¿Quién detectaría el primer ataque? La pregunta que pocos directivos se hacen
Forbes México. ¿Quién detectaría el primer ataque? La pregunta que pocos directivos se hacen Si una empresa no tiene claro quién podría ser el primero en identificar un incidente, está operando a ciegas. ¿Quién detectaría el primer ataque? La pregunta que pocos directivos se hacen Andrés Velázquez
Forbes México.
¿Quién detectaría el primer ataque? La pregunta que pocos directivos se hacen
Un incidente de ciberseguridad no siempre se detecta en el momento en que ocurre ni de la manera más obvia. Muchas veces, el primer indicio llega desde áreas operativas que no están directamente relacionadas con la ciberseguridad: un reporte en la mesa de ayuda, una llamada al call center, una alerta de un NOC o del SOC o un usuario enojado porque no entra al sistema.
El SOC (Security Operations Center) es el centro de operaciones encargado de monitorear la ciberseguridad de la organización, buscando actividades inusuales o potenciales amenazas en tiempo real. Por otro lado, el NOC (Network Operations Center) se enfoca en garantizar que la infraestructura tecnológica funcione adecuadamente, detectando caídas, anomalías o fallos en los sistemas y redes. Aunque sus objetivos son distintos, ambos centros pueden ser la primera línea de defensa que identifique señales tempranas de un incidente.
Pero incluso teniendo un SOC, vale la pena preguntarse: ¿qué pasa si el SOC no sabe qué buscar, no tiene las fuentes adecuadas para detectar amenazas o simplemente no está observando en el lugar correcto? En ese caso, los incidentes pasarán desapercibidos. Sería como tener cámaras de seguridad instaladas, pero todas apuntando a un pasillo donde nadie pasa, mientras que, en otro lado, donde realmente ocurre la intrusión, no hay vigilancia alguna. Tener un SOC no garantiza la detección si no hay claridad en las fuentes de información, en los indicadores de compromiso o en los procesos de análisis. Vaya, no va a alertarte si depende de una tecnología que no es configurada para el tipo de ataques que la empresa puede enfrentar. Usar una plantilla para todos no funcionaría.
Si una empresa no tiene claro quién podría ser el primero en identificar un incidente, está operando a ciegas. Detectar un incidente no depende solo de tener la tecnología correcta; también depende de saber interpretar señales que muchas veces son sutiles: un comportamiento extraño en una computadora, un acceso inusual a sistemas, un error recurrente en aplicaciones críticas.
Incluso un usuario puede ser quien detecte algo fuera de lo normal. Sin embargo, en muchos casos, el miedo a ser culpado hace que algunos empleados oculten irregularidades en lugar de reportarlas de inmediato. Este silencio, por temor o desconocimiento, puede costarle a la organización horas o días cruciales en la contención de un ataque. Aquí es donde es importante lograr un trabajo conjunto donde todos puedan ser ojos ante un incidente.
Además, encontrar una vulnerabilidad crítica, a través de un escaneo de vulnerabilidades o pruebas de penetración debería ser tratado con la misma seriedad que un incidente confirmado. No basta con corregir técnicamente el problema; debe evaluarse si esa falla ya ha sido explotada permitiendo que alguien tuviera acceso. Esto debería activar al equipo de respuesta a incidentes para analizar si hubo actividad maliciosa previa. No entender esta conexión entre hallazgos de vulnerabilidades y posibles incidentes es una de las brechas más comunes en la gestión de riesgos tecnológicos.
El error más frecuente es suponer que “si nadie reporta, todo está bien”. La falta de reportes no garantiza la ausencia de incidentes, especialmente en organizaciones donde los flujos de comunicación no están definidos o donde la cultura organizacional no promueve el reporte inmediato de anomalías. Tener canales claros de reporte, capacitar a toda la organización en identificar señales de alerta y eliminar el miedo a ser señalado, son pasos fundamentales para detectar amenazas a tiempo.
Los ataques no siempre son ruidosos ni inmediatos. Muchos son discretos, prolongados, y buscan pasar desapercibidos el mayor tiempo posible. En muchos de los incidentes que atendemos, el atacante había podido estar dentro de la infraestructura hasta 8 meses antes de generar una afectación o cambio. Cada minuto que pasa sin detectar una intrusión puede amplificar el impacto operativo, financiero y reputacional de forma exponencial.
La alta dirección debe preguntarse: ¿sabemos hoy, de forma concreta, ¿cómo detectaríamos el primer signo de un incidente? Si la respuesta no es inmediata y clara, el riesgo más grande no es el ataque externo: es la incapacidad interna de detectarlo a tiempo.
En ciberseguridad, no se puede proteger lo que no se ve. Y no se puede actuar rápido si no se tiene un ecosistema de detección que funcione desde todos los frentes, no solo desde las áreas técnicas especializadas. La verdadera resiliencia empieza mucho antes de que suene la primera alerta.
Sobre el autor:
Correo: contacto@andresvelazquez.com
LinkedIn: https://www.linkedin.com/in/andresvelazquez/
Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.
Sigue la información sobre los negocios y la actualidad en Forbes México
¿Quién detectaría el primer ataque? La pregunta que pocos directivos se hacen
Andrés Velázquez
