Explicación de la detección proactiva de amenazas: de la respuesta basada en alertas a una postura previa a la violación de seguridad

La detección proactiva de amenazas es una estrategia de seguridad continua y basada en el comportamiento que busca actividad maliciosa, puntos vulnerables y señales de alerta temprana antes de que se produzca una brecha de seguridad, en lugar de esperar a que se active una alerta. Se trata de un programa, no de una simple herramienta. Los atacantes operan cada vez más sin malware, haciendo uso indebido de cuentas válidas y de herramientas nativas del sistema operativo, por lo que las alertas basadas en firmas suelen llegar demasiado tarde. Esta guía se articula en torno a un eje central —lo proactivo frente a lo reactivo— para mostrar cómo funciona una estrategia previa a la brecha de seguridad, cómo medirla con métricas de detección de amenazas como el tiempo de permanencia, y en qué se diferencia de la búsqueda de amenazas y la inteligencia predictiva. Los datos respaldan este cambio: en una campaña, un actor estatal se mantuvo activo durante al menos cinco años utilizando únicamente herramientas integradas.

¿Qué es la detección proactiva de amenazas?

La detección proactiva de amenazas es una estrategia de seguridad que busca de forma continua comportamientos maliciosos, vulnerabilidades y señales de alerta temprana antes de que se produzca un impacto, en lugar de limitarse a responder una vez que se ha activado una alerta o se ha producido un incidente. Se trata de un programa y una mentalidad, no de un producto que simplemente se activa.

La distinción con respecto a la defensa reactiva es importante porque el panorama de amenazas ha cambiado. La detección reactiva espera a que una firma conocida o un indicador de compromiso active una regla. La detección proactiva parte de la base de que un atacante capacitado ya está realizando sondeos —o ya se encuentra dentro del sistema— y busca los rastros de comportamiento que deja. Por eso es la postura, y no las herramientas, lo que la define: el objetivo es mejorar tu postura de seguridad general reduciendo el margen de tiempo entre la intrusión y su detección.

La técnica de «Living off the land» (LOTL) —una estrategia de los atacantes que utiliza credenciales válidas y utilidades integradas en el sistema operativo para evitar la instalación malware es la razón más evidente por la que los métodos de espera fallan. Cuando la actividad del adversario se asemeja a una gestión administrativa normal, no hay ninguna firma que permita detectarla. Volt Typhoon , vinculado a la República Popular China, mantuvo el acceso a entornos informáticos de infraestructuras críticas de EE. UU. durante al menos cinco años utilizando este enfoque, según el aviso de 2024 de la CISA. Un programa reactivo basado en firmas es, en la práctica, incapaz de detectar ese patrón.

Hay dos conceptos que sirven de base para el resto de esta guía. El término «pre-breach» describe todo lo que ocurre «antes del momento decisivo», es decir, antes de que una intrusión se convierta en una violación de seguridad que deba notificarse. El «tiempo de permanencia» es el tiempo que un adversario permanece sin ser detectado antes de ser descubierto. Una actitud proactiva permite que ambos factores jueguen a tu favor.

Detección proactiva frente a reactiva de amenazas

Esta es la esencia del tema. La detección reactiva se basa en alertas, se activa mediante firmas o indicadores y es posterior al incidente: te indica que algo ya ha ocurrido. La detección proactiva se basa en el comportamiento, se guía por valores de referencia y es previa al impacto: pone de manifiesto las acciones del adversario mientras aún hay tiempo para actuar. La pregunta habitual —«¿qué es mejor, la seguridad proactiva o la reactiva?»— tiene una respuesta clara: ambas, de forma secuencial. No se puede eliminar la respuesta reactiva, pero una postura proactiva sólida reduce la frecuencia y la gravedad con la que hay que recurrir a ella.

La razón por la que la rapidez es fundamental es evidente. Según el informe «M-Trends 2026», el tiempo medio transcurrido desde el acceso inicial hasta el traspaso a un grupo de amenazas secundario se redujo a 22 segundos en 2025, frente a las más de ocho horas registradas en 2022. Cuando los atacantes actúan con tanta rapidez, un programa puramente reactivo siempre se limita a responder a la intrusión de ayer.

