Explicación de la investigación de incidentes de seguridad: cómo los equipos del SOC convierten una alerta en respuestas

Si buscas «investigación de incidentes», la mayoría de los resultados se refieren a accidentes laborales: programas de la OSHA, cuasiaccidentes y comités de seguridad. Esta guía aborda el otro significado. La investigación de incidentes de seguridad es la disciplina analítica que utiliza un SOC para convertir una alerta sospechosa en un ataque confirmado, delimitado y explicado. Se trata de un trabajo de investigación policial. Una alerta es una pista, no una conclusión, y el investigador la sigue a través de pruebas, cronologías y patrones de comportamiento hasta que surge la historia completa. El trabajo nunca ha estado tan presionado por el tiempo, ya que los traspasos de los atacantes se miden ahora en segundos. Las secciones siguientes abordan el flujo de trabajo de siete pasos, las pruebas y la cadena de custodia, la reconstrucción de la cronología, MITRE ATT&CK , las métricas que demuestran la rapidez y los ámbitos en los que la IA realmente ayuda.

¿Qué es la investigación de incidentes?

El término se aplica a dos ámbitos profesionales. En materia de seguridad laboral, una investigación de incidentes consiste en analizar accidentes y cuasiaccidentes para determinar sus causas fundamentales y evitar que se repitan; este es el significado que regula la OSHA y el que describen la mayoría de los resultados de búsqueda. En ciberseguridad, el mismo término se refiere a la reconstrucción de un ataque digital a partir de los rastros que deja.

Dos significados, un término. Los equipos de seguridad laboral investigan los incidentes físicos para prevenir lesiones. Los equipos de seguridad investigan los incidentes digitales para confirmar, evaluar el alcance y explicar un ataque. Esta guía aborda el significado en el ámbito de la ciberseguridad, que a menudo se busca como «investigación de incidentes de seguridad».

La investigación de un incidente de seguridad es el proceso analítico que consiste en confirmar si una alerta de seguridad representa un ataque real y, a continuación, determinar qué ha ocurrido, cuál ha sido su alcance y por qué. Los investigadores validan la alerta, determinan el alcance de los sistemas y cuentas afectados, recopilan y preservan las pruebas, reconstruyen la cronología del ataque y comunican sus conclusiones para facilitar la contención y la recuperación.

¿Qué se pretende obtener de la investigación de incidentes en ciberseguridad? Tres resultados. En primer lugar, el alcance: qué servidores, identidades y datos ha afectado el atacante, y si el incidente constituye una violación de datos sujeta a notificación con plazos reglamentarios asociados. En segundo lugar, la causa raíz: la vulnerabilidad subyacente que permitió que el ataque tuviera éxito. En tercer lugar, un informe fundamentado que resista el escrutinio de los directivos, los auditores, los organismos reguladores y, en ocasiones, los tribunales.

Ambos ámbitos comparten un legado común. Las técnicas de análisis de causas raíz, como los «5 porqués», y la distinción entre causas inmediatas y causas raíz, tienen su origen en las prácticas de seguridad. La investigación de un incidente de ciberseguridad reutiliza ese marco de referencia aplicando diferentes tipos de pruebas —registros, capturas de memoria, registros de red y actividad de identidades— en lugar de una escena física.

En resumen, la investigación de incidentes en ciberseguridad es la fase analítica que convierte una alerta clasificada en un incidente confirmado, delimitado y explicado. El resto de esta guía trata sobre cómo llevar a cabo ese proceso de forma rápida y fundamentada.

El papel de la investigación en el ciclo de vida de la respuesta a incidentes

La investigación no es una disciplina independiente. Constituye la fase de detección y análisis del ciclo de vida más amplio de la respuesta a incidentes; la respuesta a incidentes (IR) abarca desde la preparación hasta la recuperación, y el ciclo de vida completo se explica en una página dedicada a ello. La investigación es también la fase intermedia del flujo de trabajo unificado de detección, investigación y respuesta ante amenazas (TDIR).

La clasificación determina, la investigación aclara y la respuesta actúa. La clasificación es el filtro rápido que evalúa una alerta y la eleva al nivel superior si parece real. La investigación es el trabajo analítico más exhaustivo que confirma el incidente, determina su alcance y descubre la causa. La respuesta, por su parte, contiene, elimina y restaura.

