber qué equipos existen, qué software corren y dónde están ubicados era suficiente para construir una postura de seguridad razonable. El problema es que ese modelo nació en un entorno donde los cambios eran más lentos y predecibles.

Hoy ese supuesto ya no existe.

En entornos híbridos, con nube, trabajo remoto, dispositivos móviles, aplicaciones SaaS y despliegues continuos, la infraestructura cambia todos los días. Nuevos activos aparecen sin control centralizado, otros desaparecen, algunos cambian de configuración sin pasar por procesos formales, y muchos ni siquiera están correctamente registrados desde el inicio.

En ese contexto, un inventario mensual deja de ser una herramienta de control y se convierte en una fotografía histórica. Y en ciberseguridad, una fotografía del pasado no reduce el riesgo del presente.

El problema no es el inventario, es su caducidad

El error más común no es hacer inventarios, sino asumir que siguen siendo válidos cuando se consultan semanas después.

Entre un ciclo de inventario y otro pueden ocurrir decenas de cambios relevantes: endpoints que se conectan por primera vez, sistemas expuestos temporalmente a internet, usuarios con privilegios elevados que cambian de rol, o servicios que se levantan sin documentación adecuada.

Cada uno de estos cambios puede modificar la superficie de ataque. El riesgo no se detiene mientras esperamos el siguiente reporte.

En otras palabras: el inventario tradicional describe cómo era el entorno, no cómo es ahora.

Cuando la visibilidad de activos en tiempo real no es continua, el riesgo se mueve más rápido que la defensa

La visibilidad de activos no es solo una cuestión de control operativo, es una condición base para la gestión de riesgo. Si no sabes qué existe en este momento, no puedes evaluar qué está expuesto ni qué debería priorizarse.

El problema se amplifica porque los atacantes no trabajan con inventarios mensuales. Ellos exploran continuamente la superficie real, no la documentada. Cualquier desfase entre lo que existe y lo que se cree que existe se convierte en una ventana de oportunidad.

Este es uno de los puntos más críticos en la higiene de TI moderna: el riesgo se mueve en tiempo real, pero muchas organizaciones siguen operando con visibilidad periódica.

De inventario a visibilidad continua

La evolución natural del inventario no es hacer “mejores inventarios”, sino pasar a un modelo de visibilidad continua.

Esto significa tener una capacidad constante de identificar activos, cambios y relaciones dentro del entorno tecnológico. No como un ejercicio puntual, sino como un flujo operativo que refleja el estado actual del sistema.

Cuando la visibilidad es continua, cambia la forma en que se toman decisiones. Ya no se prioriza con base en lo que “se sabía” hace semanas, sino en lo que realmente está expuesto hoy.

Esto tiene un impacto directo en tres dimensiones:

  • Riesgo: se reduce la incertidumbre sobre la superficie real de ataque.
  • Operación: se eliminan esfuerzos duplicados y trabajo sobre activos inexistentes o irrelevantes.
  • Prioridad: se enfoca la remediación en lo que está activo y es relevante ahora, no en lo que lo fue.

El inventario estático crea falsas zonas de seguridad

Uno de los riesgos menos evidentes del modelo tradicional es la ilusión de control.

Cuando un inventario está actualizado “en papel”, es fácil asumir que la organización tiene visibilidad completa. Sin embargo, esa confianza puede ocultar activos no registrados, entornos temporales o configuraciones que cambiaron después del último corte.

Estas zonas ciegas no siempre son grandes o evidentes. A veces son pequeños desajustes entre realidad y documentación que, acumulados, crean un terreno fértil para exposición no controlada.

En seguridad, el problema no es lo que sabemos que existe, sino lo que creemos que no existe.

La higiene de TI como disciplina de visibilidad dinámica

En una higiene de TI moderna, la visibilidad no es un entregable, es una capacidad operativa.

No se trata de “tener un inventario”, sino de sostener una comprensión actualizada del entorno en todo momento. Esto permite que la organización deje de reaccionar a descubrimientos tardíos y empiece a operar con información viva.

Este enfoque es el que habilita modelos más avanzados de gestión de riesgo, donde la exposición no se calcula una vez al mes, sino de forma continua, alineada con la realidad del negocio y su infraestructura.

Qué cambia para la organización

Adoptar visibilidad continua de activos cambia más de lo que parece a primera vista.

Para TI, reduce el tiempo perdido en reconciliar inventarios desactualizados.
Para seguridad, mejora la precisión en la evaluación de exposición.
Para el negocio, disminuye la probabilidad de incidentes causados por activos desconocidos o mal gestionados.

Pero el cambio más importante es conceptual: la organización deja de confiar en estados estáticos y empieza a operar sobre un entorno dinámico.

