El punto de partida
En 2026, la ciberseguridad no se lee igual según el lado del firewall en el que estés. Los defensores describen una disciplina que por fin dispone de las herramientas y el presupuesto que reclamaba. Los atacantes describen un mercado donde el coste de una operación creíble se ha desplomado.
Las dos descripciones son exactas. La IA aceleró primero el lado ofensivo (phishing, relleno de credenciales, reconocimiento, generación de malware) y ahora acelera el lado defensivo más rápido que en cualquier otro momento de la última década. En neto, la disciplina se ha vuelto más difícil, no más simple.
Este artículo trata de lo que ha cambiado, lo que no ha cambiado y la manera en que un equipo con experiencia aborda el trabajo de seguridad en esta nueva forma del panorama de amenazas.
La asimetría se ha desplazado, pero no en el sentido deseado
El coste de un ataque creíble ha caído más rápido que el coste de defenderse de él.
El phishing antes exigía saber escribir. Ahora basta con una instrucción. El atacante escribe una línea en su lengua materna; un modelo produce un mensaje perfectamente idiomático y contextualmente plausible en la lengua del objetivo, adaptado a su empleador, su puesto y su huella pública. El coste de producir ese mensaje es esencialmente nulo. El coste de un empleado que cae en la trampa, en cambio, no ha cambiado.
No es una hipótesis. Es la realidad operativa que observamos en las bandejas de entrada de nuestros clientes. El volumen de phishing de alta calidad ha aumentado en torno a un orden de magnitud en dieciocho meses. La tasa de conversión también ha aumentado, más lentamente eso sí, porque algunas defensas todavía funcionan.
El trabajo del defensor consiste en hacer que las defensas que todavía funcionan sean menos costosas de desplegar, más rápidas de evolucionar y más difíciles de eludir. Es un trabajo de ingeniería, no un trabajo de concienciación.
La seguridad es una disciplina de ingeniería, no un ritual de cumplimiento
En SDEN, el trabajo de seguridad toma tres formas. Primero, la seguridad aplicada dentro de una entrega: modelado de amenazas desde el diseño, análisis de dependencias en la integración continua, detección de secretos, releases firmadas, arquitectura segura por defecto. Es la forma menos costosa y más eficaz, porque elimina clases enteras de vulnerabilidades antes incluso de que existan.
Después, los proyectos independientes: auditorías, pentests acotados al OWASP Top 10 y a los niveles ASVS, hojas de ruta de remediación y respuesta a incidentes. Son los proyectos para los que los clientes nos llaman habitualmente, y la auditoría suele revelar que las correcciones menos costosas se sitúan en la capa de diseño con la que el sistema nunca se construyó.
Por último, el trabajo de cumplimiento: SOC 2, RGPD, preparación para la ISO 27001, preparación para SOC 2. El cumplimiento no es la seguridad; es la documentación que demuestra que te tomaste la seguridad en serio. Las tratamos como disciplinas distintas que se iluminan una a la otra.
Detección, triaje y los casos que el humano aún debe asumir
Del lado defensivo, la IA transforma tres partes del trabajo. Transforma la detección, haciendo aflorar anomalías en un volumen de logs que ningún equipo humano puede leer manualmente. Transforma el triaje, agrupando las alertas y proponiendo la cadena de eventos más probable que examinar primero. Y transforma el endurecimiento, automatizando las partes tediosas de la revisión de código y la auditoría de configuración.
Lo que no cambia es la respuesta a incidentes. Cuando la alerta es real y los datos salen de la red, el trabajo es de criterio bajo presión, de responsabilidad de la decisión y de comunicación con personas cuya carrera depende de que se les diga la verdad. Nada de eso es delegable.
El patrón es el mismo que en todo el resto del blog: la IA gestiona el volumen; los humanos gestionan el criterio. El trabajo de ingeniería consiste en asegurar que la unión entre ambos aguanta bajo presión.
Tres compromisos en cada proyecto de seguridad
En SDEN, la seguridad es una disciplina de ingeniería, no una lista que marcar. Los pilares de abajo son aquellos a los que nos atenemos incluso cuando el plazo se estrecha.
Seguro por defecto
Cifrado, control de acceso, gestión de secretos y aislamiento de datos están integrados en la arquitectura desde el primer día. Añadirlos más tarde cuesta cuatro veces más y nunca alcanza la misma cobertura.
Amenazas modeladas desde el diseño
Toda funcionalidad no trivial es objeto de un modelo de amenazas escrito antes de que se escriba una línea de código. Nombramos los activos, los actores de amenaza, las fronteras de confianza y las medidas de mitigación. El modelo de amenazas es un documento vivo, no el producto de un taller.
Listo para el incidente, no solo resistente al incidente
Presuponemos que ocurrirán incidentes. Los runbooks de intervención, los contactos, la postura jurídica, los tests de integridad de las copias de seguridad: todo eso está en marcha antes de la brecha, no improvisado durante ella.
La postura que querrías tener antes del mal día
La madurez en seguridad se mide el día en que la alerta es real.
Una postura de seguridad madura no es visible desde fuera. Se parece a un equipo tranquilo que sabe dónde están sus datos, quién puede acceder a ellos, cómo se registra ese acceso y qué pasaría si uno de ellos saliera de la red. Se parece a un runbook de intervención que alguien lee de verdad cuando la alerta se dispara. Se parece a una auditoría cuyos hallazgos se siguen en el mismo sistema de tickets que el resto del trabajo de ingeniería.
La verdadera prueba no es el informe de pentest. Es el ejercicio de respuesta a incidentes: una simulación de mesa que desarrolla un escenario realista y expone las uniones entre los equipos, las decisiones y las comunicaciones. Los llevamos con nuestros clientes en cada proyecto de larga duración. El primero siempre es incómodo. El tercero es el entregable.
Después de eso, la seguridad se convierte en lo que debería ser: una propiedad del sistema, y no un proyecto que hay que rehacer cada año.
Ciberseguridad
las preguntas que más nos hacen.
Respuestas directas a las preguntas que más nos hacen. Si la tuya no está, escribe al equipo.