Una alerta solo llega a la fase de investigación cuando el analista del SOC, tras su evaluación inicial, considera que merece la pena dedicarle tiempo. Este filtro es importante porque la investigación es costosa: el tiempo que los analistas dedican a una falsa alarma es precisamente el desperdicio que se pretende evitar con la evaluación inicial.

¿Quiénes deben formar parte del equipo? El núcleo lo componen un investigador principal y los analistas que evaluaron la alerta. cloud sistemas, identidades y cloud se incorporan según lo requiera el alcance, y los departamentos jurídico y de comunicación intervienen en cuanto se considere probable la notificación de la violación de seguridad.

La clasificación de incidencias eleva el nivel de alerta, la investigación lo aclara y la respuesta lo resuelve: la investigación es el núcleo analítico del ciclo de vida.

El proceso de investigación de incidentes de seguridad, paso a paso

¿Cómo se lleva a cabo una investigación de incidentes? En la formación sobre seguridad en el trabajo se enseñan versiones de cuatro y seis pasos del proceso de investigación de incidentes. El flujo de trabajo de ciberseguridad consta de siete pasos, ya que las pruebas digitales requieren fases específicas de reconstrucción y mapeo:

1. Verifica la alerta: confirma que se trata de un verdadero positivo antes de dedicarle recursos.
2. Determinar el alcance inicial: identificar los equipos, las cuentas y los datos que podrían verse afectados.
3. Recopilar y conservar las pruebas: primero las fuentes volátiles, y siempre respetar la cadena de custodia.
4. Reconstruye la cronología: correlaciona los eventos de todas las fuentes de telemetría.
5. Relacionar los comportamientos con el marco MITRE ATT&CK identificar la causa raíz.
6. Documenta los resultados a medida que avanzas: notas que puedan justificarse, marcas de tiempo y hash.
7. Elaborar el informe de investigación y remitirlo al equipo de respuesta.

‍

Validar (paso 1). Ampliar la información de la alerta, comparar los indicios con los indicadores de compromiso (IOC) conocidos y comprobar si se han activado detecciones relacionadas en otros lugares. Determinar el alcance (paso 2). La determinación del alcance se expande a partir del primer indicio confirmado: qué cuentas se han autenticado en el host afectado, a qué sistemas han accedido esas cuentas y qué datos contienen dichos sistemas. Revisar el alcance a medida que se acumulan pruebas. Los pasos 3 a 5 tienen sus propias secciones más abajo. Documenta (paso 6) a medida que trabajas: las notas contemporáneas con marcas de tiempo y hash de archivos hacen que los hallazgos sean defendibles. Informa (paso 7). Una plantilla práctica de informe de investigación de incidentes abarca el método de detección, el alcance confirmado, la cronología reconstruida, la causa raíz y las medidas correctivas.

El trabajo se lleva a cabo de forma conjunta mediante un SIEM y una solución de detección y respuesta en endpoints (EDR), tal y como se describe en el curso de investigación de incidentes de OpenClassrooms. El SIEM responde a preguntas concretas —¿qué cuentas han accedido a este host en las últimas 24 horas?—, mientras que las herramientas de EDR y de detección y respuesta de red (NDR) permiten realizar búsquedas de comportamiento en torno a los procesos y conexiones implicados. Así es como se investiga una alerta de SIEM en la práctica: se consulta la actividad circundante y, a continuación, se pasa a la telemetría de endpoints y de red para comprobar qué ha sucedido.

La explotación de CVE-2026-50751 en 2026 pone de manifiesto las dificultades del proceso de trabajo. La vulnerabilidad —una omisión de autenticación con un CVSS de 9,3 en una pasarela VPN de acceso remoto ampliamente implantada, explotada en el mundo real por un afiliado del ransomware Qilin — obligó a los investigadores a reconstruir el acceso inicial basado en la identidad y, a continuación, rastrear la preparación y la exfiltración a través de una herramienta legítima de transferencia de archivos, todo ello dentro del plazo de aplicación de parches exigido por la CISA.

El flujo de trabajo se ajusta perfectamente a las directrices del NIST. La investigación se corresponde con la fase clásica de «Detección y análisis» del ciclo de vida de la respuesta a incidentes, y la norma NIST SP 800-61 Rev. 3 —que reorganiza la respuesta a incidentes en torno al CSF 2.0 a través del proyecto de respuesta a incidentes del NIST — asigna ese trabajo a las funciones de «Detección» y «Respuesta».

