De los SOC tradicionales al CogniRange
La ciberdefensa europea ante la inteligencia artificial avanzada
Hace unos días compartimos en el curso de verano de la Universidad Internacional Menéndez Pelayo una reflexión sobre inteligencia artificial avanzada aplicada a la ciberdefensa y sobre los retos de innovación que Europa debe afrontar si quiere preservar su soberanía tecnológica y operativa.
El mensaje central fue sencillo: la inteligencia artificial no cambia únicamente las herramientas de ataque y defensa. Cambia el ritmo de la ciberseguridad.
Durante años hemos pensado la defensa digital como una carrera entre atacantes y defensores. El atacante buscaba una vulnerabilidad, una credencial, una mala configuración o una ruta de entrada. El defensor intentaba detectar, bloquear, parchear y responder. Esa asimetría siempre ha existido. El atacante necesita encontrar una vía. El defensor debe proteger muchas.
Lo que cambia ahora es la velocidad.
La próxima frontera de la ciberseguridad no será solo detectar más ataques, sino medir si nuestras organizaciones pueden razonar, decidir y defenderse frente a adversarios asistidos por inteligencia artificial.
Los modelos avanzados y los agentes de inteligencia artificial reducen el tiempo, el coste y la especialización necesarios para ejecutar tareas complejas. Pueden ayudar a reconocer superficies expuestas, correlacionar información, priorizar objetivos, generar hipótesis, leer documentación técnica, replanificar y mantener continuidad contextual durante operaciones largas.
Eso no significa que la inteligencia artificial haya inventado todos los problemas de la ciberseguridad. No los ha inventado. Pero sí puede comprimirlos.
Lo que antes requería días o semanas puede empezar a ocurrir en horas o minutos. Lo que antes exigía equipos muy especializados puede quedar al alcance de actores con menor conocimiento técnico. Lo que antes era una secuencia relativamente humana puede empezar a operar a velocidad de máquina.
Y ahí aparece la pregunta de fondo.
Si el ataque se acelera, ¿puede la defensa seguir organizada como hasta ahora?
El límite del SOC tradicional
El centro de operaciones de seguridad, conocido como SOC, ha sido durante años una pieza esencial de la defensa corporativa e institucional. Recibe eventos, analiza alertas, prioriza incidentes y coordina respuestas.
Pero muchos SOC nacieron para un mundo más lento.
Un mundo en el que el volumen de señales era menor, las campañas eran más reconocibles y el analista podía dedicar más tiempo a separar lo importante de lo irrelevante. Hoy ocurre lo contrario. Hay más activos, más proveedores, más identidades, más nube, más dispositivos, más sensores, más alertas y más presión.
La respuesta habitual ha sido añadir más herramientas, más cuadros de mando y más automatización. A veces ayuda. Pero también puede agravar el problema.
Un SOC saturado no es simplemente un SOC incómodo. Es una vulnerabilidad.
Cuando el volumen de señales supera la capacidad humana de comprensión, la organización empieza a perder algo más importante que tiempo. Pierde criterio. Pierde contexto. Pierde capacidad de anticipación. Y, en ciberdefensa, perder contexto suele ser el primer paso para perder iniciativa.
Por eso creemos que la evolución del SOC no puede consistir solo en añadir inteligencia artificial como una interfaz más.
Debe evolucionar hacia lo que llamamos CogniSoc.
Qué es CogniSoc
CogniSoc es una forma de entender el centro de operaciones de seguridad como un sistema cognitivo de defensa.
No como una sala de pantallas. No como una colección de herramientas. No como un repositorio de alertas.
Como un sistema socio-técnico capaz de percibir, atender, recordar, generar hipótesis, razonar, decidir y aprender.
Percibir significa recibir señales de múltiples dominios: identidad, red, nube, endpoint, proveedor, aplicaciones, datos, tecnología operacional y agentes de inteligencia artificial.
Atender significa separar lo urgente de lo accesorio. No todo lo que hace ruido es importante. No todo lo importante hace ruido.
Recordar significa conservar contexto. Qué activos son críticos. Qué rutas de ataque existen. Qué decisiones se tomaron antes. Qué incidentes se repiten. Qué dependencias tiene la organización.
Generar hipótesis significa no quedarse en la alerta aislada. Una alerta puede ser un error, un síntoma o el primer fragmento de una campaña.
Razonar significa evaluar intención, impacto, probabilidad, incertidumbre y posibles rutas de evolución.
Decidir significa recomendar acciones o ejecutar playbooks bajo límites claros.
Aprender significa convertir cada ejercicio, incidente o simulación en mejora acumulativa.
