Google ha dado un paso más en la integración de inteligencia artificial en ciberseguridad al incorporar a su ecosistema Google Threat Intelligence un nuevo módulo basado en Gemini, diseñado para monitorizar de forma automática el darknet y resaltar solo aquellas amenazas realmente relevantes para cada organización. La solución se encuentra ya disponible en formato de public preview para clientes y apunta a cambiar la forma en que se vigilan foros y mercados cerrados.
Monitorización del darknet con IA: cómo funciona el nuevo módulo de Google
Según datos de la compañía, los agentes de IA basados en Gemini analizan diariamente entre 8 y 10 millones de publicaciones en el darknet. Esto incluye foros, marketplaces, canales privados de mensajería y otras plataformas donde se negocian accesos comprometidos, bases de datos robadas y herramientas para ataques.
El objetivo no es limitarse a encontrar menciones de marca, sino identificar indicadores de compromiso e intención maliciosa con impacto real en el negocio. Entre los elementos que prioriza el servicio destacan:
— actividad de Initial Access Brokers, que venden credenciales robadas y accesos VPN;
— filtraciones de datos confidenciales y cuentas de usuario;
— ofertas de insiders y propuestas para vender información interna;
— anuncios sobre ataques inminentes o nuevas herramientas de cibercrimen.
Google afirma que las pruebas internas muestran hasta un 98 % de precisión en el análisis. Aunque esta cifra indica una reducción significativa del “ruido” respecto a enfoques tradicionales, en entornos productivos siempre es necesario ajustar el sistema al contexto específico de cada organización y validar los resultados con el equipo de seguridad.
Por qué el monitorizado clásico del darknet se ha quedado corto
Muchas herramientas de monitorización del darknet siguen basándose casi exclusivamente en búsquedas por palabras clave y patrones simples. Este enfoque ignora en gran medida el contexto y el argot cambiante de la ciberdelincuencia: que aparezca el nombre de una empresa o un dominio no implica necesariamente una amenaza real.
El resultado habitual es una tasa de falsos positivos que puede rondar el 80–90 %, generando el conocido fenómeno de alert fatigue. Los equipos de SOC se ven obligados a revisar grandes volúmenes de alertas irrelevantes y, en ese entorno de saturación, aumentan las probabilidades de pasar por alto una señal verdaderamente crítica.
El enfoque de Gemini es distinto: prioriza la comprensión semántica y contextual de las publicaciones. Esto es especialmente importante en el darknet, donde abundan el lenguaje en clave, los eufemismos y las descripciones deliberadamente ambiguas para evadir la detección.
Perfiles de organización basados en OSINT para una Threat Intelligence más precisa
Al activar el módulo de monitorización, el cliente facilita y valida datos básicos de su organización. Con esta información, los modelos construyen en pocos minutos un perfil detallado de la empresa apoyándose en fuentes abiertas (OSINT).
Este perfil puede incluir:
— líneas de negocio principales y presencia geográfica;
— tecnologías, plataformas y servicios utilizados;
— personas de alto perfil (dirección, figuras públicas);
— marcas, dominios y filiales relevantes.
Cada elemento viene acompañado de enlaces a las fuentes utilizadas, lo que permite verificar y corregir la información. Este perfil se convierte en la “matriz de referencia” con la que se contrastan continuamente los datos del darknet.
Análisis vectorial y priorización basada en contexto
Una vez definido el perfil, los agentes de Google Threat Intelligence comienzan a generar alertas sobre amenazas potenciales detectadas en los últimos siete días. Las publicaciones se etiquetan y se transforman en representaciones vectoriales en un espacio de múltiples dimensiones, lo que permite un análisis de similitud semántica entre texto y perfil de la organización.
Cada hallazgo recibe una prioridad en función de su nivel de coincidencia: desde menciones directas de la empresa, sus dominios o sistemas, hasta coincidencias más indirectas por sector, tamaño de la organización o región. Cuanto mayor es la similitud, mayor es el nivel de criticidad asignado a la alerta.
Google ilustra el funcionamiento con un ejemplo: si aparece en el darknet un anuncio de venta de acceso a un gran banco norteamericano con más de 50.000 empleados y 50.000 millones de dólares en activos, el sistema contrasta esos atributos con el perfil del cliente. Aunque no se mencione el nombre del banco, una coincidencia sólida en esos parámetros hace que el evento se clasifique como amenaza crítica.
Además, el servicio se apoya en el trabajo de la Google Threat Intelligence Group, que monitoriza la actividad de 627 grupos de amenazas. Esto permite vincular incidentes específicos con actores conocidos y refinar la evaluación de riesgo en función de sus tácticas, técnicas y procedimientos.
IA en Google Security Operations: hacia un SOC cada vez más autónomo
En paralelo, Google ha presentado, también en public preview, agentes de IA para Google Security Operations, con el propósito de automatizar la respuesta ante las amenazas identificadas por la plataforma de Threat Intelligence.
Estos agentes son capaces de:
— analizar y correlacionar alertas entrantes de forma autónoma;
— agregar evidencias y artefactos (logs, telemetría, eventos de red);
— elaborar una valoración del incidente y su criticidad;
— explicar en lenguaje natural la lógica detrás de sus conclusiones.
Gracias al soporte de Model Context Protocol (MCP), las organizaciones pueden desarrollar agentes de seguridad a medida que tengan en cuenta la arquitectura, los procesos de negocio y las políticas internas. El soporte de servidores MCP remotos ya está en estado GA, lo que facilita la integración con flujos SIEM/SOAR existentes.
Para las empresas, esto abre la puerta a una transición progresiva desde modelos de respuesta semiautomática hacia un SOC más autónomo, manteniendo siempre el control humano, criterios claros de supervisión y procedimientos de escalado bien definidos.
La combinación de monitorización del darknet basada en Gemini y agentes de IA en Google Security Operations confirma una tendencia clara: la inteligencia artificial está asumiendo el trabajo más repetitivo y ruidoso, mientras los analistas de ciberseguridad se centran en la toma de decisiones y en los incidentes de mayor complejidad. Para aprovechar esta evolución, las organizaciones deberían revisar sus procesos de Threat Intelligence y de respuesta a incidentes, identificar dónde la IA puede ayudar a filtrar datos irrelevantes, formar a los equipos de SOC en el uso de agentes inteligentes e integrar estas capacidades en su arquitectura de seguridad. Actuar ahora aumenta significativamente las probabilidades de detectar a tiempo filtraciones, actividad de brokers de acceso inicial y ataques dirigidos cuando aún se están gestando en el darknet, antes de que se conviertan en brechas a gran escala.
