Meta y Cisco colocan los LLM de código abierto en el centro de los flujos de trabajo SOC de próxima generación

A medida que los ciberataques se aceleran a la velocidad de las máquinas, los modelos de lenguaje grande (LLM) de código abierto se han convertido rápidamente en la infraestructura que permite a las empresas emergentes y a los líderes mundiales en ciberseguridad desarrollar e implementar defensas adaptables y rentables contra amenazas que evolucionan más rápido de lo que los analistas humanos pueden responder.

Las ventajas iniciales de los LLM de código abierto, como su rápida comercialización, mayor adaptabilidad y menor coste, han creado una base escalable y segura para la entrega de infraestructura. En la conferencia RSAC 2025 de la semana pasada, Cisco , Meta y ProjectDiscovery anunciaron nuevos LLM de código abierto y una innovación en superficies de ataque impulsada por la comunidad que, en conjunto, definen el futuro del código abierto en ciberseguridad.

Una de las conclusiones clave del RSAC de este año es el cambio hacia los LLM de código abierto para ampliar y fortalecer la infraestructura a escala.

La IA de código abierto está a punto de ofrecer lo que muchos líderes en ciberseguridad han solicitado durante años: la capacidad de los numerosos proveedores de ciberseguridad para unir fuerzas contra amenazas cada vez más complejas. La visión de colaborar en la creación de un LLM y una infraestructura unificados y de código abierto está cada vez más cerca, tras los anuncios realizados en el RSAC.

Jeetu Patel, director de producto de Cisco, enfatizó en su discurso inaugural: «El verdadero enemigo no es nuestro competidor. Es, en realidad, el adversario. Y queremos asegurarnos de proporcionar todo tipo de herramientas y que el ecosistema se una para que podamos combatirlo colectivamente».

Patel explicó la urgencia de afrontar un reto tan complejo: «La IA lo está transformando todo, y la ciberseguridad es fundamental. Ya no nos enfrentamos a amenazas a escala humana; estos ataques se producen a escala de máquina».

El grupo Foundation AI de Cisco, recientemente creado, surge de la reciente adquisición de Robust Intelligence por parte de la compañía. Foundation AI se centra en ofrecer una infraestructura de IA específica para cada dominio, adaptada específicamente a las aplicaciones de ciberseguridad, que se encuentran entre las más difíciles de resolver. Basado en la arquitectura Llama 3.1 de Meta, este modelo de lenguaje grande de 8 mil millones de parámetros y peso abierto no es una IA de propósito general modernizada. Fue diseñado específicamente y entrenado meticulosamente con un conjunto de datos específico para ciberseguridad, seleccionado internamente por Cisco Foundation AI.

Por su naturaleza, los problemas de esta carta se encuentran entre los más complejos de la IA actual. Para que la tecnología sea accesible, decidimos que la mayor parte del trabajo que realizamos en Foundation AI debería ser abierto. La innovación abierta permite efectos multiplicadores en toda la industria y desempeña un papel especialmente importante en el ámbito de la ciberseguridad, escribe Yaron Singer, vicepresidente de IA y Seguridad de Foundation.

Con el anclaje de código abierto de Foundation AI, Cisco ha diseñado un enfoque arquitectónico eficiente para que los proveedores de ciberseguridad que normalmente compiten entre sí, vendiendo soluciones comparables, se conviertan en colaboradores en la creación de defensas más unificadas y reforzadas.

Singer escribe : «Tanto si lo integra en herramientas existentes como si crea flujos de trabajo completamente nuevos, foundation-sec-8b se adapta a las necesidades únicas de su organización». La entrada del blog de Cisco que anuncia el modelo recomienda que los equipos de seguridad apliquen foundation-sec-8b en todo el ciclo de vida de la seguridad. Entre los posibles casos de uso que Cisco recomienda para el modelo se incluyen la aceleración del SOC, la defensa proactiva contra amenazas, la habilitación de ingeniería, las revisiones de código asistidas por IA, la validación de configuraciones y la integración personalizada.

