El oscuro secreto de las operaciones de seguridad corporativa es que los defensores han institucionalizado silenciosamente el hábito de no mirar. Esto no es sólo una anécdota, sino que está respaldado por un informe reciente que examinó más de 25 millones de alertas de seguridad, incluidas alertas informativas y de baja gravedad, en entornos empresariales del mundo real.
El conjunto de datos detrás de estos hallazgos incluye telemetría de 10 millones de identidades y puntos finales monitoreados, 82 000 investigaciones forenses de puntos finales que incluyen escaneos de memoria en vivo, 180 millones de archivos analizados, 7 millones de direcciones IP, 3 millones de dominios y URL, y más de 550 000 correos electrónicos de phishing.
Los patrones que emergen de estos datos cuentan una historia consistente. Los actores de amenazas están explotando sistemáticamente las brechas predecibles creadas por operaciones de seguridad limitadas basadas en la gravedad. Para comprender dónde existen realmente estas brechas, es necesario observar el panorama general de las alertas, comenzando con las categorías que la mayoría de los equipos han sido condicionados a ignorar.
1% de problema con hasta 1 infracción omitida por semana
En este análisis de 25 millones de alertas, casi el 1% de los incidentes confirmados provinieron de alertas que inicialmente se clasificaron como de baja gravedad o informativas. En el caso de los terminales en particular, esa cifra aumentó a casi el 2%.
A escala empresarial, estos porcentajes no son ruido. La organización promedio genera aproximadamente 450.000 alertas por año. De ellas, el 1% son amenazas reales, aproximadamente 54 por año, o una por semana, que nunca son investigadas por los modelos SOC o MDR tradicionales. La detección no falló. La economía de la clasificación simplemente hizo imposible la investigación.
Estos no son riesgos teóricos al final de la lista de deseos de un atacante. Se trata de compromisos reales ocultos en categorías de alertas que los equipos de operaciones están capacitados para despriorizar.
“Mitigación” de EDR no significa limpieza
Los hallazgos del informe merecen especial atención porque desafían la suposición básica de la mayoría de los programas de seguridad de que se puede confiar en la corrección de EDR al pie de la letra.
De las 82.000 alertas que se sometieron a un escaneo de memoria forense en vivo, 2.600 tenían infecciones activas. De los puntos finales comprometidos, el 51 % ya estaban marcados como «mitigados» por el proveedor de EDR de origen.
En más de la mitad de los compromisos confirmados de endpoints detectados mediante análisis forense, EDR cerró el ticket y declaró la amenaza resuelta. Sin análisis forense a nivel de memoria, estas infecciones siguen siendo invisibles. Las herramientas en las que la mayoría de las organizaciones confían como red de seguridad para sus endpoints informan que están limpias en máquinas que no lo son.
Las familias de malware que se encuentran ejecutándose en la memoria durante estos análisis incluyen Mimikatz, Cobalt Strike, Meterpreter y StrelaStealer. Estos son caballos de batalla de operaciones criminales y estatales activas, en lugar de oscuras herramientas de prueba de concepto.
Puerta de enlace de correo electrónico abandonada por el phishing
Los datos de phishing del informe reflejan cambios fundamentales en las técnicas de los atacantes que la mayoría de las arquitecturas de seguridad del correo electrónico no están diseñadas para capturar.
Menos del 6% de los correos electrónicos de phishing maliciosos confirmados contenían archivos adjuntos. Depende principalmente de los enlaces y el idioma. Más importante aún, los atacantes están trasladando su infraestructura a plataformas confiables de forma predeterminada, como Vercel, CodePen, OneDrive e incluso el propio sistema de facturación de PayPal.
Una de las campañas descritas en el informe utiliza la infraestructura legítima de solicitud de pago de PayPal para enviar correos electrónicos amenazantes con números de devolución de llamada y homoglifos Unicode incrustados en notas de pago para derrotar la detección basada en firmas. Debido a que el correo electrónico realmente proviene de PayPal, el dominio de envío pasa todas las comprobaciones de autenticación estándar.
Los CAPTCHA de Cloudflare Turnstile se han convertido en una señal confiable de intenciones maliciosas. Los sitios que usaban esto tenían constantemente más probabilidades de ser páginas de phishing, mientras que Google reCAPTCHA se correlacionaba con una infraestructura legítima. Los atacantes están aprovechando mecanismos creados para detener los bots y, en su lugar, detener los escáneres de seguridad automatizados.
