En Microsoft Secure 2025, se presentó una nueva ola de innovaciones en Microsoft Defender diseñadas para redefinir lo que la IA puede hacer por las operaciones de seguridad. En el centro de estos anuncios estuvo el lanzamiento de 11 agentes Security Copilot, cada uno creado específicamente para reducir la carga manual y acelerar la respuesta mediante automatización autónoma y adaptativa. Integrados en la infraestructura de Microsoft Security, estos agentes aprenden y se adaptan continuamente a tu entorno único, mientras mantienen a tu equipo en control para una protección proactiva de extremo a extremo.
Entre ellos se encuentra el Agente de Triaje de Phishing en Microsoft Defender, ahora disponible en Vista Previa Pública. Este aborda una de las tareas más repetitivas en el SOC: el manejo de reportes de phishing enviados por los usuarios. En vez de revisar manualmente envíos interminables, los equipos de seguridad pueden ahora confiar en un agente que clasifica miles de alertas por día, normalmente dentro de los 15 minutos después de su detección. Los primeros usuarios ya están observando respuestas aceleradas a amenazas y un ahorro de tiempo considerable.
Phishing: Una de las principales amenazas y una carga para los analistas SOC
El phishing sigue siendo uno de los principales puntos de entrada para los actores de amenazas, con más del 90% de las brechas iniciadas por engaños basados en correo electrónico. En solo doce meses, Microsoft Defender para Office 365 detectó más de 775 millones de correos electrónicos con malware, lo que subraya la naturaleza incansable y a gran escala de esta amenaza.
Aunque las herramientas de seguridad actuales son altamente efectivas para bloquear la mayoría de estos intentos, los atacantes siguen evolucionando: ajustan contenido, suplantan identidades, cambian tácticas y explotan nuevos canales para eludir las defensas. Cada vez más, emplean IA generativa para crear mensajes de phishing que parecen más legítimos y personalizados, complicando aún más la detección. Como resultado, una pequeña pero peligrosa cantidad de correos de phishing todavía logra llegar a las bandejas de entrada de los usuarios.
Cuando los usuarios reportan estos mensajes sospechosos, recaen en las colas del SOC para su revisión, generando una carga operacional significativa. La mayoría de los envíos son falsas alarmas, pero los analistas deben revisarlos manualmente todos para encontrar las verdaderas amenazas ocultas. Esto retrasa la respuesta, dispersa el enfoque y aumenta el riesgo de pasar por alto ataques peligrosos.
Detrás del agente: triaje de phishing más inteligente
Creado para operar de forma autónoma
El Agente de Triaje de Phishing marca un avance significativo en operaciones de seguridad autónomas. Impulsado por modelos de lenguaje de gran escala (LLMs), realiza evaluaciones sofisticadas, incluyendo evaluación semántica del contenido del correo, inspección de URLs y archivos, y detección de intención, para determinar si un envío es realmente una amenaza de phishing o una falsa alarma. A diferencia de los sistemas tradicionales basados en reglas estáticas, el agente interpreta dinámicamente el contexto y los artefactos de cada correo para alcanzar un veredicto independiente. Es una defensa autónoma, que filtra el ruido y eleva lo realmente prioritario.
Aprende de la retroalimentación
Igualmente transformador resulta su capacidad de aprendizaje. Más allá de llegar a conclusiones fijas, el Agente de Triaje de Phishing evoluciona continuamente. Los analistas pueden reclasificar incidentes y proporcionar retroalimentación en lenguaje natural explicando por qué un veredicto fue correcto o no. El agente incorpora estos aportes, refinando su razonamiento y adaptándose a las necesidades, patrones y matices de la organización. Con cada interacción, se vuelve más preciso y ajustado a su entorno, generando un ciclo de mejora continua.
Transparente por diseño
Una de las características más destacadas del Agente de Triaje de Phishing es la claridad con que comunica sus decisiones. Para cada veredicto, proporciona una explicación en lenguaje natural que detalla por qué un mensaje fue o no clasificado como phishing. El razonamiento es claro y accesible, permitiendo a los analistas comprender rápidamente el motivo del resultado.
Para quienes buscan un entendimiento más profundo, el agente también produce un mapa visual de su lógica de decisión: un desglose paso a paso de cómo evaluó el envío. Cada fase se presenta como una tarjeta expandible dentro de un diagrama estructurado, detallando las señales analizadas, las evidencias recopiladas y la lógica aplicada. Los equipos pueden profundizar en cada paso para ver el razonamiento del agente en contexto, haciendo que el proceso completo sea rastreable y revisable. Este nivel de transparencia no solo ayuda, sino que es esencial para generar confianza en sistemas de seguridad autónomos.