Pensemos en un ejemplo reciente y contundente. La Operación HookedWing —revelada en 2026— robó más de 2.000 credenciales de más de 500 organizaciones utilizando un phishing personalizado. El objetivo eran los datos de inicio de sesión válidos, no malware. Para una herramienta reactiva basada en firmas, la actividad posterior parece el inicio de sesión de usuarios legítimos. Solo el análisis de comportamiento y de identidad —que vigila desplazamientos imposibles, ubicaciones geográficas nunca antes detectadas o rutas de acceso atípicas— detecta ese abuso. La detección reactiva no tiene nada que la active; la detección proactiva sí.

Tabla: Diferencias entre la detección reactiva y la proactiva de amenazas en seis dimensiones operativas.

La detección reactiva es el complemento de una sólida capacidad de respuesta ante incidentes, y siempre tendrá su lugar. La clave está en la secuencia: hay que invertir de forma proactiva para que sean menos los incidentes que lleguen a la cola reactiva.

Cómo funciona la detección proactiva de amenazas

La detección proactiva funciona mediante tres pasos sencillos: aprender cuál es el comportamiento normal, estar atento a las desviaciones significativas y dar prioridad a las señales más importantes. Comienza con el establecimiento de una línea de base de comportamiento —modelando la actividad típica de los hosts, las identidades y las entidades de red— para, a continuación, detectar secuencias poco frecuentes o anómalas que destaquen respecto a esa línea de base. El mecanismo no se centra tanto en identificar lo que ya se sabe que es malo, sino más bien en reconocer lo que es inusual para ti.

Una idea clave es el cambio de los indicadores de compromiso (IOC) a los indicadores de comportamiento (IOB). Los IOC son elementos de la infraestructura —una dirección IP maliciosa, un hash de archivo— que un atacante puede sustituir fácilmente. Los IOB son patrones de comportamiento, como la secuencia de acciones realizadas para escalar privilegios o desplazarse lateralmente, que resultan mucho más difíciles de modificar para un adversario. La detección proactiva se basa en los IOB precisamente porque son duraderos.

Las señales de alerta temprana son el motor. Entre ellas se incluyen el reconocimiento del perímetro, la actividad relacionada con dominios falsos o fugas de credenciales, los inicios de sesión anómalos —como desplazamientos imposibles o ubicaciones geográficas nunca antes detectadas— y las vías de acceso atípicas a datos confidenciales o las rutas de exfiltración de datos. Cada una de ellas supone una oportunidad para detectar la intención antes de que se produzcan daños.

No se trata de una simple especulación. Hay trabajos revisados por pares que respaldan el establecimiento de valores de referencia previos a la intrusión: un estudio publicado en 2025 en *Scientific Reports* describe el uso del aprendizaje automático no supervisado para determinar los valores de referencia del host y de las aplicaciones, así como para identificar secuencias de eventos poco frecuentes con el fin de evaluar la intrusión. Para profundizar en los mecanismos, es mejor recurrir a fuentes externas en lugar de volver a explicar el tema: véase la detección de anomalías en la red para los métodos basados en el tráfico, el análisis de comportamiento para la modelización del comportamiento de las entidades y el UEBA para los detalles específicos del establecimiento de valores de referencia de usuarios y entidades.

Métodos y tipos de detección proactiva de amenazas

La detección proactiva de amenazas no es una técnica concreta, sino un conjunto de técnicas. Los métodos principales son:

1. Detección basada en el comportamiento y en anomalías
2. Ingeniería de detección basada en amenazas
3. Tecnología del engaño
4. Supervisión de la exposición y la superficie de ataque
5. Detección de amenazas dirigida por personas

La detección basada en el comportamiento y en anomalías señala las desviaciones respecto a los valores de referencia aprendidos para hosts, identidades y entidades de red. Se trata del método más utilizado, ya que gran parte de las intrusiones modernas se ocultan tras actividades válidas: en 2025, Bitdefender descubrió que el 84 % de los ataques de alta gravedad implicaban binarios «living-off-the-land» en los 700 000 incidentes analizados, precisamente lo que las firmas de técnicas de ataque no detectan.

