Explicación de la detección, investigación y respuesta ante amenazas (TDIR): el flujo de trabajo unificado del SOC que integra la detección, la investigación y la respuesta

Información clave

El TDIR es un flujo de trabajo, no una categoría de herramientas. Unifica la detección, la investigación y la respuesta en todas las fuentes de señales (NDR, EDR, ITDR, SIEM) y capas de ejecución (SOAR, IA basada en agentes), y puede implementarse de forma autogestionada, como plataforma convergente o a través de MDR.
Siete acrónimos relacionados entre sí generan confusión entre los compradores. TDR es la disciplina más amplia; ITDR, EDR y NDR son fuentes de señales; XDR es una categoría de herramientas, y MDR es un modelo de servicio: agruparlos en un solo término es la causa principal de que las evaluaciones fracasen.
Los plazos reglamentarios marcan ahora el diseño de los planes de respuesta. El plazo de clasificación de cuatro horas de la DORA, el plazo de notificación de 24 horas de la NIS2 y la norma de divulgación de cuatro días hábiles de la SEC deben integrarse en los manuales de respuesta, y no añadirse a posteriori.
La duración media de las infracciones aumentó a 11 días en 2025, mientras que las organizaciones que utilizan ampliamente la inteligencia artificial y la automatización ahorran aproximadamente 1,9 millones de dólares por cada infracción y reducen su duración en 80 días.
La IA agentiva marcará un punto de inflexión entre 2026 y 2028. Gartner prevé que el 50 % de las plataformas de TDIR incorporarán IA agentiva para 2028, pero solo el 15 % de los SOC piloto logran mejoras cuantificables sin una evaluación estructurada.

La detección, investigación y respuesta ante amenazas (TDIR) es un modelo operativo de SOC que unifica la detección, la investigación y la respuesta en un único flujo de trabajo basado en la inteligencia. Se implementa bien como un proceso que abarca las herramientas existentes —SIEM, SOAR, EDR, NDR, ITDR, XDR— o bien como una plataforma convergente que procesa y correlaciona esas señales. TDIR es la disciplina; las plataformas son una vía de implementación. La urgencia es difícil de ignorar. El informe M-Trends 2025 de Mandiant señala que el tiempo medio de permanencia global aumentó a 11 días en 2025, mientras que la encuesta SANS 2025 SOC, publicada a través de Torq, reveló que el 76 % de los equipos de SOC citan la fatiga por alertas como su principal reto operativo. Esta guía explica qué es el TDIR, en qué se diferencia de acrónimos relacionados (TDR, ITDR, MDR, XDR, EDR, NDR), cómo sus cuatro fases se corresponden con el NIST CSF 2.0 y MITRE D3FEND .3.0, los plazos de DORA, NIS2 y SEC ahora integrados en la fase de respuesta, y cómo se define lo que es «bueno» en 2026.

¿Qué es el TDIR?

La detección, investigación y respuesta ante amenazas (TDIR) es un modelo operativo de centro de operaciones de seguridad (SOC) que unifica tres fases —detección, investigación y respuesta— en un único flujo de trabajo basado en la inteligencia, a menudo integrado en una plataforma convergente que recopila señales de SIEM, SOAR, EDR, NDR, ITDR y XDR. TDIR es la disciplina; las plataformas TDIR convergentes son uno de los diversos modelos de implementación existentes.

El enfoque es importante porque el término se utiliza indistintamente según el proveedor. Algunos proveedores describen el TDIR como una categoría de productos; otros lo describen como un flujo de trabajo que se ejecuta a través de las herramientas existentes. Ambas perspectivas son válidas. Los compradores deben considerar el TDIR como un flujo de trabajo y seleccionar herramientas que lo admitan. Los proveedores con ofertas de plataforma agruparán lógicamente ese mismo flujo de trabajo como una categoría. La implicación práctica: no adquiera una «plataforma TDIR» sin comprender primero qué se supone que debe hacer el TDIR por su SOC; de lo contrario, corre el riesgo de sustituir capacidades existentes por las que ya ha pagado.

El TDIR se inscribe en el ciclo de vida más amplio de la respuesta a incidentes y es uno de los flujos de trabajo que un equipo operativo de SOC moderno lleva a cabo a diario. Lo que distingue al TDIR de la respuesta a incidentes tradicional es que eleva la investigación a una fase diferenciada entre la detección y la respuesta. En los programas de respuesta a incidentes (IR) heredados, la investigación solía reducirse a una clasificación inicial —una breve comprobación de validez previa a la escalación—, lo que hacía que los analistas trataran las alertas de baja fiabilidad como si fueran incidentes. El TDIR replantea la investigación como la fase en la que las alertas se convierten en incidentes, en la que se reconstruyen las cronologías de los ataques y en la que se selecciona el protocolo de respuesta basándose en las pruebas, en lugar de en la etiqueta de la alerta.

El TDIR también incorpora de forma explícita la notificación reglamentaria dentro de plazos fijos. La fase de respuesta incluye ahora las obligaciones de comunicación previstas en la DORA, la NIS2, la norma de divulgación cibernética de la SEC y otros regímenes similares. Esto supone un cambio significativo con respecto al enfoque anterior del TDR (detección y respuesta ante amenazas), que consideraba la divulgación reglamentaria como un aspecto secundario. Analizamos los mecanismos de los plazos en la sección sobre cumplimiento que figura a continuación.

Las cuatro fases —detección, investigación, respuesta y aprendizaje posterior al incidente— funcionan como un ciclo continuo, no como un proceso puntual. Cada iteración del ciclo incorpora las mejoras en la ingeniería de detección al proceso de alertas, de modo que el SOC se vuelve más silencioso y preciso con el tiempo. Las definiciones del sector coinciden en este enfoque cíclico: consulte el glosario TDIR de NetWitness y la guía TDIR de ReliaQuest para conocer dos enfoques del sector.

TDIR frente a términos adyacentes: la matriz de desambiguación

Los motores de búsqueda tratan los términos TDIR, TDR, ITDR, MDR, XDR, EDR y NDR como siete consultas distintas con una intención que, aunque se solapa, es diferenciada. Agruparlos en una sola comparación constituye tanto un error de SEO como un error que resta claridad al comprador. La matriz que figura a continuación aclara las confusiones más habituales.

