MUNDO TECH NEWS

Check Point lanza Risk Model NG

Check Point presenta Risk Model NG: el Arma con IA contra el Phishing

Check Point presenta Risk Model NG, un motor de IA que detecta phishing avanzando mediante análisis correlacionado de datos. Carece de métricas verificables públicas y demanda pruebas antes de implementación.

Inteligencia artificial contra el phishing: así funciona Risk Model NG de Check Point

El motor de detección inteligente promete identificar sitios de phishing incluso sin indicadores visibles, marcando una nueva era en la defensa proactiva.

Mientras miles de empresas siguen cayendo cada día en trampas digitales cada vez más sutiles, Check Point Software ha decidido contraatacar con inteligencia artificial. Su nueva arma, Risk Model NG, promete cambiar las reglas del juego en la lucha contra el phishing, una de las amenazas más persistentes y costosas del mundo digital.

A primera vista, la noticia promete mejorar la detección de phishing avanzado, pero conviene analizar con detalle qué se ha comunicado, cuáles son las implicaciones técnicas y operativas, y qué preguntas quedan abiertas para los equipos de seguridad. Check Point Blog+1

Qué es Risk Model NG y dónde encaja en la plataforma de Check Point

Según la nota informativa publicada por Check Point y recogida por medios especializados, Risk Model NG es un motor continuamente entrenado que evalúa el “riesgo” de cada sitio web basado en cientos de características (datos DNS, certificados SSL/TLS, registros WHOIS, enlaces y patrones de alojamiento, entre otros).

Además, se integra de forma nativa con ThreatCloud AI y con las soluciones de Check Point —Quantum (gateways), Harmony Email, Endpoint y Harmony Mobile— para ofrecer bloqueo en tiempo real. Check Point Blog+1

Por tanto, Risk Model NG no es un producto aislado: es una capacidad de detección embebida dentro del ecosistema de Check Point que pretende neutralizar páginas y dominios de phishing incluso cuando estos intentan ocultar sus señales clásicas (por ejemplo, certificaciones válidas o ausencia de marcas en HTML). escudodigital.com

Metodología reportada: ¿cómo “piensa” el modelo?

Según las fuentes disponibles, el motor se entrena con un conjunto de datos amplio que incluye sitios benignos y maliciosos. Luego, mediante modelos de IA, evalúa combinaciones de indicadores que por separado pueden parecer inocuos, pero cuya co-ocurrencia sugiere fraude. Entre las señales que el modelo procesa están:

  • Análisis de DNS: patrones de creación de dominios, subdominios sospechosos y hosting rápido.
  • Revisión de certificados SSL/TLS: validez, emisión reciente y diferencias entre el dominio y lo que el certificado refleja.
  • Datos de WHOIS: edad del dominio, privacidad en el registro, coincidencias con redes de abuso previas.
  • Estructura y contenido del sitio: enlaces internos, redirecciones, presencia o ausencia de marca en el HTML y uso mínimo de JavaScript para evadir análisis.
  • Señales de infraestructura: IPs compartidas, historial del host, correlación con campañas conocidas. escudodigital.com+1

No obstante, es importante subrayar que estas descripciones proceden del anuncio comercial y de notas técnicas públicas; no hemos localizado (hasta la fecha de búsqueda) un whitepaper técnico público y detallado que explique la arquitectura exacta, la selección de features, o métricas de rendimiento oficiales replicables por terceros.

En otras palabras: la metodología habitual está descrita, pero los detalles reproducibles y los conjuntos de datos no están disponibles públicamente. Check Point Software+1

Profundizando en los puntos clave del estudio/comunicado

A continuación analizamos, punto por punto, las afirmaciones y sus implicaciones prácticas.

1. Entrenamiento con datos benignos y maliciosos — ¿riesgo de sesgos y overfitting?

El hecho de entrenar con ambos tipos de datos es estándar y necesario. Sin embargo, para que el modelo generalice correctamente es crucial que el dataset incluya diversidad geográfica, idiomática y de arquitectura web.

En ausencia de cifras públicas sobre volumen y procedencia de datos, existe la posibilidad —teórica, aunque no necesariamente real— de sesgos (por ejemplo, mayor sensibilidad hacia patrones presentes en regiones con más datos) o de overfitting a campañas históricas.

Por lo tanto, la transparencia sobre la composición del dataset es relevante para estimar su robustez frente a phishing novedoso. Check Point Blog

2. Análisis de características heterogéneas (DNS, WHOIS, certificados) — ventaja real

En efecto, una señal aislada raramente indica fraude. La fortaleza del enfoque de Risk Model NG es precisamente su capacidad para correlacionar múltiples fuentes de evidencia —lo que reduce falsos negativos si el modelo está bien calibrado—.

