De la reacción a la prevención: La evolución del monitoreo en ciberseguridad

11 de marzo de 2025

Diego Espitia, Telefónica Tech ColombiaLa ciberseguridad ha evolucionado significativamente en los últimos 20 años. Desde que se mencionó por primera vez una solución para vigilar las acciones dentro de las redes y los sistemas, esta solución fue denominada SIEM (Security Information and Event Management) en un informe de Gartner, como una herramienta de TI para mejorar la gestión de vulnerabilidades.

Unos años después, el SIEM se convirtió en el corazón del SOC (Security Operations Center), desde donde personal especializado realiza todas las acciones necesarias para mitigar amenazas o comportamientos anómalos antes de que se conviertan en incidentes. Para ello, toman todos los eventos reportados, los correlacionan y detectan posibles amenazas o anomalías.

Sin embargo, a pesar de los avances tecnológicos y los dispositivos especializados que reportan estos comportamientos, los incidentes de ciberseguridad siguen aumentando día tras día. Esto ha generado un interés creciente en que el monitoreo no se base exclusivamente en eventos o acciones que ya ocurrieron en la red, sino que incorpore otros parámetros o perspectivas para hacer las detecciones más eficientes y, sobre todo, preventivas.

Uno de los ejemplos que más ha avanzado y que ha dado lugar a nuevas disciplinas en torno a la ciberseguridad y la protección preventiva es el EDR (Endpoint Detection and Response). Este concepto surgió en 2010 y se materializó como desarrollo a partir de 2013, convirtiéndose hoy en una herramienta vital para las organizaciones que buscan adoptar un modelo de seguridad más proactivo que reactivo.

El concepto de EDR (Endpoint Detection and Response) es hoy una herramienta vital para las empresas.

La razón de su importancia radica en su capacidad para realizar búsquedas directamente en los dispositivos y ejecutar acciones predeterminadas sobre estas detecciones. Sin embargo, para que esta capacidad alcance su máximo potencial, se requiere un conjunto de acciones y conocimientos específicos, de los cuales hablaremos a continuación.

Conocimiento de la operación

Como proveedores de servicios de gestión de seguridad, uno de los principales desafíos a los que nos enfrentamos diariamente es la falta de conocimiento por parte de nuestros clientes sobre los detalles funcionales de su infraestructura tecnológica. Un ejemplo claro es la dificultad para identificar cuáles son los dispositivos o servicios críticos para su operación.

El monitoreo y la detección de amenazas se basan en prioridades, ya que es imposible analizar los miles de eventos por segundo que pueden generarse en cada uno de los sistemas. Sin embargo, estas prioridades solo pueden establecerse mediante un análisis de riesgos adecuado y un plan de seguridad que defina un gobierno claro de acciones y prioridades.

Estas definiciones pueden lograrse mediante una consultoría específica para la detección de las "joyas de la corona" o la identificación de prioridades y rutas críticas de información. Con estos datos, es posible implementar o mejorar los mecanismos de monitoreo, además de utilizarlos como insumo para determinar las acciones de respuesta automática de los EDR, las respuestas de los analistas del SOC o, en caso de una detección más grave, la activación de los equipos de DFIR (Digital Forensics Incident Response).

Uno de los SOC globales de Telefónica Tech

Coordinación en las acciones

Dado que el EDR monitorea y responde directamente en cada dispositivo, es fundamental que los equipos de TI y seguridad estén altamente coordinados en sus acciones. Esto evita bloqueos mutuos o falsos positivos.

La mayoría de los EDR actuales generan una línea de comportamiento habitual, lo que permite enfocar las respuestas automáticas en acciones que se desvíen de esta línea, alertando, controlando o bloqueando inmediatamente cualquier anomalía. Por lo tanto, si el departamento de TI necesita desplegar un nuevo software o realizar un acceso remoto a un servidor, debe coordinarse previamente para evitar que el EDR genere alertas o bloqueos innecesarios.

Estas acciones se van perfeccionando con el tiempo y dependen directamente del punto anterior, donde se han establecido lineamientos claros sobre cómo ejecutar los procedimientos de ciberseguridad y cómo cada activo tiene una prioridad y políticas específicas que cumplir.