Término	Definición canónica	Fuente(s) de señal principal(es)	Intención de búsqueda	Solapamiento con el TDIR
TDIR	Un modelo operativo de SOC que unifica la detección, la investigación y la respuesta en un único flujo de trabajo basado en la inteligencia; a menudo se implementa como una plataforma convergente que abarca SIEM, SOAR, UEBA, EDR, NDR, ITDR y XDR	Todo: TDIR procesa señales EDR, NDR, ITDR y XDR	Informativo + de investigación	-
TDR	Detección y respuesta ante amenazas: disciplina de ciberseguridad más amplia que combina la supervisión continua, la identificación de amenazas, la investigación y la contención en terminales, redes, identidades, API y cloud	Todas las superficies	Informativo	~75%
ITDR	Detección y respuesta ante amenazas a la identidad: disciplina de seguridad dedicada a detectar y responder a los ataques dirigidos contra las identidades de usuarios y sistemas (uso indebido de credenciales, escalada de privilegios, movimiento lateral basado en identidades)	Proveedores de identidad, registros de IAM y PAM, Active Directory y Entra ID	Informativo + de investigación	~35 % (subconjunto, solo identidad)
MDR	Detección y respuesta gestionadas: servicio de centro de operaciones de seguridad (SOC) externalizado, disponible las 24 horas del día, los 7 días de la semana, que ofrece detección de amenazas, investigación y respuesta en nombre del cliente	Telemetría facilitada por el cliente	Transaccional + de investigación	~60 % (modelo de servicio que pone en práctica el TDIR)
XDR	Detección y respuesta ampliadas: categoría de plataforma que correlaciona datos de telemetría seleccionados y de alta calidad procedentes de terminales, identidades, cloud, el correo electrónico y la red	Dispositivos finales, identidad, cloud, correo electrónico y red	Investigación + transacciones	~70 % (categoría de herramientas dentro del marco del TDIR)
EDR	Detección y respuesta en terminales: supervisión continua de los terminales con detección malware, ransomware y comportamiento anómalo, además de bloqueo en tiempo real	Solo para dispositivos finales	Investigación + transacciones	~35 % (fuente de la señal)
NDR	Detección y respuesta en la red: supervisión continua del tráfico norte-sur y este-oeste con análisis de comportamiento para detectar movimientos laterales, amenazas en canales cifrados y dispositivos no gestionados	Solo en red	Investigación + transacciones	~40 % (fuente de la señal)

Leyenda: TDIR frente a acrónimos similares: definiciones, fuente principal de la señal, intención de búsqueda y solapamiento con TDIR.

La explicación es breve. TDR es la disciplina más amplia. TDIR es un flujo de trabajo dentro de TDR que destaca la investigación como una fase diferenciada e integra los plazos reglamentarios. ITDR, EDR y NDR son subconjuntos específicos de señales: cada uno de ellos alimenta el flujo de trabajo de TDIR con un tipo concreto de telemetría. XDR es una categoría de herramientas que correlaciona previamente varias de esas fuentes de señales. MDR es un modelo de prestación de servicios que pone en práctica todo el flujo de trabajo de TDIR en nombre de un cliente.

Una prueba práctica para el comprador: si un proveedor presenta su oferta como «TDIR», pero solo recopila datos de telemetría de los terminales, se trata de una solución EDR con un toque de marketing. Si, en cambio, abarca los terminales, la identidad y la red en un único panel de investigación y cuenta con automatización de la respuesta con plazos definidos, se acerca más a un TDIR auténtico. La diferencia no está en la etiqueta, sino en la amplitud de las fuentes de información, la profundidad del contexto de investigación y si la respuesta incluye las obligaciones de comunicación exigidas por la normativa.

Por qué el TDIR es importante ahora

Hay tres factores que están impulsando la inclusión del TDIR en el orden del día de la junta de 2026.

El tiempo medio de permanencia aumentó a 11 días en 2025, frente a los 10 días de 2023, y el 45,1 % de las intrusiones se detectaron en el plazo de una semana, lo que pone de manifiesto una clara diferencia entre las organizaciones que detectan las intrusiones rápidamente y las que tardan en hacerlo (Mandiant M-Trends 2025).
Ya se han cuantificado los ahorros que generan la IA y la automatización. Las organizaciones que utilizan ampliamente la IA y la automatización ahorran aproximadamente 1,9 millones de dólares por cada filtración y reducen el ciclo de vida de las filtraciones en 80 días (Estudio del Ponemon Institute sobre el coste de las filtraciones de datos, 2025).
La presión operativa de los SOC se encuentra en niveles récord. El 76 % de los equipos de SOC señalan la fatiga por alertas como su principal reto operativo, y entre el 63 % y el 76 % afirman sufrir agotamiento (SANS 2025, según datos de Torq). El coste medio anual de un SOC empresarial asciende ahora a 5,3 millones de dólares, lo que supone un aumento del 20 % con respecto al año anterior (Ponemon, según datos de databahn).
Los procesos manuales siguen siendo la norma. El 85 % de las organizaciones se basa principalmente en procesos de seguridad manuales (CISA, según datos de JumpCloud).
Los puntos ciegos en las redes híbridas siguen siendo un problema generalizado. El 67 % de las organizaciones señala los puntos ciegos de la red como uno de sus principales retos (Fidelis, «Visibilidad de las redes híbridas», 2026).
La IA agentiva está obligando a tomar una decisión sobre la arquitectura en un plazo de dos a tres años. Gartner prevé que el 50 % de las plataformas TDIR incorporarán la seguridad basada en IA agentiva para 2028, frente a menos del 10 % en 2024 (Gartner a través de BleepingComputer, 2026).

Los estudios del sector y las previsiones de los analistas coinciden ahora en una mejora de la eficiencia de aproximadamente el 40 % en todo el flujo de trabajo del TDIR cuando se aplican la inteligencia artificial y la automatización a gran escala —un resultado global derivado de la reducción del tiempo dedicado a la clasificación, a la investigación y al ajuste de las reglas—. Es mejor considerar esa cifra como una estimación triangulada a partir de las cuatro estadísticas principales mencionadas anteriormente, y no como una afirmación basada en una sola fuente. Lo que importa es el mensaje general: los SOC que modernizan el TDIR obtienen unos resultados significativamente mejores que los que no lo hacen, y la brecha se está ampliando.

La lista de prioridades para los CISO de 2026 elaborada por CSO Online sitúa la modernización de los TDIR en el primer nivel, junto con la seguridad de la identidad y la gobernanza de la IA, lo que refleja las mismas tendencias. Para los SOC que operan con menos de cinco empleados a tiempo completo, la elección ya no es «modernizarse o quedarse estancados», sino «modernizarse o quedarse atrás en cuanto al tiempo de permanencia de las amenazas, el riesgo normativo y la retención de analistas, todo al mismo tiempo».

Cómo funciona el TDIR: las cuatro fases

El flujo de trabajo del TDIR se desarrolla en cuatro fases —detección, investigación, respuesta y aprendizaje tras el incidente— y se repite cíclicamente, de modo que cada iteración aporta las lecciones aprendidas a la ingeniería de detección. Esta visión en cuatro fases se ajusta a los enfoques del ciclo de vida habituales en el sector y a las fases definidas en la norma NIST SP 800-61 Rev. 3.

