Modulo 09: IA para ciberseguridad
IA para ciberseguridad: del ruido a la inteligencia
Un SOC (Security Operations Center) moderno recibe miles de alertas al dia. La mayoria son falsos positivos. Los analistas estan saturados: un equipo de 10 personas gestiona lo que requeriria 30. El resultado es fatiga de alertas, errores humanos y amenazas reales que pasan desapercibidas.
La IA actua como multiplicador de fuerza en tres areas clave:
- Triaje automatico: clasificar alertas por severidad y confianza, reduciendo el ruido un 70-80%.
- Enriquecimiento de IOCs: consultar multiples fuentes de inteligencia en segundos, no en minutos.
- Correlacion de eventos: detectar patrones que un analista humano tardaria horas en identificar.
Punto clave
La IA no sustituye al analista de seguridad. Lo potencia. Un analista N1 con IA rinde como un N2. Un N2 con IA aborda investigaciones que antes solo podia hacer un N3. La decision final siempre es humana.
Triaje automatico de alertas SOC
El triaje es clasificar cada alerta para decidir quien la investiga y con que urgencia. Con IA, este proceso pasa de minutos a segundos:
graph TD
A[Alerta SIEM] --> B{IA Triaje}
B -->|P1 Critica| C[Escalar N3 + HITL]
B -->|P2 Media| D[Analisis N2]
B -->|P3 Baja| E[Auto-resolver]
C --> F[Enriquecer IOCs]
D --> F
F --> G[MITRE ATT&CK Mapping]
G --> H{Accion}
H -->|Bloquear IP| I[Firewall - requiere HITL]
H -->|Investigar| J[Sandbox + Analisis]
H -->|Monitorizar| K[Watchlist 24h]
Prompt para triaje de alertas SOC:
"Eres un analista SOC N2. Analiza esta alerta SIEM y clasifica:
ALERTA:
- Fuente: {source} (ej: Suricata, Windows Event Log, EDR)
- Tipo: {alert_type}
- Timestamp: {timestamp}
- Host afectado: {host}
- Datos adicionales: {raw_data}
CLASIFICA:
1. Severidad: P1 (critica) / P2 (alta) / P3 (media) / P4 (baja)
2. Confianza: Alta / Media / Baja (de que sea amenaza real)
3. Categoria: malware / phishing / bruteforce / exfiltracion / otro
4. Accion recomendada: investigar / escalar / monitorizar / cerrar
5. Asignar a: N1 / N2 / N3
REGLAS:
- Si confianza < Media y severidad < P2: recomendar cerrar con justificacion
- Si severidad = P1: SIEMPRE escalar a N2 minimo
- Nunca auto-cerrar P1 o P2
- Incluir IOCs extraidos (IPs, dominios, hashes)
Output en JSON estructurado."
Reglas de oro para triaje con IA:
- Nunca auto-cerrar P1: las alertas criticas siempre requieren revision humana.
- HITL para acciones destructivas: bloquear IP, aislar host, deshabilitar cuenta: siempre con aprobacion.
- Audit trail: cada decision de la IA debe quedar registrada con su razonamiento.
El mejor triaje automatico no es el que cierra mas alertas, sino el que nunca deja pasar una amenaza real. Prioriza recall sobre precision en P1/P2.
CTI: Inteligencia de amenazas con IA
La Cyber Threat Intelligence (CTI) consiste en recopilar, analizar y contextualizar informacion sobre amenazas. Los feeds publicos proporcionan datos en bruto. La IA convierte esos datos en inteligencia accionable.
Feeds publicos gratuitos:
- AlienVault OTX: indicadores de compromiso (IOCs) compartidos por la comunidad.
- AbuseIPDB: reputacion de direcciones IP reportadas por abuso.
- MalwareBazaar: muestras de malware con hashes y metadatos.
- URLhaus: URLs maliciosas activas.
- VirusTotal: analisis multi-motor de ficheros, URLs, IPs y dominios.
Prompt para analisis de IOC:
"Analiza este indicador de compromiso (IOC):
Tipo: {hash_sha256 | ip | domain | url}
Valor: {ioc_value}
Contexto: encontrado en {donde se detecto}
Realiza:
1. Reputacion: benigno / sospechoso / malicioso (con confianza %)
2. Contexto: a que campana o grupo APT se asocia (si hay datos)
3. TTP mapping: tacticas y tecnicas MITRE ATT&CK relacionadas
4. IOCs relacionados: otros indicadores vinculados
5. Recomendacion: bloquear / monitorizar / investigar / ignorar
6. Fuentes consultadas: listar feeds que aportan datos
Si es un hash de malware, incluir:
- Familia de malware
- Capacidades conocidas (keylogger, ransomware, RAT, etc.)
- Vectores de infeccion habituales
- Reglas YARA o Sigma si existen
Output en JSON."
Punto clave
La IA no reemplaza a los feeds CTI. Los potencia: correlaciona datos de multiples fuentes, identifica patrones y genera reportes estructurados en segundos. El analista valida y decide.
MITRE ATT&CK y mapping automatico
MITRE ATT&CK es un framework que cataloga las tacticas (el "por que") y tecnicas (el "como") que usan los atacantes. Tiene 14 tacticas y cientos de tecnicas. Mapear una alerta a ATT&CK manualmente consume tiempo. Con IA, es instantaneo.
