Entrevista a Mónica Díaz, vicepresidenta de Ingeniería, WatchGuard

Mónica Díaz, vicepresidenta de Ingeniería de WatchGuard, explica cómo el laboratorio de I+D de Bilbao impulsa las tecnologías que sostienen la evolución del endpoint, el MDR y el XDR. La directiva detalla iniciativas basadas en IA generativa, automatización y Zero Trust, ya desplegadas en clientes, y analiza los retos en escalabilidad, detección avanzada, captación de talento y adaptación regulatoria en un contexto de ciberataques cada vez más sofisticados.

El laboratorio de I+D de Bilbao pertenece a la organización de protección para el producto de endpoint de la compañía. La misión principal de esta organización es evitar que nuestros clientes sufran infecciones de malware y ataques de hackers, que requiere investigar continuamente la forma en la que las amenazas evolucionan para definir qué nuevas capacidades y servicios necesitamos desarrollar para hacerles frente de manera efectiva.

Nuestro objetivo primario, por tanto, es desarrollar las soluciones técnicas y los servicios de seguridad necesarios para mantener la protección del endpoint al más alto nivel a medida que las amenazas cambian.

Este objetivo se sustenta en una serie de prioridades estratégicas que derivan de los retos que este contexto en continuo cambio nos presenta. En ese sentido, más allá de los vectores de ataque habituales, que permanecen aumentando su número y su complejidad, hay otros vectores que crecen consistentemente en los últimos años como los ataques de identidades legítimas comprometidas, que presentan el reto de que no utilizan malware (software malicioso). Adicionalmente, se empieza a apreciar un vector emergente relacionado con el uso de la IA por parte de los atacantes, que, si bien en este momento no representa en volumen un problema prioritario, es un elemento a tener en cuenta en la definición de objetivos estratégicos a más largo plazo.

Lo preocupante de este vector incipiente es su potencialidad, ya que una vez el uso de la IA por parte de los adversarios madure, puede representar un aumento de la velocidad, la eficacia y la escala de los ataques sin precedentes. En un contexto como este, innovar es esencial. Con la vista puesta en garantizar la protección de nuestros usuarios no sólo en el presente sino en este potencial escenario en el medio/largo plazo, nuestras prioridades estratégicas para los próximos años son:

• Profundizar y expandir Zero Trust como principio de diseño en nuestra estrategia defensiva. Fuimos pioneros incorporando este concepto al modelo de protección bloqueando las aplicaciones no confiables. Consideramos necesario expandir el concepto a otros ámbitos como comunicaciones e identidades.
• Automatización del proceso de creación de detecciones. Más allá del procesamiento automático basado en ML de todas las muestras de malware que recibimos en el laboratorio, necesitamos acelerar el ciclo de vida de las detecciones y ser capaces de producir estas a escala. Esta línea tiene como objetivo explorar la IA Generativa y la oportunidad que los sistemas de agentes nos brindan para automatizar el workflow desde el análisis de campañas, priorización, creación de reglas de hunting/detección y su certificación.  
• Correlación basada en IA de señales o indicadores de ataque procedentes de diversas superficies de ataque. Hemos emprendido un camino de reemplazo del envío de alertas aisladas por la notificación de incidentes que incluyen esas mismas señales correlacionadas y estructuradas, lo que reduce la fatiga de alertas y aporta contexto al analista. Hemos adoptado ese modelo en el producto de endpoint y ahora estamos extendiendo este modelo a todo el portfolio.
• Escalado de operaciones de seguridad, buscando la eficiencia y reducción de tiempos de los analistas ante incidentes, apostando por la IA para simplificar y mejorar la interacción del analista con nuestro producto de endpoint.

Hemos introducido varias innovaciones que ya están disponibles en nuestros productos y servicios gestionados. Todas ellas están orientadas a incrementar la eficiencia operativa en un entorno donde las amenazas evolucionan rápidamente, proliferan los ataques sin malware y “living-off-the-land”, y la fatiga por alertas se ha convertido en un problema crítico. Reducir la carga de trabajo de los equipos de seguridad y reforzar nuestro enfoque Zero Trust frente a técnicas cada vez más evasivas es clave.

