Generación aumentada por recuperación (RAG)

La generación aumentada por recuperación, o RAG (del inglés Recovery-Augmented Generation), se está convirtiendo rápidamente en una de las innovaciones más comentadas en el ámbito de la inteligencia artificial. Combina la recuperación de información con la generación de grandes modelos de lenguaje (LLM) para producir respuestas que son contextualmente precisas y basadas en datos verificados.

Para los CISO y los directores de TI que deben abrirse paso entre la avalancha actual de herramientas basadas en IA, la RAG ofrece un camino más fiable hacia la automatización. Con una previsión de que el gasto empresarial en soluciones RAG se quintuplique, pasando de 1940 millones de dólares en 2025 a 9860 millones de dólares en 2030, los responsables de seguridad saben que se trata de una tecnología que está transformando tanto los riesgos como las oportunidades.

La RAG es una técnica que mejora la IA generativa al extraer información relevante de fuentes externas fiables antes de producir respuestas.

Este enfoque es importante para los responsables de ciberseguridad y los equipos de TI, ya que los modelos lingüísticos tradicionales de gran tamaño solo funcionan con datos de entrenamiento preexistentes, que se quedan obsoletos con el tiempo. Con RAG, los modelos acceden a los datos más recientes o más específicos según el contexto, lo que permite salvar las brechas de información. Los directivos de alto nivel y los clientes empresariales disponen ahora de una forma de garantizar que los defensores basados en IA se nutran de contenidos actualizados y fiables, en lugar de depender de bases de conocimiento estáticas.

Los flujos de trabajo impulsados por RAG también reducen drásticamente el riesgo de alucinaciones, que es un término que se utiliza para referirse a los LLMs que inventan hechos que parecen plausibles. Al basar las respuestas en datos actualizados y relevantes para el dominio, la RAG ayuda a los equipos de seguridad, especialmente a los de sectores regulados o de alto riesgo, a confiar en los resultados que ofrecen sus herramientas de IA. Tanto los principiantes como los CISO experimentados se benefician de resultados basados en fuentes verificables, lo que se traduce en menos sorpresas y más confianza en las decisiones automatizadas.

La RAG sigue un proceso sencillo para proporcionar a los equipos de seguridad información más fiable. Comienza con una consulta del usuario. El recuperador escanea fuentes externas, que pueden incluir bases de datos específicas de la empresa, fuentes de inteligencia sobre amenazas o repositorios de conocimientos propios. Una vez que encuentra los resultados más relevantes, los transfiere al generador (un LLM) para que la respuesta combine la inteligencia de la IA con datos reales.

Así es como funciona en la práctica. El usuario, que puede ser un analista del SOC o un director de TI, introduce una pregunta. El recuperador busca en fuentes verificadas y obtiene documentos o registros clave. El LLM incorpora todo ese contexto en su respuesta, lo que hace que la respuesta final sea precisa y defendible para el trabajo de ciberseguridad, que evoluciona rápidamente.

Como piedra angular de la IA agencial, la RAG permite a los agentes acceder a bases de conocimiento propias, al tiempo que se respetan los protocolos de seguridad de la empresa. Para los directores de TI, eso significa que las soluciones de seguridad basadas en IA ya no se limitan a los datos públicos. Se mantienen precisas y actualizadas gracias a los repositorios corporativos y a las fuentes de inteligencia sobre amenazas en tiempo real.

La generación aumentada por recuperación abre nuevas posibilidades para cualquiera que proteja entornos complejos. Habiendo madurado mucho más allá de las mejoras teóricas, RAG cambia los resultados diarios y ayuda a diferentes funciones a resolver problemas reales con IA.