Y en un entorno dinámico, la única forma realista de reducir riesgo es tener visibilidad en tiempo real.

Para mantenerte informado y protegido, sigue las redes sociales de Nova en: Instagram,  Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

#NovaInforma

Publicado en

IA agente: cuando la IA deja de “responder” y empieza a actuar

Escucha este artículo aquí:

Durante el último par de años, muchas organizaciones empezaron a convivir con modelos de lenguaje (LLMs) como asistentes: redactan, resumen, responden dudas, ayudan a analizar información. En general, el riesgo se podía encerrar en un marco relativamente claro: lo que la IA “dice” puede ser incorrecto, puede filtrar información, o puede ser manipulada a través de prompts. Todo eso importa, pero tiene un límite: el LLM, por sí solo, no cambia tu realidad. Solo produce contenido.

La IA agente (agentic AI) rompe ese límite.

Radware lo plantea de forma contundente: los LLMs generan texto; la IA agente genera consecuencias. El salto de respuestas predictivas a acciones autónomas cambia por completo la ecuación de riesgo. Un agente acepta objetivos, planifica tareas en varios pasos, usa herramientas, llama APIs, actualiza registros y toma decisiones sin que necesariamente haya un humano aprobando cada movimiento.

Y cuando la IA puede actuar, la seguridad deja de ser un tema de “prompt y respuesta”. Se convierte en un tema de operación.

El “salto de autonomía”: por qué aquí cambia todo

Un LLM puede ayudarte a redactar un correo de atención al cliente. Un agente, en cambio, podría hacer algo como: consultar datos del cliente, validar un caso, emitir un reembolso, actualizar el CRM, y disparar un flujo de seguimiento. Ese ejemplo aparece como analogía directa en el texto de Radware, y es perfecto porque lo vuelve tangible: la IA ya no está en el dominio del contenido; está en el dominio de los procesos.

Ese cambio tiene tres implicaciones enormes para el riesgo:

1) La velocidad del error se comprime.
Entre un input malicioso y un resultado dañino puede pasar muy poco tiempo, porque el sistema está diseñado para ejecutar.

2) El “radio de impacto” crece.
Un mal prompt ya no solo produce una mala respuesta; puede desencadenar movimientos de datos, cambios en sistemas, decisiones operativas o impactos financieros.

3) El riesgo se vuelve sistémico.
El agente no vive aislado: se conecta a herramientas, identidades, memorias, pipelines, sistemas internos. Y eso amplifica cualquier debilidad de gobierno.

Los riesgos no vienen solo de “lo que dice”, sino de “lo que puede hacer”

Cuando el agente puede usar herramientas, hay una pregunta que se vuelve inevitable para TI y seguridad: ¿qué permisos tiene?

En el mundo clásico, el problema era: “¿qué información vio el modelo?”.
En el mundo agentic, el problema es: “¿qué acciones tiene permitido ejecutar el sistema?”.

Radware enfatiza que, una vez que el AI puede actuar, la seguridad debe extenderse más allá de prompts y outputs y entrar en dominios como identidad, herramientas, memoria y gobernanza de runtime.

En lenguaje de negocio, el riesgo no es que la IA “se equivoque” al responder. El riesgo es que la IA se equivoque mientras opera: moviendo datos, generando transacciones, abriendo accesos, automatizando cambios o ejecutando procesos.

El punto ciego más común: confundir automatización con control

Un patrón que estamos viendo en muchas organizaciones es este: se implementan agentes para ganar velocidad, pero el gobierno se queda atrás. Se asume que “si el agente es útil”, entonces “es seguro”.

La realidad es más incómoda: la autonomía no solo multiplica productividad; también multiplica exposición si no existe un marco de control. Y ese marco no se resuelve con “buenas prácticas de prompts” únicamente. Necesita, como mínimo, cuatro pilares:

  • Identidad y privilegios mínimos para lo que el agente puede hacer.
  • Gobierno de herramientas y APIs: qué puede invocar, cuándo y con qué validaciones.
  • Memoria y contexto: qué recuerda, qué conserva y qué puede reusar (y qué no).
  • Monitoreo y enforcement en runtime: visibilidad de acciones, límites, bloqueos, auditoría.

No es un tema de paranoia. Es el equivalente moderno a lo que ya aprendimos con automatización en IT: si automatizas un proceso sin controles, automatizas también el error.

