La mayoría de las páginas que aparecen en los resultados de búsqueda sobre herramientas de detección de amenazas son listados de proveedores —listas de marcas clasificadas, con escasa base empírica—. Esta guía, en cambio, adopta el punto de vista del comprador. Compara las cuatro categorías de herramientas de detección de amenazas cibernéticas, aplica siete criterios de evaluación con umbrales mínimos para 2026, analiza la decisión entre desarrollar, comprar o utilizar código abierto, y fundamenta cada recomendación en fuentes primarias actuales. La honestidad es lo más importante en lo que respecta a la IA. Su adopción es casi universal según el «Global Cybersecurity Outlook 2026» del Foro Económico Mundial; sin embargo, la encuesta de referencia sobre la detección de amenazas concluye que «el impacto de las técnicas basadas en la IA a la hora de descubrir a los autores de las amenazas sigue siendo limitado» (Encuesta sobre la detección de amenazas de SANS 2025). Si estás decidiendo qué añadir a una pila centrada en EDR, lo que realmente importa es la cobertura de la telemetría —qué categoría detecta el comportamiento del atacante que actualmente no puedes ver— y no qué marca encabeza una lista.
Las herramientas de búsqueda de amenazas son las plataformas de software y las fuentes de datos que permiten a los equipos de seguridad buscar de forma proactiva en su entorno a los atacantes que eluden las alertas automatizadas. Se dividen en cuatro categorías —plataformas SIEM y de análisis, detección y respuesta en terminales, detección y respuesta en red, e inteligencia sobre amenazas— y se evalúan en función de la cobertura de la telemetría, la potencia de consulta y la evidencia fehaciente de lo que detectan.
Hay tres capacidades que diferencian una herramienta de búsqueda de amenazas de una simple herramienta de alertas: la posibilidad de realizar consultas y análisis cruzados arbitrarios, el almacenamiento de datos de telemetría para su revisión posterior y la compatibilidad con investigaciones basadas en hipótesis, en lugar de un motor de reglas que se activa ante firmas conocidas. Esta página da por hecho que ya conoces la disciplina en sí —el pilar de la búsqueda de amenazas aborda el proceso, los marcos de trabajo y las ventajas— y que comprendes cómo la búsqueda proactiva complementa la detección de amenazas basada en alertas. Lo que sigue se refiere estrictamente a la elección de las herramientas.
El punto de confusión más habitual es en qué se diferencian estas herramientas de las que ya utilizas. Un SIEM centraliza los registros y se activa según las reglas que tú mismo has definido; responde a preguntas que ya te habías planteado de antemano. La detección y respuesta en endpoints supervisa en profundidad los hosts gestionados, pero apenas ve más allá de ellos. Una herramienta de búsqueda de amenazas es cualquier plataforma que proporcione al analista la telemetría y la capacidad de consulta necesarias para poner a prueba una nueva hipótesis sobre el comportamiento de los atacantes; por eso, las cuatro categorías de esta guía cumplen los requisitos cuando alcanzan ese nivel, y por eso ninguna de ellas por sí sola los cumple.
Ese cambio de perspectiva es la primera conclusión a la que llega el comprador. El enfoque centrado en la categoría predomina en las evaluaciones serias, ya que la verdadera decisión se basa en la cobertura de la telemetría, no en la marca. Pregúntate qué comportamientos de los atacantes no puedes detectar actualmente —en la red, en los sistemas de identidad, en los planos cloud — y la lista de herramientas preseleccionadas para la búsqueda de amenazas prácticamente se elabora sola. El resto de esta guía proporciona las pruebas, los criterios y el marco de decisión para defender esa lista de herramientas preseleccionadas.
