{"id":32141,"date":"2026-05-29T10:46:34","date_gmt":"2026-05-29T08:46:34","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=32141"},"modified":"2026-05-29T10:47:28","modified_gmt":"2026-05-29T08:47:28","slug":"kaspersky-siem-correlation-evolution","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/kaspersky-siem-correlation-evolution\/32141\/","title":{"rendered":"La evoluci\u00f3n de las reglas de correlaci\u00f3n SIEM"},"content":{"rendered":"<p>En pocas palabras, la l\u00f3gica cl\u00e1sica de un sistema SIEM funciona de la siguiente manera: si se produce el evento A seguido del evento B, esto puede ser un indicio de un ataque, por lo que se debe notificar a un especialista en seguridad de la informaci\u00f3n. Pero en el entorno actual, este escenario sencillo est\u00e1 fallando cada vez m\u00e1s. Hace muy poco, nuestros expertos <a href=\"https:\/\/securelist.com\/notepad-supply-chain-attack\/118708\/\" target=\"_blank\" rel=\"noopener\">analizaron un incidente de gran repercusi\u00f3n<\/a>: unos atacantes pusieron en riesgo la infraestructura de actualizaciones del popular software Notepad++ y distribuyeron malware a trav\u00e9s de ese mecanismo. Es simplemente imposible tener reglas establecidas de antemano que est\u00e9n dise\u00f1adas espec\u00edficamente para contrarrestar tales escenarios.<\/p>\n<p>Los ataques en s\u00ed se han vuelto m\u00e1s sofisticados: los atacantes utilizan herramientas leg\u00edtimas, atacan a trav\u00e9s de la cadena de suministro al poner en peligro software fuera del per\u00edmetro corporativo, prolongan sus operaciones a lo largo del tiempo y camuflan sus acciones como actividad normal. <strong>En otras palabras, no \u201cirrumpen\u201d en la infraestructura; la mayor\u00eda de las veces inician sesi\u00f3n y utilizan software leg\u00edtimo. <\/strong>Como resultado, las reglas fijas cl\u00e1sicas del pasado o bien no se activan, o generan demasiadas falsas alertas. Esto es lo que ha impulsado el cambio hacia escenarios de correlaci\u00f3n m\u00e1s flexibles.<\/p>\n<h2>Contenido SIEM actualizado din\u00e1micamente<\/h2>\n<p>El contenido de correlaci\u00f3n actual no es un conjunto de reglas est\u00e1ticas, sino un proceso: est\u00e1 en constante evoluci\u00f3n y se adapta a las amenazas actuales. Solo en 2025, lanzamos 55 actualizaciones de paquetes de reglas para diferentes versiones e idiomas de nuestro sistema Kaspersky SIEM. En solo un a\u00f1o, hemos a\u00f1adido 10 nuevos paquetes de reglas, adem\u00e1s de 250 reglas de detecci\u00f3n y numerosas mejoras al contenido ya existente. Este a\u00f1o, ya hemos a\u00f1adido 43 reglas nuevas y hemos perfeccionado otras 63. En total, esto supone m\u00e1s de 850 reglas que abarcan una parte significativa del marco MITRE ATT&amp;CK.<\/p>\n<p>Las reglas de Kaspersky SIEM se escriben en funci\u00f3n de los conocimientos de nuestros expertos que analizan los ataques recientes del mundo real: nos basamos principalmente en los resultados de nuestro servicio de Managed Detection and Response (MDR) y en nuestra investigaci\u00f3n de amenazas. Como resultado, nuestras reglas cubren escenarios, desde el reconocimiento hasta la escalada de privilegios, que incluyen los \u00faltimos m\u00e9todos utilizados por los atacantes. Por ejemplo, detectamos el uso de nuevas t\u00e9cnicas de ataque, como <a href=\"https:\/\/securelist.lat\/toolshell-explained\/100183\/\" target=\"_blank\" rel=\"noopener\">ToolShell<\/a>.<\/p>\n<p>Adem\u00e1s de las actualizaciones programadas, el equipo publica peri\u00f3dicamente lo que se conoce como contenido de emergencia: conjuntos de reglas dise\u00f1adas para responder r\u00e1pidamente a t\u00e9cnicas de ataque nuevas e imprevistas. Por ejemplo, en febrero se publicaron reglas de detecci\u00f3n <a href=\"https:\/\/www.kaspersky.com\/blog\/forticloud-authentication-siem-rules\/55241\/\" target=\"_blank\" rel=\"noopener nofollow\">para eludir la autenticaci\u00f3n en los productos de Fortinet<\/a> a trav\u00e9s del mecanismo SSO: los atacantes utilizaban solicitudes SAML especialmente dise\u00f1adas para acceder a los sistemas sin necesidad de credenciales.