Dos escenarios “antes y después”

Imagina un agente que ayuda a soporte y finanzas a resolver casos en minutos. En el flujo normal, es brillante. Pero un atacante logra manipular el contexto (por ejemplo, inyectando instrucciones en datos que el agente consulta) y el agente ejecuta reembolsos o cambios de cuenta que “parecen” legítimos porque siguen el flujo. El daño no viene de un exploit tradicional; viene de abuso de autonomía: el agente hizo lo que estaba diseñado para hacer, pero bajo un contexto adverso.

Ahora piensa en un agente que “optimiza” procesos: actualiza tickets, crea accesos temporales, reinicia servicios, aplica cambios de configuración con base en diagnósticos. Si el agente tiene permisos amplios y el monitoreo es débil, cualquier error de razonamiento o manipulación de entrada puede convertirse en un cambio real en producción. No necesitas un atacante brillante; basta con una cadena de suposiciones incorrectas ejecutadas a máquina.

En ambos casos, el problema no es que la IA “alucine”. El problema es que la IA puede ejecutar.

Qué cambia para TI, SecOps y el CISO

Para TI, esto introduce una nueva disciplina: no basta con “integrar” un agente; hay que operar su ciclo de vida como un sistema crítico. Permisos, roles, auditabilidad, límites de acción, pruebas de abuso, y observabilidad se vuelven parte del estándar.

Para SecOps, los agentes agregan una nueva superficie de ataque: entradas manipulables, contextos contaminables, herramientas invocables, identidades automatizadas. El monitoreo debe evolucionar para incluir no solo “alertas”, sino trazabilidad de decisiones y acciones.

Para el CISO, el reto principal es de gobierno: el negocio va a pedir agentes por eficiencia. La pregunta es cómo habilitarlos sin crear una deuda de riesgo que explota después. Aquí el lenguaje de riesgo importa: autonomía = mayor productividad, sí, pero también mayor blast radius si no se diseña con controles.

Cómo se conecta con el enfoque CROC

En Nova, cuando hablamos de CROC, hablamos de operar el riesgo como un proceso continuo: ver exposición, priorizar, intervenir y verificar reducción.

La IA agente encaja perfecto como nuevo frente de exposición. No porque sea “mala”, sino porque cruza una línea: pasa de recomendar a ejecutar. Y eso exige un enfoque operativo, no solo políticas.

Un CROC aplicado a este problema significaría: mapear dónde hay agentes, qué sistemas tocan, qué permisos tienen, qué datos consumen, qué acciones ejecutan, qué tan verificables son sus decisiones, y qué guardrails existen en runtime. Es el mismo principio: convertir un riesgo emergente en un proceso manejable y medible.

La idea central

La IA agente no es “un LLM más”. Es un cambio de categoría.

Si tu IA puede actuar, tu seguridad debe proteger no solo lo que el modelo responde, sino lo que el sistema puede ejecutar: identidad, herramientas, memoria y gobierno operativo. Ahí es donde se juega la resiliencia, el cumplimiento y la confianza del negocio en la nueva economía agentic.

Para mantenerte informado y protegido, sigue las redes sociales de Nova en: Instagram,  Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

#NovaInforma

Publicado en

del SOC al CROC: eventos vs exposición real al riesgo

Escucha este artículo aquí:

Durante años, el SOC fue el centro natural de la seguridad. Y con razón: en un mundo de amenazas constantes, tener capacidad de detección y respuesta es esencial. El problema es que muchas organizaciones crecieron pensando que el SOC era “toda” la estrategia de seguridad, cuando en realidad es una parte —muy valiosa— de un rompecabezas más grande.

Hoy, con entornos híbridos, activos que cambian cada semana, aplicaciones que se despliegan a velocidad de nube y adversarios cada vez más automatizados, aparece una distinción que vale la pena decir en voz alta: un SOC opera eventos; un CROC opera exposición al riesgo.

Y esa diferencia no es semántica. Cambia la forma en que priorizas, cómo asignas recursos y cómo explicas seguridad a la alta dirección.

Qué es un “evento” y por qué el SOC es indispensable

Un SOC está diseñado para recibir señales: logs, alertas, telemetría, indicadores. Su trabajo es detectar actividad sospechosa, investigar y responder. En términos prácticos, es el músculo de “lo que está pasando ahora”.

Ese enfoque sigue siendo crítico. Los incidentes ocurren y hay que contenerlos. Pero un evento tiene una característica incómoda: es reactivo por naturaleza. Para que exista evento, algo ya ocurrió: un comportamiento anómalo, una explotación, un intento de movimiento lateral, un patrón que dispara una alerta.

Incluso en los mejores escenarios, un SOC opera con el tiempo en contra. Está optimizado para reducir impacto una vez que el riesgo se empezó a materializar. Y aunque esto es necesario, no necesariamente reduce la exposición estructural que hace posible el siguiente incidente.

