La IA contra los ataques más tontos de Internet

Seguimos llamando a esto la era de la defensa inteligente, pero cada semana sigo viendo cómo las cadenas se apagan por las razones más tontas imaginables. No se trata de exploits inteligentes ni de malware creado por inteligencia artificial, solo inundaciones a la antigua usanza. Paquetes. Tráfico. Ruido.

‍

Quizá el problema no sea que los atacantes sean cada vez más inteligentes. Quizá se deba a que la industria, como defensora, ha empezado a creer en nuestro propio marketing. Hemos creado sistemas SOC de aprendizaje automático que clasifican las amenazas en milisegundos, motores de anomalías que pretenden detectar «incógnitas desconocidas» y paneles que prometen una mitigación autónoma incluso antes de que una persona parpadee. Sin embargo, en algún lugar, un chico con una botnet alquilada y un problema de actitud aún puede arruinar a un banco regional.

‍

Lo visto suceder. Las pantallas se encienden, las alarmas se apagan y todos esperan a que el «manual automático» haga lo suyo. Hasta que llegue la intervención humana, irrumpiendo.

‍

Se suponía que la inteligencia artificial era nuestro escudo contra el caos. En vez de eso, empieza a parecer una manta cómoda y cara. En la actualidad, las principales causas de las interrupciones no son las campañas de los estados nacionales ni las intrusiones impulsadas por la inteligencia artificial. Son inundaciones (inundaciones de SYN, inundaciones de UDP, reflejos de DNS), la misma basura contra la que luchábamos hace 15 años. La única diferencia es la escala. Las tuberías son más gruesas, las redes de bots son más baratas y la publicidad es más ruidosa.

‍

Seguimos añadiendo cerebros al problema, pero la física no ha cambiado. No puedes pensar más que la congestión. No puedes «entrenar» para sortear un enlace completo. Cuando la tubería está llena, está llena. Y aun así seguimos fingiendo lo contrario, como si la palabra de moda correcta pudiera por fin cambiar la física.

‍

Esa es la ironía de la ciberseguridad en 2025, y muy probablemente en 2026 y más allá. Nos hemos rodeado de sistemas inteligentes que lo entienden todo excepto la verdad más antigua de Internet: el ancho de banda es finito, los paquetes son baratos y, por más «inteligentes» que se vuelvan las defensas, se desmoronan ante un ataque realmente tonto.

‍

La ironía de la inteligencia

Durante años, la industria ha estado vendiendo «todo impulsado por la inteligencia artificial»: búsqueda de amenazas de inteligencia artificial, motores de correlación de inteligencia artificial, inteligencia artificial como servicio. Si el acrónimo aún no termina en inteligencia, alguien de marketing se aseguraría de que así fuera. El terreno de juego suena irresistible: máquinas que aprenden más rápido de lo que los delincuentes pueden adaptarse. Pero los delincuentes no necesidad para adaptarse. ¿Para qué molestarse cuando la fuerza bruta sigue funcionando bien?

‍

Toma Aisuru, por ejemplo. Esa botnet ha sido una pesadilla recurrente desde que apareció a finales del año pasado.. La misma fórmula de siempre: enrutadores domésticos, cámaras IP, DVR baratos, todos secuestrados y reutilizados en una máquina de inundación global. Recuerdo la noche en que se disparó: los hilos de WhatsApp se iluminaron y los colegas compartieron noticias de última hora sobre ataques de 30 Tbps. Sin sello no hay genialidad. Solo ruido crudo y abrumador. Eliminó partes de una red de videojuegos, unos cuantos bancos y al menos una red de distribución de contenido (CDN) que publicaba con orgullo la frase «mitigación impulsada por la inteligencia artificial» en su página de inicio.

‍

La época, las grandes redes de alojamiento en toda Europa: OVH, Arrendamiento web, incluidas partes de Hetzner — fueron golpeados por ataques con bombas de alfombra en marzo. Los enrutadores se atascaron durante horas antes de que la intervención manual finalmente restableciera la estabilidad. Los ataques no fueron sutiles: múltiples inundaciones pequeñas se extendieron por cientos de direcciones IP, al mismo tiempo bombardeo de alfombras manual de estrategias que hemos visto durante años. Sin embargo, los sistemas de mitigación «autónomos» que debían responder al instante siguieron analizando los patrones de tráfico mucho después de que los clientes ya se hubieran desconectado.

