Por qué las decisiones de seguridad autónomas y no reguladas suponen un riesgo para las infraestructuras críticas

• La automatización es esencial para los procesos modernos de aplicación de parches, priorización de vulnerabilidades, supervisión de la configuración y corrección de incidencias.

• La ejecución autónoma y sin supervisión de medidas de seguridad —como la aplicación de parches, los cambios de configuración o la corrección automatizada— supone un riesgo operativo en entornos en los que el tiempo de inactividad conlleva consecuencias de seguridad o económicas.

• Un cambio aplicado en un momento inadecuado en una red eléctrica, una línea de producción o una red de defensa no es un inconveniente menor. Es un incidente.

• Este ámbito se rige por tres marcos normativos: NERC CIP (energía/servicios públicos), IEC 62443 (sistemas de control industrial) y NIST SP 800-82 (seguridad de los sistemas de control industrial). Los tres hacen hincapié en la autorización documentada, la validación, las pruebas y la rendición de cuentas en relación con los cambios de seguridad.

• Los flujos de trabajo autónomos pueden contribuir a la gobernanza cuando se integran en el proceso controles de aprobación, políticas y registros de auditoría. Sin embargo, se convierten en un riesgo cuando «la decisión del sistema» sustituye a la autorización humana responsable.

• La IA aporta el mayor valor en la capa de análisis: hallazgos clasificados por riesgo, señales de desviación en la configuración y lista de parches priorizados; no en la capa de ejecución.

• El modelo eficaz: la IA extrae la información, las personas autorizan la acción y cada cambio queda registrado con una identidad responsable.

Se implementa un parche fuera de la ventana de mantenimiento en una subestación. Un sistema de corrección automatizado modifica una regla del cortafuegos durante un ciclo de producción. Un cambio de configuración se propaga por una red OT distribuida antes de que ningún operador lo revise.

Las situaciones varían, pero el patrón de fallo es el mismo: un sistema automatizado actuó sin autorización humana y, para cuando alguien se dio cuenta, el cambio ya se había aplicado al entorno de producción.

La automatización es hoy en día esencial para las operaciones de seguridad modernas, sobre todo a medida que se reducen los plazos de los ataques y las ventanas de aplicación de parches. El riesgo no radica en la automatización en sí misma, sino en la ejecución autónoma de medidas de seguridad que aplica cambios que afectan a la producción sin una aprobación humana responsable, sin tener en cuenta el contexto operativo y sin un registro documentado de las autorizaciones.

En entornos de infraestructuras críticas, estas decisiones conllevan un riesgo operativo que la supervisión humana estructurada está destinada a prevenir.

La actual oleada de plataformas de IA agentiva refleja cómo la ejecución autónoma está transformando las operaciones de seguridad, especialmente en los entornos informáticos corporativos, donde la rapidez es el principal objetivo de diseño.

Las infraestructuras críticas funcionan bajo unas limitaciones fundamentalmente diferentes.

Un relé de protección de una red eléctrica no se puede reiniciar a mitad de ciclo. Un cambio de configuración en un PLC que controla una línea de producción no se puede revertir en cuestión de segundos. Una medida correctiva automatizada que se activa durante un ciclo de producción afecta a los procesos físicos, no solo a los servidores.

Los equipos de seguridad en estos entornos deben evaluar las capacidades autónomas planteándose una pregunta diferente: no «¿con qué rapidez puede responder?», sino «¿quién es responsable cuando se equivoca?».

Antes de tu próxima auditoría según las normas CIP de la NERC o la norma IEC 62443, responde a lo siguiente: ¿tu plataforma de seguridad actual genera un registro documentado y con marca de tiempo de quién autorizó cada cambio de seguridad?

La norma NERC CIP-007 exige procedimientos específicos de gestión de parches para cada cambio que se realice en los activos cibernéticos del sistema eléctrico a gran escala: evaluación documentada, pruebas que lo acrediten y plazos de implementación. La norma IEC 62443-2-3 define las responsabilidades de autorización para la gestión de parches y los cambios de configuración en los sistemas de automatización y control industrial, incluyendo quién es responsable de cada acción. La norma NIST SP 800-82 especifica que los cambios de seguridad en los sistemas de control industrial (ICS) requieren una evaluación de riesgos, pruebas de validación y coordinación con las partes interesadas operativas antes de la implementación, no después.

Los flujos de trabajo autónomos pueden respaldar este modelo de control cuando la gobernanza se integra en el proceso mediante aprobaciones basadas en políticas, anillos de implementación, controles de ventanas de mantenimiento y registros de auditoría detallados.

Sin embargo, la ejecución autónoma no encaja en ese modelo cuando oculta la cadena de autorizaciones. Se produce el cambio, el registro muestra que el sistema ha actuado y el auditor pregunta quién aprobó la acción. Cuando no existe ningún evento de autorización humana al que se pueda atribuir la responsabilidad, el registro queda incompleto.

Las plataformas controladas por personas, en las que se registran los pasos de autorización, generan un registro de auditoría. Las plataformas autónomas no reguladas generan responsabilidad civil.

Las plataformas de gestión de la seguridad cuentan, por su propia naturaleza, con acceso privilegiado. Una plataforma autorizada para aplicar cambios de configuración, implementar parches y gestionar políticas en cientos de entornos de implementación es precisamente el tipo de activo al que un atacante daría prioridad.

