Tema 17
No toda intrusión puede prevenirse. Esta unidad estudia cómo ganar visibilidad, detectar actividad sospechosa y convertir datos dispersos en capacidad de respuesta a través de monitoreo, análisis e inteligencia.
Prevenir es esencial, pero no siempre suficiente. Algunas amenazas lograrán atravesar controles, abusar de credenciales válidas o explotar condiciones imprevistas. Cuando eso ocurre, la diferencia entre un incidente controlado y una crisis mayor suele depender de la capacidad de detección temprana.
Detectar no significa solo ver un evento aislado. Significa construir contexto: observar actividad, correlacionar señales, reconocer patrones anómalos y actuar antes de que el atacante alcance su objetivo final.
El monitoreo de seguridad es el proceso continuo de recolectar, observar y analizar eventos relevantes para identificar comportamientos anómalos, indicios de compromiso o desviaciones respecto de lo esperado. Su propósito no es acumular datos, sino generar capacidad operativa para detectar y responder.
Un entorno sin monitoreo puede tener controles preventivos razonables y aun así permanecer ciego frente a una intrusión en progreso.
Los logs o registros son uno de los insumos fundamentales de la detección. Reflejan acciones, eventos, errores, accesos, cambios y comportamientos que ocurren en sistemas, aplicaciones, dispositivos, redes y servicios.
Bien utilizados, permiten responder preguntas críticas:
Lo importante no es registrar todo indiscriminadamente, sino capturar los eventos que permitan entender actividad de riesgo con suficiente detalle.
No todos los registros son igual de útiles. Para que un log sea valioso desde el punto de vista defensivo debe ser confiable, consistente y suficientemente detallado.
Los logs son esenciales, pero no siempre suficientes. Pueden estar incompletos, carecer de contexto, no registrar el detalle necesario o llegar demasiado tarde. Además, algunos atacantes intentan ocultar rastros, desactivar fuentes de registro o mezclarse con actividad legítima.
Por eso la detección efectiva suele combinar múltiples fuentes y no depender exclusivamente de un solo tipo de evento.
Los indicadores de compromiso, o IOC, son señales observables que sugieren que una amenaza pudo haber actuado o dejado rastros en un entorno. Pueden ser valores concretos o patrones asociados a actividad maliciosa conocida.
Los IOC sirven para detectar señales conocidas y acelerar búsquedas o alertas. Son especialmente útiles en investigación y correlación. Sin embargo, tienen límites importantes:
Por eso no deben usarse como único enfoque de detección.
Más allá de IOC estáticos, muchas organizaciones avanzan hacia indicadores basados en comportamiento o IOA, que se enfocan en patrones de actividad ofensiva. En vez de buscar un archivo específico, observan secuencias o combinaciones sospechosas.
Un evento aislado puede no significar mucho. Diez eventos aislados tampoco, si se miran separados. La correlación consiste en relacionar eventos de distintas fuentes para construir una historia operativa.
Por ejemplo, un login exitoso desde una ubicación inusual puede parecer poco concluyente. Pero si luego se observan cambios de permisos, acceso a múltiples servidores y compresión de archivos, el escenario cambia por completo.
Un SIEM, Security Information and Event Management, es una plataforma que centraliza eventos de múltiples fuentes, los normaliza, correlaciona y genera alertas o capacidades de análisis. Su valor principal está en convertir datos dispersos en una visión más integrada del entorno.
El SIEM no reemplaza criterio humano ni madurez operativa. Potencia la capacidad de observar y responder cuando está correctamente alimentado y gestionado.
Su utilidad depende de qué datos recibe, cómo se diseñan las reglas y qué capacidad tiene el equipo para interpretar resultados.
Un error común es creer que centralizar grandes volúmenes de logs ya equivale a tener detección efectiva. Sin reglas útiles, sin contexto de negocio y sin triage, el monitoreo puede convertirse en un repositorio de ruido.
La detección madura suele traducirse en casos de uso concretos, es decir, escenarios priorizados de amenaza para los cuales se diseñan reglas, consultas y procesos de respuesta.
La inteligencia de amenazas consiste en recolectar, analizar y contextualizar información sobre actores, campañas, técnicas, infraestructura maliciosa y tendencias ofensivas para mejorar decisiones defensivas. No se trata solo de “listas de IP”. Se trata de entender mejor el adversario y adaptar controles.
Su valor aparece cuando la organización la convierte en decisiones concretas y no solo en consumo pasivo de reportes.
El threat hunting o cacería de amenazas es la búsqueda proactiva de señales de compromiso que no fueron detectadas automáticamente. En lugar de esperar una alerta, el equipo formula hipótesis y busca evidencia en logs, endpoints, red y sistemas.
Esta práctica es especialmente útil frente a ataques sigilosos, abuso de credenciales legítimas o técnicas que evaden detecciones estáticas.
La visibilidad útil suele requerir varias fuentes combinadas:
La cobertura parcial deja puntos ciegos que los atacantes pueden aprovechar.
Detectar también implica decidir qué merece atención inmediata. El triage es el proceso de evaluar una alerta para determinar gravedad, urgencia y necesidad de escalación.
Detectar bien es una capacidad estratégica porque reduce tiempo de permanencia del atacante, mejora la calidad de respuesta y limita daño. La combinación de logs útiles, correlación, SIEM, indicadores e inteligencia convierte señales dispersas en una postura defensiva mucho más consciente del riesgo real.
En el próximo tema se abordará la respuesta a incidentes, incluyendo contención, erradicación, recuperación y lecciones aprendidas.