Tabla: subetapas de la investigación asignadas a las fases del ciclo de vida de la respuesta a incidentes y a las categorías del CSF 2.0 utilizadas por la norma NIST SP 800-61 Rev. 3.

Analizar los primeros 15 minutos

Los primeros minutos siguen un ciclo muy ajustado. Amplía la alerta con la criticidad del activo, el rol del usuario y la información sobre amenazas. Comprueba el activo y la cuenta en busca de comportamientos inusuales recientes. Busca alertas relacionadas en todo el entorno. Así es como los analistas del SOC confirman rápidamente un incidente de seguridad real.

La realidad de 2026 hace que esta cuestión sea urgente. El informe M-Trends 2026 reveló que el tiempo medio transcurrido desde el acceso inicial hasta el traspaso al atacante se redujo a 22 segundos en 2025, frente a las más de ocho horas registradas en 2022. Hay que considerar unamalware «rutinaria»malware como un posible indicio de una intrusión secundaria: es posible que el acceso facilitado ya esté en manos de otra persona.

Una investigación reproducible consta de siete pasos —validar, delimitar el alcance, recopilar, reconstruir, mapear, documentar y elaborar un informe— y los primeros quince minutos determinan el éxito de los seis restantes.

Recopilación de pruebas y preservación de la cadena de custodia

La recopilación de pruebas debe seguir el orden de volatilidad. Captura primero lo que desaparece más rápido y conserva todo antes de analizarlo: la memoria se borra al reiniciar el sistema, mientras que los datos del disco duro se conservan durante meses.

Tabla: orden de volatilidad para la recopilación de pruebas — recopilar de arriba abajo, conservando cada fuente antes del análisis.

La cadena de custodia es el registro documentado de quién recogió cada elemento, cuándo, cómo y quién lo ha manipulado desde entonces; es la disciplina que permite que los resultados resistan el escrutinio legal, normativo y ejecutivo. Comienza con la primera acción del investigador, no cuando llegan los abogados. La investigación forense con todo su rigor en esta fase es competencia de la informática forense y la respuesta a incidentes (DFIR), que se lleva a cabo dentro de la disciplina más amplia de la respuesta a incidentes.

El conjunto de pruebas ha cambiado. Investigación de Unit 42 En 2026 se detectaron deficiencias en materia de identidad en aproximadamente el 90 % de las investigaciones, pero muchas guías siguen prestando una atención desmesurada al análisis forense de discos. La identidad movimiento lateral La investigación recopila datos sobre inicios de sesión en IdP y Active Directory, autorizaciones OAuth, uso de claves API y tokens de sesión; a continuación, correlaciona los desplazamientos imposibles y busca uso de medios de autenticación alternativos (T1550).

Dos casos de 2026 ponen de relieve estas lecciones. En una filtración sin precedentes en el sector educativo, los investigadores confirmaron un periodo de permanencia de aproximadamente cuatro días y revocaron el acceso del atacante; sin embargo, la organización acabó basándose en los «registros de destrucción» facilitados por el propio atacante como prueba de la destrucción de los datos, una forma de prueba novedosa y con importantes implicaciones legales. Hay que separar siempre el alcance declarado por el atacante del alcance confirmado por las pruebas. Y una intrusión de terceros que duró meses en un importante sistema de salud pública de EE. UU. —con al menos 1,8 millones de personas afectadas (TechCrunch, 2026)— muestra el otro caso difícil: un punto de entrada totalmente ajeno a la organización afectada.

Recoge primero las pruebas volátiles, documenta minuciosamente la cadena de custodia y presta la misma atención a los registros de identidad y de SaaS que a los del disco.

Reconstrucción cronológica y correlación de eventos

Entre los métodos de investigación de incidentes, el análisis cronológico es la habilidad fundamental. La reconstrucción cronológica ordena los eventos procedentes de todas las fuentes disponibles —registros de EDR, SIEM, red, identidad y SaaS— en una única narración cronológica del ataque. La correlación de eventos es su motor, ya que conecta entradas que, por separado, parecen inofensivas, pero que, en conjunto, revelan la cadena de ataque.

