Anthropic restringió su modelo Mythos Preview la semana pasada después de que encontró y explotó de forma autónoma vulnerabilidades de día cero en todos los principales sistemas operativos y navegadores. Wendi Whitmore, de Palo Alto Networks, advirtió que capacidades similares están a semanas o meses de proliferar. El Informe sobre amenazas globales de 2026 de CrowdStrike sitúa el tiempo medio de inicio de los delitos electrónicos en 29 minutos. M-Trends 2026 de Mandiant muestra que los tiempos de transferencia del adversario se han reducido a 22 segundos.
La ofensiva es cada vez más rápida. La pregunta es dónde exactamente los defensores son lentos, porque no es donde sugieren la mayoría de los paneles de SOC.
Las herramientas de detección han mejorado sustancialmente. Las plataformas EDR, seguridad en la nube, seguridad del correo electrónico, identidad y SIEM se entregan con una lógica de detección incorporada que lleva el MTTD cerca de cero para técnicas conocidas. Esto es un progreso real y es el resultado de años de inversión en ingeniería de detección en toda la industria.
Pero cuando los adversarios operan en plazos medidos en segundos y minutos, la pregunta no es si las detecciones se realizan con la suficiente rapidez. Es lo que sucede entre que se activa la alerta y que alguien realmente la detecta.
La brecha posterior a la alerta
Después de que se activa la alerta, el reloj sigue corriendo. Un analista tiene que verlo, recogerlo, reunir el contexto de todo el conjunto, investigar, tomar una determinación e iniciar una respuesta. En la mayoría de los entornos SOC, esa secuencia es donde realmente vive la mayor parte de la ventana operativa del atacante.
El analista está a mitad de una investigación sobre otra cosa. La alerta entra en una cola. El contexto se distribuye en cuatro o cinco herramientas. La investigación en sí requiere consultar el SIEM, verificar los registros de identidad, obtener telemetría de los puntos finales y correlacionar los cronogramas. Para una investigación exhaustiva, una que resulte en una determinación defendible, no en un cierre visceral, son de 20 a 40 minutos de trabajo práctico, suponiendo que el analista comience de inmediato, lo que rara vez hace.
En una ventana de fuga de 29 minutos, la investigación aún no había comenzado cuando el atacante se movió lateralmente. En un traspaso de 22 segundos, es posible que la alerta todavía esté en la cola.
MTTD no captura nada de esto. Mide la rapidez con la que se activa la detección y, en ese frente, la industria ha logrado avances genuinos. Pero esa métrica se detiene en la alerta. No dice nada sobre cuánto duró realmente la ventana posterior a la alerta, cuántas alertas recibieron una investigación real versus un vistazo rápido, o cuántas se cerraron de forma masiva sin un análisis significativo. MTTD informa sobre la parte del problema en la que la industria ya ha logrado avances reales. La exposición posterior (la brecha de investigación posterior a la alerta) no se refleja en ninguna parte.
¿Qué cambia cuando la IA se encarga de la investigación?
Una investigación impulsada por IA no mejora la velocidad de detección. MTTD es una métrica de ingeniería de detección y sigue siendo la misma. Lo que la IA comprime es la línea de tiempo posterior a la alerta, que es exactamente donde vive la exposición real.
La cola desaparece. Cada alerta se investiga a medida que llega, independientemente de la gravedad o la hora del día. El ensamblaje del contexto que le tomó a un analista 15 minutos de cambio de pestañas ocurre en segundos. La investigación en sí (razonar a través de la evidencia, girar en función de los hallazgos y llegar a una determinación) se completa en minutos en lugar de una hora.
Esto es para lo que creamos Prophet AI. Investiga cada alerta con la profundidad y el razonamiento de un analista senior, a la velocidad de una máquina: planifica la investigación de forma dinámica, consulta las fuentes de datos relevantes y produce una conclusión transparente respaldada por evidencia. La brecha posterior a la alerta no existe en este modelo porque no hay cola ni tiempo de espera. Para los equipos que trabajan con miras a este punto de referencia, hemos publicado pasos prácticos para reducir el tiempo de investigación a menos de dos minutos.