Para ello, además de mejorar los controles existentes aplicando IA y Zero-Trust para incrementar la eficacia frente a técnicas evasivas, en la última versión de WatchGuard Advanced EPDR (AEPDR) introducimos una funcionalidad que automatiza la correlación de señales o indicadores de ataque para consolidar múltiples alertas en una única historia del ataque. Esto ayuda a reducir el volumen de alertas que ahora, en lugar de presentarse de forma aislada, forman parte de un incidente, estructurado y se presenta con todo el contexto que los analistas necesitan para llevar a cabo sus investigaciones.

Esta nueva capacidad del producto se completa con un asistente Conversacional GenAI basado en un modelo de lenguaje avanzado, que permite acceso directo a telemetría enriquecida a través de consultas en lenguaje natural, haciendo que cada analista sea más productivo desde el primer día. La madurez que han alcanzado las IAs generativas representa para nosotros una oportunidad extraordinaria para transformar la manera en la que los usuarios interactúan con las herramientas de seguridad, reduciendo la complejidad operativa y acelerando la toma de decisiones.

Echando la vista un poco más atrás, nuestro modelo de protección Zero Trust ha sido otro de los hitos clave en nuestro histórico de innovación. Este concepto sigue siendo un elemento clave de diferenciación con respecto a nuestros competidores. Creo que representa bien lo que es nuestra visión y nuestra práctica de la innovación: disrupción radical en la concepción de ideas, profundo rigor técnico para enfrentar el status quo y excelencia en la implementación. Porque, para nosotros, la innovación solo cobra sentido cuando se traduce en una mejora real para los clientes.

Nuestra visión de la seguridad desde siempre es que ésta es un servicio. Ya desde hace décadas, mantener la protección actualizada, a través de procesos de la captura y clasificación automática de muestras del malware y la creación de firmas para su detección es un servicio que, como fabricantes, entregamos a nuestros clientes más allá del producto que instalan en sus equipos. En todos los servicios, el principal reto suele ser su escalado.

En el caso de la oferta de servicio MDR no ha sido diferente. El reto era escalar la oferta de servicios de Threat Hunting que ya se ofrecía a ciertos clientes para poder ofrecerla a escala.

En nuestro caso, esta transición se aceleró mediante la adquisición de ActZero, una empresa que ya ofrecía estas capacidades a escala. Esta integración nos permitió afrontar de forma óptima el reto técnico de construir un servicio MDR completo, apoyándonos en los puntos fuertes que ambas compañías habíamos desarrollado hasta ese momento. Gracias a ello, hoy ofrecemos un servicio que se adapta a las necesidades de cada cliente —y no al revés—, convirtiéndonos en un aliado que encaja operativamente a la perfección. Esto nos permite ayudar a organizaciones con falta de tiempo, recursos o personal especializado, combinando IA y ML avanzados con servicios MDR 24/7 que refuerzan de forma significativa su postura de seguridad. El desafío principal pasó a ser la integración fluida de tecnologías y procesos existentes sin afectar la experiencia de los clientes que tenían ambas compañías ni la calidad del servicio. Técnicamente la integración se gestionó en base a APIs disponibles y documentadas para integrar los distintos productos de la compañía, lo que facilitó la interoperabilidad y la consolidación de plataformas. La solución técnica para la escalabilidad del servicio se basa en el uso de modelos de IA para maximizar la eficiencia de todas las capacidades integradas, mediante el uso de un modelo propietario que reduce el ruido debido a potenciales falsos positivos. Esta capacidad es clave a medida que el servicio se expanda a un modelo Open MDR.

Por otra parte, el uso de asistentes internos que incorporan modelos de lenguaje para elaborar la timeline de los incidentes junto con la descripción detallada del mismo en lenguaje natural son algunas de las estrategias para ganar eficiencia en las operaciones llevadas a cabo por los analistas del SOC.

Hace unos años pusimos en marcha un programa de becas en la organización en el ámbito del País Vasco para la formación del primer equipo de SOC de la compañía. El propósito era básicamente contribuir al desarrollo de talento y con ello a la reducción de la brecha de talento que afecta a compañías como la nuestra. El programa facilita el acceso a estudiantes que necesitan conseguir créditos desarrollando alguna actividad en una empresa para completar su formación a cargo de profesionales en activo en el ámbito de la ciberseguridad. Al terminar el programa los estudiantes han adquirido unos conocimientos base generales que permite incorporarlos a equipos de operaciones con una inversión adicional en formación enfocada al conocimiento de herramientas y procesos específicos. La experiencia fue desde sus inicios satisfactoria para ambas partes, empresa y estudiantes.

