Soy un pensador sencillo, así que empezaré por lo sencillo.
Como responsables de seguridad, todos compartimos las mismas tres verdades:
- Queremos mantener a salvo a nuestra gente y nuestra marca.
- Nuestro mayor dolor es la incertidumbre.
- Tenemos que acabar con las infracciones.
Ya está. Tres verdades humanas que se abren paso entre el ruido de las diapositivas de los proveedores, los informes de los analistas y los discursos sobre los productos.
Pero aquí está el problema: nuestras redes modernas han superado nuestras viejas formas de pensar.
La red moderna = una gran superficie de ataque
Érase una vez, la "red" era un centro de datos y algunas oficinas. Tenías un perímetro. Construías un foso. Pusiste EDR en los puntos finales para mantener alejados a los atacantes.
Ese mundo ya no existe.
La empresa moderna de hoy es híbrida, sin fronteras y en expansión:
- Centros de datos y cargas de trabajo cloud .
- Plataformas SaaS y herramientas de colaboración.
- Trabajadores a distancia y SASE.
- IoT y OT que nunca se construyeron pensando en la seguridad.
Los atacantes no ven en este caos silos de puntos finales, cloud o identidad. Ven una superficie de ataque gigante y conectada. Y su objetivo es muy sencillo: entrar en su red.
La horquilla de los atacantes
Esto es lo bueno: los atacantes no necesitan un arsenal sofisticado para conseguirlo. Dominan las tres puntas de lo que yo llamo la horquilla de los atacantes:
- Desactiva tus controles.
- Evita tus defensas.
- Engaña a tus herramientas.
Y ya está. Con esta horquilla, pueden eludir la prevención de puntos finales, deslizarse más allá de EDR y operar dentro de su entorno híbrido sin ser detectados.
Si le parece dramático, veamos los datos:
- El 50% de las principales infracciones en 2025 implicaron a atacantes que eludieron los controles de los endpoints.
- El 40% de las brechas abarcó múltiples dominios: punto final, red, cloud e identidad combinados.
- Y según CrowdStrike, el tiempo medio desde la infiltración hasta el movimiento lateral es de 48 minutos.
Así que preguntaré lo obvio: si los atacantes pueden desactivar, evitar o engañar a tu EDR en menos de una hora, ¿estás realmente a salvo?
Por qué la señal es mala
Si es usted analista de SOC, ya conoce la respuesta. Hemos invertido en pilas potentes:
- Cortafuegos, IDS/IPS en la red.
- IAM, PAM, MFA sobre identidad.
- CASB, CSPM en la cloud.
- EPP, EDR en puntos finales.
Todo sólido. Todo necesario. Pero también... todas aisladas. Cada herramienta genera alertas. Cada una añade ruido. Los analistas se ahogan en falsos positivos. Y la "señal" que necesitamos para detectar ataques reales queda enterrada. ¿Cuál es el resultado? Incertidumbre.
Se nos dice que pensemos en términos de múltiples superficies de ataque. Los atacantes no lo hacen. Piensan en términos de una. Y si su objetivo es entrar en tu red y su camino es conseguir una identidad, ¿entonces nuestra señal de ataque no debería basarse en red + identidad?
La seguridad tiene dos caras
¿Recuerdas la verdad humana? Queremos seguridad. Pero la seguridad tiene dos caras:
- Resiliencia previa al compromiso: impedir que los atacantes entren. (Eso es EDR).
- Resiliencia posterior a la infracción: detener a los atacantes que ya están dentro. (Eso es NDR e identidad).
EDR es esencial. Sin duda. Pero no es infalible. La horquilla lo demuestra. NDR y las detecciones de identidad cubren lo que EDR pasa por alto:
- Movimiento lateral a través del tráfico este-oeste.
- Abuso de credenciales en los servicios cloud .
- Precursores de ransomware en IoT y dispositivos no gestionados.
- Comportamientos anormales que no disparan una firma pero gritan "atacante".
No es teoría. Los CISO del sector sanitario lo han hecho para proteger la seguridad de los pacientes. Los minoristas lo han hecho para proteger los puntos de venta y el IoT. Los fabricantes lo han hecho para defender las cadenas de suministro. ¿Y los resultados? Visibilidad que no tenían. Reducción del ruido que no podían imaginar. Y velocidad que necesitaban desesperadamente.
La señal postcompromiso a gran velocidad lo es todo
Porque aquí está la otra fea verdad: los defensores son lentos. Los estudios demuestran que los defensores tardan una media de 292 días en identificar y contener un ataque. Mientras tanto, los atacantes necesitan menos de una hora para moverse lateralmente. ¿Por qué? Porque la velocidad es difícil.
- Investigación.
- Monitor.
- Correlacionar.
- Triaje.
- Alerta.
- Escala.
- Investiga.
- Responde.
Los sistemas basados en reglas no pueden seguir el ritmo. Los analistas no pueden escalar. La carga de trabajo es abrumadora. Sólo la IA permite alcanzar la velocidad automatizando la correlación, el triaje y la priorización. Convirtiendo el ruido en narrativa. Proporcionando a los analistas señales de ataque a la velocidad a la que operan los atacantes.
El CISO con visión de futuro
Así que aquí estamos. Redes modernas, ataques modernos, problemas modernos.
Los CISO con visión de futuro no están comprando más herramientas para lanzarlas contra la pared. Están cambiando los cimientos de su estrategia de resiliencia:
- De señales aisladas a señales unificadas de red e identidad.
- De la prevención estática a la asunción de compromisos.
- De las normas y el ruido a la IA conductual que aporta claridad y rapidez.
Porque detener las infracciones ya no consiste en una prevención perfecta. Se trata de una detección y respuesta resistentes una vez que los atacantes están dentro.
Mi pensamiento simple
Dije que soy un pensador simple, así que terminemos con lo simple. Somos humanos. Queremos seguridad. Nos duele la incertidumbre. Necesitamos detener las brechas. Nuestra capacidad para ser resilientes se reduce a 3 cosas: Cobertura + Claridad + Control.
- Cobertura: Red + Identidad + Cloud + Endpoint juntos.
- Claridad: la señal de ataque tiene su origen en la red y la identidad, no en herramientas aisladas.
- Control: Velocidad controlada por la IA que da la vuelta al guión de la ventaja del atacante.
Así es como los CISO con visión de futuro están neutralizando la horca de los atacantes.
Reflexión final: Por qué la seguridad de las redes y la identidad son el futuro
La red moderna no tiene fronteras. La horquilla de los atacantes es sencilla pero mortal. El EDR por sí solo no basta. Así que pregúntese: ¿su señal de ataque está arraigada donde los atacantes operan realmente: en la red y con una identidad? Porque es ahí donde residen la seguridad, la certeza y la resistencia.
Fuentes:
- Presentación de Gartner SRM Londres: EDR Isn't Enough - Building Modern Attack Resilience with Network + Identity (EDR no es suficiente: creación de una resistencia moderna a los ataques con red e identidad)
- Verizon, CrowdStrike, IBM, Mandiant, Zscaler, Cisco, Palo Alto: datos sobre fallos en la protección de infracciones y puntos finales
- CrowdStrike 2025 Global Threat Report - media de 48 minutos desde la infiltración hasta el movimiento lateral
- Vectra AI, State of Threat Detection and Response - The Defenders' Dilemma (2024, 2023) - Puntos débiles de los analistas de SOC, incertidumbre y retos en la claridad de las señales.