Transcripción del Podcast:
Imagínense un escenario donde una corporación global gasta millones de dólares en la infraestructura de seguridad perimetral más avanzada del planeta. Claro, los firewalls de última generación. Exacto. Firewalls, sistemas de prevención de intrusos, segmentación rigurosa. O sea, la fortaleza digital perfecta. Pero por alguna razón, un grupo de atacantes logra infiltrarse. Se mueven lateralmente por los servidores críticos. Durante meses. Exfiltran terabytes de información y nadie se da cuenta hasta que la base de datos ya aparece a la venta en la dark web. Sí, pues sí.
Bienvenidos a este análisis a fondo, donde la misión de hoy es desmenuzar exactamente por qué estos escenarios siguen ocurriendo. Y vaya que es urgente. Totalmente. Sobre la mesa tenemos documentación interna de capacitación técnica de Trellix. Un resumen súper exhaustivo sobre los fundamentos modernos de la seguridad de red y un e-book muy revelador sobre estrategias de inteligencia artificial generativa, que fíjate que es un tema crítico de abordar ahorita mismo. Digo especialmente cuando contextualizamos el riesgo financiero, claro, el costo, exacto, el costo promedio global de una brecha de datos. Este alcanzó un récord histórico este año estamos hablando de cuatro punto ochenta y ocho millones de dólares. Wow, cuatro punto ochenta y ocho es una locura y representa un aumento constante que no muestra signos de detenerse.
Lo que los documentos de Trellix argumentan y lo que vamos a analizar hoy es por qué la seguridad de red tradicional básicamente está colapsando bajo su propio peso. Pues vamos a empezar por el problema base. Digo, si el costo de una brecha es casi de cinco millones de dólares, la pregunta lógica para quienes nos escuchan es: ¿por qué fallan las defensas si la inversión en herramientas es altísima? Exactamente. Los materiales señalan que el concepto de defensa en profundidad que está centrado en el perímetro, pues simplemente ya no empata con la realidad de la infraestructura tecnológica, es que el perímetro desapareció. O sea, las arquitecturas modernas son redes increíblemente dispersas, muy dinámicas, ¿no? Sí, tenemos despliegues en nubes híbridas donde las cargas de trabajo migran entre servidores físicos y entornos como Azure o AWS. Literal. En cuestión de minutos. Sumémosle a eso los clústeres de contenedores, microservicios, toda la explosión del Internet de las Cosas y, claro, fuerzas de trabajo completamente remotas.
O sea que la idea de que existe un adentro confiable y un afuera hostil es, pues, una reliquia. Totalmente una reliquia. Los atacantes modernos ya asumen que el perímetro es poroso. Entran usando credenciales comprometidas o explotando alguna vulnerabilidad de día cero y, una vez adentro, ya se mueven a sus anchas. Exacto. Porque utilizan herramientas legítimas del propio sistema operativo para moverse, lo que en ciberseguridad se conoce como living off the land. Claro, y con eso evaden todas las detecciones tradicionales basadas en firmas, porque parece tráfico normal. Ok, vamos a desempacar esto con una analogía porque me parece clave. Es como tener un castillo medieval con muros altísimos. Ajá. Los firewalls. Exacto, los firewalls. Pero los atacantes de hoy ya están usando túneles subterráneos o drones. Y los guardias del castillo están tan abrumados con tantas falsas alarmas que simplemente dejan de prestar atención. Esa es la famosa fatiga de alertas. Y ahí entra el factor humano, que es donde la crisis realmente estalla. Digo, según el material de capacitación. Sí, de hecho, quiero enfatizar un dato de las fuentes: el setenta y cuatro por ciento de los líderes de seguridad identifican el error humano como la mayor vulnerabilidad; es altísimo.
