Detección de comportamientos anómalos, clave en ciberseguridad
Publicado por Erik Moreno, director de Minsait Cyber en México en 23/07/2025 en ArtículoCompartir:
Muchos CISO y expertos en seguridad cometen el error de buscar directamente lo anormal sin antes definir lo que es normal o habitual.
Por Erik Moreno, director de Minsait Cyber en México. Foto: Portal ERP México.
La detección de comportamientos anómalos se ha convertido en una herramienta fundamental en el mundo de la ciberseguridad. No sólo permite identificar amenazas antes de que causen estragos, sino que también mejora las capacidades de prevención tanto en empresas como en centros de operaciones de ciberseguridad (SOC). Gracias a esta estrategia, las organizaciones pueden adelantarse a posibles ataques y reforzar su seguridad digital.
Si bien la detección basada en firmas sigue siendo un método útil, es esencial robustecerla con métodos complementarios, los cuales permiten identificar actividades maliciosas a partir de comportamientos inusuales, ayudando a detectar ataques nuevos o sofisticados que de otro modo podrían pasar desapercibidos.
Hay que considerar siempre que los atacantes están evolucionando constantemente, por lo que las empresas deben contar con herramientas flexibles y adaptables.
Más del autor: Todo lo que debe saber antes de contratar un ciberseguro para su empresa
Perfeccionando la detección
La idea de detectar anomalías no es nueva. Fue introducida en 1987 por Dorothy Denning, matemática e investigadora en seguridad de la información estadounidense, y desde entonces ha evolucionado hasta convertirse en una estrategia clave en la ciberseguridad moderna. Su aplicación permite a los expertos anticiparse a los atacantes y mejorar las defensas digitales. Con el avance de la tecnología, se han desarrollado sistemas más sofisticados que permiten una detección más precisa y eficiente.
La razón por la que se considera el Santo Grial de la ciberseguridad es simple: si logramos comprender qué es "normal", podremos detectar cualquier desviación con mayor precisión. Sin embargo, este plantea un desafío significativo, ya que lo "normal" no siempre es fácil de definir.
Cada organización, en industrias específicas, tiene su propio patrón de comportamiento, lo que significa que el proceso de aprendizaje y configuración es fundamental para una correcta detección de anomalías.
Lo normal vs lo anormal
Muchos CISO y expertos en seguridad cometen el error de buscar directamente lo anormal sin antes definir lo que es normal o habitual. Para detectar anomalías de manera efectiva, es fundamental entender en primera instancia el negocio, sus procesos, las tecnologías que lo sustentan y los comportamientos regulares de los usuarios. Solo así se pueden diferenciar eventos sospechosos de actividades legítimas.
Un gran reto en la detección de comportamientos anómalos es la correcta interpretación de los datos a lo largo del tiempo. Por ejemplo, un pico de actividad en los servidores a fin de mes puede parecer anormal si se observa en un periodo corto, pero al analizar un año completo, se vuelve un patrón predecible. La perspectiva temporal es crucial para evitar falsos positivos y asegurar que solo las verdaderas amenazas sean identificadas.
La clave para distinguir los falsos positivos radica en analizar los eventos en el contexto adecuado. Si un evento ocurre regularmente en ciertos periodos, no es una amenaza. En contraste, si aparece fuera de su frecuencia habitual, podría indicar una posible intrusión o problema de seguridad. Es por esto que los sistemas de detección de anomalías deben aprender y adaptarse a patrones cambiantes dentro de la organización.
Las anomalías pueden manifestarse de diversas formas: un incremento repentino de tráfico, un uso excesivo del procesador, peticiones inusuales desde direcciones IP desconocidas o patrones de acceso fuera del horario laboral. Estas y otras señales pueden indicar la presencia de una actividad maliciosa. No obstante, también pueden ser consecuencia de cambios operativos dentro de la organización, lo que resalta la importancia de un monitoreo continuo y un análisis detallado de los eventos.
Hay que señalar que una anomalía no es necesariamente un indicio de ataque. Algunas pueden representar oportunidades de optimización, por ejemplo, al identificar patrones de uso que podrían mejorar la eficiencia de los sistemas o las estrategias comerciales. En algunos casos, una anomalía podría sugerir la necesidad de actualizaciones o mejoras en la infraestructura de TI.
Además debe considerarse que la detección de comportamientos anómalos se divide en dos enfoques: localizar problemas conocidos (como malware con firmas específicas) y encontrar posibles amenazas desconocidas mediante herramientas avanzadas de análisis de comportamiento. Ambos enfoques son complementarios y esenciales para una estrategia de ciberseguridad robusta.
Protección automatizada
Para detectar anomalías con precisión, es imprescindible contar con herramientas tecnológicas avanzadas. Estas herramientas permiten a las organizaciones automatizar el proceso de detección y respuesta ante posibles incidentes de seguridad. El marco de seguridad NIST 2.0 ya incluye el análisis de eventos adversos como parte de la estrategia de detección de amenazas.
Entre las soluciones clave se encuentran los firewalls, los sistemas de detección y respuesta para endpoints y los sistemas SIEM, que permiten gestionar eventos de seguridad y correlacionar alertas de diferentes fuentes para una detección más efectiva. Combinarlas ayuda a reducir la cantidad de falsos positivos y mejorar la eficiencia operativa de los equipos de ciberseguridad.
Otras tecnologías como los Web Application Firewalls también juegan un papel crucial, al permitir la detección de intrusiones a través de las aplicaciones y analizar cómo interactúan los usuarios con un sitio web. Esta información ayuda a identificar comportamientos sospechosos y prevenir ataques específicos contra aplicaciones web.
IA para ? aliviar las “fatigas”
En este punto, es importante no dejar pasar de largo la “fatiga de alertas”, que hoy representa un desafío considerable. Y es que la gran cantidad de eventos generados por los sistemas de seguridad puede abrumar a los equipos del SOC, llevando a que se ignoren alertas críticas o se pase por alto un ataque sigiloso. Es fundamental contar con estrategias que permitan filtrar y priorizar alertas de manera efectiva.
La inteligencia artificial puede ser una solución clave para aliviar esta carga. Al automatizar el filtrado de falsos positivos, la IA permite que los analistas se concentren en las amenazas reales y optimicen sus estrategias de detección y respuesta. Además, la IA puede aprender de los patrones de ataque y mejorar con el tiempo.
Al delejar a la IA el trabajo repetitivo, los ingenieros se encargan de realizar y detectar comportamientos basados en casos de uso y playbooks. En Minsait, ayudamos a que la operación se gestione a través de los casos de uso, definiendo procesos específicos para responder ante comportamientos anómalos. Además, implementamos diversas técnicas y tácticas para comprender y defendernos de las ofensivas de los atacantes. Gracias a la inteligencia artificial, reducimos la fatiga provocada por el exceso de alertas, automatizamos procesos y optimizamos la gestión de amenazas, logrando así una mayor eficiencia.
Cabe resaltar que la detección de comportamientos anómalos es una herramienta que cobra relevancia en la ciberseguridad, pero que requiere un balance entre tecnología e intervención humana. La combinación de inteligencia artificial, análisis de patrones y experiencia analítica es la clave para identificar amenazas con precisión y mantener la seguridad en un entorno digital cada vez más complejo.
