Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd., empresa global en soluciones de ciberseguridad, alerta sobre un nuevo hallazgo académico que anticipa la evolución de los ciberataques impulsados por inteligencia artificial.
Investigadores de la Universidad Carnegie Mellon han demostrado que, aunque los modelos de lenguaje actuales (LLMs) fracasan al intentar ejecutar ataques complejos de manera autónoma, una nueva capa de control llamada Incalmo cambia por completo el panorama.
Incalmo actúa como un “cerebro” central que separa la planificación de la ejecución y dota a los LLMs de memoria y conciencia de contexto. En lugar de dejar que el modelo lo haga todo, Incalmo organiza la estrategia de ataque mientras agentes especializados (como escáneres de puertos o kits de movimiento lateral) se encargan de la acción.
Según el estudio, este enfoque permite que incluso modelos pequeños tengan éxito allí donde modelos más grandes fallan, al restringir el espacio de decisiones y proporcionar un vocabulario limitado de acciones como explorar red, moverse lateralmente, mantener persistencia o exfiltrar datos.
Lo preocupante es que esta filosofía ya se observa en la deep y dark web. Allí existen herramientas como WormGPT o FraudGPT que funcionan con interfaces parecidas a las de los chats de IA y permiten transformar simples instrucciones en lenguaje natural para ciberataques listos para ejecutar. Esto reduce la necesidad de experiencia técnica, acelera campañas maliciosas y facilita que los ciberdelincuentes de bajo nivel desplieguen operaciones antes reservadas a atacantes sofisticados.
El concepto de Incalmo se asemeja al enfoque que Check Point aplica desde hace años en su arquitectura de defensa: un cerebro central (ThreatCloud AI) que comprende la intención y el estado de la red, apoyado por una red de agentes especializados que ejecutan las acciones de prevención en cloud, endpoint, red o identidad.
“Igual que los atacantes ya están adoptando arquitecturas de orquestación basadas en IA, las defensas también deben evolucionar hacia sistemas coordinados y con inteligencia centralizada”, afirma Mario García, director general de Check Point Software para España y Portugal. “ThreatCloud AI es ese cerebro que convierte datos y telemetría en decisiones de prevención en tiempo real, manteniendo a las empresas un paso por delante de las amenazas”.
Implicaciones para los líderes de seguridad
El trabajo de Carnegie Mellon valida una realidad incómoda: los atacantes ya utilizan arquitecturas coordinadas que maximizan la eficacia de la IA. Para los defensores, la lección es clara:
- Asumir que la IA orquestada será parte del modelo de amenaza.
- Superar o al menos reflejar dicha arquitectura en la defensa. Un conjunto de controles aislados, sin un ‘cerebro’ que los coordine, siempre estará en desventaja frente a un sistema de ataque que actúa de manera organizada.
Check Point Software insiste en que la única manera de protegerse es contar con un sistema nervioso defensivo capaz de ver, decidir y actuar más rápido que los atacantes.
