{"id":31840,"date":"2026-02-11T18:21:31","date_gmt":"2026-02-11T16:21:31","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=31840"},"modified":"2026-02-11T18:21:31","modified_gmt":"2026-02-11T16:21:31","slug":"kaspersky-siem-4-2-update","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/kaspersky-siem-4-2-update\/31840\/","title":{"rendered":"Detecci\u00f3n de cuentas comprometidas con SIEM"},"content":{"rendered":"

Un n\u00famero significativo de incidentes modernos comienzan con el compromiso de cuentas. Dado que los intermediarios de acceso inicial se han convertido en una industria criminal en toda regla, ahora es mucho m\u00e1s f\u00e1cil para los atacantes organizar ataques contra la infraestructura de las empresas con solo comprar conjuntos de contrase\u00f1as y datos de inicio de sesi\u00f3n de los empleados.
\nLa pr\u00e1ctica generalizada de utilizar varios m\u00e9todos de acceso remoto ha facilitado a\u00fan m\u00e1s su tarea. Al mismo tiempo, las etapas iniciales de este tipo de ataques suelen parecer acciones totalmente leg\u00edtimas de los empleados y pasan desapercibidas durante mucho tiempo para los mecanismos de seguridad tradicionales.<\/p>\n

No basta con confiar \u00fanicamente en las medidas de protecci\u00f3n de cuentas y las pol\u00edticas de contrase\u00f1as. Siempre existe la posibilidad de que los atacantes se apoderen de las credenciales de los empleados mediante varios ataques de phishing, malware de robo de informaci\u00f3n o simplemente por el descuido de los empleados que reutilizan la misma contrase\u00f1a para el trabajo y las cuentas personales y no prestan mucha atenci\u00f3n a las filtraciones en servicios de terceros.<\/p>\n

Por lo tanto, para detectar ataques a la infraestructura de una empresa, necesitas herramientas que no solo detecten firmas de amenazas individuales, sino tambi\u00e9n sistemas de an\u00e1lisis de comportamiento que puedan detectar desviaciones de los procesos normales de los usuarios y del sistema.<\/p>\n

Uso de la IA en SIEM para detectar vulneraciones de cuentas<\/h2>\n

Como mencionamos en nuestra publicaci\u00f3n anterior<\/a>, para detectar ataques que involucran la vulneraci\u00f3n de cuentas, equipamos nuestro sistema SIEM de Kaspersky con un conjunto de reglas UEBA dise\u00f1adas para detectar anomal\u00edas en los procesos de autenticaci\u00f3n, la actividad de la red y la ejecuci\u00f3n de procesos en estaciones de trabajo y servidores basados en Windows. En la \u00faltima actualizaci\u00f3n, continuamos desarrollando el sistema en la misma direcci\u00f3n, a\u00f1adiendo el uso de enfoques de IA.<\/p>\n

El sistema crea un modelo del comportamiento normal de los usuarios durante la autenticaci\u00f3n y realiza un seguimiento de las desviaciones respecto a los escenarios habituales: horas de inicio de sesi\u00f3n at\u00edpicas, cadenas de eventos inusuales e intentos de acceso an\u00f3malos. Este enfoque permite a SIEM detectar tanto los intentos de autenticaci\u00f3n con credenciales robadas como el uso de cuentas ya vulneradas, incluidos los escenarios complejos que podr\u00edan haber pasado desapercibidos en el pasado.<\/p>\n

En lugar de buscar indicadores individuales, el sistema analiza las desviaciones de los patrones normales. Esto permite detectar antes ataques complejos, a la vez que reduce la cantidad de falsos positivos y alivia significativamente la carga operativa en los equipos de SOC.<\/p>\n

Anteriormente, al utilizar reglas UEBA para detectar anomal\u00edas, era necesario crear varias reglas que realizaban un trabajo preliminar y generaban listas adicionales en las que se almacenaban datos intermedios. Ahora, en la nueva versi\u00f3n de SIEM con un nuevo correlador, es posible detectar el secuestro de cuentas utilizando una \u00fanica regla especializada.<\/p>\n

Otras actualizaciones en Kaspersky SIEM<\/h2>\n

Cuanto m\u00e1s compleja es la infraestructura y mayor es el volumen de eventos, m\u00e1s cr\u00edticos se vuelven los requisitos de rendimiento de la plataforma, flexibilidad de gesti\u00f3n de acceso y facilidad de operaci\u00f3n diaria. Un sistema SIEM moderno no solo debe detectar las amenazas con precisi\u00f3n, sino tambi\u00e9n mantener su \u201cresiliencia\u201d sin necesidad de actualizar constantemente los equipos y reconstruir los procesos. Por lo tanto, en la versi\u00f3n 4.2, hemos dado un paso m\u00e1s para que la plataforma sea m\u00e1s pr\u00e1ctica y adaptable. Las actualizaciones afectan a la arquitectura, los mecanismos de detecci\u00f3n y la experiencia del usuario.<\/p>\n

Adici\u00f3n de roles flexibles y control de acceso granular<\/h3>\n

Una de las innovaciones clave de la nueva versi\u00f3n de SIEM es un modelo de roles flexible. Ahora los clientes pueden crear sus propios roles para diferentes usuarios del sistema, duplicar los existentes y personalizar un conjunto de derechos de acceso para las tareas de especialistas espec\u00edficos. Esto permite una diferenciaci\u00f3n m\u00e1s precisa de las responsabilidades entre los analistas, administradores y gerentes del SOC, reduce el riesgo de privilegios excesivos y refleja mejor los procesos internos de la empresa en la configuraci\u00f3n de SIEM.<\/p>\n

Nuevo correlador y, como resultado, mayor estabilidad de la plataforma<\/h3>\n

En la versi\u00f3n 4.2, presentamos una versi\u00f3n beta de un nuevo motor de correlaci\u00f3n (2.0). Procesa eventos m\u00e1s r\u00e1pido y requiere menos recursos de hardware. Para los clientes, esto significa lo siguiente:<\/p>\n