Empecemos por el argumento con el que ahora todos los proveedores se lanzan al mercado: la IA. Su adopción es prácticamente universal: el 77 % de las organizaciones ha implementado la IA para la ciberseguridad, y el 94 % considera que la IA será el principal motor del cambio en 2026 (Informe «Global Cybersecurity Outlook 2026» del Foro Económico Mundial). Sin embargo, la adopción y la eficacia demostrada en la detección de amenazas son conceptos distintos, y en este ámbito se suelen confundir habitualmente. La encuesta «SANS 2025 Threat Hunting Survey» es contundente: su resumen ejecutivo afirma que «el impacto de las técnicas basadas en la IA a la hora de descubrir a los autores de las amenazas sigue siendo limitado», y su única cifra concreta sobre la IA se mantiene prácticamente estable: un 48 % en 2025, frente al 47 % de 2024. Es evidente que la IA reduce el trabajo de clasificación y las tareas manuales. La detección autónoma de nuevos adversarios es la parte que los datos aún no demuestran.
El resto de las pruebas de 2026 son igual de concretas:
T1055) ocupó el primer puesto por tercer año consecutivo, con un 30 %; los atacantes «dedicaron el 80 % de sus técnicas a la ocultación, la evasión y la persistencia», y al cifrado mediante ransomware (T1486) cayó un 38 % en términos relativos (Informe Picus Red 2026).En conjunto, estas cifras describen a un adversario que actúa con rapidez en el punto de entrada y luego permanece inactivo durante semanas: el perfil de una amenaza persistente avanzada moderna. La fase de inactividad se basa en la técnica conocida como «living off the land» (LOTL), es decir, el uso indebido de herramientas legítimas integradas y funciones administrativas que impiden que las alertas basadas en firmas se activen. La búsqueda proactiva en los datos de telemetría almacenados es la medida de control que permite detectarla.
El ejemplo más reciente es el aviso de la CISA sobre el mantenimiento de los routers, de julio de 2026. El 13 de julio de 2026, la CISA, la NSA, el FBI y el DC3, junto con socios internacionales, publicaron un aviso conjunto AA26-194A, «Mejorar la seguridad de los routers para protegerse contra los ataques patrocinados por el Estado ruso». El aviso atribuye la campaña a actores del Centro 16 del FSB ruso, conocidos como «Berserk Bear» y «Static Tundra» —un grupo del linaje Dragonfly—, que se aprovechan de funciones legítimas de gestión de dispositivos en equipos de red; los productos de Cisco son el objetivo explotado que se menciona en el aviso (Nextgov/FCW). La técnica de ataque consiste simplemente en «aprovecharse de lo que hay»: cadenas de comunidad SNMP débiles, solicitudes SNMP «Set» que copian configuraciones en ejecución, transferencias TFTP de dichas configuraciones e inicios de sesión desde cuentas que no siguen las normas. Los agentes de punto final no pueden ejecutarse en estos dispositivos, por lo que las recomendaciones del aviso se basan en la telemetría: reforzar la seguridad de SNMP, supervisar el tráfico TFTP saliente y generar alertas ante artefactos de volcado de configuración tales como config.bkp y output.txt, y detectar los inicios de sesión en cuentas que se salen de lo habitual. La empresa de emulación de atacantes AttackIQ ya ha publicado escenarios de detección comprobables para el aviso. Para un comprador, la lección es de carácter estructural: esta campaña resulta invisible para una pila que solo incluye los dispositivos finales.
Dado que la mayoría de las páginas que aparecen en los resultados de búsqueda para este término no citan ninguna estadística con referencia, circulan cifras obsoletas sin que nadie las cuestione. La tabla que figura a continuación corrige las cuatro cifras más habituales basándose en las fuentes primarias, a mediados de 2026.
Tabla 1. Comparación entre las estadísticas sobre la búsqueda de amenazas que se repiten con frecuencia y las fuentes primarias, 2026.
