La doble cara de la IA en seguridad
Los LLMs han llegado a la ciberseguridad con impacto ambivalente. Por un lado, democratizan capacidades ofensivas. Por otro, potencian enormemente la defensa.
Casos de uso ofensivos (Red Team)
Phishing hiperpersonalizado
Los LLMs generan correos de spear-phishing usando OSINT del objetivo. Las tasas de click en campañas generadas por IA superan en un 40-60% a las plantillas genéricas.
Casos de uso defensivos (Blue Team)
Triaging de alertas
Integrar LLMs en un SIEM permite resumir alertas, correlacionar eventos y proponer acciones de contención, todo en lenguaje natural.
Análisis estático de código (SAST)
Los LLMs detectan patrones sutiles: inyecciones SQL, secretos hardcodeados, race conditions y lógica de autenticación incorrecta.
El problema: Prompt Injection
Un agente de IA que lee emails puede ser manipulado por instrucciones maliciosas embebidas en el mensaje.
Mitigaciones esenciales:
- Separar el prompt del sistema de los datos de usuario
- Validar las salidas del LLM antes de actuar
- Principio de mínimo privilegio en las capacidades del agente
- Supervisión humana en acciones destructivas
Conclusión
Los LLMs no reemplazarán al profesional de seguridad, pero sí elevarán el nivel de todos. La clave está en entender sus límites: alucinaciones, falta de contexto y vulnerabilidad a manipulación.