Fase 1: Detección. El SOC recopila datos de telemetría procedentes de EDR (terminales), NDR (red, en direcciones este-oeste y norte-sur) e ITDR (identidad), SIEM (registros), y planos de cloud; aplica detecciones basadas en reglas, en el comportamiento y en el aprendizaje automático; y genera alertas de alta precisión. La ingeniería de detección cambia el enfoque de la redacción de reglas al modelado del comportamiento. Esta fase se corresponde con el NIST CSF 2.0 DETECT (DE.AE Anomalías y eventos, DE.CM Supervisión continua, DE.AN Procesos de detección) y con MITRE ATT&CK tácticas en el ámbito, entre ellas 0001 Acceso inicial, 0008 Movimiento lateral, y 0010 Exfiltración. Los sistemas de detección modernos recurren cada vez más a Detección de amenazas mediante IA y análisis del comportamiento para detectar amenazas desconocidas que los sistemas basados en reglas no detectan.

Fase 2 — Investigación. Los analistas clasifican las alertas, las enriquecen con inteligencia sobre amenazas, la importancia de los activos y el contexto de identidad, correlacionan las alertas para identificarlas como incidentes, elaboran cronologías de los ataques y distinguen entre falsos positivos y verdaderos positivos. La investigación tiene su propio subciclo interno: validación, contextualización y análisis posterior al incidente. El resultado de la investigación no es «esta alerta es real», sino un incidente totalmente reconstruido con alcance, radio de impacto y una recomendación ponderada por el nivel de confianza. Aquí es donde el volumen de alertas se convierte en claridad sobre el incidente. La investigación también genera las hipótesis que alimentan los flujos de trabajo de búsqueda de amenazas cuando los analistas disponen de capacidad libre.

Fase 3 — Respuesta (contención, erradicación y recuperación). El SOC contiene la amenaza (aisla el terminal, revoca la sesión, desactiva la cuenta, bloquea la IP), erradica la persistencia (elimina los implantes, rota las credenciales, corrige el vector de entrada) y recupera (restaura a partir de una copia de seguridad limpia, valida la integridad). La respuesta también incluye la notificación reglamentaria dentro de plazos fijos, lo que ahora es una parte innegociable del manual de procedimientos. Esta fase se corresponde con RESPOND (RS.MA, RS.AN, RS.MI, RS.CO, RS.IM) y RECOVER (RC.RP) del NIST CSF 2.0.

Fase 4 — Aprendizaje tras el incidente. Las lecciones aprendidas, el perfeccionamiento del manual de procedimientos, las actualizaciones de la lista de tareas pendientes en materia de ingeniería de detección y la presentación de informes al consejo de administración cierran el ciclo. Los resultados se incorporan al contenido de detección y al manual de investigación. Esta fase se corresponde con la categoría IMPROVE del NIST CSF 2.0 y con la función GOVERN (GV.OC, GV.RM, GV.RR), que es nueva en el CSF 2.0 y eleva explícitamente la gobernanza a una función de primer nivel.

La pregunta sobre los «cuatro métodos de detección de amenazas» (una consulta habitual en la PAA) se corresponde claramente con la Fase 1: basados en firmas ( IOC conocidos), basados en anomalías (líneas de referencia estadísticas y de comportamiento), heurísticos y basados en reglas (lógica de correlación), y basados en el aprendizaje automático (modelos supervisados y no supervisados, incluyendo el análisis de comportamiento y la detección de amenazas mediante IA). Los programas maduros de TDIR ejecutan los cuatro métodos en paralelo; ninguno por sí solo es suficiente.

Fases del TDIR asignadas al NIST CSF 2.0 y al NIST SP 800-61r3

Fase TDIR	Función/categoría del NIST CSF 2.0	Fase del NIST SP 800-61r3
Detección	DETECT (DE.AE, DE.CM, DE.AN)	Detección y análisis
Investigación	DETECTAR (DE.AE) + RESPONDER (RS.AN)	Detección y análisis
Respuesta	RESPONDER (RS.MA, RS.MI, RS.CO) + RECUPERAR (RC.RP)	Contención, erradicación, recuperación
Aprendizaje tras un incidente	RESPONDER (RS.IM) + GOBERNAR (GV.OC, GV.RM, GV.RR)	Actividades posteriores al incidente

Leyenda: Fases del TDIR asignadas a las funciones del NIST CSF 2.0 y a las fases de la norma NIST SP 800-61 Rev. 3.

Fases del TDIR asignadas a MITRE ATT&CK D3FEND

MITRE ATT&CK el comportamiento de los adversarios; MITRE D3FEND v1.3.0, publicado en diciembre de 2025, describe contramedidas defensivas en 267 técnicas repartidas en 7 tácticas: Modelar (27), Fortalecer (51), Detectar (90), Aislar (57), Engañar (11), Expulsar (19) y Restaurar (12). La fase de detección de TDIR se corresponde con las tácticas de ATT&CK en el lado ofensivo. La fase de respuesta de TDIR se corresponde directamente con las tácticas Aislar, Expulsar y Restaurar de D3FEND. La tabla de correspondencias completa, que incluye técnicas representativas de D3FEND por subfase de respuesta, se encuentra en la sección de cumplimiento a continuación.

TDIR y la pila SOC: fuentes de señales, capa de ejecución, modelos de servicio

El TDIR no es un nuevo pilar dentro de la estructura del SOC. Es el flujo de trabajo que conecta los pilares ya existentes. Comprender bien la arquitectura evita la proliferación de herramientas y aclara las decisiones sobre si desarrollar o adquirir soluciones.

Fuentes de señales (lo que consume TDIR). NDR para la visibilidad este-oeste y la detección de movimientos laterales, EDR para la detección de comportamientos en los endpoints, ITDR para la detección de ataques basados en la identidad (uso indebido de credenciales, escalada de privilegios), SIEM para la correlación y auditoría de registros, y XDR como nivel de correlación convergente cuando está presente. En conjunto, estos elementos forman lo que algunos profesionales denominan la tríada del SOC: visibilidad en los endpoints, la red y los registros, con la identidad como cuarta dimensión que ha adquirido su propia disciplina.
Capa de ejecución (por donde pasa TDIR). Automatización de la respuesta a incidentes y SOAR para la orquestación de guiones, además de IA basada en agentes para acciones autónomas de nivel 1 y nivel 2. La capa de ejecución es donde la contención pasa de ser «un analista que hace clic en aislar» a «un guión que aísla en cuestión de segundos y notifica al responsable adecuado». También es aquí donde comienza a correr el plazo reglamentario una vez que se confirma un incidente.
Modelos de prestación de servicios. Autogestionado (un SOC interno que utiliza sus propias herramientas), prestado mediante MDR (un SOC externalizado que funciona las 24 horas del día, los 7 días de la semana, y gestiona el flujo de trabajo en nombre del cliente) o híbrido (co-gestionado con un socio que se encarga de la clasificación de incidencias fuera del horario laboral). El MDR no es un competidor del TDIR, sino un modelo de prestación de servicios para el TDIR.

