HR
← Tots els articles

El Rellotge Ha Mort: Com la IA Ofensiva Va Matar la Variable Temps en Ciberseguretat

27 de maig del 2026

I per què tota la vostra estratègia de seguretat ha de ser reconstruïda des de zero


Recordo la primera vegada que vaig veure una línia de temps real d'un incident dibuixada en una pissarra. Un analista me la va explicar pas a pas — accés inicial el dilluns, moviment lateral el dimarts, dades preparades el dijous, exfiltració el cap de setmana. Cinc dies. Una setmana sencera d'oportunitat per detectar, respondre, contenir.

Aquest món s'ha acabat.

No estic sent dramàtic. Les dades hi són, i són del tipus que haurien de fer que cada líder de seguretat s'assegués i reconsiderés seriosament si el que fa ara té alguna relació amb l'amenaça que realment afronta.

El temps mitjà de breakout — de l'accés inicial al moviment lateral — va caure a 29 minuts el 2025. Vint-i-nou minuts. El cas més ràpid registrat? Vint-i-set segons. En un altre incident documentat, l'exfiltració de dades va començar quatre minuts després de l'accés inicial. Quatre minuts des de "hi son dins" fins a "les dades estan sortint."

Digueu-me: què fa el vostre playbook actual de detecció i resposta en quatre minuts?


La Part de la Qual Ningú Vol Parlar

Aquí hi ha el que resulta incòmode d'aquests números. No són el resultat d'atacants que es tornen més intel·ligents o treballen més dur. Són el resultat d'atacants que bàsicament donen un pas enrere i deixen que les màquines facin la feina.

A finals de 2025, hi va haver una campanya d'espionatge documentada on una eina d'IA va orquestrar tot l'atac. Del vuitanta al noranta per cent de l'operació va ser executada de manera autònoma. Trenta objectius globals en tecnologia, finances, energia i govern. Milers de sondes per segon. Cap equip humà podria fer reconeixement a aquesta velocitat. Cap equip humà ho necessitaria.

I si això encara sona abstracte, deixeu-me posar-li un preu. El febrer de 2026, un equip d'investigació va publicar resultats de benchmark per a un agent de pentest basat en un LLM. Se li va donar un entorn realista d'Active Directory — cinc hosts, múltiples dominis, moviment lateral real requerit. L'agent va comprometre quatre dels cinc hosts. El cost total en tarifes d'API: 28,50 dòlars. Una empresa humana de pentest cobraria entre 15.000 i 50.000 dòlars pel mateix abast.

Una eina anomenada RapidPen pot anar d'una IP objectiu a l'accés shell en una mitjana de 200 a 400 segons. Cost per execució: menys d'un dòlar.

El fossat econòmic que solia protegir les organitzacions — el fet que els atacs sofisticats eren costosos i requerien humans qualificats — ha estat demolit. La barrera per llançar una intrusió complexa i de múltiples etapes ara és aproximadament la mateixa que fer una comanda de dinar.


Això No és Només Sobre Velocitat

La velocitat és el titular, però no és tota la història.

El canvi qualitatiu és que la IA no només va fer els atacs més ràpids. Els va fer adaptatius, persistents i accessibles per a persones que mai no haurien pogut realitzar-los. El febrer de 2025, tres adolescents — de 14, 15 i 16 anys, sense coneixements de programació — van usar ChatGPT per construir una eina que va bombardejar un gran sistema de telecomunicacions més de 220.000 vegades. El juliol de 2025, un únic actor va usar una plataforma de codificació agèntica per executar una campanya d'extorsió contra 17 organitzacions en un mes. Una persona. Disset objectius. Un mes. IA autònoma gestionant el desenvolupament, l'execució i la coordinació.

Això és el que "terra de competències reduïda" significa a la pràctica. No és que els atacs s'hagin tornat més simples. És que les competències necessàries per executar atacs complexos ara es poden llogar d'un endpoint d'API per menys del cost d'un cafè.

Després hi ha el problema del zero-day, que acaba de creuar una línia que canvia la conversa completament.

El maig de 2026, Google va confirmar que per primera vegada, hackers van usar IA per descobrir i explotar una vulnerabilitat zero-day. No per weaponitzar una vulnerabilitat coneguda. No per automatitzar un exploit existent. Per trobar-ne una de nova — un defecte prèviament desconegut — de manera autònoma. Aquest zero-day en particular hauria saltejat l'autenticació de dos factors en productes de Google.

Els zero-days sempre han estat la joia de la corona de la capacitat cibernètica ofensiva. Són rars, costosos i requereixen una expertesa profunda per trobar-los. Tot el model de gestió de vulnerabilitats assumeix que hi ha un retard significatiu entre que existeix un defecte i que s'explota. La IA està comprimint aquest retard cap a zero.


La Superfície d'Atac Acaba d'Invertir-se

Hi ha una altra dimensió que fa això més difícil: els sistemes d'IA que les organitzacions ara despleguen per a productivitat i eficiència s'estan convertint ells mateixos en objectius i vectors d'atac.