Los pesos y el tokenizador de Foundation-sec-8B se han publicado en código abierto bajo la licencia permisiva Apache 2.0 en Hugging Face , lo que permite la personalización e implementación a nivel empresarial sin dependencia de un proveedor, manteniendo el cumplimiento normativo y los controles de privacidad. El blog de Cisco también menciona planes para publicar en código abierto el proceso de capacitación , fomentando aún más la innovación impulsada por la comunidad.

Cisco optó por crear un modelo específico de ciberseguridad optimizado para las necesidades del SOC, DevSecOps y equipos de seguridad a gran escala. Adaptar un modelo de IA genérico existente no les permitiría alcanzar su objetivo, por lo que el equipo de IA de Foundation diseñó su entrenamiento utilizando un conjunto de datos de ciberseguridad a gran escala, extenso y bien seleccionado.

Al adoptar un enfoque más centrado en la precisión para construir el modelo, el equipo de IA de Foundation pudo garantizar que el modelo comprenda profundamente las amenazas cibernéticas, las vulnerabilidades y las estrategias defensivas del mundo real.

Los conjuntos de datos de entrenamiento clave incluyeron lo siguiente:

• Bases de datos de vulnerabilidad: incluyen CVE (vulnerabilidades y exposiciones comunes) detalladas y CWE (enumeraciones de debilidades comunes) para identificar amenazas y debilidades conocidas.
• Mapeos de comportamiento de amenazas: estructurados a partir de marcos de seguridad probados como MITRE ATT&CK , que brindan contexto sobre las metodologías y los comportamientos de los atacantes.
• Informes de inteligencia sobre amenazas: información completa derivada de eventos de ciberseguridad globales y amenazas emergentes.
• Manuales del Equipo Rojo: Planes tácticos que describen técnicas adversas y estrategias de penetración del mundo real.
• Resúmenes de incidentes del mundo real: análisis documentados de violaciones de ciberseguridad, incidentes y sus rutas de mitigación.
• Pautas de cumplimiento y seguridad: mejores prácticas establecidas de los principales organismos de normalización, incluidos los marcos del Instituto Nacional de Estándares y Tecnología ( NIST ) y los principios de codificación segura del Proyecto Abierto de Seguridad de Aplicaciones Mundiales ( OWASP ).

Este régimen de entrenamiento personalizado posiciona a Foundation-sec-8B en una posición única para sobresalir en tareas complejas de ciberseguridad, ofreciendo una precisión significativamente mejorada, una comprensión contextual más profunda y capacidades de respuesta a amenazas más rápidas que las alternativas de propósito general.

Los puntos de referencia técnicos de Cisco muestran que Foundation-sec-8B ofrece un rendimiento de ciberseguridad comparable al de modelos significativamente más grandes:

Punto de referencia	Fundación-sec-8B	Llama-3.1-8B	Llama-3.1-70B
CTI-MCQA	67.39	64.14	68.23
CTI-RCM	75.26	66.43	72.66

Al diseñar el modelo de base para que sea específico de ciberseguridad, Cisco permite a los equipos SOC obtener una mayor eficiencia con análisis de amenazas avanzados sin tener que pagar altos costos de infraestructura para obtenerlo.

La visión estratégica más amplia de Cisco, detallada en su blog Foundation AI: Inteligencia Robusta para la Ciberseguridad, aborda los desafíos comunes de la integración de la IA, como la alineación limitada de dominios de modelos de propósito general, la insuficiencia de conjuntos de datos y las dificultades de integración con sistemas heredados. Foundation-sec-8B está diseñado específicamente para superar estas barreras, funcionando eficientemente con configuraciones de hardware mínimas, que generalmente requieren solo una o dos GPU Nvidia A100.