Cualquier lista fiable de herramientas de búsqueda de amenazas se reduce a las mismas cuatro categorías: plataformas SIEM y de análisis de seguridad, detección y respuesta en terminales con su extensión XDR, detección y respuesta en red, e inteligencia sobre amenazas con enriquecimiento. Hay que considerar la búsqueda potenciada por IA como una capa de capacidades que abarca las cuatro categorías, y no como una quinta clase de productos, ya que aún no hay pruebas que respalden el descubrimiento autónomo. Una advertencia estructural: varias comparativas muy consultadas omiten por completo la categoría de red. La conclusión de SANS de que las técnicas LOTL son la táctica más observada por parte de los Estados-nación, citada por el 76 % de los encuestados (SANS 2025), es la razón por la que la telemetría de red no puede ser opcional.

Tabla 2. Comparación de las cuatro categorías de herramientas de detección proactiva de amenazas en función de la telemetría, los puntos fuertes, los puntos débiles y el perfil de comprador más adecuado.
Las plataformas SIEM y de análisis de seguridad constituyen la base de la búsqueda para los equipos que necesitan un único lugar desde el que consultar múltiples fuentes. Un SIEM agrega y correlaciona los registros de todo el entorno, y al añadir capas de análisis del comportamiento de usuarios y entidades (UEBA), permite realizar búsquedas de desviaciones respecto a la línea de base además de la búsqueda en bruto. Sus puntos fuertes son la retención centralizada y una única interfaz de consulta. El punto ciego estructural es todo aquello que nunca genera un registro, y el coste varía en función del volumen de datos capturados, lo que explica precisamente por qué las decisiones sobre la retención acaban determinando la profundidad de la búsqueda.
La detección y respuesta en terminales (EDR) cuenta con la telemetría más detallada del host —procesos, archivos, registro, memoria— y la detección y respuesta ampliadas (XDR) extiende esa correlación a la identidad y cloud. Cuando el terminal es el campo de batalla, no hay nada que se le pueda comparar. Sin embargo, las herramientas de clase EDR no pueden detectar dispositivos no gestionados e inmanejables —routers, dispositivos periféricos, IoT y OT—, una brecha que los programas de gestión de la superficie de ataque siguen descubriendo una y otra vez y que, como demuestra la campaña AA26-194A, los atacantes explotan deliberadamente. La profundidad en los puntos finales por sí sola no es suficiente para la caza «living-off-the-land».
La detección y respuesta en red (NDR) analiza el tráfico y los metadatos desde el punto de vista del comportamiento; así es como los responsables de la seguridad detectan los sistemas de comando y control, los movimientos laterales y los abusos de LOTL que no dejan rastros en los terminales. La NDR requiere la instalación de sensores y un periodo de referencia antes de que sus detecciones se estabilicen —hay que tener en cuenta ambos aspectos—, pero es la categoría que cubre precisamente la laguna que describe la recomendación sobre la higiene de los routers, y constituye la capa de red natural de una arquitectura de visibilidad equilibrada.
La inteligencia sobre amenazas y su enriquecimiento convierten una observación en una hipótesis: las TTP de los actores, los indicadores y las señales de fuentes abiertas que indican al cazador dónde debe centrar su atención a continuación. Se trata de un insumo para las otras tres categorías, más que de un ámbito de búsqueda en sí mismo; la guía dedicada a las herramientas de inteligencia sobre amenazas aborda en profundidad las plataformas, los canales de información y los precios.
En las cuatro categorías, merece la pena invertir en las capacidades potenciadas por la IA —triaje asistido, correlación entre fuentes y consultas en lenguaje natural— cuando se demuestre que agilizan el trabajo del analista. Evalúalas como una característica de una categoría, no como una categoría en sí misma. Los criterios de evaluación que figuran a continuación te indican exactamente qué preguntas debes plantear.
Sea cual sea la categoría, el proceso consta de las mismas cinco etapas. Las herramientas recogen datos de telemetría de tantas fuentes como pueden alcanzar, los enriquecen con contexto —identidad de los activos, geolocalización, coincidencias de inteligencia— y, a continuación, aplican un análisis de patrones para detectar desviaciones respecto a la línea de referencia. La correlación une los eventos relacionados en una narrativa que un ser humano puede evaluar, y la investigación valida o descarta la hipótesis. El proceso es importante para el comprador porque cada etapa es un ámbito en el que las herramientas difieren realmente: lo que recopilan limita lo que pueden encontrar, y la calidad de su correlación determina cuánto trabajo de integración debe realizar el analista manualmente.