A finals de 2025, el 89% de les organitzacions detectava prompts d'IA classificats com a arriscats, i un de cada 41 es classificava com d'alt risc — un augment del 97% des de principis d'any. Els atacants estan injectant prompts maliciosos en eines d'IA corporatives legítimes, convertint el propi stack de productivitat de l'organització en la seva contra. Frameworks agèntics, servidors MCP, models desplegats localment — cada nova superfície introduïda per a l'eficiència és una nova superfície que pot ser sondada.

Aquí és on la IA agèntica al costat ofensiu es torna genuïnament alarmant. A diferència de l'automatització tradicional, la IA agèntica pot planificar, adaptar-se i persistir. Un atac bloquejat no s'atura — es reprèn automàticament quan l'agent troba una altra obertura. El reconeixement ja no és una fase pre-atac definida. Succeeix contínuament, en silenci, en paral·lel amb tot el resto. L'agent no dorm, no es frustra, no oblida on es va quedar.

Les organitzacions que despleguen IA internament sense pensar acuradament en com aquests sistemes poden ser abusats estan simultàniament defensant-se d'atacs amb IA i lliurant als adversaris noves eines per usar contra elles.


Per Què Detecció-i-Resposta és el Marc Equivocat

La indústria de ciberseguretat va passar els últims quinze anys construint capacitats de detecció i resposta. Invertir en visibilitat, trobar l'amenaça ràpidament, respondre i contenir. La lògica era sòlida per a l'entorn d'amenaces per al qual va ser dissenyada.

Aquesta lògica ara té un defecte fatal: assumeix que teniu temps per detectar abans de necessitar respondre.

Quan el breakout succeeix en 29 minuts de mitjana, i les dades surten en quatre minuts en els pitjors casos, l'etapa de detecció i l'etapa de resposta han de col·lapsar en una. Ja no hi ha espai entre elles. Per al moment en què un analista veu l'alerta, llegeix el context i decideix què fer, l'atacant ja s'ha mogut. En molts casos, ja ha guanyat.

Per això el marc necessita canviar de detecció-i-resposta a resiliència. No com un buzzword. Com un compromís arquitectònic genuí.

Resiliència significa acceptar que alguns atacs tindran èxit, i dissenyar sistemes específicament perquè l'èxit no es tradueixi en catàstrofe. Significa contenció per defecte en lloc de perímetre per suposició. Significa recuperació com a requisit de disseny primari, no com a reflexió posterior. Significa que la pregunta que feu sobre els vostres sistemes canvia de "pot ser violat?" — la resposta és sí — a "pot continuar operant quan ho sigui?"


Com és la Defensa Agèntica a la Pràctica

La bona notícia — i hi ha genuïnament bones notícies aquí — és que les mateixes capacitats d'IA que impulsen els atacs ofensius estan disponibles al costat defensiu. El repte és que la majoria de les organitzacions no han reestructurat les seves operacions per usar-les realment.

La defensa de seguretat agèntica significa que el sistema no espera que un humà revisi una alerta abans d'actuar. Quan apareixen intents d'inici de sessió anormals de dos països simultàniament, un sistema agèntic bloqueja l'accés en aquestes regions, notifica l'equip i comença a rastrejar si els comptes van ser compromesos — tot abans que cap humà hagi obert un ticket. Si el malware es propaga en els dispositius dels empleats, el sistema posa en quarantena les màquines infectades i produeix automàticament un informe forense de la cadena d'atac. L'humà no desapareix d'aquest escenari, però passa d'estar en el bucle d'execució a estar en el bucle de governança. Revisa, pren decisions d'alt risc, gestiona els casos límit que el sistema senyala com a incerts.

Google va anunciar agents autònoms de threat hunting i enginyeria de detecció al Cloud Next 2026. El enquadrament va ser significatiu: no seguretat "assistida per IA", sinó agents d'IA assumint la responsabilitat principal d'aquestes funcions amb humans en capacitat de supervisió.

Booz Allen ho va dir sense embuts al seu informe de març de 2026: les accions de contenció primerenques — aïllar sistemes, bloquejar tràfic maliciós, revocar sessions sospitoses, iniciar la remediació — no poden esperar l'aprovació manual. Han de succeir automàticament dins de límits definits mentre la intrusió encara s'està produint. No després. No amb aprovació humana. Mentre succeeix.


Els Fonaments que Realment Importen

Aquí és on vull ser acurat, perquè molt del que es comercialitza com a defensa d'IA és genuïnament simplement soroll.

La IA no arregla fonaments deficients. Si el vostre registre de logs és incomplet, un sistema d'IA tindrà punts cecs. Si els vostres controls d'identitat són febles, un sistema d'IA estarà perseguint fantasmes. Si el vostre pipeline d'alertes és un desastre, l'automatització amplificarà aquest desastre a escala. Les organitzacions que van extreure valor real de les eines de seguretat d'IA el 2025 van ser les que tenien models operatius disciplinats abans d'afegir-hi IA.

