Hoy los equipos celebran la reducción de alertas, menor tiempo medio de detección (MTTD, Mean Time To Detect), el tiempo medio de respuesta/resolución (MTTR, Mean Time To Respond o Mean Time To Resolve), el mayor throughput de triage, pero eso mide actividad operativa, no mide la efectividad defensiva.

Es decir; están optimizando el pipeline, no el outcome y eso en ciberseguridad es vital, porque detectar rápido algo incorrecto, es un falso positivo acelerado y responder rápido con mala lógica, es la automatización del error.

Significa que ahora la IA puede escalar decisiones, incluso cuando están mal.

La inteligencia artificial está funcionando, pero no necesariamente está protegiendo.

Siempre en la ciberseguridad, hemos perseguido velocidad, buscamos detectar más rápido, responder más rápido, automatizar más. La llegada de la inteligencia artificial prometió precisamente una capacidad casi sobrehumana para procesar datos, identificar patrones y ejecutar decisiones en milisegundos y en efecto, lo ha logrados os indicadores lo confirman, menos tiempo de detección, menor carga operativa, menos alertas visibles.

Algo no encaja, reducimos el ruido en un 70%, lo cual es excelente, ¿y cuántos ataques reales estamos detectando mejor?” Bueno, eso no lo medimos exactamente así.

Este breve intercambio revela el corazón del problema, es decir; parece que la industria ha aprendido a medir eficiencia, pero no necesariamente efectividad, ósea se ha vuelto experta en optimizar procesos, pero no en validar decisiones.

La inteligencia artificial no falla de forma evidente en el campo de la ciberseguridad .

No colapsa sistemas, ni genera errores como lo haría un software tradicional, su fallo es más sigiloso, más peligroso… toma decisiones plausibles que parecen correctas, incluso cuando no lo son y lo hace con una velocidad que impide cuestionarlas en tiempo real.

En este contexto, muchas organizaciones operan bajo una ilusión de control.

Los dashboards muestran progreso, los KPIs mejoran, los informes reflejan madurez, sin embargo; estos indicadores suelen medir lo que es fácil de cuantificar, el volumen de alertas procesadas, tiempos de respuesta, eficiencia operativa.

Lo que no muestran es si las decisiones tomadas por la inteligencia artificial son realmente acertadas en escenarios complejos y cambiantes y justo aquí emerge una grieta de proporciones incalculables, dado que los modelos de inteligencia artificial aprenden de patrones históricos. Si, es cierto, son extraordinariamente eficaces reconociendo lo que ya han visto, pero el ciberespacio no es un entorno estático.

En términos de threat modeling, estás validando el modelo contra un atacante estático, en un mundo donde el atacante es adaptativo.

Lo que quiero decir es que los atacantes evolucionan constantemente, cambian tácticas, combinan técnicas conocidas de formas nuevas y es precisamente en ese punto de transición donde la inteligencia artificial pierde claridad.

El tráfico parece normal, no coincide con ningún patrón malicioso conocido, y justo en ese “no coincide”; emerge el espacio donde nacen los incidentes. Ojo, no estoy diciendo que la inteligencia artificial no funcione; lo que digo es que parece estar operando fuera de su zona de certeza y sigue tomando decisiones en ese contexto.

Este fenómeno genera lo que podría describirse como una zona ciega operativa. Porque no aparece en los reportes, no activa alarmas, no deteriora los indicadores tradicionales, pero existe, y es explotada activamente por adversarios que entienden cómo evadir modelos entrenados para reconocer lo predecible.

A esto se suma otro elemento, el uso no controlado de inteligencia artificial dentro de las propias organizaciones.

Analistas que consultan modelos generativos para acelerar investigaciones, scripts creados automáticamente para responder incidentes, decisiones influenciadas por sistemas cuya lógica no ha sido auditada y así lo que comenzó como una ventaja operativa se convierte en un riesgo de gobernanza.

La falta de trazabilidad complica la operación y debilita la confianza. En ciberseguridad, la confianza en los procesos es tan importante como la tecnología misma. Paradójicamente, mientras la inteligencia artificial acelera todo, el rol humano se vuelve más difuso.

En lugar de fortalecer el análisis crítico, muchas implementaciones sufren pérdida de pensamiento crítico y el analista deja de cuestionar y comienza a validar confiando de manera ciega en outputs de AI lo que crea un single point of failure cognitivo. en síntesis, el juicio se delega, poco a poco se construye una dependencia que transforma a la inteligencia artificial en un punto único de fallo cognitivo.

El problema no es la tecnología, es cómo se está evaluando.

Medir el desempeño de la inteligencia artificial en ciberseguridad exige un cambio de enfoque. Es decir, no basta con saber qué tan rápido actúa un sistema, sino cómo se comporta cuando las condiciones se vuelven inciertas.

Se trata de entender cuándo y por qué falla, no necesariamente de precisión promedio, lo que centralizo es que no es suficiente con automatizar decisiones; es necesario poder explicarlas, auditarlas y, si es necesario, cuestionarlas.

De esta manera, la verdadera madurez no solo está en reducir tiempos de respuesta, esta en sostener decisiones correctas bajo presión, ambigüedad y cambio constante, al final, lo que define el futuro de la ciberseguridad no es si la inteligencia artificial puede detectar amenazas más rápido, es la estrategia. Cualquier sistema que no sea capaz de adaptarse a esa incertidumbre, no es una defensa avanzada es, simplemente, una ilusión bien optimizada.