Este proceso también explica por qué el análisis de comportamiento se ha convertido en la etapa fundamental. La detección basada en firmas y reglas solo se activa ante lo que alguien ha previsto, y la actividad «living-off-the-land» es, por su propia naturaleza, indistinguible de las tareas administrativas a nivel de firmas. El establecimiento de líneas de base de comportamiento en la red y la identidad es lo que convierte «una cuenta legítima que ejecutó una herramienta legítima» en una pista de investigación; por eso, tanto los métodos como las herramientas de búsqueda proactiva de amenazas convergen en un trabajo basado en hipótesis a partir de datos de telemetría conservados y enriquecidos.

«¿Cuáles son las mejores herramientas de búsqueda de amenazas?» es la pregunta a la que toda evaluación acaba llegando, y las listas de clasificación de las mejores herramientas de búsqueda de amenazas no pueden responderla; en cambio, una rúbrica sí puede. Las mejores herramientas de búsqueda de amenazas para tu entorno son aquellas que superan siete pruebas relacionadas con tu telemetría, tu equipo y tu modelo de amenazas. La rúbrica que se muestra a continuación sirve para cualquier candidato, ya sea comercial o de código abierto, y también puede utilizarse como plantilla para una solicitud de propuestas. Tanto si un proveedor comercializa su producto como una plataforma de búsqueda de amenazas, un paquete de análisis o una herramienta de detección con funciones de búsqueda, se aplican los mismos siete criterios:
Tabla 3. Siete criterios independientes del proveedor para evaluar herramientas de detección de amenazas, con los requisitos mínimos para 2026.
El criterio 1 es donde se ganan o se pierden la mayoría de las evaluaciones, ya que la telemetría determina qué puede ver un equipo de investigación. El uso de recursos locales («living-off-the-land») y el abuso de dispositivos periféricos documentados en AA26-194A son invisibles para una pila centrada únicamente en los terminales —no se ejecuta ningún agente en un router— y la superficie de identidad está implicada en la mayoría de las investigaciones actuales. Compara la telemetría nativa de cada candidato con tu entorno y considera la cobertura de detección y respuesta de red como un requisito fundamental, en lugar de un complemento. El mínimo exigido para 2026 es la visibilidad nativa conjunta de los terminales, la red y la identidad.
Los criterios 2 y 3 van de la mano, ya que la capacidad de consulta no sirve de nada frente a datos de telemetría de los que ya no se dispone. Insiste en un lenguaje de consulta ad hoc y en la capacidad de cruzar fuentes, y prueba ambos aspectos con una búsqueda en tiempo real durante el periodo de prueba —dirigida por tu propio analista del SOC, no por el ingeniero de ventas del proveedor—. A continuación, evalúa la retención de datos con honestidad. El tiempo medio de permanencia de 14 días (M-Trends 2026) es el mínimo, no la cifra de referencia para la planificación: Volt Typhoon en infraestructuras críticas de EE. UU. durante al menos cinco años (CISA AA24-038A, 2024). Noventa días de datos de telemetría fácilmente consultables es el mínimo creíble para 2026.
El criterio 4 se refiere a la cifra más manipulada del mercado: MITRE ATT&CK cobertura. Un porcentaje no dice nada sobre la profundidad: cubrir una subtécnica de T1059 (Intérprete de comandos y scripts, versión 2.7, con 13 subtécnicas) no cubre esa técnica. Solicita información sobre las correspondencias a nivel de técnica, la lógica de detección que hay detrás de ellas y pruebas que puedas validar con datos de prueba en tu propio entorno. Un proveedor que te enseña cómo verificar sus afirmaciones te está diciendo algo; uno que se resiste te está diciendo aún más.