• Mayor precisión: Para un CISO, contar con datos fiables es fundamental. La RAG no solo se basa en la memoria del LLM, sino que extrae información de fuentes reales, lo que permite obtener una visión más clara a la hora de evaluar riesgos o revisar incidentes.
• Control de las alucinaciones: Las pymes suelen preocuparse por que la IA invente respuestas para los clientes o los usuarios del servicio de soporte técnico. Dado que la RAG siempre hace referencia a datos reales, esas respuestas incómodas o inventadas se vuelven poco frecuentes, lo que favorece unas relaciones más sólidas con los clientes y una mayor confianza.
• Adaptabilidad al dominio: Las normativas cambian y cada sector tiene sus matices. La RAG permite a las organizaciones personalizar los conocimientos de los que se nutre la IA, de modo que los equipos de cumplimiento normativo o los departamentos jurídicos de las empresas pueden estar seguros de que las respuestas satisfacen las necesidades específicas del sector.
• Ahorro en costes operativos: Los directores de TI evitan los frecuentes ciclos de reciclaje profesional. La estructura de las RAG permite incorporar nuevos contenidos de forma dinámica, lo que mantiene bajo control tanto los presupuestos como las cargas de trabajo.
• Escalabilidad sencilla: Es fácil implementar herramientas basadas en RAG dentro de una estructura empresarial compleja. Los equipos de diferentes zonas geográficas o unidades de negocio obtendrán respuestas basadas en una base común y fiable, y no en modelos separados y desincronizados.
• Aceleración del intercambio de conocimientos: Los nuevos analistas, los miembros del equipo SOC y los representantes de atención al cliente se ponen al día rápidamente. RAG muestra respuestas, resoluciones de tickets e informes de incidentes anteriores, de modo que la memoria institucional crece con cada pregunta.
• Soporte para información en tiempo real: Responder a las amenazas en el momento marca la diferencia. A medida que surgen nuevas vulnerabilidades o métodos de ataque, el uso de RAG en IA actualiza las respuestas sobre la marcha. No hay que esperar a la actualización del modelo del mes siguiente.

La RAG está transformando la forma en que los datos y la inteligencia fluyen a través de los equipos modernos de ciberseguridad y TI. Desde la asistencia en tareas diarias hasta el análisis profundo de amenazas, su versatilidad ya está resolviendo problemas para empresas grandes y pequeñas.

Chatbots de atención al cliente

Las pequeñas y medianas empresas obtienen una ventaja práctica con los chatbots basados en RAG. Estos bots extraen respuestas actualizadas directamente de los manuales de productos, los repositorios de preguntas frecuentes y las bases de datos internas, lo que se traduce en interacciones más fluidas con los clientes y menos escalamientos. Para las pymes con personal de soporte limitado, las respuestas precisas de la IA tienen un impacto real.

Consultas legales y de cumplimiento normativo

Las empresas que se mueven en un terreno normativo cambiante utilizan la RAG para ayudar a los equipos jurídicos y a los directores de TI a encontrar interpretaciones de políticas, requisitos de cumplimiento y referencias de casos. Con cada consulta, la RAG acude a bases de datos y archivos jurídicos, lo que garantiza que las respuestas sean fiables y específicas para su sector o ubicación. Los líderes empresariales pueden estar más tranquilos, sabiendo que la documentación se mantiene actualizada y que no se pasa por alto ningún detalle importante.

Análisis de amenazas de ciberseguridad

Los CISO y los SOC dependen de una inteligencia rápida y contextual. El uso de RAG en IA mejora cada alerta de seguridad buscando en bases de datos de amenazas, vulnerabilidades e incidentes el contexto y los pasos de resolución históricos. En lugar de recomendaciones genéricas, los analistas reciben sugerencias oportunas y respaldadas por datos que tienen en cuenta tanto el contexto de la organización como el panorama de amenazas más actual.

Asistentes de búsqueda y conocimiento

Para los principiantes y los empleados en general, los asistentes de conocimiento basados en RAG de uso general en toda la empresa sirven como guías fiables para las políticas, los materiales de formación y la información de incorporación. En lugar de buscar sin cesar o confiar en el boca a boca, los empleados obtienen respuestas claras y fundamentadas a las preguntas cotidianas, lo que aumenta la productividad y la confianza.

Mayor seguridad de los datos

Dado que las organizaciones utilizan RAG para acceder a información confidencial, es esencial contar con una gobernanza de datos optimizada. Según Amer Deeba, vicepresidente de DSPM de Proofpoint, “la IA ha aumentado drásticamente el volumen y la velocidad de los datos, lo que hace aún más imperativo que las empresas mantengan un control y una gestión totales sobre su activo más valioso”.

Los clientes pueden integrar el motor de clasificación de Proofpoint en sus canalizaciones de Snowflake para etiquetar automáticamente los datos confidenciales, lo que les permite acceder a un panorama de datos más completo y fácil de buscar. Esta integración mejora la visibilidad y optimiza la adopción segura de aplicaciones RAG que utilizan LLM sin flujos de trabajo complicados ni implementaciones necesarias.