La ingeniería de detección basada en amenazas crea detecciones que se corresponden con las técnicas específicas que utilizan los adversarios reales, en lugar de listas de comprobación genéricas: esta constituye la columna vertebral operativa que se aborda en la siguiente sección. La tecnología de engaño coloca señuelos y «honeytokens» con los que los usuarios legítimos nunca entran en contacto, por lo que cualquier interacción constituye una señal temprana de alta fidelidad. La supervisión de la exposición y la superficie de ataque detecta las vulnerabilidades antes que los atacantes, lo que permite anticipar la «cuña previa a la brecha» que se analiza más adelante.

La búsqueda de amenazas dirigida por personas es el quinto método: una investigación dirigida por analistas y basada en hipótesis que complementa la detección automatizada. Se trata de un método dentro de una estrategia más amplia, no un sinónimo de la misma; para conocer la metodología completa, consulta «búsqueda de amenazas dirigida por personas». A la hora de elegir y comparar herramientas para estos métodos, dirige las preguntas relacionadas con la intención de compra hacia el software de detección de amenazas, en lugar de considerar esta página sobre la estrategia como una guía de productos.

Por qué es importante la detección proactiva de amenazas

El tiempo de permanencia y el ciclo de vida de las brechas de seguridad son los indicadores clave de rendimiento (KPI) que mide un programa proactivo, y los datos de 2026 demuestran por qué esperar sale caro. La mediana global del tiempo de permanencia fue de 14 días en 2025, frente a los 11 días de 2024, según M-Trends 2026 y corroborado por Help Net Security. Este aumento no se debe a que la detección haya empeorado, sino que refleja la composición de los casos, ya que los casos de espionaje a largo plazo y los relacionados con trabajadores informáticos de la RPDC presentan una mediana mucho más larga, de 122 días, lo que eleva la cifra.

Junto a este dato, hay otra señal más alentadora: en 2025, el 52 % de las intrusiones se detectaron internamente, frente al 43 % del año anterior. Las organizaciones están detectando más casos por sí mismas, en lugar de enterarse de las brechas de seguridad a través de terceros, lo que supone el resultado directo de una postura proactiva cada vez más consolidada.

Los datos sobre los costes refuerzan la urgencia. El estudio «El coste de una filtración de datos» del Ponemon Institute reveló que la duración media del ciclo de vida de una filtración alcanzó los 241 días en 2025 —la cifra más baja en nueve años—, mientras que el coste medio global de una filtración se redujo un 9 %, pasando de 4,88 millones de dólares a 4,44 millones. Cuanto menor sea, mejor, pero 241 días siguen siendo ocho meses en los que un programa proactivo tiene margen para detectar las incidencias antes y reducir el riesgo cibernético. Para consultar el conjunto más amplio de indicadores clave de rendimiento (KPI), véanse las métricas de ciberseguridad.

Tabla: los principales indicadores clave de rendimiento (KPI) proactivos, sus valores para 2026 y cómo los aborda un programa proactivo.

Una salvedad metodológica: el tiempo medio de permanencia de M-Trends (la mediana del número de casos de respuesta a incidentes) y la cifra del ciclo de vida de las filtraciones (una medida general de la población de filtraciones) describen poblaciones diferentes y no deben confundirse. Cada una de ellas es coherente dentro de su propio método.

Defensa basada en el conocimiento de las amenazas y MITRE ATT&CK

La defensa basada en amenazas convierte la detección proactiva en un programa cuantificable: prioriza la ingeniería de detección frente a las técnicas que utilizan los adversarios reales, identifica tus principales lagunas de cobertura y subsánalas de forma iterativa. En lugar de ceñirte a una lista de comprobación genérica, creas detecciones que se ajustan al comportamiento observado de los adversarios, y puedes demostrar tu cobertura a lo largo del tiempo.

Una postura proactiva presta especial atención a las tácticas previas a la intrusión, es decir, la superficie «a la izquierda del bang». En MITRE ATT&CK , eso significa «Reconocimiento» (0043), incluidas técnicas como el escaneo activo (T1595), y Desarrollo de Recursos (0042), incluida Acquire Infrastructure (T1583). El análisis de estas tácticas pone de manifiesto la preparación del adversario antes del primer inicio de sesión. Comprueba la versión actual de ATT&CK en el momento de la publicación; el marco evoluciona, pero las prácticas basadas en el conocimiento de las amenazas no.