El criterio n.º 5 es aquel que casi ninguna página de clasificación menciona: las herramientas de análisis de comportamiento no aportan valor desde el primer día. Las líneas de base de comportamiento necesitan entre 60 y 90 días para que la detección de anomalías sea fiable —una opinión experta de Jason Martin, de Permiso, en «Cyber Insights 2026» de SecurityWeek — y un proveedor que no hable de su periodo de línea de base es porque aún no lo ha puesto en marcha. Pregunta cuándo las detecciones serán fiables, pregunta qué puede hacer la herramienta durante el periodo de aprendizaje y ten en cuenta ese tiempo en tu presupuesto como parte de la compra.
Los criterios 6 y 7 cierran el círculo en materia de honestidad. Hay que distinguir entre las herramientas asistidas por IA, que aceleran el trabajo de un cazador humano, y las afirmaciones de descubrimiento autónomo propias de la IA: la conclusión de SANS de que el impacto de la IA en la caza de amenazas «sigue siendo limitado» es la razón para exigir controles con intervención humana para las acciones de alta gravedad y la divulgación de los mecanismos de protección. En cuanto al coste, simula la estructura de licencias —por terminal o por volumen de datos procesados— en función de tus volúmenes de datos reales y, a continuación, da un paso más allá. Solo el 51 % de los equipos mide formalmente la eficacia de la búsqueda de amenazas, lo que supone un descenso respecto al 64 % (SANS 2025), por lo que es preferible optar por herramientas que generen métricas de eficacia de forma nativa. Una herramienta que no se puede medir es una herramienta que no se puede defender a la hora de renovarla.
El debate entre «desarrollar o comprar» en este mercado adolece de un problema de transparencia: la mayoría de las fuentes publicadas que sostienen que el código abierto es insuficiente comercializan un producto comercial. La versión honesta parte de tus propias limitaciones, no del catálogo de nadie. Las herramientas de código abierto pueden ser excelentes; su precio real son las horas de trabajo de analistas cualificados y la disciplina que exige el autoalojamiento. Las plataformas comerciales aportan rapidez en la obtención de valor y soporte técnico; su precio real es el coste de la licencia, que se adapta al tamaño de tu infraestructura. Hay cinco factores, sopesados en función de la madurez de las operaciones de tu SOC, que determinan qué opción elegir en cada caso.
Tabla 4. Correspondencia entre los cinco factores de decisión y las plataformas de detección de amenazas de código abierto, comerciales e híbridas.
En cada categoría existe un conjunto inicial de herramientas eficaces que no requieren licencia: análisis de metadatos de red de código abierto para la visibilidad del tráfico, consultas de puntos finales de código abierto para el interrogatorio de hosts a gran escala, fuentes comunitarias de inteligencia sobre amenazas para el enriquecimiento de datos y el ATT&CK Navigator de MITRE para mapear la cobertura que se va creando. Combina todo ello con las herramientas EDR que ya utilizas y podrás empezar a detectar amenazas hoy mismo. La disyuntiva real no desaparece: las herramientas gratuitas trasladan el coste de las licencias a las horas de trabajo de analistas cualificados, y cada componente autohospedado se convierte en algo que tu equipo debe actualizar y gestionar.
Hay dos indicios que señalan que es hora de actualizar el sistema. En primer lugar, has acumulado datos de telemetría que no puedes analizar con la rapidez suficiente para comprobar una hipótesis mientras aún sea relevante. En segundo lugar, no puedes evaluar si la búsqueda de amenazas funciona: los hallazgos nunca se traducen en detecciones más sólidas ni en un traspaso más fluido de la respuesta ante incidentes. Cualquiera de estas señales indica que la limitación ahora radica en la herramienta y no en el equipo, y que una capa comercial —normalmente la telemetría de red o de identidad de la que careces— empieza a justificar su inversión.