Conclusión para el comprador: pregunta a qué nivel de la arquitectura se dirige cada herramienta. Si la respuesta no queda clara, es probable que la herramienta se solape con algo que ya tienes. La planta de la RSAC 2026 contó con unos 36 proveedores de AI-SOC con mensajes en gran medida indistinguibles; los analistas ahora diferencian la «automatización renombrada» de las arquitecturas genuinamente autónomas basadas en la retención duradera, la arquitectura de agentes en malla y la amplitud de fuentes de señales en SIEM, NDR, ITDR y UEBA.

El TDIR en la práctica: tiempo de permanencia, relojes reguladores y lecciones aprendidas de las infracciones

Tres casos prácticos del sector y tres ejemplos de violaciones de seguridad convierten lo abstracto en concreto.

Caso práctico 1: servicios financieros y DORA. Un banco europeo implementa TDIR para cumplir con los requisitos de DORA: clasificación de incidentes en un plazo de 4 horas, notificación con 24 horas de antelación e informe detallado en un plazo de 72 horas. La plataforma TDIR correlaciona cloud de identidad, de red y cloud para detectar patrones de robo de credenciales y de suplantación de identidad en el correo electrónico empresarial en cuestión de minutos, con la rapidez suficiente para cumplir con el plazo de 4 horas. Consulte el informe técnico de ISACA sobre NIS2 y DORA para conocer el marco normativo. El sector de los servicios financieros es el que más se juega con la adopción de TDIR, ya que los plazos son los más ajustados. Para más información, consulte ciberseguridad en los servicios financieros.

Caso práctico 2: el sector sanitario y el TDIR prestado a través de MDR. Un hospital de tamaño medio con menos de cinco empleados a tiempo completo en su centro de operaciones de seguridad (SOC) adopta el TDIR prestado a través de MDR para gestionar la detección y la respuesta las 24 horas del día, los 7 días de la semana, en un entorno híbrido que incluye dispositivos IoMT, sistemas de historias clínicas electrónicas (EHR) y estaciones de trabajo clínicas. La conclusión: los SOC con recursos limitados son los que obtienen un mayor retorno de la inversión al adoptar el TDIR, ya que el coste marginal de la prestación de servicios de MDR es mucho menor que el coste marginal de contratar a dos analistas más. Véase «ciberseguridad en el sector sanitario» para conocer el contexto específico del sector.

Caso de uso 3 — Fabricación y TDIR para OT/IT con D3FEND-OT. Una empresa de fabricación discreta amplía la cobertura de TDIR a entornos de tecnología operativa utilizando las asignaciones de D3FEND-OT publicadas el 16 de diciembre de 2025. La plataforma TDIR procesa fuentes de señales tanto de TI como de OT, con guiones de respuesta que tienen en cuenta las limitaciones de los sistemas de seguridad —una lección que aprendieron por las malas los fabricantes que trataban la respuesta a incidentes de OT como una simple generalización de la respuesta a incidentes de TI.

Lección sobre brechas de seguridad n.º 1: Salt Typhoon. Según la actualización del FBI de febrero de 2026, la campaña atribuida a China contra empresas de telecomunicaciones y dispositivos periféricos, destinada a obtener acceso para la interceptación al estilo de la ley CALEA, sigue activa. El fallo en la fase de detección y respuesta (TDIR) se produjo en la detección de red: visibilidad este-oeste limitada en los dispositivos periféricos y deficiencias en la gestión de parches. Salt Typhoon el ejemplo paradigmático de «por qué la detección de red sigue siendo importante» para los compradores que creen que una solución TDIR basada únicamente en EDR es suficiente.

Lección 2 sobre la brecha de seguridad: la oleada Scattered Spider de abril de 2026. Movimiento lateral basado en la identidad a través de ingeniería social en el servicio de asistencia técnica. El fallo se produjo en la fase de detección y respuesta (ITDR): el uso indebido de credenciales pasó desapercibido porque las fuentes de señales del SOC se limitaban a los terminales y a la red, y nunca modelaban el comportamiento de las identidades. Scattered Spider demostrado sistemáticamente que los programas de detección y respuesta (TDIR) basados únicamente en EDR pasan por alto la fase de movimiento lateral basado en la identidad.

Lección 3 sobre la filtración: Vimeo a través de un proveedor externo (Anodot). Una integración de análisis de la cadena de suministro sirvió como punto de entrada. El fallo se produjo en la supervisión de los registros de los proveedores: se recopilaron datos de telemetría de terceros, pero nunca se correlacionaron con las señales del contexto empresarial. Esto coincide con la conclusión del informe DBIR 2025 de Verizon de que las brechas en las que intervienen terceros se duplicaron hasta alcanzar el 30 % interanual, a menudo mediante técnicas de «living off the land» y patrones de acceso con credenciales que parecen inofensivos para la detección basada en registros.

Los resultados cuantificados constituyen el eje central de esta sección. El informe Mandiant 2025 señala una permanencia media de 11 días cuando las intrusiones se detectan internamente, de 26 días cuando se notifican desde el exterior y de 5 días cuando es el propio atacante (normalmente un operador de ransomware) quien avisa a la víctima —un claro indicador de que la detección proactiva reduce la duración en más de un 60 %—. La IA y la automatización, aplicadas a gran escala, ahorran aproximadamente 1,9 millones de dólares por incidente y 80 días del ciclo de vida del incidente. La detección de la exfiltración y de los precursores del ransomware durante la fase de movimiento lateral es de donde proviene la mayor parte de ese ahorro. La actividad de ransomware de abril de 2026 está documentada en detalle por BlackFog, CYFIRMA y CM-Alliance, lo que refuerza la idea de que la madurez del TDIR se traduce directamente en la velocidad de contención del ransomware.

Detección y prevención de modos de fallo del TDIR

La mayoría de los programas de TDIR no fracasan por culpa de herramientas deficientes. Fracasan porque miden lo que no deben o porque omiten los procesos necesarios para convertir las alertas en incidentes.