La práctica en sí misma consiste en un bucle sencillo, bien documentado por organismos neutrales como el «Mappings Explorer» del Center for Threat-Informed Defense y su hoja de ruta: asigna tus detecciones existentes a MITRE ATT&CK, identifica las tres principales carencias, crea una detección por semana y mide cómo aumenta la cobertura. Es aquí donde la ingeniería de detección se convierte en una disciplina, en lugar de una actividad puntual.

Tabla: ejemplos de tácticas y técnicas de ATT&CK previas a la intrusión que debe vigilar una estrategia proactiva, con una idea de detección defensiva para cada una de ellas.

Un ejemplo práctico: asignación de una señal previa a una brecha de seguridad al marco ATT&CK

Supongamos que tu equipo pone en marcha un sistema de vigilancia de dominios falsos y fugas de credenciales. Aparece un dominio recién registrado que imita fielmente tu marca, y se detecta un conjunto de credenciales de empleados en un canal de fugas. Desde el punto de vista defensivo, esa señal de alerta temprana se asocia con el departamento de Desarrollo de Recursos (0042) — El adversario está adquiriendo infraestructura y material para utilizarlos más adelante. La señal se convierte en una detección con seguimiento: se enriquece, se deriva al triaje y se vigila la aparición de anomalías de autenticación posteriores. La señal mantiene su carácter observacional y defensivo: su valor radica en detectar los preparativos con la suficiente antelación como para reforzar las cuentas y ajustar las detecciones antes de que se produzca cualquier intento de inicio de sesión.

El modelo de madurez de la detección proactiva

El modelo que se muestra a continuación es un marco práctico, no una norma reconocida: una forma de que los equipos evalúen por sí mismos en qué punto se encuentran y vean cómo sería una situación «mejor». Describe cinco niveles ascendentes de actitud proactiva, cada uno con criterios observables. Existen modelos de madurez similares para la ingeniería de detección y los niveles de detección académicos, pero ninguno está diseñado para una actitud de detección proactiva, y ese es el vacío que este modelo viene a cubrir.

Tabla: los cinco niveles de madurez y lo que se observaría en cada uno de ellos.

Una breve autoevaluación: responde «sí» o «no»:

• ¿Mantienes valores de referencia de comportamiento para los hosts, las identidades y las entidades de red? (Nivel 3+)
• ¿Están tus detecciones mapeadas con el marco MITRE ATT&CK se ha medido su cobertura? (Nivel 4+)
• ¿Integráis la reducción de la exposición con la detección? ¿Y la información sobre amenazas impulsa continuamente vuestra ingeniería de detección? (Nivel 5)

La mayoría de los equipos se sitúan en el nivel 2 o 3. El valor del modelo no reside en la etiqueta, sino en el siguiente paso observable que este permite vislumbrar.

Reducción de la exposición: la cuña previa a la infracción

Una postura proactiva reduce tanto la rapidez con la que se detectan las amenazas como la cantidad de amenazas que hay que detectar, al reducir la superficie de ataque «antes de que se produzca el ataque». La postura previa a la violación de seguridad es la suma de dos elementos: la preparación para la detección y la reducción de la exposición. Cuanto menor sea la exposición a la que pueda acceder un adversario, menos señales de alerta temprana tendrás que investigar desde el principio.

La gestión continua de la exposición a amenazas (CTEM) es el marco de referencia para la vertiente de la exposición, junto con la gestión y la supervisión de la superficie de ataque para la detección continua. Gartner predijo en 2022 que las organizaciones que priorizaran las inversiones en seguridad a través de un programa de CTEM tendrían tres veces menos probabilidades de sufrir una brecha de seguridad para 2026 —una predicción con perspectiva de futuro, no un resultado medido, pero con una orientación muy sólida—. Los dispositivos periféricos al final de su vida útil ilustran lo que está en juego: VulnCheck informó de que el 42,5 % de las vulnerabilidades explotadas en 2025 afectaban a dispositivos al final de su vida útil o que probablemente lo estuvieran, y la directiva BOD 26-02 de la CISA (publicada el 5 de febrero de 2026) ordenó a las agencias civiles federales que hicieran un inventario de los dispositivos periféricos sin soporte técnico, una medida de reducción de la exposición que es todo un ejemplo.