Ese es el salto de un SOC reactivo a un SOC cognitivo.
Y ese salto es especialmente importante cuando el adversario empieza a operar con asistencia de inteligencia artificial.
El paso siguiente: CogniRange
Si CogniSoc es la evolución del centro de operaciones, CogniRange es el entorno donde esa evolución se entrena, se mide y se valida.
Un cyber range tradicional permite simular escenarios, entrenar equipos y validar controles. Es una herramienta útil. Pero ante adversarios asistidos por inteligencia artificial necesitamos ir un paso más allá.
Necesitamos medir si una organización puede defenderse bajo presión automatizada.
A ese entorno lo llamamos CogniRange.
CogniRange es un ciber-rango cognitivo diseñado para medir readiness defensiva. La palabra readiness es importante. No hablamos solo de cumplimiento, ni de auditoría, ni de tener herramientas instaladas. Hablamos de preparación real.
La pregunta no es únicamente si el atacante simulado avanza. La pregunta es si la organización detecta, entiende, decide, contiene y aprende.
En qué paso aparece la primera detección. Cuánto tarda la contención. Qué señales genera el adversario. Qué alertas son útiles y cuáles son ruido. Qué controles funcionan. Qué decisiones quedan justificadas. Qué acciones debe recomendar una inteligencia artificial. Qué acciones puede ejecutar un sistema autónomo. Y qué debe permanecer siempre bajo mando humano.
Esta diferencia es esencial.
Durante los últimos años se ha puesto mucho esfuerzo en medir la capacidad de los modelos. Eso es necesario. Pero falta medir la capacidad de las organizaciones frente a esos modelos.
Dicho de forma simple: no basta con saber qué puede hacer una inteligencia artificial avanzada. Hay que saber si nuestras instituciones y empresas pueden defenderse frente a ella.
No se trata de construir inteligencia artificial ofensiva
Esta distinción es crítica.
La propuesta de CogniRange no consiste en crear una inteligencia artificial ofensiva ni en desplegar agentes autónomos contra infraestructuras reales. La propuesta es construir entornos seguros, sintéticos, auditables y gobernados.
Escenarios donde pueda representarse el diferencial operativo de un adversario asistido por inteligencia artificial sin ejecutar ataques reales. Donde las acciones peligrosas se bloqueen por diseño. Donde todo quede registrado. Donde exista supervisión humana. Donde se pueda entrenar, comparar y mejorar sin poner en riesgo activos reales.
Este punto es especialmente relevante en sectores críticos.
Cuando hablamos de energía, agua, transporte, salud, industria, administración pública o defensa, no se puede improvisar. No se pueden lanzar pruebas agresivas contra sistemas de producción. No se puede convertir la innovación en un riesgo operativo.
Por eso el futuro de la ciberdefensa con inteligencia artificial necesita tres cosas al mismo tiempo: ambición, seguridad y gobierno.
Ambición para innovar. Seguridad para no crear nuevos riesgos. Gobierno para decidir qué puede hacer la máquina y qué debe seguir siendo responsabilidad humana.
La soberanía europea no será solo cuestión de modelos
Cuando hablamos de soberanía tecnológica en inteligencia artificial solemos pensar en modelos, datos, chips, centros de datos o infraestructuras de cómputo. Todo eso es importante.
Pero en ciberdefensa hay otra capa de soberanía igual de relevante: la capacidad de evaluar, entrenar y gobernar nuestra propia defensa.
Europa no puede limitarse a consumir herramientas cerradas, métricas externas o doctrinas importadas. Necesita desarrollar capacidad propia para saber si sus organizaciones críticas están preparadas frente a amenazas aceleradas por inteligencia artificial.
Eso significa poder crear escenarios propios. Medir controles propios. Entrenar equipos propios. Generar doctrina propia. Y preservar criterio humano propio en entornos donde la presión operativa será cada vez mayor.
La soberanía no consiste solo en tener tecnología. Consiste en conservar capacidad de juicio.
Y la ciberdefensa del futuro será, cada vez más, una disciplina de juicio bajo presión.
De más automatización a mejor razonamiento
Existe una tentación comprensible: responder a la inteligencia artificial atacante con más automatización defensiva.
Pero más automatización no siempre significa mejor defensa.
Automatizar una mala decisión solo la hace más rápida. Automatizar sin contexto puede amplificar errores. Automatizar sin trazabilidad dificulta la auditoría. Automatizar sin límites puede convertir la defensa en una fuente adicional de riesgo.
Por eso defendemos una idea distinta: no basta con automatizar. Hay que razonar.