Análisis de sospechosos

Iniciamos este artículo haciendo un recuento de cómo surgieron las tecnologías de monitoreo y cómo estas no han sido suficientes para controlar el crecimiento de los incidentes. Frente a esta realidad, nació el Threat Hunting como pilar de la seguridad proactiva, una práctica que comenzó como una teoría en 2011 y que, desde 2017, se ha convertido en una de las más recomendadas y utilizadas, no solo en monitoreo, sino también en la respuesta a incidentes.

Su aplicación está fundamentada en gran medida en las capacidades que brinda el EDR dentro de la organización, pero depende en gran medida del conocimiento y las habilidades de los analistas que formulan hipótesis y realizan búsquedas.

Esta disciplina surge para cubrir la necesidad de detectar comportamientos anómalos más allá de los identificados por el SIEM o las alertas configuradas, las cuales requieren un análisis constante para su mejora, pero que nunca avanzan a la misma velocidad que las amenazas.

SIEM se ha convertido en el corazón del SOC (Centro de Operaciones de Seguridad), donde el personal especializado mitiga amenazas antes de que se conviertan en incidentes.

Por ejemplo, una alerta puede identificar una conexión con un alto flujo de datos a un servicio externo que está fuera del comportamiento habitual de la red. Sin embargo, esta conexión podría ser el último paso del atacante para exfiltrar información. En cambio, con el Threat Hunting, todos los pasos previos que el atacante tuvo que ejecutar podrían detectarse mediante búsquedas periódicas o acciones sospechosas planteadas a partir del conocimiento de comportamientos delictivos.

Usando el conocimiento de otros

Como se mencionaba en el párrafo anterior, el conocimiento de los comportamientos delictivos es una base de datos invaluable. Las organizaciones deben valorar y aplicar este conocimiento en sus búsquedas, tanto en el SIEM como en los EDR, para aumentar no solo la capacidad de detección, sino también mejorar los tiempos de respuesta.

Esta base de conocimiento se conoce como CTI (Cyber Threat Intelligence). La mayoría de los fabricantes de EDR y empresas de seguridad han implementado esta capacidad, pero no todas las organizaciones la utilizan o valoran como una fuente de información estratégica y operativa en ciberseguridad.

Conocer los pasos de los diferentes actores de amenazas es vital para plantear una defensa efectiva. Esto implica coordinar el plan de seguridad mencionado al inicio, con las búsquedas de Threat Hunting y las respuestas automáticas. Todo esto es proporcionado por el CTI, completando el conjunto de capacidades que respaldan el monitoreo proactivo.

La coordinación de acciones y el conocimiento de la operación son esenciales para establecer prioridades y mejorar los mecanismos de monitoreo."

Conclusiones

En un entorno donde las amenazas cibernéticas son cada vez más sofisticadas y frecuentes, el monitoreo tradicional basado en la reacción a eventos ya ocurridos ha demostrado ser insuficiente. Las organizaciones deben adoptar un enfoque proactivo que les permita anticiparse a los ataques, en lugar de simplemente responder a ellos.

Herramientas como el EDR (Endpoint Detection and Response), prácticas como el Threat Hunting y fuentes de información como el CTI (Cyber Threat Intelligence) se han convertido en pilares fundamentales para construir una estrategia de ciberseguridad efectiva. Sin embargo, su implementación no es suficiente por sí sola. Para alcanzar su máximo potencial, es necesario:

  1. Conocer a fondo la infraestructura tecnológica.
  2. Coordinar equipos y procesos.
  3. Invertir en capacitación y talento.
  4. Integrar inteligencia de amenazas.

En resumen, la ciberseguridad moderna requiere un equilibrio entre tecnología, conocimiento y estrategia. Las organizaciones que logren alinear estas capacidades con sus objetivos de negocio no solo estarán mejor preparadas para enfrentar las amenazas actuales, sino que también estarán un paso adelante en la protección de sus activos más valiosos.

La ciberseguridad ya no es un tema exclusivo del área de TI; es una prioridad estratégica que debe integrarse en todos los niveles de la organización. ¿Está tu empresa preparada para dar el salto hacia una ciberseguridad proactiva?