CBA crea un agente de AI para threat hunting y reduce la respuesta de 2 días a 30 minutos
Commonwealth Bank of Australia (CBA) ha desarrollado internamente un agente de AI para threat hunting con el objetivo de absorber el incremento de amenazas impulsadas por AI y compensar, según la entidad, la lentitud de los proveedores de ciberseguridad para ofrecer herramientas capaces de seguir el ritmo del cambio. El anuncio lo realizó Andrew Pade, General Manager of Cyber Defence Operations, durante el Gartner Security & Risk Management Summit celebrado en Sídney.
El banco enmarca el movimiento en un problema de escala: Pade explicó que, al incorporarse hace seis años, el equipo ingería 80 millones de señales semanales; actualmente, esa cifra habría escalado hasta 400.000 millones. En ese contexto, CBA sostiene que los enfoques tradicionales de defensa se vuelven insuficientes para priorizar riesgos, validar hipótesis y preparar respuestas dentro de ventanas operativas útiles.
Por qué CBA apostó por un agente de AI para threat hunting
Según Pade, el detonante no fue solo la presión por volumen, sino también el patrón de repetición observado en campañas como phishing: “the lure changed, but the backend was the same”. El banco afirmó haber detectado código compartido entre múltiples ataques, en algunos casos con artefactos que apuntarían al uso de herramientas de programación asistida por AI, un indicio de cómo el automation a escala puede abaratar y multiplicar la producción de kits maliciosos.
CBA también vinculó esta escalada con un riesgo operativo humano: el burnout en equipos SOC. Pade advirtió que la incorporación de perfiles junior procedentes de titulaciones específicas de cybersecurity los sitúa desde el primer día en entornos de alta presión, y defendió que el objetivo era “quitar la escala de la mesa” y dar a analistas de primera línea acceso rápido al conocimiento que normalmente reside en perfiles senior.
Qué hace el agente de AI para threat hunting (según el banco)
El primer agente de AI para threat hunting construido por CBA ingiere información de amenazas desde fuentes como nueva investigación pública, la analiza con datos internos del banco y busca identificar riesgos que puedan afectar a un entorno heterogéneo que incluye legacy systems, infraestructura on-prem, SaaS y workloads en cloud. En términos de proceso, Pade aseguró que tareas que antes requerían hasta dos días para evaluar la seriedad de una amenaza emergente y preparar una hipótesis de riesgo ahora se completan en unos 30 minutos, incluyendo la generación de reportes.
CBA indicó además que desarrolló un segundo agente orientado a detectar indicators of compromise (IoC) y producir informes rápidamente. La promesa operativa, según Pade, es elevar el rol del analista desde tareas repetitivas (“drudgery”) hacia problem solving, algo especialmente relevante cuando la superficie de ataque se distribuye entre múltiples modelos de despliegue y proveedores.
El reto de la no determinación en AI aplicada a security testing
El banco también describió fricciones al emplear AI en ejercicios de red teaming. Pade señaló que los informes redactados por humanos suelen incorporar evidencias y repetición de hallazgos para satisfacer requisitos de auditoría y, en algunos casos, criterios legales. En cambio, la generación con AI puede no reproducir el mismo hallazgo dos veces porque “AI is non-deterministic”. Para mitigar ese comportamiento, el banco afirmó estar introduciendo “deterministic points” en flujos no deterministas y asignando outcomes deterministas a ataques, buscando predicciones más repetibles por parte de sus agentes.
Un enfoque interno ante la lentitud del mercado
La tesis de CBA es que, frente a amenazas emergentes, esperar a que el mercado empaquete capacidades en productos comerciales no es viable. Pade lo resumió como una brecha de time-to-tooling: el banco no quiere depender del calendario de roadmaps de terceros cuando el volumen de señales y la velocidad de los adversarios escalan con AI.
En el plano de implementación, Pade explicó que el equipo de cyber defence recurrió a los data scientists internos, a quienes describió como constructores de “real AI” frente a “automation on steroids”. El primer intento no resolvió el problema, y el punto de inflexión fue integrar a personal de primera línea con los data scientists: “Throwing the problem over the fence and waiting for a solution was not the answer”.
Contexto: AI, escala y operaciones de ciberdefensa
El caso de CBA pone el foco en un debate que está ganando tracción en grandes organizaciones: si la defensa debe incorporar agentic AI como capa operativa para priorización, correlación y reporting, especialmente cuando los adversarios pueden escalar campañas con tooling automatizado. En paralelo, la advertencia sobre no determinismo y trazabilidad en documentación de seguridad conecta con exigencias de compliance y auditoría donde la reproducibilidad es parte del control.
Para más contexto sobre el evento y el marco de riesgos, puede consultarse la información oficial de Gartner sobre su Security & Risk Management Summit: https://www.gartner.com/en/conferences. Sobre prácticas y vocabulario de threat hunting e IoC en entornos empresariales, MITRE mantiene referencias ampliamente utilizadas por la industria: https://attack.mitre.org/.
En conclusión, CBA presenta su estrategia como una transición hacia operaciones donde un agente de AI para threat hunting no solo absorbe volumen, sino que también acorta ciclos de decisión, estandariza outputs y busca reducir la carga cognitiva del SOC. El mensaje del banco al resto de organizaciones es directo: el efecto multiplicador de AI en el lado ofensivo hará que la escala sea la norma, y la respuesta tendrá que adaptarse en consecuencia.