Estos datos identificaron cuatro nuevas técnicas para eludir las puertas de enlace de correo electrónico. Cargas útiles Base64 ocultas dentro de archivos de imágenes SVG, enlaces incrustados en metadatos de anotaciones PDF que son irreconocibles para los escáneres de nivel de superficie, páginas de phishing cargadas dinámicamente a través de recursos compartidos legítimos de OneDrive y archivos DOCX que ocultan contenido HTML archivado que contiene códigos QR. Nada de esto es exótico. Estas son técnicas operativas utilizadas a escala.
La telemetría en la nube reveló que el atacante estuvo jugando durante mucho tiempo.
Los datos de alerta de nube del informe muestran una concentración significativa en evasión defensiva y tácticas de persistencia, con relativamente pocos comportamientos de alto impacto, como movimiento lateral o escalada de privilegios, que aparecen en las señales.
Los atacantes están siendo cautelosos y pacientes. El patrón principal es el acceso a largo plazo. Manipular tokens, explotar funciones legítimas de la nube y ofuscar para evitar desencadenar detecciones de mayor gravedad. El objetivo no es hacer ruido, sino estar presente y pasar desapercibido.
Las malas configuraciones de AWS exacerban silenciosamente este riesgo. S3 representa aproximadamente el 70 % de todas las infracciones del control de la nube en nuestro conjunto de datos, y los problemas más comunes se centran en la administración del acceso, el registro del servidor y las restricciones entre cuentas. Estos hallazgos rara vez activan alertas. La mayoría se clasifican como de baja gravedad. Y una vez que los atacantes logran afianzarse, pueden ser explotados repetidamente, acelerando dramáticamente su siguiente movimiento.
Por qué los SOC y MDR tradicionales no pueden cerrar esta brecha
Se trata de un problema operativo y de capacidad que, hasta hace poco, no podía resolverse únicamente con la tecnología.
Los analistas humanos no se ajustan al volumen de alertas. A medida que la telemetría se expanda a través de endpoints, nubes, identidades, redes y SaaS, todos los SOC eventualmente alcanzarán los mismos límites. La clasificación proactiva es la única manera de mantenerse dentro del presupuesto. Automatice la mayoría de los cierres, investigue solo aquellos que se consideren importantes y confíe en que las etiquetas de gravedad reflejen la realidad. Los datos de 2026 muestran que la confianza está enormemente fuera de lugar.
Los proveedores de MDR enfrentan limitaciones similares. Un modelo operativo a escala humana significa que aproximadamente el 60% de las alertas, ya sean procesadas internamente o subcontratadas, aún no se han revisado. Agregar más analistas mueve el límite, pero no lo elimina. Aunque las plataformas SOAR automatizan los flujos de trabajo y requieren que los equipos diseñen todos los manuales, todavía no sustituyen la realización de investigaciones.
Un problema aún más grave es el circuito de retroalimentación que nunca se cierra. Si no se investigan las alertas de baja gravedad, es posible que las amenazas perdidas nunca surjan. Las reglas de detección que no logran detectar ataques reales nunca se corregirán. El sistema no se automejora porque los insumos necesarios para la mejora nunca se examinan.
¿Qué cambiará si revisas todo?
Para investigar los 25 millones de alertas en el informe citado anteriormente, necesitábamos eliminar restricciones que anteriormente habían hecho imposible una cobertura completa. Específicamente, la capacidad del analista humano es el cuello de botella. En este conjunto de datos, Intezer AI SOC se utilizó para la clasificación y la investigación, con menos del 2 % de las alertas escaladas a analistas humanos, una precisión de decisión del 98 % y un tiempo medio de clasificación de menos de 1 minuto en todos los volúmenes.
El impacto de una investigación completa es mensurable. Cuando todas las alertas, independientemente de su gravedad, se someten a un análisis de grado forense, los resultados de la clasificación se basan en evidencia y no en suposiciones sobre lo que significa una etiqueta de menor gravedad. Las amenazas en etapa temprana tienen señales iniciales débiles y emergen antes de que puedan progresar. La ingeniería de detección también tiene beneficios directos, ya que cada sonda genera retroalimentación que puede conectarse al ajuste de reglas en la fuente.
La consecuencia práctica para los analistas humanos es un cambio en el lugar donde pasan su tiempo. Las escaladas son menos frecuentes y la confiabilidad aumenta, por lo que los analistas participan en el momento de la toma de decisiones en lugar de gastar su poder en el descubrimiento y la clasificación inicial.
Para la organización en general, esto significa una postura de seguridad que mejora continuamente en lugar de mantener una postura de seguridad estable a medida que cambia el panorama de amenazas.
Para explorar el informe completo y sus hallazgos, consulte el Informe SOC de IA 2026 de Intezer para CISO.
Source link