Además, incorporar telemetría global vía ThreatCloud puede aportar contexto enriquecido en tiempo real (por ejemplo, si un host comienza a generar muchas solicitudes maliciosas).

No obstante, correlacionar señales implica también riesgo de falsos positivos: sitios legítimos con hosting dinámico o CDNs pueden ser marcados si la lógica no tiene matices. Check Point Blog+1

3. Bloqueo en tiempo real — oportunidad y reto operacional

La promesa de bloqueo inmediato es crítica para mitigar daños. Sin embargo, en la práctica, un bloqueo agresivo puede interrumpir flujos de negocio (por ejemplo, bloqueo de integraciones legítimas que usan dominios poco convencionales).

Por lo tanto, la gestión debe contemplar mecanismos de excepciones, análisis humano y políticas de mitigación escalonadas (alerta → cuarentena → bloqueo definitivo).

Asimismo, la latencia del análisis y el impacto en la experiencia de usuario (especialmente en dispositivos móviles) serán variables determinantes en la adopción. escudodigital.com

4. Integración con Quantum y Harmony — ventaja estratégica

Que Risk Model NG se integre en gateways, correo, endpoint y móvil le da un alcance transversal: la misma evaluación puede proteger el acceso web desde la red, filtrar enlaces en correos y bloquear cargas desde endpoints comprometidos.

Esto facilita una defensa coordinada y reduce la ventana de exposición.

Sin embargo, la eficacia real dependerá de la correcta configuración por parte del cliente y de la compatibilidad con arquitecturas híbridas y multi-cloud. Check Point Blog

5. Adaptación del atacante — la carrera continúa

Como sucede con cualquier mejora defensiva, los atacantes pueden adaptar tácticas (dominios más antiguos adquiridos por revendedores, uso de hosts comprometidos legítimos, mayor personalización de landing pages) para evadir modelos basados en señales.

Por ello, la efectividad sostenida exige un ciclo de retroalimentación y actualización continua del modelo, así como capacidades de threat hunting y compartición de inteligencia entre empresas. CyberSecurity News

Qué falta por ver: métricas independientes y whitepaper técnico

Aunque el anuncio describe el enfoque y la integración, no se ha publicado (al menos públicamente) un whitepaper técnico con métricas verificables —por ejemplo, tasa de detección, tasa de falsos positivos, tiempo medio de bloqueo, o comparativas con soluciones alternativas—.

Para los equipos de seguridad y para la comunidad, esas métricas son imprescindibles para evaluar el balance entre protección y continuidad operativa. En consecuencia, recomendamos prudencia hasta que Check Point lance documentación técnica o estudios independientes de terceros. Check Point Software+1

Recomendaciones prácticas para responsables de seguridad (CISO / SOC)

  1. Solicitar pruebas piloto: antes de desplegar bloqueos automáticos en producción, realizar un piloto monitorizado para calibrar reglas y excepciones.
  2. Evaluar métricas de impacto: exige a tu proveedor datos sobre tasa de falsos positivos y casos de uso similares al tuyo.
  3. Políticas de excepción y respuesta: define workflows para desbloqueo rápido cuando se marque erróneamente un recurso crítico.
  4. Integración con procesos de threat intelligence: conecta logs y alertas con SIEM/SOAR para enriquecimiento y respuesta automatizada.
  5. Formación y simulacros: combina la tecnología con ejercicios de phishing para reducir el riesgo humano.

Una mejora bienvenida, pero falta transparencia técnica

En suma, Risk Model NG parece representar una evolución lógica en la detección de phishing: modelos entrenados continuamente, análisis multifuente y bloqueo integrado en múltiples vectores son ingredientes que pueden mejorar la protección frente a campañas sofisticadas.

Sin embargo, la importancia de las métricas independientes y la transparencia técnica no puede subestimarse: solo con datos reproducibles y pruebas en entornos reales podrá verificarse si la promesa se traduce en reducción real de riesgo sin costes operativos inaceptables.

Por tanto, para los equipos de seguridad la recomendación es evaluar la oferta con pruebas piloto, exigir garantías (SLA, métricas) y mantener un enfoque híbrido que combine IA y supervisión humana. Check Point Blog+1

¿Quieres entender hasta dónde pueden llegar los ciberataques más devastadores del mundo?

No te pierdas nuestro reportaje especial: Una Mirada Profunda a los Mayores Ataques Cibernéticos de la Historia — un recorrido impactante por los incidentes que cambiaron para siempre la forma en que entendemos la seguridad digital.

Gracias por seguir informándote con Mundo Tech News, el espacio donde la tecnología, la innovación y la ciberseguridad se analizan con una mirada crítica y profesional.