Buenas prácticas extraídas de las directrices del sector:

La ingeniería de detección como una función en sí misma, no como un elemento secundario. Pasar de la redacción de reglas al modelado de comportamientos, controlar las versiones del contenido de detección y vincular cada detección a una técnica del marco ATT&CK.
Integración de inteligencia sobre amenazas en cada alerta. La reputación de los indicadores de compromiso (IOC), la importancia de los activos y el contexto empresarial deben tenerse en cuenta en el momento de la ingesta de datos, no durante la investigación.
Disciplina en el manual de procedimientos. Control de versiones, pruebas periódicas y cobertura mapeada según MITRE. Un manual de procedimientos que no se haya puesto en práctica en los últimos 90 días es una hipótesis, no un control.
SecOps basada en pilares. Ingeniería de detección, precisión de las alertas, investigación y búsqueda activa, y respuesta a incidentes: cada pilar cuenta con su propio equipo y se evalúa por separado.

Marco de indicadores clave de rendimiento (KPI): qué medir:

Categoría	Métrica	Fórmula	Objetivo	Fuente
Primaria	MTTD (tiempo medio de detección)	promedio(hora_de_detección − hora_de_inicio_del_incidente)	Por debajo de la media del sector (Mandiant 2025: 11 días)	Mandiant
Primaria	MTTR (tiempo medio de respuesta/resolución)	promedio(tiempo_de_resolución − tiempo_de_detección)	Tendencia a la baja respecto al trimestre anterior	Comparativa de nflo MTTD/MTTR
Primaria	MTTC (tiempo medio de contención)	promedio(tiempo_de_contención − tiempo_de_detección)	≤ reloj regulador menos el margen de tiempo para la notificación	ISACA
Primaria	Índice de falsos positivos	falsos positivos / total de alertas	Tendencia a la baja respecto al trimestre anterior	SANS a través de Torq
Primaria	Tiempo de permanencia	hora_de_detección − hora_de_inicio_de_la_intrusión	≤ Mediana de Mandiant para 2025 (11 días)	Mandiant
Secundaria	Alertas por analista por día	total_alertas / número_de_analistas	Umbral de carga de trabajo sostenible	ACM Computing Surveys, 2026
Secundaria	Cobertura de la automatización	respuestas_automáticas / respuestas_totales	Tendencia al alza	Help Net Security sobre el NCSC, 2026
Negocios	Coste por incidente	coste_total_de_la_respuesta / número_de_incidentes	Tendencia a la baja	Ponemon, 2025

Leyenda: Marco de indicadores clave de rendimiento (KPI) de TDIR: métricas primarias, secundarias y empresariales alineadas con las directrices sobre métricas SOC del NCSC de abril de 2026.

Qué NO se debe medir. Las directrices del NCSC del Reino Unido del 28 de abril de 2026 sobre métricas de los SOC, según informa Help Net Security, advierten de que la rapidez en el cierre de incidencias, el número de reglas y el volumen de registros fomentan el descarte de falsos positivos y la generación de alertas innecesarias. El NCSC recomienda la búsqueda de amenazas basada en hipótesis, el TTD/TTR y la cobertura de los manuales de procedimientos mapeados por MITRE como los KPI duraderos. Esta es la referencia más útil disponible sobre «qué no medir»: es independiente de los proveedores y ha sido emitida por el gobierno, por lo que es adecuada para la presentación de informes a nivel directivo. Para obtener más contexto sobre el diseño de KPI, consulte las métricas de ciberseguridad.

Modos de fallo habituales. La proliferación descontrolada de herramientas sin correlación genera fatiga por alertas y es el principal problema señalado por el 76 % de los SOC. Un TDIR basado únicamente en EDR pasa por alto los ataques basados en la identidad: los CVE de la clase Quest KACE, desencadenados por la identidad a partir de 2025, demuestran el tipo de ataque que el EDR no puede detectar. Los puntos ciegos de la red afectan al 67 % de las organizaciones. Los guiones de respuesta obsoletos sin correspondencia con MITRE son puro teatro de detección. Las cifras de eficiencia declaradas por los proveedores (40 %, 80 %, 95 %) requieren la corroboración de terceros antes de poder incluirse en un caso de negocio: remita las afirmaciones de eficiencia de TDIR a Ponemon, Mandiant, SANS y Gartner antes de hacer promesas a la junta directiva. La experiencia realista de los analistas de SOC viene determinada más por la calidad del contenido de detección y la elección de los KPI que por cualquier característica concreta de un producto.

TDIR y el cumplimiento normativo: NIST CSF 2.0, SP 800-61r3, MITRE D3FEND y los plazos reglamentarios

Es aquí donde el TDIR demuestra su utilidad ante los auditores y el consejo de administración. Tres marcos normativos y tres regímenes reguladores convergen en la fase de respuesta.

Tabla de correspondencias del Marco de Ciberseguridad del NIST (CSF) 2.0. En la versión 2.0 del Marco de Ciberseguridad del NIST se añadió «GOVERN» como nueva función de primer nivel y se perfeccionaron las funciones «DETECT», «RESPOND» y «RECOVER». Las fases de TDIR se corresponden con:

DETECTAR: DE.AE Anomalías y eventos, DE.CM Supervisión continua, DE.AN Procesos de detección
RESPUESTA: RS.MA Gestión, RS.AN Análisis, RS.MI Mitigación, RS.CO Comunicación, RS.IM Mejora
GOVERN (novedad en la versión 2.0): GV.OC Contexto organizativo, GV.RM Gestión de riesgos, GV.RR Funciones y responsabilidades
RECOVER: Planificación de la recuperación de RC.RP

El texto completo del marco se encuentra en el PDF del NIST CSF 2.0.

NIST SP 800-61 Rev. 3 (abril de 2025). La última revisión de la guía para la gestión de incidentes de seguridad informática respalda explícitamente la automatización de las alertas, la clasificación de incidencias y el intercambio de información. Las fases —detección y análisis, contención, erradicación, recuperación y actividades posteriores al incidente— se ajustan perfectamente al ciclo de cuatro fases del modelo TDIR.

MITRE ATT&CK D3FEND. MITRE ATT&CK describe el comportamiento de los adversarios. MITRE D3FEND .3.0 describe las contramedidas defensivas. La fase de respuesta se corresponde con las tácticas de Aislamiento, Expulsión y Restauración de D3FEND, con las siguientes técnicas representativas:

Subfase de respuesta del TDIR	MITRE D3FEND	Técnicas representativas de D3FEND
Contención	Aislar (57 técnicas)	Aislamiento de redes, contención de procesos, filtrado del tráfico de red, invalidación de la caché de autenticación
Erradicación	Desalojar (19 técnicas)	Borrado de credenciales, borrado de procesos, borrado de archivos, eliminación de correos electrónicos
Recuperación	Restaurar (12 técnicas)	Restauración de la configuración del sistema, restauración de archivos, restablecimiento de credenciales, recuperación de cuentas
Detección (en fase cruzada)	Detectar (90 técnicas)	Análisis de procesos, análisis del tráfico de red, análisis del comportamiento de los usuarios, análisis de identificadores

Leyenda: Subfases de respuesta del TDIR asignadas a MITRE D3FEND .3.0 (Detectar 90, Aislar 57, Eliminar 19, Restaurar 12).

