Like a Hammer, It Can Build, It Can Break: Large Language Model Uses, Perceptions, and Adoption in Cybersecurity Operations on Reddit

Este estudio de métodos mixtos analiza discusiones en foros de Reddit para revelar que, aunque los profesionales de ciberseguridad adoptan los modelos de lenguaje grandes (LLM) para tareas de productividad de bajo riesgo y perciben beneficios en la eficiencia, su autonomía se ve limitada por preocupaciones sobre la fiabilidad, la carga de verificación y los riesgos de seguridad.

Lo esencial

Imagina que el centro de operaciones de seguridad (SOC) de una empresa es como un bombero de alta tecnología que pasa las 24 horas vigilando una ciudad llena de incendios potenciales. Su trabajo es detectar chispas, apagarlas y evitar que se conviertan en desastres.

Hasta hace poco, estos bomberos tenían que revisar miles de alarmas falsas a mano, lo que los agotaba y estresaba. Ahora, han llegado unos nuevos ayudantes: los Modelos de Lenguaje Grande (IA). Piensa en ellos como robots genios que pueden leer, escribir y razonar increíblemente rápido.

Este estudio es como haber entrado en la sala de descanso de esos bomberos (en este caso, un foro de Reddit) para escuchar sus conversaciones reales sobre cómo usan a estos robots. Aquí está lo que descubrieron, explicado de forma sencilla:

1. ¿Qué herramientas están usando? (El Martillo vs. El Cuchillo de Chef)

Aunque existen herramientas de IA diseñadas específicamente para seguridad (como un cuchillo de chef profesional muy caro), la mayoría de los bomberos están usando herramientas de propósito general (como un martillo gigante que sirve para todo).

• La realidad: La gente usa más a ChatGPT o Microsoft Copilot (el martillo) que a las herramientas especializadas de seguridad (el cuchillo).
• Por qué: El martillo es más fácil de conseguir y usar para cosas rápidas, mientras que el cuchillo profesional es un ecosistema fragmentado donde nadie sabe exactamente cuál es el mejor.

2. ¿Para qué los usan? (Construir vs. Romper)

El título del estudio dice: "Como un martillo, puede construir, puede romper".

• Lo que SÍ hacen bien (Construir): Los usan para tareas de bajo riesgo y alta productividad. Por ejemplo:
  • Escribir código o scripts (como pedirle al robot que redacte un contrato).
  • Resumir informes largos (como pedirle que resuma una novela en una página).
  • Explicar errores técnicos complejos (como pedirle que explique la física cuántica a un niño).
• Lo que NO hacen bien (Romper): Cuando se trata de decisiones de vida o muerte, como apagar un incendio real o detener un ataque en tiempo real, los bomberos no confían en dejar que el robot actúe solo.
  • La analogía: Es como dejar que un robot cocine la cena (puede ser rápido), pero no le dejas que maneje el camión de bomberos porque si se equivoca, la casa se quema.

3. Los Miedos y las Dudas (El "Efecto Alucinación")

Aunque los robots son rápidos, tienen un defecto fatal: alucinan.

• El problema: A veces, el robot inventa hechos con total seguridad. Imagina que un robot te dice: "¡El ladrón entró por la ventana!" y tú vas a revisar y la ventana estaba cerrada. En ciberseguridad, un error así puede ser catastrófico.
• La sobrecarga: Los bomberos dicen: "Es más rápido que yo lo haga yo mismo". Tienen que revisar todo lo que el robot escribe para asegurarse de que no está mintiendo. A veces, corregir al robot toma más tiempo que hacer el trabajo manualmente.

4. El Costo y la Privacidad (El precio de la magia)

• Dinero: Usar estos robots es caro. Si tienes que procesar millones de alertas, la factura puede ser tan alta como contratar a un equipo entero de humanos.
• Privacidad: Hay un miedo constante de que, si les cuentas un secreto a estos robots (como contraseñas o datos de la empresa), ellos "aprendan" de eso y lo compartan con otros. Es como contarle un secreto a un amigo que luego lo grita en la plaza pública.

