Este documento aborda los problemas de confiabilidad y seguridad de los modelos de lenguaje a gran escala (LLM), que se utilizan cada vez más en el análisis de amenazas de ciberseguridad. Con más de 21,000 vulnerabilidades reveladas solo en 2025, el análisis manual es imposible, y el soporte de IA escalable y verificable es crucial. Los LLM tienen dificultades para abordar las vulnerabilidades emergentes debido a las limitaciones de sus datos de entrenamiento. La Generación Aumentada por Recuperación (RAG) puede mitigar estas limitaciones al proporcionar información actualizada, pero sigue sin estar claro en qué medida los LLM dependen de la información recuperada y si esta es significativa y precisa. Esta incertidumbre puede confundir a los analistas de seguridad, lo que lleva a una priorización incorrecta de parches y a un aumento de los riesgos de seguridad. Por lo tanto, este documento propone la Atribución basada en la Integración de LLM (LEA) para analizar las respuestas generadas para el análisis de explotación de vulnerabilidades. LEA cuantifica las contribuciones relativas del conocimiento interno y el contenido recuperado en la respuesta generada. Utilizando tres LLM de vanguardia, evaluamos LEA en tres configuraciones de RAG (válida, genérica e incorrecta) frente a 500 vulnerabilidades críticas descubiertas entre 2016 y 2025. Los resultados demuestran que LEA puede detectar diferencias claras entre escenarios de no descubrimiento, genéricos y de descubrimiento válido con una precisión superior al 95 % en un modelo a gran escala. Finalmente, demostramos las limitaciones de recuperar información incorrecta sobre vulnerabilidades y advertimos a la comunidad de ciberseguridad contra la confianza ciega en LLM y RAG para el análisis de vulnerabilidades. LEA proporciona a los analistas de seguridad métricas para auditar el flujo de trabajo mejorado de RAG, lo que mejora la transparencia y la fiabilidad de la implementación de la IA en el análisis de amenazas de ciberseguridad.