D3FEND v1.3.0 abarca 267 técnicas defensivas repartidas en 7 tácticas, y la ampliación D3FEND-OT de diciembre de 2025 incluye ahora las correspondencias con la tecnología operativa.

Plazos para la presentación de informes reglamentarios. La fase de respuesta cuenta ahora con plazos fijos, que varían según la jurisdicción.

Formulario 8-K de la SEC, punto 1.05 (Norma de divulgación cibernética de la SEC): incidentes cibernéticos significativos que deben divulgarse en un plazo de cuatro días hábiles tras la determinación de su importancia. En vigor a partir del 5 de septiembre de 2023; las empresas de menor tamaño comenzaron a cumplirla el 15 de junio de 2024; el etiquetado XBRL en línea será obligatorio a partir del 18 de diciembre de 2024. La ficha informativa sobre la norma definitiva de la SEC aborda los mecanismos del umbral de importancia.
DORA (UE) — con efecto a partir del 17 de enero de 2025: clasificación de incidentes graves en un plazo de 4 horas desde su detección, notificación previa en un plazo de 24 horas e informe detallado en un plazo de 72 horas. Consulte las directrices normativas de DORA para conocer las expectativas operativas.
NIS2 (UE): notificación inicial en un plazo de 24 horas, informe detallado en un plazo de 72 horas e informe final en el plazo de un mes. Se aplican variaciones según el sector y el Estado miembro.

Las implicaciones prácticas son importantes: el plazo de 4 horas de la clasificación DORA es más ajustado que el plazo de 72 horas para la presentación de informes detallados, y es lo que determina el diseño del manual de procedimientos. Es necesario integrar el plazo reglamentario en el manual de procedimientos de la fase de respuesta —incluyendo a una persona designada para la toma de decisiones sobre la importancia relativa y una plantilla de divulgación preaprobada— en lugar de tratarlo como un ejercicio posterior al incidente. Los controles CIS v8, control 17 (Gestión de la respuesta a incidentes), en particular los apartados 17.1, 17.2, 17.4 y 17.8, proporcionan el marco operativo. Para un contexto más amplio, véase el cumplimiento normativo, los marcos de seguridad y el cumplimiento del RGPD.

El catálogo de vulnerabilidades explotadas conocidas (KEV) de la CISA ofrece otro punto de referencia normativo para los programas TDIR destinados a organismos federales y contratistas: la inclusión en el KEV da lugar a obligaciones en materia de aplicación de parches y contenidos de detección que se trasladan directamente a la fase de detección del TDIR.

Enfoques modernos: IA autónoma, plataforma frente a flujo de trabajo, y desarrollar frente a adquirir

En la actualidad coexisten tres modos de automatización de TDIR. SOAR consiste en guiones basados en reglas que abarcan herramientas heterogéneas: duraderos, pero frágiles cuando los tipos de alertas varían. El enfoque asistido por ML consiste en la puntuación, la correlación y la priorización como complemento de la clasificación humana: probado y ampliamente implementado. El enfoque «agente» consiste en agentes autónomos que planifican y ejecutan respuestas de varios pasos: el punto de inflexión de 2026-2028. La cobertura de CSO Online sobre la IA en la detección de amenazas enmarca bien este cambio.

Las siete preguntas de evaluación de Gartner para los agentes de IA en los SOC, según informa BleepingComputer, prevén que el 50 % de las plataformas de TDR incorporarán IA agentiva para 2028; sin embargo, solo el 15 % de los SOC piloto logran una mejora cuantificable sin una evaluación estructurada. El mercado es real, pero desigual, y tanto el estudio de Kings Research sobre el tamaño del mercado de TDR impulsado por IA como el de MarketsandMarkets sobre el tamaño del mercado de MDR respaldan esta tendencia de adopción. Conclusión para el comprador: pruebe la IA con agentes siguiendo una rúbrica de evaluación definida (retención duradera, arquitectura de agentes en malla, amplitud de fuentes de señales), no una tarjeta de puntuación proporcionada por el proveedor.

La decisión entre desarrollar o adquirir se basa en tres factores: la inversión en herramientas existentes, la madurez del SOC interno y la carga que supone la integración. El TDIR autogestionado se adapta a organizaciones con SOC maduros y una inversión significativa en las mejores herramientas del mercado. El TDIR de plataforma convergente se adapta a organizaciones que parten de una pila fragmentada o compuesta únicamente por SIEM y que desean consolidarse. El TDIR prestado por MDR se adapta a SOC con recursos limitados (los que obtienen el mayor retorno de la inversión) y a organizaciones que se incorporan a nuevos regímenes normativos sin tiempo para contratar personal.

Cómo Vectra AI el TDIR

Vectra AI el TDIR como un flujo de trabajo cuya eficacia se basa en la calidad de las señales. Cuando la capa de detección genera señales de alta fidelidad basadas en el comportamiento —procedentes del NDR para el tráfico este-oeste, del ITDR para la identidad, además de la correlación entre EDR y SIEM—, la investigación se agiliza, la automatización puede gestionar con seguridad la contención dentro de los plazos reglamentarios y el análisis posterior al incidente presenta menos falsos positivos que revisar. La contribución Vectra AI es Attack Signal Intelligence: contenido de detección basado en patrones de comportamiento de los atacantes en lugar de en el ruido de las firmas, puntuado en función del contexto empresarial y expuesto en una superficie de investigación que conecta la detección con la respuesta. Para conocer más a fondo cómo se presenta todo esto, consulte la Vectra AI .

Tendencias futuras y consideraciones emergentes

El panorama del TDIR será muy diferente dentro de 12 a 24 meses. Tres cambios serán los principales impulsores de esta transformación.

La IA agentiva pasará de ser una solución piloto a convertirse en la opción predeterminada. La previsión de Gartner de alcanzar el 50 % para 2028 refleja una transición arquitectónica, no la simple incorporación de una nueva función. Cabe esperar que las solicitudes de propuestas de 2026 incluyan criterios de evaluación relacionados con la durabilidad de los agentes, la arquitectura en malla y los mecanismos de control con intervención humana. Cabe esperar que las implementaciones de 2027 incluyan a los agentes como capa predeterminada de nivel 1, reservando a los humanos para la resolución de casos y la investigación de casos excepcionales. La brecha de madurez del 15 % implica que los compradores deben realizar pruebas piloto rigurosas: se prevé que el 70 % de los grandes SOC estén probando agentes de IA para 2028, pero solo aquellos con una evaluación estructurada observarán una mejora cuantificable.

