De acciones a intención: detección de amenazas internas en la era de la IA

Share with your network!

23/03/2026 - 09:48 Stephanie Torto y Kasey Olbrych

Principales conclusiones

Las amenazas internas están motivadas por factores humanos, y no solo por las actividades. Al analizar el tono, el sentimiento y el contexto de las comunicaciones, los equipos encargados de la gestión de riesgos internos pueden obtener indicadores tempranos de amenazas emergentes.
La combinación de los indicadores de intenciones maliciosas y de comportamientos de riesgo en una única vista ofrece una visión global que permite una intervención temprana.
Un enfoque proactivo es esencial. La detección y las investigaciones basadas en la inteligencia artificial permiten a los equipos reducir las tareas manuales, intervenir antes y prevenir daños económicos o de reputación.

Las amenazas internas son uno de los retos más complejos en materia de ciberseguridad. A diferencia de los ataques externos, estos implican a personas que ocupan puestos de confianza: empleados, subcontratistas o partners comerciales. Esto hace que sean difíciles de predecir y detectar.

El problema se agrava. La adopción de la IA y la transformación digital conllevan nuevos riesgos. Por ejemplo, un usuario sin conocimientos técnicos puede pedirle a la IA que le ayude a borrar sus huellas. Un usuario negligente también podría descubrir datos sensibles relacionados con fusiones y adquisiciones y utilizarlos para fines personales. En estos casos, la detección precoz es fundamental para evitar daños.

Sin embargo, la detección temprana de amenazas internas no se limita a la supervisión de la actividad de los usuarios. También hay que tener en cuenta la intención.

La detección moderna de riesgos internos debe tener en cuenta las motivaciones

Toda amenaza interna comienza con una decisión humana. La gente actúa por motivos como la frustración, la presión económica o la falta de compromiso, o porque se sienten con derecho a hacerlo. Estas motivaciones les llevan a adoptar comportamientos de riesgo.

La Insider Threat Matrix™, un marco de ciberseguridad para detectar y prevenir amenazas internas, se creó por esta razón. Aporta el factor humano a la detección de amenazas. La mayoría de los marcos tradicionales se centran casi exclusivamente en los ataques procedentes del exterior. No tienen en cuenta el "porqué" que hay detrás de las acciones de los usuarios.

Es ahí donde los enfoques tradicionales se muestran insuficientes. Técnicas como el registro de pulsaciones capturan la actividad, pero también tienen sus limitaciones. A menudo no detectan comportamientos en dispositivos no gestionados o personales. Igualmente carecen de contexto sobre las intenciones de los usuarios. Además, los enfoques tradicionales ponen en peligro la privacidad al recopilar demasiada información sobre los usuarios y generar demasiadas alertas.

Un enfoque moderno es diferente. Utiliza la IA para analizar las comunicaciones de los usuarios y obtener una visión más completa. Analiza el tono, el sentimiento y el contexto, al tiempo que protege la privacidad. Los equipos de seguridad pueden comprender no solo lo que hacen los usuarios, sino también lo que piensan.

Cómo obtener una visión general de los riesgos internos

La combinación del comportamiento y la intención en una sola perspectiva ofrece un contexto más amplio. En lugar de alertas aisladas, los analistas de riesgos internos obtienen una visión general de las amenazas en desarrollo. Seguir el modelo Insider Threat Matrix™ permite identificar los riesgos a lo largo de las distintas fases de una amenaza interna. Esto ayuda a identificar a los usuarios de alto riesgo que requieren una investigación más exhaustiva.

Al utilizar la IA para analizar las conversaciones, los equipos internos de gestión de riesgos pueden empezar a identificar patrones de riesgo que antes no eran visibles. Esto puede incluir signos de frustración o desinterés, o un lenguaje que denote la sensación de tener derecho a los datos.

Cuando los analistas pueden relacionar esta información con señales como una actividad inusual, van más allá de las simples alertas aisladas. Tienen una visión global de los riesgos, lo que les ayuda a priorizar las medidas y a orientar la respuesta.

Desde un empleado que se dispone a abandonar la empresa hasta el riesgo de fugas detectables

Un ejemplo típico de amenaza interna es el de un empleado que abandona la empresa y se lleva consigo elementos de propiedad intelectual antes de marcharse. Muchas empresas se dan cuenta de ello demasiado tarde.