5. El Gran Dilema: ¿Quién será el jefe?

Aquí está la parte más interesante y preocupante para el futuro:

• El ciclo vicioso: Las empresas quieren usar IA para hacer el trabajo básico (nivel 1) para ahorrar dinero. Pero, para poder supervisar y corregir a la IA, necesitas a un experto humano muy experimentado.
• El problema: Si la IA hace todo el trabajo básico, los nuevos bomberos nunca aprenden a ser expertos porque no tienen práctica real.
• La metáfora: Es como si un maestro de cocina dejara que un robot cocinara todos los platos básicos para que el aprendiz no tenga que pelar patatas. El resultado es que, en 5 años, no tendrás ningún chef experto porque nadie aprendió a pelar patatas.

En resumen

La IA en ciberseguridad es como un asistente muy inteligente pero un poco mentiroso y costoso.

• Se usa mucho para tareas aburridas y de escritura (construir).
• Se usa muy poco para tomar decisiones críticas (romper), porque nadie se fía de que no va a cometer un error grave.
• El futuro depende de encontrar un equilibrio: usar la IA para ayudar, pero asegurarse de que los humanos sigan aprendiendo y manteniendo el control, sin dejar que la tecnología nos reemplace antes de tiempo.

El estudio concluye que la IA es una herramienta poderosa, pero no es un sustituto mágico. Necesitamos humanos supervisando, verificando y aprendiendo, o de lo contrario, podríamos quedarnos sin expertos capaces de manejar la tecnología que hemos creado.

Resumen técnico

Resumen Técnico: Uso, Percepción y Adopción de LLMs en Operaciones de Ciberseguridad

1. El Problema

Los Centros de Operaciones de Seguridad (SOC) enfrentan una crisis de fatiga de alertas, estrés y agotamiento debido a la complejidad y el volumen de las amenazas actuales. Aunque existen herramientas de automatización tradicionales (SIEM, SOAR, ML clásico), la evidencia indica que los equipos de SOC siguen sobrecargados. Recientemente, los Vendedores de Ciberseguridad han comenzado a comercializar soluciones de IA autónoma basadas en Modelos de Lenguaje Grande (LLMs) para augmentar los flujos de trabajo de los SOC.

Sin embargo, existe una brecha crítica en la comprensión empírica: no se sabe realmente cómo los practicantes de seguridad en el mundo real utilizan, perciben y adoptan estas herramientas. La literatura anterior se ha centrado en herramientas específicas o tareas aisladas, pero falta una visión holística de la adopción de LLMs en diversos contextos operativos, sus beneficios percibidos, sus riesgos y su impacto en la fuerza laboral.

2. Metodología

Los autores realizaron un análisis de métodos mixtos (cualitativo y cuantitativo) sobre discusiones en foros de ciberseguridad de Reddit para capturar conversaciones naturales y dirigidas por practicantes.

• Datos Recopilados: Se analizaron 892 publicaciones relevantes extraídas de 76 hilos entre diciembre de 2022 y septiembre de 2025.
• Fuentes: Tres subreddits principales: r/cybersecurity (la mayor parte de los datos), r/Information_Security y r/ciso.
• Proceso de Análisis:
  • Codificación Cualitativa: Se utilizó una metodología de codificación híbrida (inductiva y deductiva) con dos codificadores independientes. Se alcanzó una alta fiabilidad inter-codificador (Krippendorff's Alpha $\alpha \ge 0.8$). Se desarrolló un código para identificar herramientas, casos de uso, factores de percepción (capacidad, eficiencia, fiabilidad, seguridad, autonomía, costo) e implicaciones de adopción.
  • Análisis Cuantitativo: Se realizaron pruebas estadísticas (pruebas de proporciones de dos muestras, pruebas chi-cuadrado de independencia y corrección de Bonferroni) para determinar la prevalencia de temas y la significancia de las diferencias en los sentimientos (positivos vs. negativos) hacia los LLMs.
• Ética: El estudio fue aprobado por el IRB, utilizando datos públicos anonimizados y parafraseando extractos para evitar la re-identificación.

3. Contribuciones Clave

El estudio ofrece una de las primeras evaluaciones a gran escala de la adopción de LLMs en SOC desde la perspectiva del usuario final, destacando:

1. Un mapa de las herramientas y casos de uso reales mencionados por practicantes.
2. Una evaluación detallada de los factores de percepción (beneficios vs. barreras) que moldean la confianza y la adopción.
3. Un análisis de las trayectorias de adopción, diferenciando entre el uso individual de herramientas generales y la adopción empresarial de plataformas específicas.
4. La identificación de una tensión crítica en el desarrollo de la fuerza laboral: el riesgo de que la automatización de tareas de nivel inicial elimine las vías de aprendizaje para futuros expertos.