La convergencia normativa reducirá aún más los plazos de respuesta. La aplicación de la DORA se consolidará a lo largo de 2026 y 2027. La aplicación de la NIS2 se ampliará a medida que los Estados miembros finalicen su transposición. La norma de divulgación de la SEC sigue generando jurisprudencia que perfeccionará el umbral de materialidad. Cabe esperar nuevas normas específicas para cada sector (energía, sanidad, infraestructura de los mercados financieros) con plazos iguales o inferiores al umbral de clasificación de 4 horas de la DORA. Las plataformas TDIR que no puedan demostrar un flujo de trabajo de determinación de la materialidad en 4 horas perderán terreno competitivo.

La identidad sustituirá a los puntos finales como pilar dominante de la TDIR. Los estudios del sector sobre inteligencia de amenazas revelan sistemáticamente que entre el 79 % y el 80 % de los ataques actuales malware incluyen malware, sino que se basan en el compromiso de cuentas. La cobertura de ITDR se convertirá en un requisito imprescindible; el TDIR basado únicamente en EDR se clasificará cada vez más erróneamente en las evaluaciones de los proveedores. Los CVE desencadenados por la identidad de la clase Quest KACE a partir de 2025 parecerán anticuados en comparación con el volumen de incidentes impulsados por la identidad que surgirán en 2027.

La detección de redes seguirá cobrando cada vez más importancia, y no al contrario. La persistencia Salt Typhoon, el patrón de cadena de suministro observado en el incidente de Vimeo y Anodot, y el auge constante de los ataques LOTL y a través de canales cifrados apuntan todos en la misma dirección: el análisis del comportamiento a nivel de red es indispensable para la visibilidad este-oeste. El NDR se convertirá cada vez más en la fuente de señales que valide las alertas de ITDR y EDR.

Prioridades de inversión para 2026. La ingeniería de detección como función específica con presupuesto asignado. Ampliación de la cobertura del ITDR donde falte. Ampliación de la cobertura del NDR donde existan puntos ciegos en el tráfico este-oeste. Proyectos piloto de IA agentiva centrados en familias específicas de guiones de actuación (phishing , restablecimiento de credenciales, aislamiento) antes de su implantación generalizada. Marcos de KPI alineados con el NCSC que eliminen las métricas de vanidad (cierre de tickets, recuento de reglas) en favor del TTD/TTR y el rendimiento de la caza basada en hipótesis.

Conclusión

Lo mejor es entender el TDIR, en primer lugar, como una disciplina y, en segundo lugar, como una categoría de productos. El ciclo de cuatro fases —detección, investigación, respuesta y aprendizaje tras el incidente— constituye la estructura fundamental. Todo lo demás (qué fuentes de señales se utilizan, si se emplea un XDR o un SIEM, si se gestiona de forma autónoma o se contrata un servicio MDR, si se adopta la IA con agente en 2026 o en 2028) son decisiones de implementación. Si se aplica correctamente la disciplina, las decisiones de implementación resultan más sencillas; si se omite la disciplina, ninguna plataforma salvará el programa.

El debate del consejo de administración de 2026 debería centrarse en tres aspectos: eliminar los puntos ciegos en materia de identidad y redes para que la detección cubra la superficie de ataque moderna; integrar los plazos de DORA, NIS2 y SEC en los manuales de respuesta antes de que el primer incidente los ponga a prueba; y adoptar una IA autónoma con una evaluación estructurada, en lugar de los cuadros de mando proporcionados por los proveedores. El resultado global —una mejora de la eficiencia de aproximadamente el 40 % en todo el flujo de trabajo del TDIR cuando se aplican a gran escala la IA y la automatización, según datos triangulados de Mandiant, Ponemon, SANS y Gartner— es real, pero solo para los programas que lo consiguen gracias a la disciplina.

Para profundizar en cualquiera de los flujos de trabajo relacionados, explore la respuesta ante incidentes, la detección y respuesta de red, y la detección y respuesta ante amenazas de identidad. Si desea conocer el enfoque a nivel de plataforma, descubra cómo la plataforma TDIR Vectra AI integra todas estas áreas.

‍

Preguntas frecuentes

¿Qué es el TDR?

TDR —detección y respuesta ante amenazas— es la disciplina más amplia de ciberseguridad que combina la supervisión continua, la identificación de amenazas, la investigación y la contención en terminales, redes, identidades, API y cloud . El TDR es anterior al TDIR y, en ocasiones, se utiliza como un sinónimo casi equivalente, pero ambos términos difieren en un punto: el TDIR destaca la investigación como una fase diferenciada entre la detección y la respuesta, e incorpora explícitamente los plazos reglamentarios de notificación. Los programas de TDR que no formalizan la investigación tienden a reducirla a una clasificación inicial, lo que deja las alertas como simples alertas en lugar de incidentes. La prueba práctica para el comprador: si un proveedor comercializa TDR pero solo describe flujos de trabajo de detección y contención, se trata de un TDR solo de nombre, no de un TDIR de ciclo completo. Para un contexto más amplio, consulte la página temática sobre detección de amenazas.

¿Qué es la detección de amenazas?

La detección de amenazas es el proceso de identificar actividades maliciosas en un entorno mediante métodos basados en firmas, en anomalías, heurísticos y basados en el aprendizaje automático. En el flujo de trabajo de TDIR, la detección de amenazas constituye la Fase 1: consiste en agregar datos de telemetría procedentes de EDR, NDR, ITDR, SIEM y planos cloud , aplicar contenido de detección (reglas, patrones de comportamiento de referencia, modelos de aprendizaje automático) y generar alertas de alta fiabilidad. La detección moderna de amenazas se ha alejado de los enfoques basados únicamente en firmas, ya que los adversarios utilizan cada vez más credenciales válidas y técnicas de «living-off-the-land» que no producen coincidencias de firmas. Los programas de detección más sólidos ejecutan los cuatro métodos de detección en paralelo y vinculan cada detección a una MITRE ATT&CK para que las lagunas de cobertura se hagan visibles. La detección por sí sola no constituye un programa TDIR: sin investigación ni respuesta, la detección genera alertas que nadie resuelve.

¿Qué es la prevención de amenazas?

La prevención de amenazas es el conjunto de controles que bloquean los ataques antes de que se ejecuten: aplicación de parches, refuerzo de la seguridad, segmentación de la red, controles de identidad y bloqueo basado en firmas en terminales y puertas de enlace. La prevención complementa al TDIR, pero no lo sustituye. La filosofía de «asumir la compromisión» —según la cual los atacantes inteligentes lograrán burlar los controles de prevención— es el principio fundamental en el que se basa el TDIR. La prevención reduce el volumen; el TDIR detecta lo que la prevención no logra detectar. Ambos trabajan conjuntamente: la telemetría de prevención alimenta la detección de TDIR (un evento bloqueado es una señal de que se ha intentado algo), y la fase de aprendizaje posterior al incidente de TDIR se retroalimenta en la ingeniería de prevención. Los programas que invierten en exceso en prevención y en defecto en TDIR suelen aparecer en los informes de brechas con la siguiente descripción: «los atacantes estuvieron dentro durante meses antes de que nadie se diera cuenta».