Pero el contexto importa. O sea, no están diciendo que los analistas sean incompetentes, están diciendo que sufren de fatiga cognitiva severa. Pues sí. Imagínate, los equipos actuales operan un promedio de más de treinta herramientas distintas al mismo tiempo, treinta consolas diferentes, enviando miles de falsos positivos diarios solo porque, no sé, un dispositivo de la oficina es una actualización de software extraña. La mente humana simplemente se insensibiliza. Es un fallo sistémico. No es culpa del individuo. Totalmente. Empieza a ignorarlas o a cerrarlas masivamente solo para limpiar la bandeja. Y sí, el error humano por saturación es la bronca principal. Entonces la estrategia entera tiene que cambiar de prevenir la entrada a detectar y cazar dentro del castillo, ¿no? Exactamente. Y el valor real de cualquier plataforma defensiva nueva no está en cuántos petabytes de datos puede capturar, sino en cómo filtra ese ruido para darle al humano una narrativa coherente. Y eso nos lleva directo a la solución que proponen los documentos, que es la tecnología NDR de Trellix.
Detección y respuesta de red. Así es. Hablemos de la mecánica de este NDR. Su objetivo principal es iluminar esos puntos ciegos internos. Piensen en la red corporativa como un aeropuerto internacional gigante. Ok, me gusta esa analogía. La seguridad perimetral es el control de pasaportes y aduanas, el tráfico North-South, el que entra y sale de Internet. Ajá. Pero una vez que pasas ese filtro, ya estás en la zona de embarque. Hay miles de empleados y carritos moviéndose entre las terminales. ¿Qué sería el tráfico East-West? El movimiento lateral exacto. Si un intruso logra pasar la aduana con un uniforme falso, camina libremente por las pistas porque nadie revisa a los que ya están adentro.
Históricamente, monitorear ese movimiento interno, ese tráfico East-West, se consideraba demasiado costoso a nivel computacional. Generaba demasiada telemetría. Pero aquí hay un detalle en la documentación que me parece fascinante y tengo que hacer de abogado del diablo un poco. Afirman que Trellix NDR analiza el noventa y cinco por ciento del tráfico encriptado. Sí, es un porcentaje altísimo; hoy casi todo viaja por TLS o SSL. Sí, el tráfico está encriptado de extremo a extremo. ¿Cómo diablos se encuentra Trellix? El malware sin romper la encriptación y destruir la privacidad de la red. Bueno, ese es el diferenciador técnico más fuerte del sistema. No hacen un descifrado masivo de tipo man-in-the-middle porque, como bien dices, eso requeriría un poder de cómputo absurdo. Claro, y alentaría a toda la red, además de que introduciría pesadillas de cumplimiento normativo. Digo, imagínate inspeccionar los datos bancarios personales que un empleado está viendo en su receso. Sería ilegal en muchos lugares. Exacto.
Lo que hace Trellix en NDR es analizar la meta narrativa del tráfico. Utilizan técnicas como la huella digital JA3. A ver, explícanos un poquito eso de la huella JA3. Claro, permite identificar la aplicación cliente que está iniciando la conexión cifrada basándose en cómo estructura el saludo criptográfico el famoso handshake. Ah, ya entiendo. Entonces, incluso si la conversación en sí está bloqueada y cifrada, la forma en que se saludan los delata. Exactamente. Un navegador Chrome legítimo negocia el cifrado de una manera muy específica. Si el sistema detecta un handshake que dice ser tráfico web normal, pero la huella JA3 coincide con cómo opera una herramienta de exfiltración de datos, pues levanta una bandera roja inmediata. Órale. O sea que perfilan el comportamiento.
Sí, la inteligencia artificial analiza patrones temporales, tamaño de paquetes, la relación de bytes enviados frente a los recibidos. Todo para descubrir anomalías sin ver la carga útil del paquete. Y esto me lleva a otro punto clave. Dado que cualquier equipo moderno ya usa el marco MITRE ATT&CK, acá lo interesante es cómo Trellix automatiza este mapeo. Así es. No tienen a un humano leyendo registros crudos tratando de adivinar. El sistema traduce automáticamente esa anomalía criptográfica a tácticas de Mitre como movimiento lateral o evasión de defensas. Y lo hacen en diferentes entornos mediante sus formatos de despliegue. Los documentos detallan appliances físicos y virtuales; el físico sería para los centros de datos pesados, ¿no? Exacto. Para los núcleos de red de alta densidad donde requieres procesamiento a nivel de hardware con latencias de microsegundos.
