El SOC agéntico: de la IA que asiste a la IA que actúa

AV
Chief Developer en ZetTateK

En 2026, la palabra agéntico aparece en cada presentación de seguridad. Como alguien que construye plataformas de detección y respuesta, mi trabajo es separar la promesa real de la etiqueta de marketing. El cambio de fondo es concreto: la IA en el SOC está pasando de asistir al analista a actuar por su cuenta. Ese salto, de asistente a agente, redefine cómo se opera la seguridad y, sobre todo, dónde queda el control humano.

Asistente o agente: la diferencia está en la acción

Un asistente de IA acelera al analista, pero necesita un humano para cada tarea: sugiere el siguiente paso y espera la orden. Un agente de IA actúa: ejecuta investigaciones de varios pasos, razona sobre la evidencia, corrige el rumbo cuando cambia un dato y toma acciones bajo un marco de gobernanza. Microsoft lo describe como un modelo que lleva la seguridad de reaccionar ante incidentes a anticipar cómo se mueve el atacante y cortarle el paso, en su análisis del SOC agéntico, donde reporta agentes que resuelven el 75% de las investigaciones de phishing y malware y contienen ransomware en 3 minutos promedio.

Asistente y agente no son lo mismo

DimensiónAsistente de IAAgente de IA
Modo de operaciónAumenta el trabajo del analistaActúa de forma autónoma
Humano en el circuitoRequerido en cada tareaSupervisa y gobierna
AlcanceSugiere el siguiente pasoTriage, investigación y respuesta de punta a punta
Madurez (Gartner 2026)20% a 50% de adopción1% a 5% de adopción

Dónde está realmente la tecnología

Conviene una dosis de realismo. En su Hype Cycle de Operaciones de Seguridad 2026, publicado el 5 de junio de 2026, Gartner ubicó a los agentes de IA para el SOC en el pico de expectativas infladas, con apenas un 1% a 5% de penetración y dos a cinco años para madurar. Los asistentes ya bajan hacia el valle de la desilusión, con un 20% a 50% de adopción. Gartner advirtió cuatro veces sobre el agent washing, la práctica de etiquetar como agéntico lo que es un asistente, y recomendó exigir benchmarks independientes. Es el criterio que aplicamos al construir: si un sistema no puede actuar sin un humano validando cada paso, es un asistente, y no deberíamos llamarlo agente.

Por qué importa ahora

La otra parte también automatiza. Según la investigación de brechas de IBM y Ponemon, el 16% de las brechas de 2026 ya involucró a atacantes usando IA, con el foco en manipular personas. Verizon reporta que el texto sintético en correos maliciosos se duplicó en dos años; dentro de los ataques con IA, el phishing pesa 37% y los deepfakes 35%. Cuando el ataque corre a velocidad de máquina, una defensa que depende de revisar cada evento a mano no alcanza.

Cómo construimos autonomía con control

La autonomía sin gobernanza es un riesgo, no una ventaja. En ZetTateK diseñamos las plataformas de detección y respuesta sobre tres reglas:

  1. Acción autónoma solo para lo determinista y de alta confianza. Un agente aísla un equipo o bloquea una cuenta por su cuenta solo cuando la señal es inequívoca y la política lo permite; lo ambiguo escala a una persona.
  2. El humano gobierna y supervisa. El analista define las políticas y los umbrales de confianza, valida las investigaciones que dirige el agente y se concentra en los casos que ninguna máquina debería cerrar sola.
  3. Explicabilidad en cada acción. Un agente que actúa debe poder responder qué hizo, con qué evidencia y bajo qué regla. Sin auditoría, la autonomía no es aceptable en seguridad.

Gartner proyecta que para 2030 el 75% de los equipos de SOC verá erosionarse sus habilidades fundamentales de análisis por apoyarse demasiado en la automatización. Por eso la explicabilidad no es un lujo: mantiene al analista aprendiendo del sistema en lugar de obedecerlo a ciegas.

Un agente que actúa debe poder explicar qué hizo, con qué evidencia y bajo qué regla. Esa es la diferencia entre autonomía y automatización a ciegas.

Preguntas frecuentes

¿Qué diferencia a un asistente de un agente de IA en seguridad?

El asistente sugiere y necesita aprobación en cada paso; el agente ejecuta investigaciones y respuestas completas de forma autónoma, dentro de un marco de gobernanza. Según Gartner, buena parte de lo que hoy se vende como agéntico es, en rigor, un asistente.

¿Es seguro que una IA tome acciones sin un humano?

Solo bajo condiciones estrictas: casos deterministas y de alta confianza, acotados por política, auditables y reversibles. Lo ambiguo o de alto impacto escala a una persona. La autonomía responsable no elimina el control humano: lo reubica en el diseño y la supervisión.

¿Está lista esta tecnología para producción?

Está emergiendo. Gartner la ubica en el pico de expectativas, con una adopción todavía baja y una madurez de dos a cinco años. La forma correcta de adoptarla es con pilotos medibles, benchmarks independientes y gobernanza desde el primer día.

Fuentes

Haz clic para acceder al queso de inicio de sesión o registro