En qué se diferencia la detección proactiva de la búsqueda activa y la inteligencia predictiva

La detección proactiva es la estrategia; la búsqueda de amenazas dirigida por personas es un método basado en hipótesis y dirigido por analistas que forma parte de ella, y la inteligencia predictiva sobre amenazas es un elemento de apoyo, no un sinónimo de ninguno de los dos. La metodología de búsqueda forma parte de la búsqueda de amenazas dirigida por personas; la inteligencia predictiva prevé las amenazas probables y sirve de base para la ingeniería de detección, pero no observa el comportamiento de los adversarios en tu entorno de la misma forma que lo hace la detección; para esa disciplina, consulta las herramientas de inteligencia sobre amenazas.

Tabla: relación entre tres términos adyacentes y la detección proactiva.

Buenas prácticas y cumplimiento normativo

Una detección proactiva madura se basa en un conjunto reducido de principios: establecer líneas de referencia de comportamiento, adoptar una ingeniería de detección basada en las amenazas, integrar la reducción de la exposición, medir el tiempo de permanencia y el MTTD, combinar la automatización con la experiencia de los analistas y avanzar de forma iterativa en el modelo de madurez. Ninguno de ellos es algo extraordinario; el valor reside en llevarlos a cabo como un programa regulado, en lugar de como un conjunto de herramientas.

Para los lectores de GRC, este enfoque se ajusta perfectamente al NIST CSF 2.0. La detección proactiva pone en práctica la función «Detectar» (DE) —concretamente, la supervisión continua (DE.CM) y el análisis de incidentes adversos (DE.AE)—, y el CSF 2.0 añadió la función «Gobernar» (GV), que enmarca la detección como un programa regulado y priorizado en función del riesgo. Ese enfoque de gobernanza es precisamente el punto de vista que defiende esta guía. Vincula tu programa con iniciativas más amplias de cumplimiento normativo y marcos de trabajo para que la correspondencia sea auditable.

Tabla: correspondencia entre un enfoque de detección proactivo y los elementos de la función «Detectar» del Marco de Seguridad Cibernética del NIST (CSF) 2.0.

Ten en cuenta que CSF 2.0 no incluye el código DE.CM-04; el resultado anterior «se ha detectado código malicioso» se integró en el código DE.CM-09 en la revisión 2.0.

Enfoques modernos para la detección proactiva de amenazas

El sector está adoptando como norma una postura centrada en el comportamiento, que tiene en cuenta la identidad y se anticipa a las brechas de seguridad. Destacan tres líneas de actuación entre los distintos proveedores y marcos de trabajo: señales de comportamiento unificadas que abarcan la red, la identidad y cloud de herramientas puntuales aisladas; inteligencia artificial y automatización que multiplican el rendimiento de los equipos de seguridad reducidos; y una cobertura mesurada del modelo ATT&CK combinada con la reducción de la exposición en un único programa. A la hora de evaluar un enfoque moderno, hay que fijarse en las capacidades más que en los logotipos: señales de comportamiento integradas en todas las superficies de ataque, medición de la cobertura, reducción de la exposición y clasificación asistida por IA que distingue los ataques reales del ruido.

Cómo Vectra AI la detección proactiva de amenazas

Vectra AI la detección proactiva de amenazas desde una filosofía basada en la premisa de que el sistema ya está comprometido: los atacantes capacitados lograrán colarse, por lo que la prioridad es detectar rápidamente su comportamiento en toda la superficie de ataque moderna —red, identidad y cloud. A través de Attack Signal Intelligence, Vectra AI en los comportamientos de los atacantes en lugar de en firmas o indicadores estáticos, y luego da prioridad a los ataques reales frente al ruido de las alertas, de modo que los equipos reducidos puedan actuar antes de que el movimiento lateral convierta una intrusión en una violación de seguridad. Ese enfoque de detección de amenazas basado en el comportamiento y en la IA es lo que hace que una postura proactiva sea sostenible para los equipos que no pueden vigilarlo todo a la vez.