‍

Esto es lo que lo hace absurdo. Hemos creado sistemas que pueden decirle exactamente lo que está sucediendo, con niveles de confianza y gráficos predictivos, pero aun así no pueden detenerlo.

‍

Por qué el tonto sigue ganando

Hay una especie de belleza cruel en los ataques DDoS. No piratea nada. Simplemente abruma. Es la versión de Internet de gritar hasta que la otra parte se dé por vencida. A los agresores les encanta porque es barata y brutalmente eficaz. Por el precio de una comida para llevar durante un fin de semana, pueden causar daños millonarios.

‍

Mientras tanto, los defensores se ahogan en la complejidad. Diseñamos distintos niveles de inteligencia artificial para la detección, el análisis del flujo y la automatización, pero cuando se produce una avalancha de tráfico, esos sistemas dedican más tiempo a pensar que a actuar. La IA puede detectar las anomalías con mayor rapidez, claro, pero no puede hacer que tus tuberías sean más grandes. No puede reescribir las rutas de BGP a la mitad del camino ni aprovechar los terabits de capacidad sobrante de nada.

‍

Los atacantes lo saben. No intentan ser más astutos que nadie, simplemente los superan. Mientras los algoritmos se recalibran y los ingenieros debaten sobre los umbrales, los paquetes siguen llegando. No son los cerebros los que ganan estas peleas. Es la preparación: una buena arquitectura, rutas de escalamiento limpias y una capacidad real detrás de la estrategia de marketing. El resto es teatro. He visto ambos lados: los que construyen para la óptica y los que construyen silenciosamente para el impacto. Este último sobrevive.

‍

El problema humano

La verdad es que la IA no nos hace más seguros. Nos está haciendo perezosos. Hemos automatizado la conciencia hasta el punto de que hemos olvidado cómo mira.

‍

El Inundaciones de Aisuru demostró que, al igual que el Interrupción de juegos en Asia in april. Ese ataque tuvo lugar 2 cucharadas y mantuvo los servidores de emparejamiento inactivos durante horas. El sistema de mitigación del «autoaprendizaje» seguía «aprendiendo», mientras que los jugadores estaban inundando Reddit. Durante eso Interrupción europea, los enrutadores permanecieron inestables durante medio día antes de que alguien finalmente accionara la palanca correcta manualmente. Todos los informes posteriores a la acción decían lo mismo: la automatización retrasó a los humanos.

‍

La IA actúa solo dentro de los límites que trazamos. No sabe qué cliente es fundamental ni cuándo es el momento de sacrificar un enlace para salvar la red troncal. Esas decisiones requieren un juicio que a veces desafía la lógica, del tipo que se gana, no se entrena. Sin embargo, seguimos intentando automatizar nuestra forma de dejar de pensar.

‍

En todo caso, toda esta obsesión por la «defensa autónoma» ha puesto de manifiesto lo frágiles que son realmente nuestras operaciones. Hemos cambiado el conocimiento de la situación por paneles de control, la preparación para la tranquilidad y los ingenieros por paneles que prometen una «respuesta autónoma». Cuando llegan los ataques tontos (y siempre ocurren), recordamos que el sistema más inteligente de la sala sigue siendo el que sabe qué cable usar primero.

‍

Palabra final: sé humilde, sé práctico

Para ser justos, la IA puede ser muy eficaz. Nos ayuda a eliminar el ruido, detectar cambios sutiles y dar sentido al caos más rápido que cualquier humano. Cuando se usa bien, es un amplificador, no un reemplazo. El problema comienza cuando confundimos la herramienta con la solución.

‍

Los agresores también han evolucionado. Los más inteligentes combinan ambos mundos: inundaciones volumétricas brutas en la parte delantera y sondas quirúrgicas de la capa de aplicación en la parte posterior. La combinación funciona porque los defensores tienden a perseguir una amenaza a la vez.

‍

Es por eso que la verdadera respuesta no es rechazar la IA ni adorarla. Se trata de mantener los dos pies en la tierra. Usa la automatización cuando te ayude, pero no olvides que la defensa comienza con una buena arquitectura, procesos sólidos y personas que sepan cuándo actuar.

‍

La IA puede aprender rápido, pero la experiencia sigue reaccionando más rápido. Y en este negocio, eso es lo que importa.