Las señales de alerta suelen aparecer antes. Por ejemplo:

Cambios en el tono de conversación
Frustración en los mensajes
Mayor acceso a datos sensibles
Comportamientos inusuales

El análisis de las comunicaciones de los usuarios y de su actividad permite detectar más rápidamente los riesgos de filtraciones. Los equipos pueden detectar una amenaza incipiente antes de que el empleado abandone la empresa. Esto les ayuda a actuar con rapidez y a intervenir.

Investigaciones impulsadas por la IA

Por supuesto, detectar una amenaza es solo una parte de la solución. Los equipos también deben ser capaces de investigar rápidamente las amenazas y resolverlas con decisión.

La IA ayuda a recopilar toda esta información en un resumen del caso de investigación. Conecta la actividad, las comunicaciones y el contexto. Puede crear un relato completo, basado en pruebas, en cuestión de minutos.

En lugar de simples alertas, los analistas obtienen respuestas: cómo ha evolucionado el riesgo, qué señales eran importantes y por qué. De este modo, pueden tomar decisiones más rápidamente, agilizar la comunicación de incidencias y llevar a cabo investigaciones más eficaces. Esto también permite justificar los casos de investigaciones compartidas con la dirección o los equipos jurídicos.

De un enfoque reactivo a uno proactivo

La información sobre las comunicaciones de los usuarios, combinada con los datos de actividad, permite adoptar un enfoque más proactivo en la gestión de los riesgos internos. En lugar de limitarse a vigilar los comportamientos, los equipos pueden comprender las motivaciones y las intenciones, y anticiparse a posibles amenazas internas.

Este enfoque ofrece ventajas fundamentales:

Detección más temprana de los riesgos, junto con una comprensión de las "razones" que subyacen a un comportamiento
Investigaciones más rápidas, con un contexto más completo y menos tareas manuales
Detección mejorada, sin comprometer la privacidad de los usuarios

Y lo que es más importante, esto ayuda a las organizaciones a bloquear las amenazas internas antes de que causen graves daños a su reputación y a sus finanzas.

Más información

Para obtener más información sobre cómo comprender las motivaciones en el contexto de la detección proactiva de riesgos internos, vea nuestro webinar.
Para comprender cómo pasar de un enfoque reactivo a uno proactivo, lea nuestra ficha técnica.

La ciberseguridad para el espacio de trabajo agéntico comienza con la plataforma de seguridad centrada en las personas y los agentes de Proofpoint.

Únase a un evento Protect en vivo y descubra cómo proteger a las personas, los datos y la IA

Detenga las ciberamenazas con protección multicanal impulsada por IA.

Vea Core Email Protection en acción: bloquee el 99,99 % de las amenazas por correo electrónico.

Transforme la seguridad de los datos con un enfoque unificado y omnicanal.

Comprenda los principales riesgos de seguridad de datos a los que se enfrentan las organizaciones y cómo adelantarse a ellos.

Tecnologías de Proofpoint que impulsan una seguridad centrada en las personas y los agentes.

Explore los paquetes de Proofpoint

Optimice las soluciones de Proofpoint con servicios expertos.

«La asociación con Proofpoint es una extensión de nuestro equipo». — Celesta Capital

Soluciones integrales para las amenazas de ciberseguridad actuales.

Conozca los nuevos riesgos de la IA y cómo construir una base segura para su adopción empresarial.

Protección superior para todos los sectores, desde pequeñas empresas hasta grandes organizaciones.

Descubra los riesgos de seguridad que las organizaciones sanitarias no pueden permitirse ignorar.

Más de 80 empresas del Fortune 100 eligen Proofpoint para proteger a sus personas, datos e IA.

¿Evalúa proveedores de seguridad? Compárenos mediante comparaciones lado a lado.

Investigaciones, análisis y recursos de los expertos de Proofpoint.

Nuevos agentes, nuevos ataques: asegurar la colaboración en la era agéntica

Aprenda de nuestra inteligencia de amenazas experta y de análisis que no encontrará en ningún otro lugar.

Proofpoint DISCARDED: relatos desde las trincheras de la investigación de amenazas

Conozca más sobre el equipo que impulsa una seguridad centrada en las personas y los agentes.

¿Listo para unirse a una empresa que está redefiniendo la ciberseguridad?