{"id":28969,"date":"2026-02-20T11:35:10","date_gmt":"2026-02-20T17:35:10","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=28969"},"modified":"2026-02-18T17:46:15","modified_gmt":"2026-02-18T23:46:15","slug":"kaspersky-siem-4-2-update","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/kaspersky-siem-4-2-update\/28969\/","title":{"rendered":"Detectar el riesgo de cuentas con SIEM"},"content":{"rendered":"

Una cantidad significativa de incidentes modernos comienzan con la vulneraci\u00f3n de cuentas. Dado que los corredores de acceso inicial se han convertido en una industria delictiva completamente desarrollada, es mucho m\u00e1s f\u00e1cil para los atacantes organizar ataques a la infraestructura de las empresas simplemente comprando conjuntos de contrase\u00f1as e inicios de sesi\u00f3n de los empleados. La pr\u00e1ctica generalizada de utilizar varios m\u00e9todos de acceso remoto ha facilitado a\u00fan m\u00e1s su tarea. Al mismo tiempo, las etapas iniciales de este tipo de ataques suelen parecer acciones totalmente leg\u00edtimas de los empleados y pasan desapercibidas durante mucho tiempo para los mecanismos de seguridad tradicionales.<\/p>\n

No basta con confiar \u00fanicamente en las medidas de protecci\u00f3n de cuentas y las pol\u00edticas de contrase\u00f1as. Siempre existe la posibilidad de que los atacantes se apoderen de las credenciales de los empleados mediante varios ataques de phishing, malware de robo de informaci\u00f3n o simplemente por el descuido de los empleados que reutilizan la misma contrase\u00f1a para el trabajo y las cuentas personales y no prestan mucha atenci\u00f3n a las filtraciones en servicios de terceros.<\/p>\n

Por lo tanto, para detectar ataques a la infraestructura de una empresa, necesitas herramientas que no solo detecten firmas de amenazas individuales, sino tambi\u00e9n sistemas de an\u00e1lisis de comportamiento que puedan detectar desviaciones de los procesos normales de los usuarios y del sistema.<\/p>\n

Uso de IA en SIEM para detectar vulneraciones de cuentas<\/h2>\n

Como mencionamos en nuestra publicaci\u00f3n anterior<\/a>, para detectar ataques que involucran la vulneraci\u00f3n de cuentas, equipamos nuestro sistema SIEM Kaspersky Unified Monitoring and Analysis Platform con un conjunto de reglas UEBA dise\u00f1adas para detectar anomal\u00edas en los procesos de autenticaci\u00f3n, la actividad de la red y la ejecuci\u00f3n de procesos en estaciones de trabajo y servidores basados en Windows. En la \u00faltima actualizaci\u00f3n, continuamos desarrollando el sistema en la misma direcci\u00f3n, a\u00f1adiendo el uso de enfoques de IA.<\/p>\n

El sistema crea un modelo del comportamiento normal de los usuarios durante la autenticaci\u00f3n y realiza un seguimiento de las desviaciones respecto a los escenarios habituales: horas de inicio de sesi\u00f3n at\u00edpicas, cadenas de eventos inusuales e intentos de acceso an\u00f3malos. Este enfoque permite a SIEM detectar tanto los intentos de autenticaci\u00f3n con credenciales robadas como el uso de cuentas ya vulneradas, incluidos los escenarios complejos que podr\u00edan haber pasado desapercibidos en el pasado.<\/p>\n

En lugar de buscar indicadores individuales, el sistema analiza las desviaciones de los patrones normales. Esto permite detectar antes ataques complejos, a la vez que reduce la cantidad de falsos positivos y alivia significativamente la carga operativa en los equipos de SOC.<\/p>\n

Anteriormente, al utilizar reglas UEBA para detectar anomal\u00edas, era necesario crear varias reglas que realizaban un trabajo preliminar y generaban listas adicionales en las que se almacenaban datos intermedios. Ahora, en la nueva versi\u00f3n de SIEM con un nuevo correlador, es posible detectar el secuestro de cuentas usando una \u00fanica regla especializada.<\/p>\n

Otras actualizaciones en Kaspersky Unified Monitoring and Analysis Platform<\/h2>\n

Cuanto m\u00e1s compleja es la infraestructura y mayor es el volumen de eventos, m\u00e1s cr\u00edticos se vuelven los requisitos de rendimiento de la plataforma, la flexibilidad en la gesti\u00f3n de accesos y la facilidad de uso diario. Un sistema SIEM moderno no solo debe detectar amenazas con precisi\u00f3n, sino que tambi\u00e9n debe permanecer \u201cresistente\u201d sin la necesidad de actualizar constantemente los equipos y reconstruir los procesos. Por lo tanto, en la versi\u00f3n 4.2, hemos dado un paso m\u00e1s para hacer que la plataforma sea m\u00e1s pr\u00e1ctica y adaptable. Las actualizaciones afectan a la arquitectura, los mecanismos de detecci\u00f3n y la experiencia del usuario.<\/p>\n

Adici\u00f3n de funciones flexibles y control de acceso granular<\/h3>\n

Una de las innovaciones clave de la nueva versi\u00f3n de SIEM es un modelo de funciones flexible. Ahora los clientes pueden crear sus propias funciones para diferentes usuarios del sistema, duplicar las funciones existentes y personalizar un conjunto de derechos de acceso para las tareas de especialistas espec\u00edficos. Esto permite una diferenciaci\u00f3n m\u00e1s precisa de responsabilidades entre analistas de SOC, administradores y gerentes, reduce el riesgo de privilegios excesivos y refleja mejor los procesos internos de la empresa en la configuraci\u00f3n de SIEM.<\/p>\n

Nuevo correlador y, como resultado, mayor estabilidad de la plataforma<\/h3>\n

En la versi\u00f3n 4.2, presentamos una versi\u00f3n beta de un nuevo motor de correlaci\u00f3n (2.0). Procesa eventos m\u00e1s r\u00e1pido y requiere menos recursos de hardware. Para los clientes, esto significa lo siguiente:<\/p>\n