La tapadera del NAC se ha revelado: ¿Por qué la aplicación de medidas de control en redes es el nivel más importante en la seguridad de la inteligencia artificial?

El “mentiroso NAC” es algo así como esto: las organizaciones se convencen a sí mismas de que el control de acceso a la red ya está resuelto o que es algo opcional. La demostración realizada en Newcastle en marzo destruyó esa ilusión. Un experto en ciberseguridad entró con un dispositivo lo suficientemente pequeño como para caber en una billetera. En pocos segundos, logró clonar una red Wi-Fi legítima y comenzó a obtener credenciales de los usuarios, sin que éstos se dieran cuenta.Para interceptar el tráfico de datos y clonar una red.No se trataba de una vulnerabilidad de tipo “zero-day” sofisticada. Se trataba simplemente de una vulnerabilidad relacionada con el funcionamiento del Wi-Fi, algo que puede explotarse fácilmente cuando el sistema NAC está ausente o está configurado de manera incorrecta.

La manifestación reveló un fallo crítico en la infraestructura de seguridad: la práctica de utilizar contraseñas compartidas. Cuando las empresas configuran redes Wi-Fi para usuarios externos en la misma red que los sistemas de punto de venta y la infraestructura interna de la empresa, se crea una vía abierta para el robo de datos. Esto viola directamente el principio de confidencialidad establecido por el modelo CIA Triad: los datos solo deben estar disponibles para los destinatarios autorizados.La confidencialidad implica asegurarse de que los datos solo sean visibles por aquellas personas que realmente deben tener acceso a ellos.Las contraseñas compartidas eliminan por completo este problema. Cualquier persona que tenga esa contraseña se convierte en una entidad de confianza en la red, independientemente del dispositivo utilizado, de las intenciones o de la identidad de esa persona.

Esta es la verdad incómoda: sin una autenticación forzada de NAC, no existe ninguna forma de ver qué dispositivos se conectan a su red. Tampoco hay manera de aplicar políticas basadas en la identidad del usuario, el estado del dispositivo o el contexto en el que se realiza la conexión. Esto no representa un defecto en su postura de seguridad, sino más bien una falta de una capa de infraestructura necesaria para garantizar la seguridad.

Las implicaciones son cada vez más graves con cada dispositivo conectado. La economía digital de la India es un ejemplo claro de esto: un aumento en el número de dispositivos conectados, la expansión del trabajo híbrido y, por lo tanto, una mayor exposición a ataques cibernéticos. Además, la adopción de tecnologías IoT introduce vulnerabilidades invisibles. Por último, 5G acelera tanto la conectividad como los riesgos relacionados con ella.El trabajo híbrido amplía significativamente las posibilidades de ataque.En este entorno, NAC no es algo opcional. Es la capa fundamental que permite implementar el concepto de “confianza cero”. Porque no se puede exigir que se siga la política “nunca confiar, siempre verificar”, si no se puede saber qué dispositivos están en la red, en primer lugar.

El incidente ocurrido en Newcastle no fue una advertencia sobre amenazas futuras. Fue simplemente un ejemplo de cómo funcionan los ataques, que ya son viables y efectivos. Estos ataques apuntan precisamente a aquellas empresas que consideran que su red inalámbrica es “suficientemente buena”. La brecha en la infraestructura es real. La pregunta es: ¿su organización está construyendo sobre esa brecha, o está cayendo en ella?

El caso exponencial en favor de la aplicación de medidas de control en redes

El mercado le dice a las organizaciones exactamente qué hacer: o aceleran la adopción de NAC, o quedarse atrás. El mercado mundial de control de acceso a redes ha alcanzado…2.51 mil millones de dólares en el año 2022Se proyecta que esta industria crezca a una tasa anual compuesta del 27.2% hasta el año 2030. No se trata de un aumento cíclico, sino de un cambio estructural en la forma en que se construyen las infraestructuras. Cuando un mercado crece a ese ritmo, indica que hay un cambio fundamental en la manera en que se construyen las infraestructuras. Las organizaciones que consideran el NAC como algo opcional, en realidad están renunciando al próximo paradigma de seguridad.

Las fuerzas regulatorias están acelerando la situación.Ley de Autorización para la Defensa Nacional de 2026Se han establecido oficialmente medidas específicas para protegerse de las amenazas impulsadas por la inteligencia artificial. El Pentágono busca activamente herramientas que permitan la automatización de las evaluaciones de tipo “Zero Trust”. La fecha límite para la implementación de este enfoque es el año fiscal 2027. Los equipos humanos no pueden manejar esta tarea de manera eficiente. No se trata de una sugerencia, sino de un nuevo estándar para la seguridad. Cuando el Departamento de Defensa admite que la velocidad humana representa una desventaja, todo el panorama de la seguridad empresarial cambia.