Meta también resaltó su estrategia de código abierto en RSAC 2025, ampliando su suite AI Defenders para reforzar la seguridad en toda la infraestructura de IA generativa. Su conjunto de herramientas de código abierto ahora incluye L·l · ama Guard 4, un clasificador multimodal que detecta infracciones de políticas en texto e imágenes, lo que mejora la supervisión del cumplimiento normativo en los flujos de trabajo de IA.

También se presenta LlamaFirewall , un marco de seguridad de código abierto en tiempo real que integra capacidades modulares e incluye PromptGuard 2 , que se utiliza para detectar inyecciones de prompts e intentos de jailbreak. Como parte de LlamaFirewall, también se lanzan las Comprobaciones de Alineación de Agentes , que monitorean y protegen los procesos de toma de decisiones de los agentes de IA, junto con CodeShield , diseñado para inspeccionar el código generado e identificar y mitigar vulnerabilidades.

Meta también mejoró Prompt Guard 2, ofreciendo dos variantes de código abierto que refuerzan aún más el futuro de la infraestructura de IA de código abierto. Estas incluyen un modelo de alta precisión de 86 millones de parámetros y una alternativa más ágil y de menor latencia de 22 millones de parámetros, optimizada para un consumo mínimo de recursos.

Además, Meta lanzó la suite de evaluación comparativa de código abierto CyberSec Eval 4 , desarrollada en colaboración con CrowdStrike. Incluye CyberSOC Eval , que evalúa la eficacia de la IA en escenarios realistas de Centros de Operaciones de Seguridad (SOC), y AutoPatchBench , que evalúa las capacidades de la IA autónoma para identificar y corregir vulnerabilidades de software.

Meta también lanzó el Programa Llama Defenders, que brinda acceso anticipado a herramientas de seguridad basadas en IA abierta, como clasificadores de documentos confidenciales y detección de amenazas de audio. El Procesamiento Privado es una IA en el dispositivo que prioriza la privacidad y se está probando en WhatsApp.

En RSAC 2025, ProjectDiscovery ganó el premio a la "Startup Más Innovadora" en el Innovation Sandbox, lo que destaca su compromiso con la ciberseguridad de código abierto. Su herramienta estrella, Nu c lei, es un escáner de vulnerabilidades personalizable y de código abierto, impulsado por una comunidad global, que identifica rápidamente vulnerabilidades en API, sitios web, entornos de nube y redes.

La extensa biblioteca de plantillas de Nuclei, basada en YAML, incluye más de 11 000 patrones de detección, 3000 de ellos directamente vinculados a CVE específicos, lo que permite la identificación de amenazas en tiempo real. Andy Cao, director de operaciones de ProjectDiscovery, destacó la importancia estratégica del código abierto: «Ganar el 20.º Sandbox de Innovación anual de RSAC demuestra que los modelos de código abierto pueden tener éxito en ciberseguridad. Refleja el poder de nuestro enfoque comunitario para democratizar la seguridad».

El éxito de ProjectDiscovery se alinea con el Ciclo de Hype 2024 de Gartner para Software de Código Abierto , que posiciona las herramientas de IA y ciberseguridad de código abierto en la fase de "Desencadenante de Innovación". Gartner recomienda que las organizaciones establezcan oficinas de programas de código abierto (OSPO), adopten marcos de listas de materiales de software (SBOM) y garanticen el cumplimiento normativo mediante prácticas de gobernanza eficaces.

Foundation-sec-8B de Cisco, la suite ampliada AI Defenders de Meta y Nuclei de ProjectDiscovery demostraron que la innovación en ciberseguridad prospera más cuando la apertura, la colaboración y la experiencia especializada se alinean entre las empresas. Estas empresas y otras similares están sentando las bases para que cualquier proveedor de ciberseguridad colabore activamente en la creación de defensas que ofrezcan mayor eficacia a menor coste.

Como enfatizó Patel durante su discurso inaugural: «Esto no son fantasías. Son ejemplos reales que se implementarán porque ahora contamos con modelos de seguridad a medida que serán asequibles para todos. Una mayor eficacia en la seguridad se logrará a una fracción del costo con un razonamiento de vanguardia».