De acuerdo al feedback que recibíamos por parte de los estudiantes, a través del programa conseguían una visión mucho más completa de lo que implica ser un analista de ciberseguridad, la cantidad de actividades y oportunidades de desarrollo que en muchos casos les eran desconocidas. Desde analizar y hacer reversing de muestras de malware, el análisis de indicadores de ataque y técnicas de análisis forense, la utilización de herramientas involucradas en las operaciones de seguridad, etc. Actualmente, la ejecución del programa se adecua en alcance a las necesidades de la compañía en cada momento, sirviendo como ejemplo de iniciativas que adoptamos para gestionar el reto de la contratación de talento.

En lo que respecta a la retención, consideramos que aspectos como la formación y el desarrollo de habilidades son clave en este colectivo. El hecho de tener en el equipo personas muy sólidas técnicamente en el sector (en nuestro equipo contamos con alguno de los ganadores de los retos de ciberseguridad de la plataforma ATENEA impulsados por el Centro Criptológico Nacional) es también un aliciente para este equipo. La flexibilidad laboral que nos permite la compañía en lo que respecta al modelo de trabajo remoto es uno de los factores que más valoran nuestros equipos en general, y los perfiles de ciber-analistas en particular, al ser este un equipo muy diverso geográficamente. Esta ventaja, también nos plantea también el reto de mantener vivo el sentido de pertenencia en este equipo. Con este propósito buscamos la forma de reunirlos a todos como mínimo una vez al año, generalmente en el contexto de alguna conferencia de hacking de su interés, de manera que cuidamos todos los aspectos que valoran: hacer equipo mientras les proporcionamos acceso a contenidos e información con la que continúan desarrollándose y aprendiendo.

El ML/IA es un componente clave de las capacidades de nuestros productos desde hace más de 20 años. Somos pioneros en el mundo del endpoint en este sentido. En 2003 incorporamos el primer heurístico de comportamiento en nuestro producto, bajo el nombre de Tecnologias TruPrevent, y desde ese momento, la IA está en el ADN de nuestras tecnologías. Esto nos ha permitido ofrecer una seguridad precisa y potente, apostando por soluciones que simplemente funcionan, con la fiabilidad de un líder del sector con más de 30 años de experiencia. Hoy, nuestras soluciones se adaptan a las necesidades del cliente, convirtiéndonos en un encaje operativo perfecto para organizaciones con falta de tiempo, recursos o personal especializado.

Yo siempre suelo explicar que, en nuestro caso, la innovación en general y la IA en particular, han sido estrategias para competir en el mercado con soluciones detrás de las cuales había literalmente “ejércitos” de técnicos, mientras que nosotros éramos una compañía mucho más pequeña. Es decir, la IA no era el fin, era un medio, una forma de competir de forma sobresaliente con los más grandes. Actualmente, IA forma parte de las capacidades de detección proactiva de nuestro producto y es la base del servicio de Attestation de ejecutables, que constituye la base del modelo Zero Trust, elevando ambas la eficacia de nuestras capacidades preventivas.

Además, es la base de la automatización de los procesos de clasificación de muestras del laboratorio con el 99,9% de las muestras de malware procesándose de forma automática. Esto nos permite crear detecciones nuevas mucho más rápido y a gran escala.

En nuestro trabajo, muchos modelos de IA se utilizan para estimar el riesgo de que un archivo sea malicioso. Como ocurre en cualquier sistema basado en datos, pueden aparecer sesgos si la información utilizada para entrenarlos no representa bien la realidad. Para evitarlo, trabajamos con decenas de millones de muestras , la mayoría recogidas directamente de nuestra comunidad de usuarios. Esto nos ayuda a que los modelos sean más precisos y, al mismo tiempo, reduce el riesgo de falsos positivos, porque los datos reflejan mejor el entorno real de los clientes.

También empleamos técnicas para la selección aleatoria tanto de instancias de entrenamiento como características para entrenar y luego combinar distintos modelos entre sí, de modo que varias predicciones automáticas se juntan para llegar a una decisión más equilibrada y robusta. Este enfoque nos ayuda a minimizar sesgos y a reforzar la fiabilidad del sistema.

