siem

La evolución de las reglas de correlación SIEM

Regularmente creamos nuevas reglas SIEM, pero detrás de todo ello se esconde un proceso más fundamental: la evolución de las propias reglas de correlación.

Alexander Marmalidi
29 May 2026

En pocas palabras, la lógica clásica de un sistema SIEM funciona de la siguiente manera: si se produce el evento A seguido del evento B, esto puede ser un indicio de un ataque, por lo que se debe notificar a un especialista en seguridad de la información. Pero en el entorno actual, este escenario sencillo está fallando cada vez más. Hace muy poco, nuestros expertos analizaron un incidente de gran repercusión: unos atacantes pusieron en riesgo la infraestructura de actualizaciones del popular software Notepad++ y distribuyeron malware a través de ese mecanismo. Es simplemente imposible tener reglas establecidas de antemano que estén diseñadas específicamente para contrarrestar tales escenarios.

Los ataques en sí se han vuelto más sofisticados: los atacantes utilizan herramientas legítimas, atacan a través de la cadena de suministro al poner en peligro software fuera del perímetro corporativo, prolongan sus operaciones a lo largo del tiempo y camuflan sus acciones como actividad normal. En otras palabras, no “irrumpen” en la infraestructura; la mayoría de las veces inician sesión y utilizan software legítimo. Como resultado, las reglas fijas clásicas del pasado o bien no se activan, o generan demasiadas falsas alertas. Esto es lo que ha impulsado el cambio hacia escenarios de correlación más flexibles.

Contenido SIEM actualizado dinámicamente

El contenido de correlación actual no es un conjunto de reglas estáticas, sino un proceso: está en constante evolución y se adapta a las amenazas actuales. Solo en 2025, lanzamos 55 actualizaciones de paquetes de reglas para diferentes versiones e idiomas de nuestro sistema Kaspersky SIEM. En solo un año, hemos añadido 10 nuevos paquetes de reglas, además de 250 reglas de detección y numerosas mejoras al contenido ya existente. Este año, ya hemos añadido 43 reglas nuevas y hemos perfeccionado otras 63. En total, esto supone más de 850 reglas que abarcan una parte significativa del marco MITRE ATT&CK.

Las reglas de Kaspersky SIEM se escriben en función de los conocimientos de nuestros expertos que analizan los ataques recientes del mundo real: nos basamos principalmente en los resultados de nuestro servicio de Managed Detection and Response (MDR) y en nuestra investigación de amenazas. Como resultado, nuestras reglas cubren escenarios, desde el reconocimiento hasta la escalada de privilegios, que incluyen los últimos métodos utilizados por los atacantes. Por ejemplo, detectamos el uso de nuevas técnicas de ataque, como ToolShell.

Además de las actualizaciones programadas, el equipo publica periódicamente lo que se conoce como contenido de emergencia: conjuntos de reglas diseñadas para responder rápidamente a técnicas de ataque nuevas e imprevistas. Por ejemplo, en febrero se publicaron reglas de detección para eludir la autenticación en los productos de Fortinet a través del mecanismo SSO: los atacantes utilizaban solicitudes SAML especialmente diseñadas para acceder a los sistemas sin necesidad de credenciales.

De los eventos a las cadenas de ataque

Además, las reglas SIEM modernas ya no describen eventos individuales, sino secuencias de acciones. Los escenarios se construyen en torno a las etapas de un ataque: desde el acceso inicial hasta la escalada de privilegios y la persistencia. La eficacia de Kaspersky SIEM se ve reforzada gracias a la integración con Kaspersky EDR y a conjuntos de reglas específicos para Active Directory, que implementan docenas de escenarios de detección de ataques en diversas etapas. Este enfoque nos permite ver no solo las señales individuales, sino la imagen completa.

Integración y visibilidad interna

Otra forma de mejorar la eficacia de un sistema SIEM es ampliar las fuentes de datos. Un SIEM clásico recopila eventos de diferentes niveles de la infraestructura: desde registros hasta datos de telemetría procedentes de terminales y sistemas internos. Además, nuestro sistema SIEM incluye conjuntos de reglas especializadas para nuestras otras soluciones (Kaspersky Security Center, Kaspersky Security for Mail Groups y la plataforma K Anti-Targeted Attack), que permiten supervisar las acciones de los administradores, la autenticación y el estado de los servicios. Como resultado, el sistema se convierte en una herramienta no solo para detectar ataques, sino también para supervisar la actividad interna.

En general, el SIEM ya no es solo un conjunto de reglas, sino que ha evolucionado hasta convertirse en un sistema de detección que se actualiza continuamente. Su eficacia no viene determinada por el número de detecciones, sino por su relevancia, coherencia y la precisión con la que reflejan las acciones reales de los atacantes. No te pierdas ninguna actualización sobre Kaspersky SIEM en su página oficial del producto.

Cómo administrar las suscripciones de forma segura

La seguridad en las suscripciones: cómo proteger tu cuenta, tu cartera y tu cordura

Por qué los titulares de las suscripciones deben priorizar la ciberseguridad personal y familiar.

Privacidad y niños

La evolución de las reglas de correlación SIEM

Contenido SIEM actualizado dinámicamente

De los eventos a las cadenas de ataque

Integración y visibilidad interna

Detección de cuentas comprometidas con SIEM

Detección de secuestro de DLL

La seguridad en las suscripciones: cómo proteger tu cuenta, tu cartera y tu cordura

Consejos

Del CVSS a la RBVM: cómo priorizar correctamente las vulnerabilidades

Todo sobre el CVSS: la evolución de la puntuación de vulnerabilidades

Lluvia de bitcoins: Falso regalo de Nvidia

Te chantajean porque te han pillado viendo porno

Soluciones domésticas

Para pequeñas empresas

Para empresas medianas

Para empresas grandes

Securelist

Eugene Personal Blog

Enciclopedia