Aquí es donde el caso exponencial se vuelve innegable: la brecha en términos de visibilidad.El 90% de las empresas afirma tener visibilidad sobre su “huella” generada por el uso de la inteligencia artificial.Sin embargo, el 59% de las organizaciones confirma o sospecha que existe inteligencia artificial oculta en sus entornos. Esto no es un error de medición; se trata de una crisis de gobernanza. Las organizaciones actúan sin saber qué está sucediendo, mientras que los atacantes operan a una velocidad máxima. Las normas establecidas por la NDAA y la realidad de la inteligencia artificial oculta llevan a la misma conclusión: no se pueden implementar políticas de confianza cero si no se puede verificar en tiempo real qué dispositivos y usuarios están en la red de la organización.

El crecimiento del mercado, las normativas regulatorias y la falta de visibilidad constituyen un ciclo autoperpetuante. El trabajo híbrido y la expansión de las tecnologías de la información y la comunicación impulsan la proliferación de dispositivos, lo que aumenta la superficie de ataque. Esto, a su vez, genera una mayor demanda de soluciones NAC, lo que acelera el crecimiento del mercado. Las organizaciones que demoran en implementar medidas de seguridad enfrentan un aumento constante en los riesgos regulatorios, exposición financiera debido a las brechas de seguridad y problemas operativos que se agravan día a día. El 27.2% de tasa de crecimiento anual no es simplemente un número; representa la forma en que el mercado cuantifica el costo de la inacción.

La capa de infraestructura está siendo construida. La pregunta es: ¿su organización la está instalando correctamente, o no…?

El Purple Teaming como mecanismo de aplicación de las normas

El “purple teaming” no es una metodología de prueba. Se trata de un proceso operativo que valida los controles de seguridad y las medidas de NAC en tiempo real. Es precisamente lo que exigen las defensas basadas en inteligencia artificial.

El modelo de seguridad tradicional proporcionaba un informe semanas después de que terminara una intervención. Para ese momento, los atacantes ya se habían ido. El modelo de trabajo en equipo de Purple colapsa esa cronología. Los profesionales de las áreas ofensivas y defensivas trabajan juntos, compartiendo información a medida que se desarrollan los ataques y las defensas.Crear un entorno colaborativo en el que ambos grupos puedan aprender unos de otros.Cuando una técnica de ataque tiene éxito, ambas partes comprenden de inmediato por qué eso sucedió. Ya sea que se trate de una brecha en el sistema de registros, de una configuración incorrecta en los controles de seguridad, o de alguna regla de detección que necesita ser mejorada, ambas partes entienden de inmediato las razones. Esto permite un ciclo de mejora más rápido que el que se logra con los métodos tradicionales de prueba.

El Pentágono ha formalizado este cambio.Ley de Autorización para la Defensa Nacional de 2026Se establecen medidas específicas para defenderse de las amenazas generadas por la inteligencia artificial. El Departamento de Defensa busca activamente herramientas que permitan la automatización de las evaluaciones de tipo “Zero Trust”. La fecha límite para la implementación de este sistema es en el año fiscal 2027. Los equipos manuales no pueden escalar su capacidad para validar las actividades necesarias. El gobierno ha reconocido que la velocidad humana es un factor importante que debe tenerse en cuenta.

Este es el mecanismo de ejecución que requiere la infraestructura NAC. Sin validación en tiempo real, las políticas de seguridad permanecen como suposiciones no probadas. El uso del método “purple teaming” convierte la seguridad en un proceso de mejora continua, en lugar de una simple auditoría anual. La auditoría anual de seguridad, que consiste en simplemente verificar si todo está en orden, ya no es válida.

Sigue existiendo un malentendido importante: se cree que el uso de colores púrpas en las imágenes de monitoreo requiere la presencia física del equipo encargado de hacerlo en el lugar donde se lleva a cabo el proceso de monitoreo. Esto es falso. El uso de colores púrpas en las imágenes de monitoreo es posible, incluso cuando se subcontrata una parte del trabajo de monitoreo a un tercero.El trabajo en equipo es posible, incluso cuando se externaliza una parte de las tareas de monitoreo a un tercero.El modelo valida las capacidades de detección de forma remota, algo que es exactamente lo que las empresas distribuidas necesitan.