Veamos un ejemplo ilustrativo. El SIEM registra una autenticación VPN para una cuenta de servicio procedente de una red desconocida a las 09:02. El EDR registra la ejecución de un proceso inusual en una estación de trabajo del departamento financiero a las 09:14. A continuación, el proveedor de identidad registra un inicio de sesión de la misma cuenta desde un segundo host a las 09:58, seguido de una nueva concesión de OAuth. Cada evento podría pasar el filtro de clasificación por sí solo. Pero, al unirlos en una superlínea temporal, narran el acceso inicial, el movimiento lateral y la preparación, y muestran exactamente dónde hay que buscar a continuación.

Diagrama: una superlínea temporal comentada que fusiona tres fuentes en una sola cronología —una autenticación VPN del SIEM procedente de una red desconocida, la ejecución de un proceso EDR unos minutos después y un inicio de sesión en un proveedor de identidad con una nueva autorización OAuth una hora más tarde—, etiquetadas como «acceso inicial», «movimiento lateral» y «preparación».

El periodo de retención determina si es posible crear la línea temporal. Según M-Trends 2026, la mediana mundial del tiempo de permanencia en 2025 será de 14 días, frente a los 11 del año anterior, y las intrusiones relacionadas con el espionaje —con una mediana de 122 días— constituirán la cola larga de la distribución. Las intrusiones sigilosas pueden superar los periodos de registro estándar de 90 días, por lo que conviene ampliar la retención y centralizar los registros de los dispositivos periféricos antes de que los necesite.

Esas mismas capacidades de correlación permiten la búsqueda proactiva de amenazas, que se encarga de detectar patrones de ataque antes de que se active ninguna alerta. La reconstrucción de la cronología integra los eventos de EDR, SIEM e identidad en una sola historia; la correlación revela la cadena de acontecimientos que las alertas individuales ocultan.

Correlación de los resultados con el marco MITRE ATT&CK identificación de la causa raíz

A medida que se acumulan los hallazgos, los investigadores asocian cada comportamiento observado con MITRE ATT&CK . Este vocabulario común agiliza la delimitación del alcance y hace que los traspasos de casos sean inequívocos: «algo raro en el host 12» se convierte en una afirmación precisa que otros analistas pueden contrastar con la base de conocimientos de ATT&CK.

Tabla: correspondencia entre las preguntas de investigación y el marco MITRE ATT&CK, con una idea de detección para cada una.

La fila de movimientos laterales es el ejemplo ilustrativo de la línea de tiempo anterior. Una sesión robada que se reutiliza en un segundo servidor se asigna a T1550, lo que indica al equipo que analice todos los sistemas a los que podría llegar ese token.

La clasificación ATT&CK explica el «cómo», mientras que el análisis de la causa raíz explica el «por qué». El método de los «5 porqués», tomado del ámbito de la seguridad, consiste en seguir preguntando «por qué» hasta llegar a una respuesta sistémica. La alerta se activó porque malware , porque se robó un token de sesión, porque nunca se renovaron las credenciales, porque ninguna política lo exigía. La causa inmediata es el malware la causa raíz es la falta de una política adecuada.

Hay un patrón de 2026 que complica el análisis. M-Trends 2026 detectó un modelo de división del trabajo —en el que los intermediarios de acceso inicial proporcionan acceso preconfigurado a los actores posteriores— en el 9 % de las investigaciones de 2025, frente al 4 % registrado en 2022. La causa inmediata visible, como un ladrón de información de uso común, puede ocultar un traspaso que ya está en marcha. Haz un mapa de cada comportamiento y luego pregúntate «los 5 porqués» hasta que la respuesta sea algo que puedas solucionar.

Indicadores de investigación: por qué es importante la rapidez

El tiempo medio de investigación (MTTI) —el tiempo medio que transcurre desde la escalación hasta la resolución del incidente— es la métrica que corresponde al equipo de investigación y se supervisa junto con el tiempo medio de notificación (MTTA) en los programas generales de métricas de ciberseguridad. El tiempo medio de respuesta (MTTR) corresponde a la fase de respuesta.

Antes de pasar a las cifras, conviene aclarar algo. La cifra del 73 %, tan citada, es una clasificación, no una tasa de falsos positivos: en la encuesta de SANS de 2025, el 73 % de los equipos señalaron los falsos positivos como su principal reto en materia de detección, y el porcentaje de quienes los ven «con mucha frecuencia» aumentó del 13 % al 20 % respecto al año anterior. Ese ruido provoca fatiga por alertas y hace que se pasen por alto las alertas que realmente importan.

Tabla: el registro de estadísticas de 2026 — por qué es importante la rapidez de la investigación.