Prompt para mapping MITRE ATT&CK:
"Mapea esta alerta/incidente al framework MITRE ATT&CK:
Descripcion: {descripcion del evento}
Evidencias: {logs, artefactos, IOCs}
Para cada tecnica identificada:
1. Tactica: {nombre} ({ID, ej: TA0001})
2. Tecnica: {nombre} ({ID, ej: T1566.001})
3. Sub-tecnica (si aplica): {nombre} ({ID})
4. Confianza del mapping: Alta / Media / Baja
5. Evidencia que lo soporta: {que dato del incidente}
6. Detecciones recomendadas: reglas Sigma/YARA
7. Mitigaciones: {referencia MITRE}
Ejemplo esperado:
- TA0001 Initial Access > T1566.001 Phishing: Spearphishing Attachment
Confianza: Alta
Evidencia: adjunto .docm con macro ejecutando PowerShell
Deteccion: Sigma rule win_office_spawn_powershell"
El mapping ATT&CK sirve para tres cosas fundamentales:
- Gap analysis: que tecnicas cubres con tus controles actuales y cuales no.
- Threat hunting: buscar proactivamente tecnicas que no tienes detectadas.
- Reporting: comunicar incidentes en un lenguaje comun que entienden todos los equipos.
Compliance con IA: ENS, NIS2, ISO 27001
Las auditorias de compliance consumen cientos de horas. La IA acelera tres tareas criticas: mapeo de controles, gap analysis y generacion de evidencias.
Prompt para crosswalk entre normativas:
"Realiza un crosswalk del siguiente control:
Control origen: {normativa} - {id_control} - {descripcion}
Ejemplo: ENS Alto - op.exp.8 - Registro de la gestion de incidentes
Mapea a:
1. ISO 27001:2022 - Anexo A control equivalente
2. NIS2 - Articulo/requisito equivalente
3. DORA - Articulo equivalente (si aplica)
Para cada mapeo:
- ID del control destino
- Nombre/descripcion
- Nivel de equivalencia: total / parcial / sin equivalente
- Evidencia necesaria: que documento o registro demuestra cumplimiento
- Gap: que falta para cumplir si la equivalencia es parcial"
Punto clave
Un crosswalk automatizado ahorra semanas de trabajo manual. Si cumples ENS Alto, ya cumples el 70% de ISO 27001. La IA identifica el 30% restante y genera la lista de evidencias pendientes.
Otros usos de IA en compliance:
- Generacion de politicas: borradores de politicas de seguridad basados en plantillas y contexto de la organizacion.
- Revision de evidencias: analizar si un documento cumple los requisitos del control.
- Calendario de auditorias: planificar revisiones periodicas basadas en fechas de vencimiento de controles.
- Reportes ejecutivos: transformar datos tecnicos en informes que entienda la direccion.
Agentes de seguridad: SOC automatizado
Un SOC con agentes IA sigue la arquitectura Coordinator + Workers. El coordinador recibe la alerta, decide que hacer, y delega a workers especializados. El humano aprueba las acciones criticas.
# Arquitectura SOC con agentes
ALERTA SIEM
|
v
COORDINATOR (AGENT-SOC-001)
|-- Triaje: clasificar severidad + confianza
|-- Decision: que workers invocar
|
+---> WORKER-ENRICH (enriquecimiento)
| |-- Consultar OTX, AbuseIPDB, MalwareBazaar
| |-- Extraer IOCs relacionados
| |-- Output: informe enriquecido
|
+---> WORKER-ANALYZE (analisis)
| |-- Mapping MITRE ATT&CK
| |-- Correlacion con incidentes previos
| |-- Output: analisis tecnico
|
+---> WORKER-RESPOND (respuesta)
|-- Generar recomendacion de accion
|-- REQUIERE APROBACION HUMANA (HITL)
|-- Si aprobado: ejecutar (bloquear IP, aislar host)
|-- Si rechazado: registrar y cerrar
REGLAS CRITICAS:
- Circuit breaker: max 3 reintentos por worker
- Timeout: 30 segundos por tool call
- HITL obligatorio: cualquier accion que modifique infraestructura
- Audit log: cada decision queda registrada
El SOC automatizado no es "la IA decide todo". Es "la IA prepara todo para que el analista decida en 30 segundos lo que antes le costaba 30 minutos".
Ejemplo de pipeline completo para una alerta de phishing:
- Paso 1: llega alerta de email sospechoso con adjunto .docm.
- Paso 2: Coordinator clasifica como P2, confianza Alta, categoria phishing.
- Paso 3: Worker-Enrich analiza el hash del adjunto en MalwareBazaar y VirusTotal. Resultado: Emotet dropper, detectado por 45/70 motores.
- Paso 4: Worker-Analyze mapea a MITRE T1566.001 (Spearphishing Attachment) y T1059.001 (PowerShell). Correlaciona con 3 alertas similares en la ultima semana.
- Paso 5: Worker-Respond recomienda: bloquear remitente, aislar host, escanear buzones similares. Envia notificacion al analista N2.
- Paso 6: analista N2 revisa en 30 segundos, aprueba. Acciones ejecutadas. Incidente registrado.
Punto clave
Todo este flujo ocurre en menos de 2 minutos. Sin IA, el mismo proceso tarda 30-45 minutos. Con 500 alertas al dia, la diferencia es tener un SOC que funciona o uno que se ahoga.
Pon a prueba tus conocimientos
Completa el quiz para verificar que dominas ciberseguridad con IA.
Hacer quiz