La métrica que realmente importa es la precisión en la detección en tiempo real, frente a los informes semanales. En un equipo de colaboración tipo “purpura”, los defensores pueden ajustar sus capacidades de detección en cualquier momento. Este es el nivel operativo que hace que la estrategia de Confianza Cero sea efectiva: porque no se puede verificar qué dispositivos están en la red, si no se pueden validar continuamente las capacidades de detección y respuesta del sistema.

La capa de infraestructura está siendo implementada. La cuestión es si tu organización participa en este ciclo, o si queda excluida de él.

Catalizadores y escenarios de riesgo

El cambio en la infraestructura ya no es algo teórico. Se tratará de causas específicas que obligarán a la adopción de NAC en los próximos trimestres. Por otro lado, aquellos que se quedan atrás enfrentarán riesgos asimétricos que se irán agravando día a día.

Los catalizadores regulatorios ya son realidad. Las agencias federales deben implementar las medidas de defensa basadas en la inteligencia artificial, según lo establecido en la NDAA, para el segundo trimestre de 2026. Además, la Oficina de Gestión de Portafolios de Confianza Cero del Pentágono está buscando activamente herramientas basadas en la inteligencia artificial para automatizar las evaluaciones.La solicitud de información del Pentágono del 6 de eneroLa fecha límite para el año fiscal 2027 en relación con el enfoque de “Trust Zero” se acerca rápidamente. Los equipos que trabajan de forma manual no pueden expandirse para validar las actividades necesarias. Esto no es una sugerencia; es la nueva norma básica para la supervivencia de las organizaciones. Aquellas que consideran que el NAC es opcional, en realidad están renunciando a cumplir con los requisitos legales antes de que llegue esa fecha límite.

Los señales del mercado se están acelerando. Las solicitudes de propuestas de negociación entre empresas requieren cada vez más una validación continua de los sistemas NAC, en lugar de evaluaciones puntuales. El mercado global de sistemas NAC está creciendo a un ritmo del 27.2% anual, gracias al trabajo híbrido, la adopción de tecnologías IoT y el aumento en los costos relacionados con las vulnerabilidades cibernéticas.27.2% tasa de crecimiento anual compuestaLos proveedores de NAC se están integrando con las plataformas de Purple Teaming. Esto crea un ciclo de retroalimentación en el que la ejecución y la validación de los datos se vuelven inseparables. Esta integración constituye la capa de infraestructura que hace que el concepto de “confianza cero” sea realizable. De lo contrario, no es posible verificar qué dispositivos hay en la red, ya que no se pueden validar continuamente las capacidades de detección y respuesta del sistema.

La automatización de los ataques está superando con creces la capacidad de defensa. La “brecha en la velocidad” es real: en el momento en que un equipo de ataque manual termina de elaborar un informe que dura dos semanas, un agente de IA ya habrá mapeado la red, extraído los datos y corregido las vulnerabilidades que se utilizaron para causar ese daño. Los atacantes están utilizando “enjambres de predadores de IA”, que ejecutan 10,000 ataques personalizados por segundo. Mientras tanto, el vector más peligroso, el “navegador de IA”, borra los límites entre las intenciones humanas y las de las máquinas. Las organizaciones que no implementan medidas de seguridad como el NAC no tienen visibilidad sobre qué dispositivos se conectan a la red, no pueden aplicar políticas basadas en la identidad o en el estado de los dispositivos, y no tienen mecanismos para detectar cuando un atacante ya ha clonado una red legítima.Se clonó una red Wi-Fi legítima..

El escenario de riesgo para quienes no se adaptan a los cambios es asimétrico. Mientras que los atacantes operan a una velocidad similar a la de las máquinas, los equipos de seguridad manuales no pueden escalar para validar las actividades necesarias para alcanzar el “Nivel de Ataque 91”. Esto crea una brecha cada vez mayor entre los requisitos de cumplimiento y la verdadera situación de seguridad del sistema. El costo de la inacción se acumula con las sanciones reglamentarias diarias, la exposición a ataques cibernéticos y los costos operativos que aumentan con cada dispositivo conectado. La economía digital de la India ilustra bien estos riesgos: los ecosistemas de dispositivos están en constante crecimiento; el trabajo híbrido expande las superficies de ataque; los ataques cibernéticos contra dispositivos no gestionados son cada vez más frecuentes; y 5G acelera tanto la conectividad como los riesgos.El trabajo híbrido aumenta drásticamente las posibilidades de ataques..

Los catalizadores son claros. Los escenarios de riesgo están documentados. La cuestión es si su organización está instalando la capa de infraestructura adecuada, o si en realidad se está quedando atrapada en un vacío sin salida.