La tendencia opuesta es alentadora. Dado que el 52 % de las intrusiones de 2025 se detectaron internamente —frente al 43 % anterior—, la capacidad de investigación está mejorando, incluso aunque la mediana combinada vaya en aumento. El MTTI es el factor decisivo para reducir o aumentar el tiempo de permanencia: compáralo con los valores de referencia y procura reducirlo.

Enfoques modernos y asistidos por IA para la investigación de incidentes de seguridad

Las herramientas de investigación del SOC basadas en IA abarcan un amplio espectro. La investigación manual implica que los analistas consultan cada consola por sí mismos. La clasificación asistida por IA utiliza el aprendizaje automático para enriquecer, correlacionar y priorizar las alertas. La investigación mediante agentes va más allá: los agentes de IA gestionan de forma autónoma las alertas de nivel 1, correlacionándolas en una única línea argumental del incidente, suprimiendo los falsos positivos y cerrando los casos de bajo riesgo con una justificación por escrito. En 2026, el nivel de agentes es una realidad para la clasificación, pero aún no se ha demostrado su eficacia para la respuesta autónoma en acciones relacionadas con la identidad.

Los primeros usuarios informan de resultados sorprendentes —una reducción del tiempo de clasificación de los analistas de entre el 60 % y el 80 %, y una disminución del ruido de las alertas de hasta un 70 % (Help Net Security, 2026)—, pero hay que considerar estas afirmaciones como ejemplos ilustrativos de los primeros usuarios, no como datos de referencia auditados. Una advertencia estructural sobrevive al bombo publicitario: un análisis de VentureBeat sobre los lanzamientos de la RSAC 2026 reveló que las principales plataformas SOC basadas en agentes verifican la identidad de los agentes, pero no su comportamiento; los agentes de IA son ahora tanto una herramienta de investigación como una superficie de ataque en gran medida imposible de investigar.

La elección de las herramientas sigue dependiendo de la fase: plataformas de investigación para el tratamiento integral de los casos, utilidades forenses específicas para el análisis de pruebas y herramientas de colaboración en los casos para la documentación y los traspasos. La capa de ejecución de los guiones y la contención automatizada forma parte de la automatización de la respuesta a incidentes. Durante los próximos 12 a 24 meses, la pregunta para los responsables de operaciones de los SOC es si los proveedores ofrecen referencias genuinas del comportamiento de los agentes. Hasta entonces, la IA es una realidad para la clasificación de nivel 1 y la reducción de falsos positivos, pero el comportamiento de los agentes en sí mismo aún no es investigable; planifíquese en consecuencia.

Cómo Vectra AI la investigación

Vectra AI la investigación partiendo de la premisa de que el sistema ya ha sido comprometido: los atacantes expertos lograrán entrar, y la cuestión decisiva es la rapidez con la que los defensores pueden detectarlos e interpretarlos. Attack Signal Intelligence la inteligencia artificial a las primeras fases de la investigación: clasifica automáticamente las alertas, integra comportamientos relacionados en la red, la identidad y cloud una única narrativa de ataque priorizada, y facilita la investigación en lenguaje natural para que los equipos reducidos puedan evaluar un incidente sin tener que recopilar manualmente la información de las consolas. El objetivo es la señal por encima del ruido: una investigación que parte de una historia de ataque explicada, no de un montón de alertas inconexas.

Conclusión

Todas las investigaciones comienzan de la misma manera, con una alerta de importancia desconocida, y lo que ocurre a continuación marca la diferencia entre un incidente contenido y una filtración que se prolonga durante meses. Se trata de un proceso que se puede aprender y repetir. Valida la alerta, amplía el alcance a partir del primer indicio, recopila pruebas por orden de volatilidad, reconstruye la cronología, asocia los comportamientos al marco ATT&CK, documenta sobre la marcha e informa de los hallazgos para que los equipos de respuesta puedan actuar en consecuencia. Los datos de 2026 aumentan la presión en ambos extremos: los traspasos que se miden en segundos penalizan la validación lenta, mientras que la permanencia prolongada propia del espionaje penaliza la retención corta de registros. Los equipos que comparan el MTTI e invierten en correlación, ya sea asistida por humanos o por IA, recuperan ese tiempo. Para ver hacia dónde se dirigen los hallazgos de la investigación, explore cómo encaja esta fase en el flujo de trabajo unificado de detección, investigación y respuesta ante amenazas.

‍