Anthropic restringi贸 su modelo Mythos Preview la semana pasada despu茅s de que encontr贸 y explot贸 de forma aut贸noma vulnerabilidades de d铆a cero en todos los principales sistemas operativos y navegadores. Wendi Whitmore, de Palo Alto Networks, advirti贸 que capacidades similares est谩n a semanas o meses de proliferar. El Informe sobre amenazas globales de 2026 de CrowdStrike sit煤a el tiempo medio de inicio de los delitos electr贸nicos en 29 minutos. M-Trends 2026 de Mandiant muestra que los tiempos de transferencia del adversario se han reducido a 22 segundos.
La ofensiva es cada vez m谩s r谩pida. La pregunta es d贸nde exactamente los defensores son lentos, porque no es donde sugieren la mayor铆a de los paneles de SOC.
Las herramientas de detecci贸n han mejorado sustancialmente. Las plataformas EDR, seguridad en la nube, seguridad del correo electr贸nico, identidad y SIEM se entregan con una l贸gica de detecci贸n incorporada que lleva el MTTD cerca de cero para t茅cnicas conocidas. Esto es un progreso real y es el resultado de a帽os de inversi贸n en ingenier铆a de detecci贸n en toda la industria.
Pero cuando los adversarios operan en plazos medidos en segundos y minutos, la pregunta no es si las detecciones se realizan con la suficiente rapidez. Es lo que sucede entre que se activa la alerta y que alguien realmente la detecta.
La brecha posterior a la alerta
Despu茅s de que se activa la alerta, el reloj sigue corriendo. Un analista tiene que verlo, recogerlo, reunir el contexto de todo el conjunto, investigar, tomar una determinaci贸n e iniciar una respuesta. En la mayor铆a de los entornos SOC, esa secuencia es donde realmente vive la mayor parte de la ventana operativa del atacante.
El analista est谩 a mitad de una investigaci贸n sobre otra cosa. La alerta entra en una cola. El contexto se distribuye en cuatro o cinco herramientas. La investigaci贸n en s铆 requiere consultar el SIEM, verificar los registros de identidad, obtener telemetr铆a de los puntos finales y correlacionar los cronogramas. Para una investigaci贸n exhaustiva, una que resulte en una determinaci贸n defendible, no en un cierre visceral, son de 20 a 40 minutos de trabajo pr谩ctico, suponiendo que el analista comience de inmediato, lo que rara vez hace.
En una ventana de fuga de 29 minutos, la investigaci贸n a煤n no hab铆a comenzado cuando el atacante se movi贸 lateralmente. En un traspaso de 22 segundos, es posible que la alerta todav铆a est茅 en la cola.
MTTD no captura nada de esto. Mide la rapidez con la que se activa la detecci贸n y, en ese frente, la industria ha logrado avances genuinos. Pero esa m茅trica se detiene en la alerta. No dice nada sobre cu谩nto dur贸 realmente la ventana posterior a la alerta, cu谩ntas alertas recibieron una investigaci贸n real versus un vistazo r谩pido, o cu谩ntas se cerraron de forma masiva sin un an谩lisis significativo. MTTD informa sobre la parte del problema en la que la industria ya ha logrado avances reales. La exposici贸n posterior (la brecha de investigaci贸n posterior a la alerta) no se refleja en ninguna parte.
驴Qu茅 cambia cuando la IA se encarga de la investigaci贸n?
Una investigaci贸n impulsada por IA no mejora la velocidad de detecci贸n. MTTD es una m茅trica de ingenier铆a de detecci贸n y sigue siendo la misma. Lo que la IA comprime es la l铆nea de tiempo posterior a la alerta, que es exactamente donde vive la exposici贸n real.
La cola desaparece. Cada alerta se investiga a medida que llega, independientemente de la gravedad o la hora del d铆a. El ensamblaje del contexto que le tom贸 a un analista 15 minutos de cambio de pesta帽as ocurre en segundos. La investigaci贸n en s铆 (razonar a trav茅s de la evidencia, girar en funci贸n de los hallazgos y llegar a una determinaci贸n) se completa en minutos en lugar de una hora.
Esto es para lo que creamos Prophet AI. Investiga cada alerta con la profundidad y el razonamiento de un analista senior, a la velocidad de una m谩quina: planifica la investigaci贸n de forma din谩mica, consulta las fuentes de datos relevantes y produce una conclusi贸n transparente respaldada por evidencia. La brecha posterior a la alerta no existe en este modelo porque no hay cola ni tiempo de espera. Para los equipos que trabajan con miras a este punto de referencia, hemos publicado pasos pr谩cticos para reducir el tiempo de investigaci贸n a menos de dos minutos.
