Tema 14

14. IDS, IPS, SIEM y monitoreo continuo del tráfico

Prevenir es necesario, pero no suficiente. En seguridad de red también hace falta observar, detectar y reaccionar. Los sistemas de monitoreo y correlación permiten transformar el tráfico, los eventos y los registros en señales útiles para descubrir actividad anómala antes de que el incidente escale.

Objetivo Entender cómo detectar y observar actividad de red
Enfoque Operativo y analítico
Resultado Mejorar visibilidad y capacidad de respuesta

14.1 Introducción

Una red puede estar bien segmentada, usar protocolos seguros y aplicar autenticación fuerte, y aun así sufrir incidentes. Las defensas preventivas reducen riesgo, pero no garantizan que todo intento malicioso será bloqueado. Por eso la detección es una parte esencial de la seguridad.

Monitorear significa observar lo que ocurre en la red y en los sistemas asociados para identificar comportamientos anómalos, violaciones de política, intentos de intrusión o signos tempranos de compromiso. IDS, IPS y SIEM son conceptos clave dentro de ese enfoque.

Este tema no trata solo de herramientas. Trata de visibilidad, contexto, calidad de señal y capacidad operativa para convertir eventos dispersos en decisiones útiles.

14.2 Por qué el monitoreo continuo es indispensable

Si una organización no observa su red, depende exclusivamente de que los controles preventivos nunca fallen. Esa expectativa no es realista. Los errores de configuración, las nuevas amenazas, las excepciones heredadas y los ataques internos o remotos hacen necesario contar con mecanismos de detección.

El monitoreo continuo ayuda a:

  • Detectar comportamientos anómalos tempranamente.
  • Investigar qué ocurrió durante un incidente.
  • Validar si las políticas de seguridad realmente se cumplen.
  • Descubrir activos, flujos o servicios que no deberían existir.
  • Generar evidencia para auditoría y mejora continua.

14.3 Qué es un IDS

IDS significa Intrusion Detection System. Su objetivo es detectar actividad sospechosa o maliciosa y generar alertas, pero sin intervenir directamente sobre el tráfico. Funciona como un sensor o mecanismo de observación.

Un IDS puede analizar:

  • Paquetes o flujos de red.
  • Firmas conocidas de ataque.
  • Comportamientos anómalos respecto de lo normal.
  • Eventos relacionados con protocolos o sesiones.

14.4 Qué es un IPS

IPS significa Intrusion Prevention System. A diferencia del IDS, no solo detecta, sino que también puede bloquear o prevenir cierto tráfico considerado malicioso o no permitido. Para ello suele estar en línea o en una posición con capacidad de intervención.

Mientras el IDS alerta, el IPS puede actuar. Esa capacidad es útil, pero también exige más cuidado porque una detección incorrecta puede bloquear tráfico legítimo.

14.5 IDS frente a IPS

Aspecto IDS IPS
Acción principal Detectar y alertar Detectar y bloquear o limitar
Impacto directo sobre el tráfico No interviene normalmente Sí, puede intervenir
Riesgo operativo Menor impacto directo Mayor riesgo de falsos positivos con bloqueo
Uso habitual Visibilidad y detección Protección activa en puntos críticos

14.6 Detección por firmas y detección por comportamiento

Los sistemas de detección suelen apoyarse en dos enfoques principales, que no son excluyentes.

  • Basado en firmas: compara el tráfico o los eventos con patrones conocidos de ataque.
  • Basado en anomalías o comportamiento: identifica desvíos respecto del patrón esperado de la red o del sistema.

El enfoque por firmas es útil para detectar lo conocido. El enfoque por comportamiento ayuda a detectar lo inusual, aunque puede generar más ruido si la línea base no está bien construida.

14.7 Qué es un SIEM

SIEM significa Security Information and Event Management. Es una plataforma orientada a centralizar, normalizar, correlacionar y analizar eventos de múltiples fuentes para generar contexto de seguridad.

Mientras un IDS o un firewall pueden generar alertas aisladas, el SIEM busca responder una pregunta más amplia: ¿qué está pasando realmente si combinamos estos eventos entre sí?

14.8 Fuentes típicas para un SIEM

  • Firewalls y ACL con logging.
  • IDS e IPS.
  • Servidores, endpoints y sistemas operativos.
  • Servicios de autenticación, VPN y RADIUS.
  • Controladores Wi-Fi, switches, routers y proxies.
  • Servicios cloud, aplicaciones y APIs.

El valor del SIEM depende en gran parte de la calidad y cobertura de estas fuentes.

14.9 Qué hace valioso a un SIEM

El SIEM permite correlacionar eventos que, vistos por separado, podrían parecer triviales. Por ejemplo:

  • Un login exitoso desde una VPN seguido de accesos inusuales a servidores.
  • Múltiples denegaciones de firewall seguidas por tráfico permitido hacia un destino crítico.
  • Cambios administrativos en equipos de red combinados con un pico de errores o alertas de IDS.

Ese contexto mejora mucho la capacidad de detectar incidentes reales y priorizar respuesta.