Detección y monitorización de amenazas en tiempo real

Las empresas que utilizan RAG para la detección de amenazas obtienen acceso a flujos de datos en tiempo real procedentes de registros de red y repositorios de amenazas externos. Esto no solo acelera la supervisión, sino que ayuda a los equipos a detectar patrones de ataque en desarrollo y a adaptarse rápidamente, protegiendo los activos en tiempo real.

Transferencia de conocimientos acelerada

Los equipos de seguridad suelen tener dificultades con los conocimientos tribales. La RAG archiva e indexa casos anteriores, etiquetándolos por tipo de incidente o activo, de modo que cuando se produce un evento similar, los analistas pueden recurrir al contexto anterior al instante en lugar de empezar desde cero. Esto acelera la incorporación y garantiza que no se pierda ninguna lección en la transición.

Aunque es flexible a la hora de conectar un vasto ecosistema de datos, la generación aumentada por recuperación plantea desafíos propios de su arquitectura. Abordar estos riesgos de seguridad específicos desde el principio es lo que diferencia a las implementaciones empresariales robustas de las vulnerables.

• Fuga de datos: Para los CISO que protegen datos confidenciales o regulados, la RAG puede revelar accidentalmente información privada en las respuestas si el acceso no se controla estrictamente. Un ámbito de recuperación de mala calidad podría exponer datos comerciales confidenciales, información personal regulada o propiedad intelectual a través de canales internos y de cara al cliente.
• Ataques de envenenamiento: Los atacantes pueden introducir contenido malicioso en las fuentes de conocimiento a las que acude la RAG (una forma de “envenenamiento de índices”), corrompiendo el contexto y provocando que la IA produzca respuestas engañosas o incluso perjudiciales. Estos ataques basados en entradas pueden secuestrar sutilmente los resultados del modelo y deben supervisarse de forma proactiva.
• Autenticación y control de acceso: No todas las fuentes son fiables. Si los sistemas de RAG no aplican una autenticación y autorizaciones granulares basadas en atributos, las consultas no autorizadas podrían acceder a datos o recuperar documentos más allá de la autorización del usuario, con el riesgo de infringir las políticas o exponer datos no deseados.
• Auditabilidad y supervisión: Los directores de TI deben asegurarse de que se registre cada evento de recuperación, con registros que muestren tanto las consultas como sus documentos de origen. Las pistas de auditoría claras permiten cumplir con las normativas de cumplimiento, realizar análisis forenses de incidentes y mantener la confianza continua en los resultados del sistema.
• Aplicación de políticas: Las respuestas de la RAG deben respetar las clasificaciones de datos y las políticas de seguridad existentes. Es fundamental evitar que los datos confidenciales, regulados o privilegiados salgan fuera de su público destinatario. Las comprobaciones automáticas de políticas son ahora una parte esencial de la implementación de RAG en entornos empresariales.

La mejor manera de avanzar es adoptar un enfoque de defensa en profundidad. Las canalizaciones de datos seguras deben cifrar y segregar el contenido sensible desde su ingestión hasta su almacenamiento en bases de datos vectoriales. Los principios de confianza cero, o la verificación constante tanto del usuario como de la fuente de datos, ayudan a minimizar la sobreexposición. Además, la supervisión continua, los controles de acceso de recuperación robustos y las auditorías periódicas garantizan que no se cuelen nuevas vulnerabilidades a medida que su ecosistema de datos y su base de conocimientos siguen expandiéndose.

La generación aumentada por recuperación ofrece una nueva y potente forma de basar los resultados de la IA en datos reales, pero tiene claras limitaciones que pueden afectar a la fiabilidad y al coste diarios. Estos desafíos suelen aparecer cuando las organizaciones pasan de los prototipos a los entornos de producción.

Latencia

Cada paso de recuperación introduce retrasos. Las respuestas de la IA solo pueden ser tan rápidas como la parte más lenta del proceso, lo que significa que el tiempo de red, las búsquedas en bases de datos y el preprocesamiento de datos se suman. La latencia puede ser especialmente notable cuando se utilizan fuentes de datos grandes o múltiples, o cuando la infraestructura de recuperación no está bien ajustada. Los equipos de TI que valoran el rendimiento en tiempo real deben realizar un seguimiento minucioso de estos milisegundos adicionales y asegurarse de que la arquitectura se adapta a la demanda.