Els controls d'identitat sòlids no són negociables. El perímetre ha desaparegut. La identitat és el nou perímetre. Cada camí d'accés privilegiat ha de ser conegut, minimitzat i monitorat. Els atacants agèntics buscaran les debilitats d'identitat perquè són ràpides d'explotar i sovint profundament connectades amb tot el resto.

Detecció conductual, no detecció basada en indicadors. Les eines de seguretat tradicionals busquen signatures malicioses conegudes. Els atacs amb IA generen comportament nou. La vostra capacitat de detecció ha d'entendre com és la normalitat al vostre entorn i senyalar desviacions — no simplement fer coincidir amb una llista d'IOCs coneguts que l'atacant ja ha dissenyat per evitar.

Segmentació de xarxa i control del radi d'explosió. Assumiu la vulneració, dissenyeu per a la contenció. Si un atacant entra en un sistema, quant del vostre entorn pot assolir? En un entorn ben segmentat: no gaire. Això importa més ara que mai, perquè la velocitat del moviment lateral significa que sovint no podreu aturar-lo — però podeu limitar fins on arriba.

Arquitectura de recuperació que es prova realment. Còpies de seguretat immutables. Entorns de recuperació hermèticament segellats. Proves regulars d'escenaris de recuperació reals, no simplement tasques de còpia de seguretat que es completen amb èxit. Quan el ransomware colpeja i el xifratge comença a velocitat de màquina, la diferència entre un esdeveniment catastròfic i una pertorbació operativa es redueix a com de ràpid podeu restaurar des d'un estat bo conegut.


La Qüestió de la Responsabilitat

Hi ha una dimensió de governança en això que no rep prou atenció.

Els CISOs cada vegada més s'espera que responguin una pregunta que no haurien pogut respondre fa cinc anys: no simplement "tenim controls de seguretat?" sinó "com funciona la nostra organització operacionalment sota atac actiu?" Són preguntes diferents. La primera és sobre cobertura. La segona és sobre resiliència.

Els consells estan començant a fer la segona pregunta. I la resposta honesta per a la majoria de les organitzacions és que no ho saben, perquè mai no ho han provat rigorosament. Han fet exercicis de taula. Han executat proves de penetració contra àmbits específics. Però no han fet una prova d'estrès de la seva capacitat de detectar, contenir i continuar operant quan un agent autònom està executant cadenes d'intrusió a velocitat de màquina a tot el seu entorn simultàniament.

Aquesta bretxa entre el model d'amenaça i el model de prova és on les organitzacions estan patint.


El que Realment Crec que Cal Canviar

He estat pensant en això durant un temps, i continuo arribant a la mateixa conclusió: el model mental amb el qual treballa la majoria dels equips de seguretat va ser construït per a una era diferent.

L'antic model assumeix que els humans estan al camí crític. Detectar, passar a l'analista, l'analista decideix, l'analista actua. Aquest model té una latència mínima mesurada en minuts a hores. L'entorn d'amenaces ara té una latència mínima mesurada en segons.

El nou model ha d'assumir que qualsevol decisió que requereixi un humà en el bucle perdrà la cursa contra un atacant autònom. Cosa que significa que l'arquitectura ha de ser construïda per actuar sense humans al camí crític per a l'execució, mentre manté els humans fermament al camí crític per a l'estratègia, la governança i el tractament d'excepcions d'alt risc.

Això no és sobre treure els humans de la seguretat. És sobre posar-los on són realment valuosos. Els humans són extraordinaris en el judici sota ambigüitat, en entendre el context del negoci, en navegar les zones grises que els sistemes automatitzats sempre trobaran. Els humans són terribles en ser més ràpids que una màquina funcionant a velocitat d'API.

Jugueu amb els punts forts. Construïu l'arquitectura al voltant d'aquesta realitat.


El Pensament Final

Si la vostra estratègia de seguretat encara depèn que un humà revisi una alerta abans que es prengui cap acció, no esteu darrere de la corba. Esteu jugant un joc diferent del que es juga contra vosaltres.

La variable temps en seguretat no es va comprimir. No va disminuir. Per a certes classes d'atacs, va desaparèixer completament. Vint-i-set segons no és una finestra. No és una oportunitat per respondre. És a penes el temps que tarda a desbloquejar el telèfon.

Les organitzacions que navegaran els propers tres anys sense un incident catastròfic són les que accepten aquesta veritat incòmoda ara i comencen a construir una arquitectura que no pretén que el temps existeix com a recurs defensiu.

Tot el resto està treballant a crèdit — i el deute vença més ràpid del que penseu.

El Rellotge Ha Mort: Com la IA Ofensiva Va Matar la Variable Temps en Ciberseguretat — Haniel Rolemberg — Haniel Rolemberg