La inteligencia artificial aplicada a la ciberdefensa debe ayudar a reducir carga cognitiva, no a multiplicarla. Debe explicar, no oscurecer. Debe priorizar, no generar ruido. Debe proponer, no sustituir indiscriminadamente. Debe operar bajo límites, no en autonomía opaca.
CogniSoc y CogniRange nacen de esa convicción.
El primero describe cómo debería evolucionar el centro de operaciones. El segundo describe cómo medir si esa evolución funciona.
Qué deberíamos empezar a medir
Si queremos defendernos frente a ataques a velocidad de máquina, necesitamos métricas que vayan más allá de contar alertas.
Algunas preguntas son mucho más relevantes:
Cuánto tarda la organización en detectar la primera señal significativa.
En qué punto de la cadena de ataque se produce la primera alerta útil.
Cuánto tarda en contener.
Qué controles reducen de verdad el riesgo.
Qué partes de la organización reaccionan tarde.
Qué ocurre cuando intervienen proveedores.
Qué ocurre cuando hay identidad comprometida.
Qué ocurre cuando aparece tecnología operacional.
Qué ocurre cuando un agente de inteligencia artificial tiene acceso a herramientas, documentos o sistemas internos.
Qué decisiones quedan justificadas.
Qué evidencia se puede auditar después.
Estas preguntas no pertenecen solo al mundo técnico. Son preguntas de dirección, de gobierno, de inversión y de soberanía.
Porque una organización que no puede medir su defensa no puede mejorarla de forma fiable.
El papel de PSYON: entender adversarios, no solo máquinas
Durante décadas, la ciberseguridad ha aprendido a detectar máquinas: direcciones IP, dominios, hashes, malware, credenciales, tráfico, procesos y vulnerabilidades.
Pero los adversarios no son solo máquinas. Son organizaciones humanas que operan por medios digitales.
Tienen incentivos, ritmos, narrativas, umbrales de riesgo, sensibilidad reputacional, prioridades y capacidad de adaptación.
Creemos que la siguiente etapa de la ciberdefensa debe incorporar razonamiento sobre intención y comportamiento adversario.
A esa capa la denominamos PSYON.
No se trata de propaganda. No se trata de manipulación. No se trata de automatizar operaciones psicológicas.
Se trata de apoyar decisiones defensivas comprendiendo mejor qué pretende el adversario, qué reacción busca provocar, qué señales pueden revelar sus verdaderas capacidades y qué medidas defensivas pueden alterar su cálculo.
En un entorno de ataques acelerados por inteligencia artificial, no basta con preguntar qué ha ocurrido. También hay que preguntar qué está intentando conseguir el adversario y cómo puede evolucionar la situación.
Una oportunidad para Europa
La ciberdefensa europea se encuentra en un momento decisivo.
La inteligencia artificial avanzada, la ciberseguridad y la supercomputación no son tres conversaciones separadas. Forman parte de una misma transformación. Los modelos necesitan infraestructura. La infraestructura necesita seguridad. La seguridad necesita inteligencia. Y la inteligencia necesita gobierno.
Europa tiene talento, universidades, empresas, instituciones, centros de investigación y capacidad industrial. Pero necesita convertir esas piezas en arquitecturas operativas propias.
CogniSoc y CogniRange son nuestra contribución conceptual a esa conversación.
No como productos cerrados. No como promesas infladas. No como una respuesta definitiva.
Como una dirección de trabajo.
Una forma de decir que la ciberdefensa del futuro no puede limitarse a ver más eventos, comprar más herramientas o automatizar más tareas. Debe aprender a razonar mejor.
Conclusión
La inteligencia artificial avanzada no elimina la necesidad de humanos en ciberdefensa. La hace más importante.
Pero esos humanos necesitarán nuevos sistemas de apoyo, nuevos entornos de entrenamiento y nuevas métricas. Necesitarán centros de operaciones capaces de razonar. Necesitarán rangos donde medir preparación real. Necesitarán agentes gobernados. Necesitarán evidencias auditables. Y necesitarán doctrina.
La pregunta no es si la inteligencia artificial va a cambiar la ciberseguridad. Ya lo está haciendo.
La pregunta es si nuestras organizaciones van a prepararse a tiempo.
Estamos trabajando en esa dirección: una ciberdefensa cognitiva, gobernada y medible, capaz de ayudar a instituciones y empresas a defenderse frente a adversarios que ya no operan solo en tiempo humano.
Porque la próxima frontera no será únicamente detectar más. Será comprender antes, decidir mejor y defenderse a velocidad de máquina.