¿Cuáles son los cuatro métodos de detección de amenazas?

Los cuatro métodos son la detección basada en firmas (comparación con indicadores de compromiso conocidos), la detección basada en anomalías (líneas de referencia estadísticas y de comportamiento), la detección heurística y basada en reglas (lógica de correlación entre eventos) y la detección basada en el aprendizaje automático (modelos supervisados y no supervisados). Los programas de TDIR consolidados ejecutan los cuatro métodos en paralelo, ya que cada uno de ellos cubre una clase de amenaza diferente. Las firmas detectan las amenazas conocidas de forma rápida y económica, pero no detectan los ataques novedosos. La detección de anomalías detecta lo desconocido, pero genera ruido. La correlación heurística detecta ataques en varias fases, pero requiere reglas ajustadas manualmente. La detección basada en el aprendizaje automático detecta tanto ataques novedosos como patrones complejos en varias fases, pero requiere datos de entrenamiento y ajuste. La proporción adecuada depende de las fuentes de señales de la organización y de su capacidad para gestionar las alertas. El análisis de comportamiento —métodos de detección de anomalías y de aprendizaje automático centrados en el comportamiento de las entidades— se ha convertido en el enfoque dominante para la detección de identidades y movimientos laterales.

¿En qué se diferencia el TDIR de la respuesta tradicional ante incidentes?

La respuesta tradicional a incidentes consideraba la investigación como una fase de triaje —una breve comprobación de coherencia antes de la escalación— y daba por sentado que la detección era tarea de otros. TDIR unifica estas tres fases en un único flujo de trabajo con responsables designados, indicadores clave de rendimiento (KPI) y herramientas específicas. Tres diferencias concretas: el TDIR eleva la investigación a una fase diferenciada con sus propios manuales y métricas; el TDIR integra explícitamente los plazos de notificación reglamentarios (las 4 horas de la DORA, los 4 días hábiles de la SEC, las 24 horas de la NIS2) en la fase de respuesta; y el TDIR añade una fase de aprendizaje posterior al incidente que se retroalimenta en la ingeniería de detección. Los programas de IR tradicionales que evolucionan hacia el TDIR suelen hacerlo formalizando la ingeniería de detección como una función y añadiendo guías de investigación a lo que antes era un trabajo de analista de formato libre. El ciclo de vida de la IR en la norma NIST SP 800-61r3 se ajusta perfectamente a las cuatro fases del TDIR, por lo que la transición tiene más que ver con la disciplina que con la sustitución.

¿Cómo reduce el TDIR los falsos positivos durante la investigación?

TDIR reduce los falsos positivos de tres maneras. En primer lugar, la fase de investigación está diseñada para validar las alertas antes de su escalado, mediante el enriquecimiento (inteligencia sobre amenazas, criticidad de los activos, contexto de identidad) y la correlación (vinculación de alertas relacionadas en incidentes únicos). En segundo lugar, el aprendizaje posterior al incidente retroalimenta las mejoras en la ingeniería de detección al proceso de alertas, eliminando las detecciones ruidosas y refinando las líneas de base de comportamiento. En tercer lugar, las plataformas TDIR modernas aplican puntuaciones de aprendizaje automático (ML) para priorizar las señales de alta fidelidad frente al ruido basado en reglas. El efecto combinado es cuantificable: SANS 2025 reveló que el 76 % de los SOC citan la fatiga de alertas como su principal reto operativo, y los programas TDIR disciplinados reducen de forma constante las tasas de falsos positivos trimestre tras trimestre. El KPI que importa aquí no es el número de «alertas cerradas por hora» —que incentiva el descarte de falsos positivos—, sino la «tasa de falsos positivos» y el «tiempo medio de resolución (MTTR) por incidente de verdadero positivo».

¿Cuál es la diferencia entre TDIR y XDR?

TDIR es un flujo de trabajo; XDR es una categoría de herramientas. TDIR describe cómo un SOC unifica la detección, la investigación y la respuesta, incluyendo las disciplinas, los indicadores clave de rendimiento (KPI) y las obligaciones normativas. XDR describe una clase de plataforma que correlaciona previamente datos de telemetría seleccionados y de alta calidad procedentes de puntos finales, identidades, cloud, el correo electrónico y la red. Una plataforma XDR puede ser una de las herramientas que respalda un flujo de trabajo TDIR, pero TDIR también puede ejecutarse en un conjunto de herramientas de primera categoría sin necesidad de una XDR. El solapamiento es de aproximadamente el 70 %: la mayoría de las ofertas de XDR promocionan el flujo de trabajo TDIR porque ese es el resultado relevante para el comprador, y la mayoría de las plataformas TDIR incluyen correlación de clase XDR. La diferencia es importante a la hora de evaluar: pregunte a los proveedores si se describen a sí mismos como facilitadores de flujos de trabajo o como una categoría de herramientas, y lea las solicitudes de propuestas (RFP) en relación con el flujo de trabajo para detectar las carencias en las funcionalidades.

¿Cómo se corresponden los plazos de presentación de informes de DORA y NIS2 con los del TDIR?

La normativa DORA (que entrará en vigor el 17 de enero de 2025) exige la clasificación de los incidentes graves en un plazo de 4 horas desde su detección, la notificación previa en un plazo de 24 horas y la presentación de un informe detallado en un plazo de 72 horas. La normativa NIS2 exige una notificación inicial en un plazo de 24 horas, un informe detallado en un plazo de 72 horas y un informe final en el plazo de un mes. El plazo de 4 horas de DORA para la clasificación es el plazo más ajustado de la normativa general sobre divulgación de incidentes cibernéticos y es lo que impulsa el diseño del manual de procedimientos de TDIR para las entidades financieras de la UE. Para adaptar los plazos a TDIR, incorpore la determinación de la importancia relativa en la fase de investigación (no como un flujo de trabajo independiente), apruebe previamente las plantillas de divulgación con los departamentos jurídico y de comunicaciones, y designe a un responsable específico para las decisiones sobre la importancia relativa durante la fase de respuesta. Pruebe el flujo de trabajo al menos trimestralmente mediante simulacros que incluyan el paso de notificación a las autoridades reguladoras. Los programas que añaden los plazos a posteriori suelen incumplir el plazo de DORA porque la decisión sobre la materialidad es el cuello de botella, no la contención técnica. El informe técnico de ISACA sobre NIS2 y DORA aborda los matices entre jurisdicciones.