La misma restricci贸n estructural se aplica al MDR. Los analistas de MDR enfrentan el mismo cuello de botella posterior a la alerta porque todav铆a est谩n limitados por la capacidad de investigaci贸n humana. El cambio de la investigaci贸n humana subcontratada a la investigaci贸n con IA elimina ese l铆mite por completo, cambiando lo que se vuelve medible sobre el desempe帽o real de su SOC.
Las m茅tricas que importan ahora
Una vez que la ventana post-alerta colapsa, las m茅tricas de velocidad tradicionales dejan de ser los indicadores m谩s informativos. El MTTI de dos minutos es significativo en el primer trimestre en el que lo informa. Despu茅s de eso, todo est谩 en juego. La pregunta pasa de 芦驴qu茅 tan r谩pido somos?禄 a 芦驴cu谩nto m谩s fuerte se est谩 volviendo nuestra postura de seguridad con el tiempo?禄
Cuatro m茅tricas capturan esto:
- Tasa de cobertura de la investigaci贸n. 驴Qu茅 porcentaje del total de alertas recibe una investigaci贸n completa consistente en una l铆nea completa de interrogatorio con pruebas? En un SOC tradicional, este n煤mero suele oscilar entre el 5 y el 15 por ciento. El resto se omite, se cierra de forma masiva o se ignora. En un SOC impulsado por IA, deber铆a ser del 100 por ciento. Esta es la m茅trica m谩s importante para comprender si su SOC realmente ve lo que sucede en su entorno.
- Cobertura de la superficie de detecci贸n. Cobertura de la t茅cnica MITRE ATT&CK asignada a su biblioteca de detecci贸n, con brechas identificadas y rastreadas a lo largo del tiempo. Esto significa mapear continuamente la superficie de detecci贸n, identificar t茅cnicas con cobertura d茅bil o nula y marcar puntos 煤nicos de falla o escenarios donde una sola regla de detecci贸n es lo 煤nico entre la organizaci贸n y la ceguera total ante una t茅cnica. La ingenier铆a de detecci贸n en un SOC impulsado por IA requiere repensar c贸mo se mantiene esta superficie.
- Velocidad de retroalimentaci贸n falsa positiva. 驴Con qu茅 rapidez los resultados de la investigaci贸n influyen en el ajuste de la detecci贸n? En la mayor铆a de los SOC, este bucle se ejecuta en la memoria humana y en ciclos de revisi贸n trimestrales. El objetivo es continuo: los resultados de la investigaci贸n deben fluir directamente hacia la optimizaci贸n de la detecci贸n, la supresi贸n del ruido y la mejora de la se帽al sin esperar una revisi贸n programada.
- Tasa de creaci贸n de detecci贸n basada en la b煤squeda. 驴Cu谩ntas detecciones permanentes se crearon a partir de hallazgos de caza proactivos en comparaci贸n con la respuesta a incidentes? Esto mide si su programa de caza est谩 ampliando su superficie de detecci贸n o simplemente genera informes. Las implementaciones m谩s s贸lidas vinculan la b煤squeda directamente con las brechas de detecci贸n en las que se ejecutan b煤squedas basadas en hip贸tesis contra las t茅cnicas con la cobertura m谩s d茅bil y luego se convierten los hallazgos confirmados en reglas de detecci贸n permanentes.
Estas mediciones solo importan una vez que la IA est谩 realizando un trabajo de investigaci贸n real, pero representan una visi贸n fundamentalmente diferente del desempe帽o del SOC que se orienta en torno a los resultados de seguridad en lugar del rendimiento operativo.
La revelaci贸n de Mythos cristaliz贸 algo que la industria de la seguridad ya sab铆a pero no hab铆a interiorizado del todo: la IA est谩 acelerando la ofensiva a un ritmo que hace insostenible la investigaci贸n a velocidad humana. La respuesta no es entrar en p谩nico por los exploits generados por la IA. Se trata de cerrar la brecha en la que los defensores son realmente lentos (la ventana de investigaci贸n posterior a la alerta) y comenzar a medir si esa brecha se est谩 reduciendo.
Los equipos que pasen de informar sobre la velocidad de detecci贸n a informar sobre la cobertura de la investigaci贸n y la mejora de la detecci贸n tendr谩n una imagen m谩s clara de su postura de riesgo real. Cuando los atacantes tienen IA trabajando para ellos, esa claridad importa.
La plataforma Agentic AI SOC de Prophet Security investiga cada alerta con la profundidad de un analista senior, optimiza continuamente las detecciones y ejecuta b煤squedas de amenazas dirigidas contra brechas de cobertura. Visita Prophet Security para ver c贸mo funciona.
