Este documento explica los principales conceptos relacionados con la detección, respuesta y compartición de inteligencia sobre amenazas en ciberseguridad, y cómo encajan unos con otros dentro de un ecosistema de defensa.
El Centro de Operaciones de Seguridad es el equipo (y la infraestructura) encargado de monitorizar, detectar, analizar y responder a incidentes de seguridad de forma continua (24/7 en organizaciones maduras).
Es el "puesto de mando" donde convergen todas las demás herramientas y procesos. Un SOC típico se organiza en niveles (L1 triaje, L2 investigación, L3 caza de amenazas e ingeniería).
También conocido como CSIRT (Computer Security Incident Response Team). Es un equipo especializado en gestionar incidentes graves: contención, erradicación, recuperación y lecciones aprendidas.
Diferencia con el SOC:
- El SOC vigila de forma continua y detecta.
- El CERT actúa cuando se confirma un incidente serio, coordina la respuesta y suele tener alcance más amplio (sectorial o nacional, como INCIBE-CERT en España o US-CERT en EE.UU.).
En muchas organizaciones, el CERT es una función dentro del SOC o trabaja estrechamente con él.
Plataforma que centraliza, correlaciona y analiza logs y eventos procedentes de múltiples fuentes: firewalls, servidores, endpoints, aplicaciones, IDS/IPS, etc.
Funciones principales:
- Recolección y normalización de logs.
- Correlación de eventos mediante reglas.
- Generación de alertas para el SOC.
- Almacenamiento para cumplimiento normativo y análisis forense.
Ejemplos: Splunk, QRadar, Microsoft Sentinel, Elastic Security.
El SIEM es la herramienta principal del analista L1/L2 del SOC.
Solución instalada en los endpoints (portátiles, servidores, estaciones de trabajo) que monitoriza su comportamiento en tiempo real, detecta actividad maliciosa y permite responder (aislar el equipo, matar procesos, recoger evidencias).
Va mucho más allá de un antivirus tradicional porque:
- Registra telemetría detallada (procesos, conexiones, ficheros, registro).
- Detecta técnicas y tácticas (mapeadas a MITRE ATT&CK), no solo firmas.
- Permite respuesta remota desde la consola.
Ejemplos: CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint.
Su evolución natural es el XDR (Extended Detection and Response), que correlaciona telemetría de endpoints, red, identidad y cloud.
Ambos analizan tráfico de red buscando actividad sospechosa o maliciosa.
| Característica | IDS | IPS |
|---|---|---|
| Modo | Pasivo (escucha y alerta) | Activo (bloquea en línea) |
| Posición en la red | Fuera de la ruta del tráfico (SPAN/TAP) | En línea (inline) |
| Riesgo | No interrumpe tráfico legítimo | Puede generar falsos positivos que corten servicio |
| Ejemplos | Snort, Suricata, Zeek | Snort/Suricata en modo IPS, Palo Alto, Cisco Firepower |
Tipos según ámbito:
- NIDS/NIPS: a nivel de red.
- HIDS/HIPS: a nivel de host (hoy mayormente absorbidos por el EDR).
Las alertas de IDS/IPS suelen ser enviadas al SIEM para correlación y al SOC para análisis.
Un Indicador de Compromiso es una pieza de evidencia (un "rastro") que sugiere que un sistema ha sido comprometido. Ejemplos típicos:
Los IOC son observables atómicos. Por encima de ellos se sitúan los TTPs (Tácticas, Técnicas y Procedimientos), más estratégicos y difíciles de evadir para el atacante (concepto de la Pyramid of Pain de David Bianco).
Los IOC son la "moneda" que se intercambia entre organizaciones para alertarse mutuamente sobre amenazas.
Lenguaje estandarizado (basado en JSON) para describir información de inteligencia de amenazas (CTI). Permite expresar de forma estructurada:
Mantenido por OASIS. Versión actual: STIX 2.1.
Es el protocolo de transporte (API sobre HTTPS) para compartir información STIX entre organizaciones, plataformas y feeds.
Se organiza en collections y channels a los que los clientes pueden suscribirse para descargar o publicar inteligencia.
El flujo típico en una organización con un programa de seguridad maduro es el siguiente:
┌──────────────────────────────────────────────┐
│ Comunidad / Proveedores de CTI │
│ (CERTs nacionales, ISACs, vendors, OSINT) │
└──────────────────────────────────────────────┘
│
STIX (formato) + TAXII (transporte)
│
▼
┌──────────────────────────────────────────────┐
│ Plataforma TIP / Feeds de IOC y TTPs │
└──────────────────────────────────────────────┘
│
Distribución de IOCs y reglas
│
┌───────────────┼────────────────┐
▼ ▼ ▼
┌───────┐ ┌─────────┐ ┌────────┐
│ EDR │ │ IDS/IPS │ │Firewall│
│(host) │ │ (red) │ │ etc. │
└───┬───┘ └────┬────┘ └───┬────┘
│ logs/alertas │ alertas │ logs
└───────────────┼────────────────┘
▼
┌───────────────┐
│ SIEM │ ← correlación
└───────┬───────┘
│ alertas priorizadas
▼
┌───────────────┐
│ SOC │ ← analistas L1/L2/L3
└───────┬───────┘
│ incidente confirmado
▼
┌───────────────┐
│ CERT/CSIRT │ ← respuesta y coordinación
└───────┬───────┘
│
retroalimentación (nuevos IOCs/TTPs)
│
▼
Comunidad / Proveedores de CTI
| Concepto | Tipo | Función principal | Ámbito |
|---|---|---|---|
| SOC | Equipo/instalación | Monitorización y respuesta continua | Operativo |
| CERT/CSIRT | Equipo | Gestión de incidentes graves | Táctico-estratégico |
| SIEM | Plataforma software | Correlación de logs y alertas | Operativo |
| EDR | Software en endpoint | Detección y respuesta en host | Técnico |
| IDS | Sistema de red (pasivo) | Detección de intrusiones | Técnico |
| IPS | Sistema de red (activo) | Prevención/bloqueo de intrusiones | Técnico |
| IOC | Dato | Evidencia de compromiso | Inteligencia |
| STIX | Estándar/lenguaje | Formato para describir CTI | Inteligencia |
| TAXII | Protocolo | Transporte de información STIX | Inteligencia |
Estos conceptos no son piezas aisladas, sino capas de un mismo sistema defensivo:
Entender este flujo es clave para comprender cómo funciona la defensa ciberseguridad moderna basada en inteligencia, automatización y respuesta coordinada.