Clear Sky Science
Explicaciones basadas en evidencia y con jerga mínima

Clear Sky Science · es

Marco multiagente impulsado por inteligencia artificial para simulación adaptativa de ciberataques y respuesta automatizada a incidentes en entornos de cyber range

· Volver al índice

Por qué importan ejercicios cibernéticos más inteligentes

Cada día, empresas y gobiernos ensayan desastres digitales utilizando “cyber ranges”: redes seguras y aisladas donde atacantes y defensores pueden practicar. Pero muchos de estos entornos de entrenamiento todavía dependen de escenarios guionizados y previsibles que poco se parecen a las amenazas sigilosas y cambiantes de hoy. Este artículo presenta una nueva forma de hacer esos ejercicios mucho más realistas: usar “agentes” de inteligencia artificial que aprenden a atacar y defender por sí mismos, obligando a los participantes y a las herramientas humanas a enfrentarse a oponentes que piensan y se adaptan.

De escenarios estáticos a juegos de guerra vivos

Los cyber ranges tradicionales funcionan algo así como una obra preescrita: los instructores eligen un guion de ataque, pulsan inicio y observan la acción. Eso es útil para principiantes, pero falla frente a adversarios modernos que encadenan muchos pasos silenciosos, sondean defensas y cambian de rumbo cuando se les detecta. Estudios citados en el artículo muestran que más de la mitad de los ataques simulados no incluyen tácticas cruciales, como moverse de una máquina comprometida a otra o esconderse de las herramientas de monitorización. El resultado es un entrenamiento que en el papel parece ordenado pero que deja a los analistas poco preparados para la realidad desordenada de Internet.

Enseñar a agentes digitales a atacar y defender

Para cerrar esta brecha, los autores construyen un sistema multiagente: una pequeña sociedad de entidades de software que actúan de forma independiente pero que interactúan dentro de una red virtual compartida. Por un lado están los agentes atacantes que aprenden a planificar y ajustar sus movimientos mediante retroalimentación de recompensas y penalizaciones, de forma parecida a una IA que aprende a ganar en un juego. Por el otro están los agentes defensores que vigilan el tráfico de red en busca de patrones inusuales y eligen automáticamente cómo responder, por ejemplo aislando un equipo sospechoso o bloqueando una conexión de riesgo. Ambos tipos de agentes se entrenan con grandes colecciones de actividad de red del mundo real, de modo que su comportamiento refleje usos maliciosos y normales genuinos en lugar de ejemplos de juguete.

Figura 1
Figura 1.

Construir y conectar el banco de pruebas

El equipo integra estos agentes en CyDER 2.0, un cyber range basado en la nube que puede desplegar distintos tipos de redes de estilo corporativo, desde configuraciones pequeñas con unas pocas docenas de máquinas hasta entornos grandes con cientos de hosts. Antes del entrenamiento, limpian y reequilibran cuidadosamente los datos subyacentes para que los ataques raros no queden ahogados por el tráfico cotidiano. El agente atacante utiliza aprendizaje profundo para explorar secuencias de múltiples pasos, como escanear máquinas débiles, explotar una, escalar privilegios y luego propagarse o robar datos, todo ello intentando pasar desapercibido. Los agentes defensores combinan dos enfoques complementarios: un clasificador tradicional ajustado con ataques etiquetados y un autoencoder que aprende cómo es lo “normal” y marca desviaciones, incluidas técnicas hasta entonces no vistas.

Cómo rinde el cyber range inteligente en la práctica

Los investigadores enfrentan a sus agentes impulsados por IA contra dos alternativas comunes: guiones fijos y una configuración multiagente basada en reglas cuyo comportamiento nunca cambia realmente. En redes de prueba pequeñas, medianas y grandes, los agentes que aprenden detectan ataques con mayor precisión y con menos omisiones. En el escenario mixto de ataques más exigente y en la red más grande, el nuevo sistema mantiene un buen equilibrio entre detectar amenazas y evitar falsas alarmas, mientras que los enfoques estáticos se degradan de forma acusada. Igualmente importante, sus respuestas automatizadas se activan varios segundos antes que las de referencia, un margen que puede limitar significativamente el daño en brechas de rápida evolución. Los agentes atacantes se vuelven además más capaces durante el entrenamiento, encadenando ataques más largos y complejos, mientras que el uso de recursos de todos los agentes se mantiene dentro de límites modestos.

Figura 2
Figura 2.

Qué significa esto para la preparación en el mundo real

Desde una perspectiva no especializada, el estudio demuestra que los ejercicios de ciberseguridad pueden evolucionar de prácticas enlatadas a juegos de guerra vivos donde ambos bandos razonan por sí mismos. Al conectar atacantes y defensores aprendices a redes de práctica realistas y alimentarlos con registros de tráfico genuinos, el marco genera escenarios que se parecen y se sienten mucho más cercanos a incidentes reales. En las pruebas, esto conduce a una detección más afinada, una reacción más rápida y la capacidad de escalar a entornos más complejos sin abrumar el sistema. Los autores sostienen que dichos ranges inteligentes pueden preparar mejor a los equipos de seguridad para ataques futuros y sentar las bases de defensas digitales más autónomas, mientras que trabajos futuros se centrarán en compactar estos agentes potentes para que también puedan operar en dispositivos más pequeños y con menos potencia.

Cita: Agrawal, A., Nadeem, M., Al Nuaim, A. et al. Artificial intelligence driven multi agent framework for adaptive cyber attack simulation and automated incident response in cyber range environments. Sci Rep 16, 11673 (2026). https://doi.org/10.1038/s41598-026-45937-9

Palabras clave: cyber range, ciberataques adaptativos, sistemas multiagente, defensa impulsada por IA, respuesta a incidentes