Calidad de los datos

La RAG depende en gran medida de lo que recupera. Si las fuentes externas proporcionan información obsoleta, incompleta o de baja calidad, el resultado generado se ve afectado. Las organizaciones más pequeñas y las pymes suelen tener problemas con datos escasos o fragmentados, lo que da lugar a respuestas que carecen de relevancia o precisión. Para sacar el máximo partido al sistema, es necesario realizar una sólida evaluación de los datos y una revisión continua.

Alucinaciones

A pesar de que la RAG se basa en datos externos, pueden producirse alucinaciones, especialmente si el paso de recuperación no consigue aportar un contexto relevante o preciso. “Una de las hipótesis fundamentales de la RAG es que la base de conocimientos contiene la información necesaria para responder con precisión a las consultas de los usuarios”, escribe Devesh Bajaj, informático, desarrollador y bloguero. “Sin embargo, cuando la base de conocimientos carece de contenido crítico, el LLM suele generar respuestas incorrectas o alucinadas”.

Las alucinaciones aleatorias suelen producirse cuando faltan datos, estos están mal alineados o el modelo de lenguaje “rellena los huecos”. Para los equipos de seguridad y los responsables de la toma de decisiones, es fundamental reconocer que, aunque la RAG reduce las alucinaciones en comparación con los LLM básicos, no las elimina por completo.

Escalabilidad

Según Bajaj, “los sistemas RAG suelen basarse en la ingesta de grandes volúmenes de datos en su base de conocimientos. Sin embargo, a medida que aumenta el volumen de datos, los canales de ingesta pueden saturarse, lo que provoca retrasos y posibles pérdidas de información”.

En resumen, a medida que aumenta la ingesta de datos, los canales pueden saturarse rápidamente. Cuando se ingieren demasiados documentos o fuentes demasiado rápido sin optimización, aumentan los cuellos de botella en los canales, lo que provoca respuestas más lentas y posibles fallos. Esto resulta especialmente problemático para las grandes empresas o negocios con entornos de información complejos.

Precisión

Extraer respuestas precisas de un gran conjunto de contextos recuperados sigue siendo un desafío constante. “Incluso cuando se recuperan los documentos relevantes, los LLM pueden tener dificultades para extraer la respuesta correcta”, advierte Bajaj. Los desafíos surgen debido a:

• Ruido: “Los documentos recuperados suelen incluir información superflua o irrelevante que confunde al LLM”, explica Bajaj.
• Datos contradictorios: Cuando más de un documento proporciona información alternativa, el LLM puede dar prioridad a contenido incorrecto u obsoleto.

Esto puede crear problemas a los equipos de TI que dependen de la IA para obtener resultados prácticos y objetivos. Esto es especialmente problemático en casos de uso como el cumplimiento normativo o la respuesta a incidentes, donde la claridad y la fiabilidad son fundamentales. El ajuste y la validación periódicos son esenciales para mantener un alto nivel de precisión a medida que se añaden nuevos datos.

Coste

El funcionamiento de un “stack” de RAG no se limita a la computación en la nube necesaria para la IA. Existen costes adicionales por el almacenamiento de vectores, el mantenimiento de índices y las operaciones de recuperación, que varían en función del número y el tamaño de las fuentes de datos. Para las empresas, estos costes de infraestructura pueden aumentar considerablemente a medida que su uso se extiende por los equipos y las zonas geográficas, por lo que es esencial presupuestar la escala.

Complejidad

La implementación y el mantenimiento de una configuración de RAG requieren de conocimientos técnicos. Los equipos deben conectar nuevas fuentes, sincronizar y actualizar la base de conocimientos y equilibrar la infraestructura para que todo funcione correctamente. La resolución de problemas, la supervisión y las actualizaciones del sistema añaden más capas de complejidad operativa. Para muchos responsables de TI, esto significa dedicar una importante parte de los recursos de ingeniería a mantener la estabilidad y la seguridad del sistema.

La generación aumentada por recuperación hace que la IA sea más precisa y fiable, impulsando toda clase de procesos, desde el soporte técnico al cliente de las pymes hasta el cumplimiento normativo y las soluciones de ciberseguridad a nivel corporativo. En Proofpoint, estamos a la vanguardia a la hora de ayudar a las organizaciones a adoptar la IA de forma segura. Póngase en contacto con nosotros u obtenga más información sobre nuestro enfoque de la ciberseguridad centrada en las personas.