El virtual se integra en ecosistemas como VMware o la nube, permitiendo analizar el tráfico de las máquinas virtuales internamente. Sí, sin que ese tráfico tenga que salir al hardware externo. Pero a ver, veamos la estructura comercial porque revela mucho. Mencionan tres niveles que son Essentials, Core y Enterprise. Essentials es visibilidad básica. Core añade respuestas automatizadas, pero el nivel Enterprise me llama mucho la atención porque su gran propuesta de valor es la captura completa de paquetes, el Full Packet Capture, que es el Santo Grial para la cacería de amenazas avanzada. Pero a ver, capturar cada paquete de datos que fluye por una red corporativa suena una pesadilla de almacenamiento. Digo, ¿cómo justifican el costo de guardar absolutamente todo?
¿Es que sí depende solo de metadatos o registros de flujo como NetFlow? Pues si sabes que la computadora habló con el servidor B y transfirieron cincuenta megabytes a las tres de la mañana, lo cual es sospechoso. Muy sospechoso. Pero si necesitas reconstruir exactamente qué archivos se robaron o qué comando ejecutó el atacante en la terminal para una auditoría legal, necesitas el paquete completo. Ok, pero el almacenamiento sigue siendo un tema enorme. Sí, claro, pero para manejar ese problema no guardan todo indefinidamente. Retienen la captura completa en un almacenamiento de anillo o buffer circulares. Ah, o sea que se va sobreescribiendo. Exactamente. Lo guardan por unos días o semanas, dependiendo del hardware, y aplican retención selectiva. A ver cómo funciona esa retención. Si una alerta se dispara, el sistema automáticamente guarda y archiva permanentemente los paquetes asociados a esa ventana de tiempo antes de que se sobreescriban.
Ya es como tener una cámara de seguridad que, cuando detecta movimiento, asegura el video de los cinco minutos antes y después del evento para que no se borre. Esa es la analogía perfecta. Pero aquí hay una trampa y tengo que regresar al inicio de nuestra charla. Me dices que inspeccionamos el noventa y cinco por ciento del tráfico encriptado, analizamos cada movimiento lateral y mantenemos buffers masivos de captura de paquetes. Sí, pues eso es una avalancha de telemetría brutal. No estamos simplemente cambiando un problema de ceguera por un problema de saturación masiva. Le damos más visibilidad a los analistas, pero acabamos de establecer que ya están colapsando bajo el peso de las alertas. Y tienes toda la razón. Esa es la paradoja central de la ciberseguridad moderna. Mayor visibilidad sin capacidad de síntesis es contraproducente. Totalmente.
Capturar cada anomalía en la red solo empeora la fatiga de alertas si requiere que un humano lo revise. Y aquí es precisamente donde el ebook sobre IA generativa introduce el ecosistema Trellix Wise. Ah, claro. La inyección de la IA. Pero no se trata simplemente de añadir un chatbot genérico a la consola. Estamos hablando de una arquitectura de múltiples agentes de IA, múltiples agentes. Fíjate que esto es clave, porque la percepción que tenemos de la IA hoy en día sigue muy ligada a los modelos monolíticos. O sea, le preguntas algo a un solo modelo gigante y esperas que resuelva todo. Y en contextos técnicos eso suele provocar alucinaciones, respuestas inventadas o muy superficiales.
Exacto. Trellix documenta un enfoque orquestado. Es literal una división del trabajo. Despliegan diferentes modelos pequeños y especializados en tareas concretas. El documento detalla tres agentes primarios. A ver, desmenucemos esos agentes.