Cómo funciona el agente
Rápida configuración e integración sencilla
Empezar es simple. La experiencia de incorporación ofrece una visión clara de las capacidades del agente y cómo funciona en tu entorno. Puede configurarse con una identidad dedicada y controles de acceso basados en roles que siguen los principios de menor privilegio, asegurando que opere únicamente dentro del alcance asignado.
Los administradores conservan el control total. Pueden ver, gestionar y restringir las acciones del agente, manteniendo su comportamiento alineado con las políticas y normas de seguridad de la organización.
Operación autónoma en segundo plano
Una vez desplegado, el agente opera en segundo plano, activándose automáticamente cada vez que un usuario reporta un correo sospechoso. A medida que llegan nuevos envíos, analiza cada uno y le asigna una clasificación. En la mayoría de las organizaciones, más del 90% de los correos reportados resultan ser falsos positivos. El agente los resuelve automáticamente, etiquetándolos para que los analistas no tengan que revisarlos todos manualmente.
Esto permite a los equipos concentrarse en los incidentes que realmente requieren su atención.
Cuando el agente está habilitado, la función de Investigación y Respuesta Automatizada (AIR) de Microsoft Defender para Office 365 consume la salida del agente. AIR aprovecha este análisis para detectar amenazas similares y resaltar acciones de remediación para que los analistas SOC las revisen y aprueben.
Dentro de una revisión típica de incidentes
Para cada incidente, el agente proporciona un resumen en lenguaje natural de su veredicto. Cuando clasifica un envío como malicioso o benigno, explica claramente el motivo, citando factores como la reputación del remitente, el contenido del mensaje, el comportamiento de los adjuntos, y más.
La pestaña Actividad muestra un diagrama de flujo que ilustra cómo el agente llegó a su decisión, incluyendo todos los pasos y resultados intermedios. Este proceso incluye desde el análisis de texto y URLs, hasta la evaluación en sandbox de archivos adjuntos. Y todo ocurre de manera autónoma, sin intervención humana ni scripting.
Bucle de retroalimentación
Si un analista no está de acuerdo con el veredicto del agente, puede reclasificar el envío y dejar comentarios en lenguaje natural. No se requiere sintaxis especial ni entrenamiento. El agente aprende de este aporte y lo usa para afinar futuras decisiones, mejorando continuamente su precisión y alineación. Con el tiempo, el agente se convierte en una verdadera extensión del equipo: no solo reduce el esfuerzo manual, sino que se adapta al entorno único de la organización y al cambiante panorama de amenazas.
Desempeño visualizado
El desempeño del agente se monitorea en un tablero dedicado que ofrece a los analistas visibilidad en tiempo real de su impacto. Muestra el número de incidentes gestionados, el tiempo medio de triaje (MTTT), y un desglose de falsos positivos versus verdaderos positivos en el tiempo. Esta vista continua ayuda a los equipos de seguridad a cuantificar la eficiencia, monitorear la precisión y generar confianza en el desempeño del agente.
IA responsable por defecto
El Agente de Triaje de Phishing, como todos los agentes Security Copilot de Microsoft, sigue los principios de IA Responsable de Microsoft. Esto incluye protecciones integradas para equidad, transparencia, seguridad, privacidad y responsabilidad.
Los administradores configuran la identidad y los permisos del agente en base al acceso de menor privilegio, manteniendo un control estricto sobre qué datos puede acceder, cuánta capacidad consume y qué acciones está autorizado a realizar. Operando dentro de un marco de Zero Trust, cada acción del agente se evalúa según las políticas organizacionales antes de ejecutarse. Este enfoque garantiza que las capacidades potenciadas por IA refuercen el SOC sin comprometer la confianza, el cumplimiento o el control de la empresa.
SOC supercargado en eficiencia
El Agente de Triaje de Phishing es el primero de una nueva generación de agentes diseñados para llevar la inteligencia autónoma a las operaciones de seguridad. Al eliminar tareas repetitivas y reactivas y aprender continuamente de la retroalimentación, permite a los equipos concentrarse en lo que más importa: investigar amenazas reales y fortalecer la postura de seguridad global. Esto marca un gran salto hacia una era más eficiente y adaptativa para el SOC.
Las organizaciones que cumplan los requisitos previos ya pueden comenzar uniéndose a la Vista Previa Pública del Agente de Triaje de Phishing, disponible mediante una prueba directa en el portal de Microsoft Defender. Para saber más, visita la página del producto para detalles sobre su funcionamiento, y el centro de adopción para orientación más amplia sobre los agentes Security Copilot.