4. Resultados Principales

A. Herramientas y Casos de Uso (RQ1)

• Dominio de LLMs de Propósito General: A pesar de la existencia de herramientas específicas de seguridad (como Microsoft Security Copilot, Dropzone, Intezer), los practicantes mencionan mucho más frecuentemente LLMs de propósito general (ChatGPT, Microsoft Copilot, Claude). El 60.5% de las menciones de herramientas son de propósito general, frente al 43.9% de herramientas específicas de seguridad.
• Casos de Uso: Las discusiones se concentran en:
  1. Respuesta a Incidentes y Triage (42.77%): Asistencia en investigación, correlación y mitigación.
  2. Scripting y Consultas (27.08%): Generación de código (Python, PowerShell) y consultas para SIEM (KQL, SQL).
  3. Informes y Documentación (25.85%): Resumen de incidentes y redacción de políticas.
  • Nota: La adopción activa tiende a concentrarse en tareas de bajo riesgo (scripting, informes) donde el analista mantiene el control, mientras que la adopción para tareas críticas (respuesta autónoma) es mucho más limitada.

B. Percepciones y Factores (RQ2)
El análisis estadístico reveló diferencias significativas en el sentimiento hacia seis factores clave:

• Positivos: Las Capacidades y la Eficiencia fueron discutidas predominantemente de manera positiva. Los practicantes reportan una reducción significativa en el tiempo de triaje (de 45 min a <2 min) y una mejor contextualización de las alertas.
• Negativos: La Fiabilidad, la Seguridad/Privacidad, la Autonomía y el Costo fueron discutidos predominantemente de manera negativa.
  • Fiabilidad: Preocupación mayor por las alucinaciones (datos inventados con confianza) y la falta de determinismo. En ciberseguridad, un error pequeño puede ser catastrófico.
  • Seguridad: Temor a la fuga de datos confidenciales al ingresarlos en modelos públicos y la expansión de la superficie de ataque (ej. inyección de prompts).
  • Autonomía: Los practicantes rechazan la delegación total de tareas. Ven a los LLMs como "asistentes" o "internos" que requieren supervisión humana constante ("Trust but verify").
  • Costo: La percepción de que el costo de inferencia y la inversión en infraestructura no justifican el retorno de inversión (ROI) actual.

C. Adopción y Futuro (RQ3)

• Adopción Activa: El 53.62% de los practicantes que discutieron adopción ya están usando LLMs, pero a menudo de forma individual y no oficial (sombras IT) para tareas de productividad, en lugar de integraciones empresariales formales.
• Barreras: La desconfianza en las promesas de los vendedores ("autonomía total"), la suficiencia de soluciones tradicionales para tareas deterministas y las restricciones organizacionales de políticas de datos.
• Crisis de Desarrollo de Talento: Existe una preocupación creciente de que la automatización de tareas de nivel 1 (L1) elimine la oportunidad para que los analistas junior adquieran experiencia práctica. Esto crea un "círculo vicioso": se necesitan expertos para supervisar a la IA, pero la IA está eliminando las tareas que forman a esos expertos.

5. Significado e Implicaciones

El estudio concluye que los LLMs en ciberseguridad son una herramienta poderosa pero insuficientemente confiable para la delegación autónoma de tareas de alto riesgo sin supervisión humana sostenida.

• Para el Diseño de Sistemas: Se necesita un enfoque en la confiabilidad y la comunicación de la incertidumbre. Los sistemas no deben solo generar respuestas, sino explicar su nivel de confianza y permitir una verificación humana eficiente para reducir la sobrecarga de verificación.
• Para la Adopción Organizacional: La adopción debe ser un proceso sociotécnico que reconozca la diferencia entre el uso individual (bajo riesgo, alta productividad) y la integración empresarial (alto riesgo, necesidad de gobernanza).
• Para la Fuerza Laboral: Es urgente redefinir la formación de analistas de ciberseguridad. Se propone un modelo de "aprendizaje conjunto" (co-learning), donde los LLMs actúan como mentores para analistas junior, permitiendo que adquieran experiencia a través de la supervisión y la resolución de problemas guiados, en lugar de simplemente automatizar sus tareas de entrada.

En resumen, el artículo advierte que, aunque los LLMs pueden "construir" eficiencia, también pueden "romper" la confianza y la seguridad si se implementan sin una comprensión profunda de sus limitaciones y sin un marco robusto de supervisión humana.