Primero está el log Analyst. Su única función es ingerir terabytes de telemetría cruda y normalizarla para encontrar la señal de la amenaza. No toma decisiones tácticas, solo extrae el evento. Raro. Ok. Y una vez que aisla ese evento, le pasa el testigo al segundo agente que en los documentos llaman el MITRE Mapper. Correcto. Y este agente está entrenado específicamente en todo el marco MITRE ATT&CK. Su trabajo es clasificar ese comportamiento técnico en un lenguaje estratégico estandarizado. Y de ahí pasa al tercer agente. Sí, al Threat Correlator. Este toma las piezas, busca en otros dominios como la telemetría de los firewalls o los endpoints y construye la línea de tiempo completa del ataque. Es como un quirófano. No tienes al anestesiólogo, al cirujano, al enfermero instrumentista. Cada uno tiene un rol superespecializado, lo que reduce las alucinaciones de la IA porque cada paso está validado por un modelo diferente. Esa es la idea. Y las métricas operativas en el reporte son asombrosas. Mencionan que esta arquitectura se alimenta de uno punto cinco petabytes de datos, de inteligencia, de amenazas. Una locura de datos. Y procesa sesenta mil millones de consultas diarias. ¿Sesenta mil millones? O sea, el nivel de contexto es masivo. Ese contexto es lo que permite que el sistema investigue el cien por ciento de las alertas en menos de tres minutos. Wow.
Menos de tres minutos para algo que una mente humana… Digo, investigar una alerta compleja de movimiento lateral implica revisar registros, cruzar IP, checar bases de datos externas. Eso puede tomar horas o días y Trellix Wise lo automatiza. El resultado directo es una reducción del cincuenta por ciento en la carga de trabajo de los analistas. Lateral: Logran recuperar ocho horas de trabajo por cada cien alertas procesadas. A ver entonces qué significa esto para el equipo humano, porque siempre surge el miedo. ¿Estamos diciendo que la IA viene a reemplazar al equipo de ciberseguridad? Para nada. No reemplaza al analista humano, más bien potencia su capacidad. Es como tener un copiloto incansable que hace todo el trabajo sucio, o sea, redefine la economía del talento. Las empresas siempre se quejan de que no hay suficientes ingenieros expertos de nivel tres. Ajá. Hay una escasez global. Pero si este sistema automatiza la recolección y la correlación, pues un analista junior de nivel uno o dos recibe un reporte ya digerido con la cadena de ataque visualizada y recomendaciones listas para aprobar. Elevas instantáneamente las capacidades de todo tu personal. Exactamente. El humano evalúa el impacto en el negocio. Por ejemplo, si la IA recomienda aislar un servidor, el humano sabe que ese servidor procesa la nómina y toma una decisión estratégica. Claro, el humano tiene el contexto del mundo real. Sí, pero entregar un nivel de acceso tan profundo a modelos de lenguaje generativo plantea un desafío monumental. Y llegamos al elefante en la habitación. La privacidad de los datos.
Porque si le damos a la IA acceso a la inspección de paquetes y a la topología de nuestros servidores, literal, le estamos entregando las llaves del reino. Es un riesgo gigante si no se hace bien. Digo, imagínense que un analista de una empresa agarra un fragmento de código fuente propietario o registros de red con datos de clientes y los pega en un modelo de lenguaje público como ChatGPT para pedirle ayuda. Acaba de cometer una violación masiva de datos corporativos totalmente, y las fuentes subrayan este temor. El sesenta y nueve por ciento de los líderes de seguridad admiten que les preocupan las fugas de datos provocadas por las propias herramientas de IA. Es altísimo y un asombroso cuarenta y siete por ciento afirma no tener controles de seguridad específicos implementados para el uso de inteligencia artificial.