La misma restricción estructural se aplica al MDR. Los analistas de MDR enfrentan el mismo cuello de botella posterior a la alerta porque todavía están limitados por la capacidad de investigación humana. El cambio de la investigación humana subcontratada a la investigación con IA elimina ese límite por completo, cambiando lo que se vuelve medible sobre el desempeño real de su SOC.
Las métricas que importan ahora
Una vez que la ventana post-alerta colapsa, las métricas de velocidad tradicionales dejan de ser los indicadores más informativos. El MTTI de dos minutos es significativo en el primer trimestre en el que lo informa. Después de eso, todo está en juego. La pregunta pasa de «¿qué tan rápido somos?» a «¿cuánto más fuerte se está volviendo nuestra postura de seguridad con el tiempo?»
Cuatro métricas capturan esto:
- Tasa de cobertura de la investigación. ¿Qué porcentaje del total de alertas recibe una investigación completa consistente en una línea completa de interrogatorio con pruebas? En un SOC tradicional, este número suele oscilar entre el 5 y el 15 por ciento. El resto se omite, se cierra de forma masiva o se ignora. En un SOC impulsado por IA, debería ser del 100 por ciento. Esta es la métrica más importante para comprender si su SOC realmente ve lo que sucede en su entorno.
- Cobertura de la superficie de detección. Cobertura de la técnica MITRE ATT&CK asignada a su biblioteca de detección, con brechas identificadas y rastreadas a lo largo del tiempo. Esto significa mapear continuamente la superficie de detección, identificar técnicas con cobertura débil o nula y marcar puntos únicos de falla o escenarios donde una sola regla de detección es lo único entre la organización y la ceguera total ante una técnica. La ingeniería de detección en un SOC impulsado por IA requiere repensar cómo se mantiene esta superficie.
- Velocidad de retroalimentación falsa positiva. ¿Con qué rapidez los resultados de la investigación influyen en el ajuste de la detección? En la mayoría de los SOC, este bucle se ejecuta en la memoria humana y en ciclos de revisión trimestrales. El objetivo es continuo: los resultados de la investigación deben fluir directamente hacia la optimización de la detección, la supresión del ruido y la mejora de la señal sin esperar una revisión programada.
- Tasa de creación de detección basada en la búsqueda. ¿Cuántas detecciones permanentes se crearon a partir de hallazgos de caza proactivos en comparación con la respuesta a incidentes? Esto mide si su programa de caza está ampliando su superficie de detección o simplemente genera informes. Las implementaciones más sólidas vinculan la búsqueda directamente con las brechas de detección en las que se ejecutan búsquedas basadas en hipótesis contra las técnicas con la cobertura más débil y luego se convierten los hallazgos confirmados en reglas de detección permanentes.
Estas mediciones solo importan una vez que la IA está realizando un trabajo de investigación real, pero representan una visión fundamentalmente diferente del desempeño del SOC que se orienta en torno a los resultados de seguridad en lugar del rendimiento operativo.
La revelación de Mythos cristalizó algo que la industria de la seguridad ya sabía pero no había interiorizado del todo: la IA está acelerando la ofensiva a un ritmo que hace insostenible la investigación a velocidad humana. La respuesta no es entrar en pánico por los exploits generados por la IA. Se trata de cerrar la brecha en la que los defensores son realmente lentos (la ventana de investigación posterior a la alerta) y comenzar a medir si esa brecha se está reduciendo.
Los equipos que pasen de informar sobre la velocidad de detección a informar sobre la cobertura de la investigación y la mejora de la detección tendrán una imagen más clara de su postura de riesgo real. Cuando los atacantes tienen IA trabajando para ellos, esa claridad importa.
La plataforma Agentic AI SOC de Prophet Security investiga cada alerta con la profundidad de un analista senior, optimiza continuamente las detecciones y ejecuta búsquedas de amenazas dirigidas contra brechas de cobertura. Visita Prophet Security para ver cómo funciona.
