Shai-Hulud Part 2: When the Worm Forged Its Own Security Certificate
Leer el blog
Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
  1. Blogs
    >
  2. Detección y Respuesta en Red (NDR)

¿Quién hace qué en tu red?

April 2, 2026
4/2/2026
Mark Wojtasiak
Vicepresidente sénior de Investigación y Estrategia de Productos
¿Quién hace qué en tu red?

A lo largo de los años me he dado cuenta de algo. Por muy compleja que se vuelva la conversación, por muchas herramientas, marcos de trabajo o informes que se pongan sobre la mesa, siempre se reduce a una simple pregunta.

¿Quién está haciendo qué en tu red?

No más adelante. No tras unas horas de investigación. No cuando alguien tenga tiempo de atar cabos. Ahora mismo. Y lo curioso es que la gente no suele empezar por ahí. Empiezan con lo que parecen preguntas más grandes y más importantes. ¿Estamos expuestos? ¿Estamos siendo atacados? ¿Estamos a salvo y cumplimos con la normativa? Esas son las preguntas que surgen en las reuniones, en las presentaciones a la junta directiva y en los informes de situación.  Pero si te paras a pensarlas un momento, responderlas no suele ser tan sencillo.

Pensemos en la pregunta «¿Estamos expuestos?». Su ena como una pregunta importante y seria. Normalmente da lugar a listas, riesgos, puntuaciones y prioridades. Pero, más allá de todo eso, lo que la gente realmente intenta comprender es mucho más sencillo: ¿Quién tiene acceso a qué? ¿Quién no debería tenerlo? ¿Qué está conectado que no esperábamos? ¿Qué se comunica con qué, y tiene eso sentido? Puedes adornarlo como quieras, pero siempre se reduce a si realmente sabes quién está haciendo qué en tu red.

Y luego está la pregunta: «¿Estamos bajo atacados Esa pregunta suele generar mucha urgencia. Las cosas empiezan a ponerse en marcha. La gente empieza a pedir información actualizada. Pero si dejamos de lado la emoción, la pregunta es sorprendentemente básica. ¿Hay alguien haciendo algo que no debería estar haciendo? No en teoría. No basándonos en una regla que se activa en algún sitio. Sino en la realidad, en tu red, en todos tus sistemas, en cómo se comportan realmente las cosas. ¿Quién ha iniciado sesión? ¿Qué hizo después? ¿Tenía sentido? ¿Podrías explicárselo a otra persona con total seguridad?  

Y entonces llega la pregunta que todo el mundo acaba planteando: ¿estamos seguros?, ¿cumplimos con la normativa? Esa es la que tiene más peso. Parece que debería tener una respuesta clara y segura. Pero rara vez es así. Porque en realidad no se trata de preguntar qué medidas has puesto en marcha. Lo que se pregunta es si entiendes lo que está pasando lo suficientemente bien como para respaldarlo. ¿Puedes demostrar quién accedió a qué y cuándo? ¿Puedes explicar cómo se está utilizando el acceso, y no solo cómo se supone que debe utilizarse? Si alguien te pidiera que le explicaras lo que pasó ayer, ¿podrías hacerlo con claridad, sin dejar huecos? La mayoría de las veces, ahí es donde las cosas se quedan un poco en silencio.

Lo que me parece interesante es que, en realidad, ninguna de estas cuestiones es diferente. Simplemente se presentan con un aspecto distinto. El riesgo, la actividad, el cumplimiento normativo... todas parecen temas distintos, pero dependen de lo mismo: de si se tiene una visión clara y constante de quién hace qué en toda la red.

Y esa es la parte que suele pasarse por alto.

No es porque a la gente no le importe. No es porque los equipos no estén trabajando duro. Más bien al contrario. Hay esfuerzo por todas partes. Hay datos por todas partes. No falta información. Pero hay una diferencia entre tener información y comprenderla. Entre recopilar datos y ser capaz de explicarlos. Entre ver las piezas y ver el conjunto.

Así que lo que acaba pasando es algo habitual. La gente va encajando las piezas. Consultan varias fuentes. Verifican, vuelven a verificar y luego comprueban de nuevo que todo cuadra. Al final, obtienen una respuesta. O, al menos, algo lo suficientemente parecido a una respuesta como para seguir adelante. Y, para ser justos, a veces eso es suficiente.

Pero también es por eso por lo que esas mismas preguntas siguen surgiendo. Por qué la pregunta «¿Estamos expuestos?» no queda resuelta. Por qué la pregunta «¿Estamos siendo atacados?» nunca se aclara del todo. Por qué la pregunta «¿Estamos a salvo?» siempre va seguida de una pausa. Porque la verdadera pregunta —quién está haciendo qué en tu red— es algo que requiere un cuestionamiento y una comprensión constantes.

No es una pregunta llamativa. No da para un gran titular. Pero es de la que depende todo lo demás. Y si eres capaz de responderla con claridad, sin tener que ir encajando las piezas, sin dudar, sin necesitar tiempo para pensarlo, la mayoría de las demás preguntas se vuelven mucho más fáciles.

Si tú no puedes, ellos tampoco.  

Puedes encontrar más entradas del blog de Mark Wojtasiak, aquí.  

Además, puedes escucharlo habitualmente en el Hunt Club », en el programa «Cyber Minds Show».  

Preguntas frecuentes