Es una pesadilla de gobernanza. ¿Cómo aborda Trellix esta necesidad de usar IA potente sin comprometer la soberanía de los datos en la documentación? Hacen mucho énfasis en su arquitectura on-device AI, que sería IA en el dispositivo local, ¿no? Exacto. En lugar de enviar la telemetría corporativa sensible hacia un servidor de IA en una nube pública administrada por terceros, donde esos datos podrán usarse para reentrenar otros modelos. Claro. Trellix ejecuta la inferencia de los modelos de lenguaje de manera local, directamente en la red del cliente.
A ver, pausa, y entiendo la ventaja de mantener los datos dentro de la red, pero ejecutar modelos de lenguaje grandes, los LLM, requiere granjas de tarjetas gráficas costosísimas. Sí, muchísimo hardware. Entonces, ¿cómo despliegan esto localmente sin que los clientes tengan que gastar millones de dólares en GPUs? Esa es una excelente observación técnica. La clave está en la optimización y en el uso de modelos de lenguaje pequeños o SLM, por sus siglas en inglés. Ah, claro. Modelos especializados, exactamente, ajustados solo para tareas de ciberseguridad. No necesitas un modelo con miles de millones de parámetros diseñado para escribir poemas. Si su única función es analizar metadatos y correlacionarlos con Miter tiene todo el sentido del mundo y, mediante técnicas de ingeniería como la cuantización de modelos, reducen drásticamente la huella computacional. Esto permite que la IA corra supereficiente en los appliances locales. Es un enfoque brillante. Mantienes la soberanía porque la bóveda está sellada; la IA procesa y aprende de tus datos locales. Pero esa información nunca, nunca sale de tu infraestructura. Y hay otro elemento fundamental en la documentación sobre la gobernanza que me parece vital, que es la explicabilidad.
El problema de la caja negra de la IA. Si tradicionalmente un algoritmo de machine learning detectaba una anomalía y sugería bloquear un puerto, ¿y cuando el operador preguntaba por qué la máquina? Pues no podía explicarlo. Claro, en entornos regulados como un banco o un hospital, si detienes un proceso crítico, tienes que justificarlo sí o sí. Ante una auditoría no puedes decir: “pues lo dijo la IA y ya”. Exacto. Y Trellix Wise ataca esto generando un rastro de auditoría transparente. Los múltiples agentes documentan cada paso.
Te dicen. Revisé el registro a. Extraje este indicador. Lo crucé con la base de datos C y por eso concluyo que es un ataque totalmente. Eso no solo cumple con el escrutinio normativo, sino que genera muchísima confianza en los analistas humanos, que además aprenden de las deducciones del sistema. Es la madurez tecnológica de la ciberdefensa moderna. Pasamos de recolectar a ciegas petabytes de datos a iluminar el tráfico interno con NDR y delegar el análisis pesado a una IA responsable.
Es una evolución dictada por la necesidad matemática. El volumen de telemetría superó la capacidad humana hace mucho tiempo, pero con esto vamos cerrando nuestro recorrido de hoy. Todo este análisis de las capacidades defensivas deja sobre la mesa una reflexión superprovocadora. A ver, hemos visto cómo sistemas como Trellix Wise ya mapean posibles rutas de ataque y automatizan el análisis de millones de eventos por minuto usando IA.
Si la defensa está alcanzando este nivel de autonomía y velocidad computacional, ¿qué va a pasar cuando los atacantes hagan lo mismo con agentes de IA ofensivos? Una guerra de máquinas. Exacto. Estamos al borde de una era donde los ciberataques y las mitigaciones ocurrirán a velocidades de milisegundos, reduciendo los equipos humanos a simples espectadores de un conflicto a la velocidad de la luz que nuestros cerebros biológicos ni siquiera podrían procesar en tiempo real. Híjole, es un panorama tan fascinante como inquietante. Definitivamente, un tema para seguir explorando, sin duda.
Pues muchas gracias a todos por acompañarnos en esta exploración detallada y por sumergirse con nosotros en estos materiales tan complejos. Ha sido un análisis padrísimo. Nos escuchamos en la próxima. Hasta luego.