14.10 Monitoreo continuo no es solo generar logs

Un error frecuente es creer que tener logs equivale a tener visibilidad. En realidad, los registros sin revisión, correlación ni criterio operativo aportan mucho menos valor del esperado. Monitorear implica transformar datos en señales útiles.

Para eso hacen falta:

  • Fuentes relevantes y bien configuradas.
  • Relojes sincronizados y eventos consistentes.
  • Reglas de correlación o análisis útiles.
  • Priorización de alertas.
  • Capacidad humana para interpretar y actuar.

14.11 Qué señales suele buscar el monitoreo de red

  • Escaneos de puertos o descubrimiento de servicios.
  • Tráfico hacia destinos inusuales o reputacionalmente sospechosos.
  • Picos de conexiones fallidas o autenticaciones anómalas.
  • Movimiento lateral entre segmentos que no suelen interactuar.
  • Tráfico saliente inesperado desde servidores internos.
  • Cambios no previstos en infraestructura de red.

14.12 Falsos positivos y fatiga de alertas

Uno de los grandes desafíos del monitoreo es el exceso de alertas irrelevantes. Si el sistema genera demasiado ruido, el equipo operativo termina ignorando señales que sí importan. Esto se conoce como fatiga de alertas.

Reducir ese problema requiere:

  • Reglas ajustadas al contexto real de la organización.
  • Conocimiento de comportamiento normal.
  • Priorización por criticidad de activo y riesgo.
  • Revisión continua de calidad de las alertas.
Un sistema que alerta por todo no detecta mejor. Detecta peor, porque obliga al equipo a trabajar sin señal clara.

14.13 Ubicación de sensores y visibilidad de tráfico

La efectividad de IDS, IPS o sensores de red depende en gran parte de dónde observan. No todos los puntos de la infraestructura ofrecen el mismo contexto.

Ubicación Qué permite ver Limitación típica
Perímetro Entrada y salida a internet No siempre muestra movimiento lateral interno
Entre zonas internas Flujos críticos entre segmentos Requiere diseño y puntos de visibilidad claros
Host o endpoint Actividad local del sistema No ve el panorama completo de la red

14.14 Monitoreo de tráfico cifrado

El uso creciente de cifrado protege la comunicación, pero también complica la inspección. Esto obliga a combinar estrategias: observar metadatos, correlacionar eventos, inspeccionar donde el tráfico ya está descifrado o apoyarse más en contexto del endpoint y de la aplicación.

El hecho de que un flujo esté cifrado no lo vuelve automáticamente benigno. Por eso la visibilidad debe evolucionar sin depender exclusivamente del contenido en claro.

14.15 SIEM y respuesta a incidentes

El SIEM no solo sirve para mirar el pasado. También puede apoyar la respuesta operativa cuando detecta combinaciones de eventos relevantes. Por ejemplo, puede disparar investigación sobre una cuenta comprometida, priorizar hosts afectados o mostrar una línea temporal útil del incidente.

Su valor aumenta cuando está integrado con procesos claros de escalamiento, análisis y contención.

14.16 Errores frecuentes en monitoreo

  • Recolectar enormes volúmenes de logs sin criterio de utilidad.
  • No sincronizar tiempo entre dispositivos y fuentes.
  • No revisar la calidad real de las alertas generadas.
  • Depender solo de detecciones por firma sin contexto.
  • No cubrir segmentos internos relevantes.
  • Instalar herramientas sin asignar responsables operativos claros.

14.17 Recomendaciones prácticas

  1. Definir qué activos y flujos son más críticos para monitorear.
  2. Centralizar eventos relevantes en una plataforma útil para análisis.
  3. Ajustar alertas según contexto, no solo por defaults del fabricante.
  4. Correlacionar eventos de red con identidad, autenticación y cambios administrativos.
  5. Revisar continuamente falsos positivos y cobertura real.
  6. Usar el monitoreo como parte activa de la mejora continua, no solo como registro pasivo.

14.18 Qué debes recordar de este tema

  • La detección complementa a la prevención y es indispensable en seguridad de red.
  • IDS detecta y alerta; IPS detecta y puede bloquear.
  • SIEM correlaciona eventos de múltiples fuentes para aportar contexto.
  • La visibilidad depende tanto de la calidad de las fuentes como de la ubicación de los sensores.
  • El exceso de ruido y falsos positivos puede volver inefectivo cualquier sistema de monitoreo.

14.19 Conclusión

Monitorear una red no es simplemente acumular registros, sino construir una capacidad real de ver, interpretar y responder. IDS, IPS y SIEM cumplen funciones distintas pero complementarias dentro de esa misión. Cuando se diseñan bien y se alinean con la arquitectura y los procesos, permiten detectar antes, investigar mejor y reaccionar con mayor precisión.

En el próximo tema estudiaremos logs, NetFlow, análisis de paquetes y visibilidad de red para profundizar todavía más en las fuentes y técnicas que alimentan esa capacidad de observación.

Volver al índice