Si hay algo que nunca falta en ciberseguridad es el cambio continuo: los atacantes no paran de buscar nuevas formas de burlar defensas. En los últimos años hemos visto cómo la inteligencia artificial que antes se vendía como ayuda para análisis y productividad se ha convertido también en una herramienta ofensiva capaz de automatizar ataques, disimular código malicioso y generar cargas útiles "a la carta" en tiempo real. Ese salto no es hipotético: equipos de investigación como el Google Threat Intelligence Group han documentado cómo los modelos de lenguaje ayudan hoy a camuflar scripts y a transformar malware para que pase desapercibido frente a controles clásicos.
La sofisticación no es solo técnica sino también operativa. Informes públicos, como el que publicó Anthropic, describen campañas en las que la IA orquestó fases completas del ataque, desde la intrusión inicial hasta la exfiltración, con un grado de autonomía inédito. Al mismo tiempo aparecen vectores más creativos y peligrosos: el uso de esteganografía para ocultar malware dentro de imágenes o pantallas falsas de actualización que convencen a las víctimas de ejecutar herramientas que, en realidad, instalan troyanos de acceso remoto o ladradores de credenciales.
El crecimiento de estas tácticas ha puesto de manifiesto otro problema: muchos ataques hoy explotan procesos humanos y de confianza antes que vulnerabilidades técnicas puras. Campañas que combinan ingeniería social, ataques en el punto medio y técnicas como el SIM swap han conseguido inducir a organizaciones a desactivar protecciones o a eliminar alertas, con lo que el malware se propaga sin activar los sistemas de detección. Microsoft ha documentado variantes de este modus operandi en investigaciones de su equipo de amenazas, mostrando cómo actores persuadieron a víctimas para desactivar productos de seguridad y dificultar la respuesta temprana (ver informe).
Frente a este panorama, queda en evidencia la limitación de confiar únicamente en una defensa centrada en los endpoints. Las soluciones de detección y respuesta en el endpoint (EDR) son cruciales porque inspeccionan procesos y comportamientos locales, pero muchas de las nuevas técnicas —desde herramientas que mutan su firma en tiempo real hasta ataques que aprovechan dispositivos no gestionados— están diseñadas para eludir precisamente ese tipo de controles.
Por eso está emergiendo con fuerza la idea de que EDR y detección y respuesta en la red (NDR) deben trabajar en estrecha colaboración. Mientras el EDR examina el interior de cada máquina, el NDR observa patrones de tráfico, anomalías en la telemetría en tránsito y movimientos laterales que a menudo son invisibles desde un agente de endpoint. Esa capa de red puede detectar variaciones en volúmenes, orígenes o secuencias de paquetes que delatan actividad sospechosa aunque los endpoints parezcan limpios. Casos recientes de actores que se desplazan entre dominios —comprometiendo identidades, nubes y dispositivos IoT— han sido visibles en la red antes de que cualquiera de los endpoints levantara banderas rojas.
Hay ejemplos concretos que ilustran esta sinergia. Grupos que aprovechan sistemas no gestionados para escalar y cifrar datos han sido rastreados gracias a la visibilidad que ofrece NDR y luego contenidos con EDR cuando el ataque alcanza endpoints administrados. Investigaciones públicas sobre actores como Blockade Spider muestran cómo un enfoque combinado permite ver el movimiento a través de infraestructuras virtuales y nubes y, al mismo tiempo, contener la actividad maliciosa en estaciones de trabajo y servidores.
En otros incidentes el punto decisivo fue el análisis del tráfico de red: técnicas de living off the land que evitan firmas en endpoints pueden seguir dejando huellas en los patrones de comunicación, en la geografía aparente de los paquetes o en la forma en que se enmascaran sesiones legítimas. Ahí la NDR actúa como una red de seguridad que detecta lo que el EDR no está diseñado para ver. Además, el incremento del trabajo remoto y del uso de VPN o servicios gestionados añade otra capa de complejidad: un equipo comprometido en una red de confianza puede convertirse en vector de propagación si nadie correlaciona señales de red con indicadores de endpoint.
La respuesta no pasa por elegir una u otra tecnología, sino por integrarlas y enriquecer la telemetría con intercambio de metadatos y contexto. Compartir señales entre sistemas acelera la caza de amenazas y reduce los falsos positivos al dar al analista una imagen más completa: dónde empezó la intrusión, cómo se movió y qué activos se vieron afectados. También obliga a adoptar una visión de seguridad que trascienda silos —identidad, endpoint, red, cloud y dispositivos IoT deben colaborar para cerrar las ventanas de exposición.
Para los equipos de seguridad esto significa modernizar los procedimientos del SOC: incorporar detección basada en comportamiento en la red, automatizar el enriquecimiento de alertas con contexto de endpoints y priorizar las investigaciones con datos combinados. Plataformas abiertas de NDR, por ejemplo, ofrecen detecciones multicapa que identifican tanto anomalías como patrones conocidos y permiten a los analistas investigar señales inéditas vinculadas a técnicas de evasión basadas en IA. Un acercamiento así hace más difícil que los atacantes escondan sus movimientos detrás de complejidades operativas o cambios de firma.
En resumen, la llegada de la IA al arsenal de los atacantes no elimina la eficacia de las herramientas tradicionales, pero sí obliga a reconfigurar cómo se usan: EDR y NDR dejan de ser soluciones paralelas para convertirse en piezas complementarias de una estrategia de defensa. Solo mediante la correlación constante de datos y la adopción de capas de detección diversas será posible mantener la ventaja competitiva frente a adversarios que aprenden a adaptar su código y su comportamiento en tiempo real.
Si buscas lecturas para profundizar, además de los enlaces citados en este artículo puedes revisar análisis y recursos técnicos publicados por equipos de respuesta a amenazas y por proveedores de detección de red que explican casos concretos y tácticas emergentes. Y si tu objetivo es mejorar la postura de defensa de una organización, la recomendación práctica es clara: integrar telemetría, compartir contexto entre herramientas y actualizar procesos de respuesta para que sean capaces de absorber la velocidad y la adaptabilidad que la IA aporta a los atacantes. Para más información sobre plataformas de NDR que ayudan a detectar técnicas nuevas y evasivas, revisa propuestas específicas como la de Corelight, que describen enfoques multicapa para identificar actividad de red inusual.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...