¿Qué es la detección de amenazas?

La detección de amenazas ayuda a las organizaciones a evitar ataques mediante el análisis del comportamiento de los atacantes y la identificación de las amenazas potenciales.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir "detección de amenazas"
  • Comparar los modelos habituales de detección de amenazas
  • Comprar la detección de amenazas con la información sobre amenazas

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué es la detección de amenazas?

La detección de amenazas es un término genérico para las técnicas y herramientas que utilizan las organizaciones para identificar ciberamenazas. Mientras que la detección de amenazas tradicional era un proceso de investigación manual que requería más los conocimientos de un analista de seguridad, que de herramientas automatizadas, la detección de amenazas actual depende de una combinación de ambas.

Con frecuencia, la "detección de amenazas" hace referencia a la detección proactiva de amenazas, durante la cual las organizaciones analizan de forma preventiva su red con el objetivo de encontrar indicios de actividades maliciosa internas o investigar la infraestructura de atacantes de fuera de la misma. Con menos frecuencia, el término también describe la detección reactiva de amenazas, durante la cual las organizaciones analizan su propia infraestructura para encontrar puntos débiles tras una fuga de datos o un ataque similar.

¿Qué es un indicador de ataque (IOA)?

Durante el proceso de detección de amenazas, las organizaciones buscan indicadores de ataque (IoA)* para determinar la intención y el comportamiento de los potenciales atacantes. Un IoA es una acción o serie de acciones que debe realizar un atacante para completar con éxito el ataque. Por ejemplo, engañar a un objetivo para que abra un correo electrónico de phishing, que haga clic en un enlace malicioso o que ejecute una descarga de malware, etc. Entender las tácticas y procedimientos específicos de un atacante puede ayudar a las organizaciones a preparar una defensa más proactiva ante las amenazas.

Un indicador de riesgo (IoC) es una prueba de actividad maliciosa: una anomalía en el tráfico de red, inicios de sesión sospechosos, actualizaciones inesperadas de cuentas o archivos de nivel de administrador, u otros signos de que ha habido una fuga en una organización. Los IoC son componentes útiles de los procesos de detección reactivos de amenazas, ya que suelen indicar que una organización que una organización ya se ha puesto en riesgo.

*Esto también se conoce como tácticas, técnicas y procedimientos (TTP) de un atacante.

¿Cómo funciona la detección de amenazas?

Los procedimientos de detección de amenazas varían en función de las necesidades de una organización y de las capacidades de su equipo de seguridad, pero estos suelen formar parte de alguna de estas tres categorías: detección estructurada, detección no estructurada o detección situacional.

  1. La detección estructurada identifica y analiza comportamientos y tácticas específicas de los atacantes, o IoA. Usa un modelo de detección basado en hipótesis, en el que se genera una hipótesis según un manual de detección de amenazas (por ejemplo, el marco MITRE ATT&CK). El objetivo principal de una detección estructurada es localizar de forma proactiva el comportamiento de los atacantes antes de que se produzca un ataque contra una organización.
  2. La detección no estructurada se activa al descubrir un IoC —es decir, pruebas de actividad maliciosa— lo que puede indicar un ataque reciente o pasado en el que se haya puesto en riesgo alguna parte de la organización. Una detección no estructurada utiliza un modelo de detección reactivo basado en información, que examina direcciones IP, nombres de dominio, valores hash y otros datos suministrados por plataformas de intercambio de información. Su objetivo principal es investigar las vulnerabilidades existentes en la infraestructura y los sistemas de una organización.
  3. La detección situacional, también conocida como detección impulsada por entidades, se centra en sistemas, activos, cuentas o datos específicos que pueden verse en riesgo. Por ejemplo, una cuenta con privilegios de administrador puede correr mayor riesgo de sufrir un ciberataque que una cuenta que tenga menos privilegios, ya que la primera puede tener acceso a datos y sistemas más confidenciales. La detección situacional usa un modelo de detección de amenazas personalizado que puede adaptarse a las necesidades de una organización, ya que su principal objetivo es asegurar los objetivos de alto riesgo y comprender con qué tipo de amenazas pueden enfrentarse, en lugar de examinar los IoA o IoC de toda una organización.