<\/p>\n<h2>De los eventos a las cadenas de ataque<\/h2>\n<p>Adem\u00e1s, las reglas SIEM modernas ya no describen eventos individuales, sino secuencias de acciones. Los escenarios se construyen en torno a las etapas de un ataque: desde el acceso inicial hasta la escalada de privilegios y la persistencia. La eficacia de Kaspersky SIEM se ve reforzada gracias a la integraci\u00f3n con Kaspersky EDR y a conjuntos de reglas espec\u00edficos para Active Directory, que implementan docenas de escenarios de detecci\u00f3n de ataques en diversas etapas. Este enfoque nos permite ver no solo las se\u00f1ales individuales, sino la imagen completa.<\/p>\n<h2>Integraci\u00f3n y visibilidad interna<\/h2>\n<p>Otra forma de mejorar la eficacia de un sistema SIEM es ampliar las fuentes de datos. Un SIEM cl\u00e1sico recopila eventos de diferentes niveles de la infraestructura: desde registros hasta datos de telemetr\u00eda procedentes de terminales y sistemas internos. Adem\u00e1s, nuestro sistema SIEM incluye conjuntos de reglas especializadas para nuestras otras soluciones (Kaspersky Security Center, Kaspersky Security for Mail Groups y la plataforma K Anti-Targeted Attack), que permiten supervisar las acciones de los administradores, la autenticaci\u00f3n y el estado de los servicios. Como resultado, el sistema se convierte en una herramienta no solo para detectar ataques, sino tambi\u00e9n para supervisar la actividad interna.<\/p>\n<p>En general, el SIEM ya no es solo un conjunto de reglas, sino que ha evolucionado hasta convertirse en un sistema de detecci\u00f3n que se actualiza continuamente. Su eficacia no viene determinada por el n\u00famero de detecciones, sino por su relevancia, coherencia y la precisi\u00f3n con la que reflejan las acciones reales de los atacantes. No te pierdas ninguna actualizaci\u00f3n sobre Kaspersky SIEM <a href=\"https:\/\/www.kaspersky.es\/enterprise-security\/unified-monitoring-and-analysis-platform?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">en su p\u00e1gina oficial del producto<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"31074\">\n","protected":false},"excerpt":{"rendered":"<p>Regularmente creamos nuevas reglas SIEM, pero detr\u00e1s de todo ello se esconde un proceso m\u00e1s fundamental: la evoluci\u00f3n de las propias reglas de correlaci\u00f3n.<\/p>\n","protected":false},"author":2757,"featured_media":32142,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754],"tags":[2381,3774,2911],"class_list":{"0":"post-32141","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-cuentas","10":"tag-reglas-de-correlacion","11":"tag-siem"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/kaspersky-siem-correlation-evolution\/32141\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/kaspersky-siem-correlation-evolution\/30712\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/kaspersky-siem-correlation-evolution\/25764\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/kaspersky-siem-correlation-evolution\/30562\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/kaspersky-siem-correlation-evolution\/41787\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/kaspersky-siem-correlation-evolution\/55761\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/kaspersky-siem-correlation-evolution\/30619\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/kaspersky-siem-correlation-evolution\/36221\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/kaspersky-siem-correlation-evolution\/36114\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/siem\/","name":"siem"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/32141","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2757"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=32141"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/32141\/revisions"}],"predecessor-version":[{"id":32148,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/32141\/revisions\/32148"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/32142"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=32141"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=32141"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=32141"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}