La doble cara de la IA en seguridad

Los LLMs han llegado a la ciberseguridad con impacto ambivalente. Por un lado, democratizan capacidades ofensivas. Por otro, potencian enormemente la defensa.

Casos de uso ofensivos (Red Team)

Phishing hiperpersonalizado

Los LLMs generan correos de spear-phishing usando OSINT del objetivo. Las tasas de click en campañas generadas por IA superan en un 40-60% a las plantillas genéricas.

Casos de uso defensivos (Blue Team)

Triaging de alertas

Integrar LLMs en un SIEM permite resumir alertas, correlacionar eventos y proponer acciones de contención, todo en lenguaje natural.

Análisis estático de código (SAST)

Los LLMs detectan patrones sutiles: inyecciones SQL, secretos hardcodeados, race conditions y lógica de autenticación incorrecta.

El problema: Prompt Injection

Un agente de IA que lee emails puede ser manipulado por instrucciones maliciosas embebidas en el mensaje.

Mitigaciones esenciales:

  • Separar el prompt del sistema de los datos de usuario
  • Validar las salidas del LLM antes de actuar
  • Principio de mínimo privilegio en las capacidades del agente
  • Supervisión humana en acciones destructivas

Conclusión

Los LLMs no reemplazarán al profesional de seguridad, pero sí elevarán el nivel de todos. La clave está en entender sus límites: alucinaciones, falta de contexto y vulnerabilidad a manipulación.