Cuando esa plataforma funciona de forma autónoma, la superficie de ataque se amplía considerablemente. Un sistema autónomo comprometido puede llevar a cabo acciones a gran escala en todos los entornos conectados antes de que un operador humano detecte la brecha de seguridad. El atacante se apropia de la autoridad de ejecución de la plataforma y la utiliza simultáneamente para la gestión de parches, los cambios de configuración y la aplicación de políticas.

Esto no es una hipótesis. A principios de 2026, tres vulnerabilidades críticas de tipo «zero-day» en una plataforma de gestión de parches ampliamente implantada permitieron la ejecución remota de código sin autenticación en entornos empresariales. La CISA ha señalado estas y otras vulnerabilidades similares como «vulnerabilidades explotadas conocidas» que requieren una corrección inmediata. Una plataforma autónoma comprometida a través de este tipo de vulnerabilidades puede introducir cambios maliciosos en todos los terminales conectados antes de que se active una sola alerta.

Una plataforma que requiere la aprobación de una persona antes de aplicar los cambios limita el alcance de este impacto. Cuando se requiere la aprobación de una persona antes de la ejecución, es poco probable que las credenciales robadas por sí solas provoquen cambios automatizados a gran escala.

El argumento en contra de la ejecución autónoma sin supervisión no es un argumento en contra de la IA o la automatización en el ámbito de la seguridad. La IA aporta el máximo valor en los niveles adecuados: análisis, establecimiento de prioridades, apoyo a la coordinación y facilitación de la toma de decisiones.

Las directrices de la CISA destacan sistemáticamente las lagunas de visibilidad como un reto fundamental para las organizaciones de infraestructuras críticas que gestionan activos distribuidos. La IA aborda este problema de forma directa: agrega datos de eventos, correlaciona señales entre distintas implementaciones, señala desviaciones en la configuración y presenta los hallazgos priorizados para su revisión por parte de los analistas. El analista sigue tomando las decisiones, pero la IA le ayuda a hacerlo más rápido y con mejor información.

La gestión de vulnerabilidades y parches clasificada por riesgo es donde esto se nota más claramente. Clasificar rápidamente cientos de vulnerabilidades según su explotabilidad, la importancia de los activos afectados y el grado de exposición proporciona a los equipos de seguridad una lista priorizada sobre la que pueden actuar dentro de una ventana de mantenimiento, en lugar de un conjunto de datos sin procesar que tienen que clasificar ellos mismos.

El mismo principio se aplica a las anomalías de configuración: la IA detecta desviaciones en cientos de terminales; son las personas las que deciden qué cambios revertir y cuándo hacerlo.

La pregunta relevante respecto a cualquier capacidad de IA en una plataforma de seguridad no es «¿puede actuar de forma autónoma?», sino «¿contribuye a que el equipo de seguridad sea más eficaz?».

Se trata de filosofías de diseño diferentes y, en entornos regulados, esa distinción es importante.

Una gestión de la seguridad controlada por personas no implica que sea lenta. Significa una gestión estructurada de la seguridad: la inteligencia artificial extrae la información, la automatización acelera los flujos de trabajo y las personas toman las decisiones. Cada acción queda registrada y se asocia a una identidad responsable.

En la práctica: un panel de control centralizado recopila los incidentes de seguridad, el cumplimiento de los parches en los terminales, el estado de la configuración y los hallazgos de anomalías en todas las implementaciones conectadas. Los administradores revisan los hallazgos clasificados por nivel de riesgo, evalúan el contexto operativo (incluido si hay una ventana de mantenimiento abierta en ese momento en un sitio de destino o si se ha validado un cambio de configuración para ese hardware específico) e inician las acciones mediante un proceso de autorización deliberado.

Para las organizaciones que gestionan entornos distribuidos, esto requiere una plataforma que permita acceder a todas las implementaciones desde una única interfaz, incluidos los entornos aislados y sin conexión, en los que la gestión basada en la nube no es una opción. La plataforma proporciona los datos que los administradores necesitan para actuar con confianza.

EPAM Systems (un proveedor global de servicios de ingeniería de plataformas digitales y desarrollo de software con aproximadamente 40 000 empleados en 30 países) se enfrentaba a una presión cada vez mayor para proteger a una plantilla distribuida, en la que predominaba el uso de dispositivos propios (BYOD), sin ralentizar su trabajo. Gracias al uso de My Central Management MetaDefender , la organización logró obtener visibilidad y control del cumplimiento normativo sobre más de 70 000 dispositivos utilizados por empleados, clientes y colaboradores en todo el mundo.

La plataforma permitió al equipo de seguridad de EPAM comprobar el cumplimiento normativo de los dispositivos, detectar aplicaciones no deseadas, identificar vulnerabilidades sin parchear y aplicar políticas de acceso, todo ello sin afectar a la productividad de los usuarios. EPAM también integró MetaDefender para analizar los archivos subidos a su almacenamiento central, procesando más de 50 millones de archivos al día en los momentos de mayor volumen. Los equipos de seguridad disponían de una visión completa de la situación. Todas las decisiones recayeron en ellos. Lee la historia completa aquí.

Aplicar la IA allí donde genere valor sin introducir riesgos de ejecución: clasificación de vulnerabilidades según su nivel de riesgo, detección de desviaciones en la configuración, correlación de anomalías y resultados priorizados para su revisión por parte de personas.

Evita las plataformas que confundan el valor analítico de la IA con una autoridad de ejecución sin control. Evalúa si una plataforma genera los registros de autorización que exige tu marco de cumplimiento normativo. Si la respuesta es «lo decidió el sistema», ese no es un registro de autorización suficiente en entornos de infraestructuras críticas reguladas.