Para poder entender la diferencia entre estos procesos, imaginemos que Bob intenta identificar aves mediante el uso de tres técnicas diferentes de observación de aves. Con una metodología se necesitaría mucha planificación: analizar las pautas migratorias de un ave, sus rituales de apareamiento, sus horarios de alimentación y cualquier otro factor de comportamiento que pueda ayudar a determinar dónde y cuándo es probable que se pueda ver al ave. Esto se parece a la detección estructurada, que se centra en descubrir las tácticas y el comportamiento conocidos de un atacante.

Mediante el uso de otra metodología, Bob puede ir a un bosque y buscar nidos, excrementos u otras pruebas físicas de la presencia de un ave. Esto se parece a la detección no estructurada, que suele activarse cuando se detecta un IoC.

Una tercera metodología puede requerir que Bob dé prioridad al seguimiento de las aves en peligro de extinción en vez de a las especies más comunes, y que luego tenga que adaptar su enfoque al ave concreta que esté intentando identificar. Esto se parece a la detección situacional, que utiliza una estrategia personalizada para identificar amenazas a objetivos de alto riesgo.

Tipos de herramientas de detección de amenazas

El proceso tradicional de detección de amenazas se basaba en analistas de seguridad que examinaban manualmente la red, la infraestructura y los sistemas de una organización, y que luego creaban y probaban hipótesis para detectar amenazas externas e internas (como una fuga de datos o un movimiento lateral malicioso).

En comparación, la detección de amenazas moderna usa herramientas de ciberseguridad para ayudar a automatizar y agilizar el proceso de investigación. Algunas de las herramientas más comunes son las siguientes:

  • La Administración de eventos e información de seguridad (SIEM) es una solución de seguridad que ofrece agregación de datos de registro, supervisión de alertas, análisis de incidentes de seguridad, informes de cumplimiento, entre otras funciones.
  • La Detección y respuesta gestionadas (MDR) es un tipo de centro de operaciones de seguridad (SOC) gestionado que realiza un seguimiento de la actividad de la red, crea alertas, investiga las amenazas potenciales, elimina los falsos positivos de las alertas, ofrece análisis avanzados y ayuda a solucionar los incidentes de seguridad.
  • El Análisis de comportamiento de usuarios y entidades (UEBA) es un servicio de seguridad que agrega datos de usuarios y de puntos finales, establece una línea base de comportamiento normal, y detecta y analiza anomalías en los sistemas de una organización.

Detección de amenazas vs. información sobre amenazas

La detección de amenazas es el proceso de descubrir y analizar el comportamiento de los atacantes, pruebas de ciberataques u otras amenazas potenciales a las que se enfrenta una organización. El objetivo de la detección de amenazas no es solo descubrir vulnerabilidades en la infraestructura de una organización, sino también detectar amenazas y ataques que todavía no se hayan producido.

En cambio, la información sobre amenazas es un conjunto de datos sobre ciberataques, tanto sobre amenazas potenciales como ataques que ya se hayan producido. Con frecuencia, estos datos se compilan en una fuente de información sobre amenazas, que las organizaciones pueden utilizar para actualizar sus procesos de detección de amenazas y sus procedimientos de seguridad.

En resumen, la detección de amenazas es parecido a cuando se realiza una investigación en la escena del crimen, mientras que la inteligencia sobre amenazas son las pruebas que en ella se encuentran.

Para más información sobre las categorías y objetivos de la información sobre amenazas, consulta ¿Qué es la información sobre amenazas?

¿Ofrece Cloudflare servicios de detección de amenazas?

El Centro de seguridad de Cloudflare ofrece funciones de investigación sobre amenazas diseñadas para ayudar a los equipos de seguridad a identificar, rastrear y mitigar posibles ataques desde una única interfaz unificada. Dentro del portal de investigación sobre amenazas, los usuarios pueden consultar direcciones IP, nombres de host y sistemas autónomos (SA) específicos para localizar el origen de las amenazas emergentes.

Más información sobre el Centro de seguridad de Cloudflare.