Para asegurarnos de que los modelos no se “aprenden de memoria” los datos de entrenamiento —un problema conocido como sobreajuste—, aplicamos métodos de validación cruzada repetidos en múltiples iteraciones. Además, antes de poner un modelo en producción, lo probamos en escenarios reales y después seguimos monitorizando su comportamiento para comprobar que sigue funcionando como debe. Esto nos permite detectar cualquier desviación a tiempo y actualizar los modelos con la frecuencia necesaria.

No solo nos preocupa evitar falsos positivos; sobre todo nos obsesiona no dejar pasar nada peligroso. Por eso ponemos tanto esfuerzo en que los modelos mantengan la máxima eficacia frente a las amenazas reales.

En lo que respecta al uso de modelos de lenguaje o LLMs el uso de guarda-railes para evitar respuestas inapropiadas y técnicas como RLHF (Reinforcement Learning from Human Feedback), que usa comentarios humanos para un mayor ajuste de los modelos con las expectativas son algunas estrategias que pueden ayudar con la eficacia y los sesgos del modelo.

Como comenzaba diciendo, la IA es una herramienta que es efectiva cuando está gobernada por personas y procesos.

Esa integración se consigue mediante una colaboración estrecha y procesos automatizados que permiten despliegues rápidos y mantenimiento continuo. Las fases de este proceso de integración son:

El laboratorio evoluciona continuamente capacidades clave para la prevención y la detección. Por una parte, genera capacidades para identificar comportamientos sospechosos en los endpoints que son enviadas al SOC en forma de indicadores de ataque (IOAs). El SOC analiza esos IOAs para confirmar incidentes y responder a través de nuestro servicio gestionado MDR. Por otra parte, el laboratorio evoluciona también las capacidades preventivas que incluyen remediación directa como bloqueo en equipos, cuarentena de archivos o restricción de navegación. Estas acciones se reportan también al SOC como Indicadores de Compromiso (IOCs) para que puedan actuar de inmediato.

Toda la información generada por el laboratorio se expone mediante APIs de nuestros productos, lo que permite a los SOC incorporar datos en sus herramientas y procesos de forma automatizada, reduciendo tiempos de reacción.

El laboratorio certifica y valida estas nuevas capacidades en entornos controlados antes del despliegue. Una vez desplegadas, el SOC retroalimenta al laboratorio con hallazgos operativos, lo que habilita ajustes y mejoras constantes.

En WatchGuard adaptamos tanto la tecnología como los procesos para ayudar a nuestros clientes a cumplir con marcos regulatorios. Disponemos de certificaciones reconocidas como ISO 27001 y PCI DDS, para garantizar la seguridad de nuestros procesos y servicios. Actualmente estamos analizando las implicaciones del CRA -Cyber Resilience Act- europeo, que es lo próximo que queremos abordar. Desde un punto de vista más local, por ejemplo, aquí en España también cumplimos, en nuestro producto de seguridad de Endpoint corporativos, con el ENS (Esquema Nacional de Seguridad) en nivel alto. 

Más allá de la certificación de calidad a la que sometemos a nuestros productos, tecnologías y detecciones, somos conscientes de que es imposible reproducir las particularidades de cada cliente en un entorno limitado. Para mitigar estas limitaciones abogamos por un modelo de despliegue en fases de nuestras soluciones, donde la clave es monitorizar, medir, y adaptar lo que sea necesario para volver a iterar en este proceso en la siguiente fase. Cada iteración permite un descubrimiento gestionado de potenciales problemas o inconveniencias.  Una vez la solución está completamente desplegada, la clave sigue siendo la monitorización continua de la misma. Los entornos de los clientes son entornos vivos, donde se instala software nuevo o se actualizan aplicaciones a diario por lo que la monitorización y medición son clave para asegurar un funcionamiento adecuado en los diferentes entornos.

Las detecciones igualmente se certifican y adicionalmente tenemos mecanismos en el producto que nos permiten desplegarlas a todos los clientes en un modo “auditoria”, en el que la detección no bloquea, pero nos envía la información de los elementos bloqueados para que podamos hacer los ajustes previos necesarios para evitar inconveniencias. Una vez las detecciones están optimizadas, se despliegan de forma global, momento a partir del cual son monitorizadas.

Esta misma aproximación aplica a los modelos de ML, que siguen un proceso idéntico al de cualquier detección: certificación en el entorno de calidad, medición en modo auditoria antes del despliegue a producción, donde continuamos su monitorización.