La exposición: el “antes” del incidente

La exposición es el conjunto de condiciones que vuelven posible un ataque exitoso: activos desconocidos, configuraciones débiles, vulnerabilidades sin remediar, identidades con privilegios excesivos, rutas de acceso mal gobernadas, APIs sin control, superficies que crecen sin supervisión.

La exposición existe, aunque hoy no haya alertas. Y ese es el punto: la organización puede estar “tranquila” y al mismo tiempo estar altamente expuesta.

Aquí es donde muchas estrategias se rompen. Si todo se mide por eventos, el día sin incidentes se interpreta como “día seguro”. Pero desde una perspectiva de riesgo, un día sin eventos también puede ser un día donde el adversario solo está observando, preparando o esperando el mejor momento.

Por qué los eventos no bastan para priorizar

Otra realidad operativa: el SOC suele vivir bajo presión de volumen. Alertas, falsos positivos, triage, escalaciones. Cuando la prioridad se define por lo que “grita más fuerte”, el enfoque se vuelve táctico. Es comprensible, pero tiene un costo: el equipo vive apagando incendios y pierde capacidad de trabajar en la causa raíz.

En cambio, la exposición permite priorizar con otra lógica: qué condiciones están aumentando el riesgo real de la organización y qué acciones lo reducen de forma tangible. La prioridad deja de ser “qué alerta atendemos” y se convierte en “qué exposición reducimos primero”.

Esto reduce fatiga operativa, porque el trabajo ya no es infinito por ruido, sino dirigido por impacto.

Qué hace un CROC (y por qué no compite con el SOC)

Un CROC —Cyber Risk Operations Center— no reemplaza al SOC. Lo complementa. Si el SOC opera incidentes, el CROC opera la reducción continua del riesgo.

Su foco es establecer un ciclo constante que responda a preguntas como:

¿qué está expuesto hoy y por qué?
¿qué exposición es accesible y explotable en nuestro contexto?
¿qué toca activos críticos para el negocio?
¿qué acción concreta reduce más riesgo en menos tiempo?
¿cómo verificamos que el riesgo bajó y no solo “hicimos algo”?

Este cambio de preguntas cambia todo: cambia las métricas, el tipo de colaboración con TI, la conversación con el negocio y el uso de herramientas. Porque el objetivo no es ver más cosas, sino reducir exposición con evidencia.

Dos escenarios para entenderlo sin teoría

Imagina una organización con un SOC sólido, que responde rápido. Sin embargo, cada trimestre aparece un incidente similar: credenciales comprometidas, abuso de cuentas, movimientos laterales. El SOC atiende cada caso con profesionalismo, pero el patrón se repite.

Eso suele pasar cuando la exposición de fondo no se gestiona: privilegios excesivos, falta de segmentación, endpoints sin postura mínima, políticas débiles en identidades. El SOC está viendo los síntomas; el CROC se enfocaría en la condición que habilita el síntoma.

Otro escenario: el SOC recibe cientos de alertas de vulnerabilidades explotables “en teoría”, pero TI no da abasto. Sin un enfoque de exposición real, todo parece urgente. Con un enfoque CROC, la priorización cambia: primero lo que es accesible, explotable y crítico para procesos de negocio. Y, después de remediar, se verifica que el riesgo realmente bajó.

Qué cambia para la alta dirección

Para el C-level, la pregunta rara vez es “¿cuántas alertas resolviste?”; es “¿estamos más protegidos que el trimestre pasado?” y “¿qué riesgo sigue abierto?”.

Un SOC puede reportar eficiencia operativa (tiempos de respuesta, incidentes contenidos). Un CROC puede reportar algo que el negocio entiende mejor: reducción de exposición y tendencia de riesgo.

Eso permite decisiones más maduras. Presupuesto, prioridades, aceptación de riesgo y continuidad operativa dejan de basarse en percepciones o sustos recientes, y se basan en evidencia continua.

Una transición realista: de eventos a riesgo operativo

No se trata de “cambiar SOC por CROC” de un día a otro. Se trata de evolucionar:

  • Mantener el SOC fuerte para responder a lo inmediato.
  • Construir una operación de riesgo que reduzca la exposición que alimenta futuros incidentes.
  • Conectar TI, seguridad y negocio con un lenguaje común: impacto, prioridad y evidencia.

Ese es el corazón del cambio: dejar de vivir únicamente del evento y empezar a operar el riesgo como un proceso continuo. Porque si el SOC es la línea de defensa cuando el ataque ya empezó, el CROC es la disciplina que busca que ese ataque tenga menos oportunidades de empezar.

Para mantenerte informado y protegido, sigue las redes sociales de Nova en: Instagram,  Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

#NovaInforma