Ninguno de los principales marcos de referencia menciona ningún producto concreto, y ahí radica precisamente la clave. Los marcos basados en resultados especifican los datos de telemetría que hay que recopilar y los resultados que hay que alcanzar, lo que favorece una compra basada en la categoría frente a una basada en la marca, y proporciona al comprador argumentos sólidos para la negociación del presupuesto.
El marco NIST CSF 2.0 enmarca la búsqueda de amenazas en su función «Detectar» — DE.CM (Supervisión continua) y DE.AE (Análisis de incidentes adversos). La subcategoría DE.CM-01 del NIST CSF 2.0 reza, textualmente: «Se supervisan las redes y los servicios de red para detectar posibles incidentes adversos». Las herramientas de búsqueda de amenazas son la materialización operativa de ese resultado; el marco no especifica deliberadamente ningún producto concreto.
La guía más práctica es, además, gratuita. La guía conjunta de la CISA para identificar y mitigar las técnicas «living-off-the-land» está diseñada para ser independiente de los proveedores: especifica las fuentes de registro y los comportamientos que necesitan los defensores, y da prioridad al registro centralizado fuera de banda para que el análisis de comportamientos y la búsqueda proactiva sean posibles en primer lugar. Su aviso complementario AA24-038A documenta por qué se ha establecido ese umbral: Volt Typhoon en infraestructuras críticas de EE. UU. durante al menos cinco años, aplicando 79 identificadores de técnicas ATT&CK en 13 tácticas, sin activar las herramientas basadas en firmas. El aviso de 2026 sobre la higiene de los routers extiende la misma lógica de «primero la telemetría» a los dispositivos perimetrales de la red.
En lo que respecta a los debates sobre arquitectura, la tríada de visibilidad del SOC sigue siendo un modelo de referencia útil: SIEM para los registros, EDR para los terminales y NDR para la red, de modo que cada uno cubre los puntos ciegos de los demás. El modelo es anterior al XDR, por lo que conviene considerarlo como una perspectiva sobre la telemetría complementaria más que como una lista de requisitos, pero se ajusta perfectamente a las cuatro categorías de esta guía.
Tabla 5. Correspondencia entre los marcos y las directrices basados en resultados y las herramientas de detección de amenazas.
El argumento de los SOC basados en agentes —agentes de IA que cazan amenazas de forma autónoma— es el tema más sonado del mercado, pero la realidad es más limitada. La clasificación asistida por IA, la correlación entre fuentes y la investigación en lenguaje natural suponen auténticas mejoras de productividad, que se potencian aún más en equipos reducidos. Lo que los datos aún no respaldan es el descubrimiento autónomo de nuevos adversarios; el veredicto de la encuesta de SANS de que «sigue siendo limitado» se mantiene hasta que cambien los datos. La perspectiva de un profesional recogida en «Cyber Insights 2026» de SecurityWeek es difícil de superar: «nada podrá sustituir la imprevisibilidad y la curiosidad innata de un analista humano». Adquiere capacidad de detección de amenazas mediante IA que multiplique esa curiosidad, en lugar de prometer su desaparición.
El hilo conductor desde Volt Typhoon el aviso sobre routers de 2026 es que los adversarios más peligrosos se camuflan entre la actividad legítima: desde intrusiones pacientes patrocinadas por Estados hasta grupos de ransomware de alta velocidad que ahora priorizan el sigilo frente al cifrado. Las herramientas basadas en firmas no tienen nada contra lo que actuar, por lo que la detección de amenazas basada en el comportamiento en toda la red y en las superficies de identidad se ha convertido en el complemento operativo imprescindible para cualquier herramienta de terminales y de registros que ya utilices. Esa es la dirección que está tomando toda la categoría: menos volumen de alertas y más narrativas de ataque validadas.
Vectra AI la búsqueda de amenazas partiendo de la filosofía de «asumir que el sistema está comprometido»: los atacantes más hábiles logran infiltrarse, y los más peligrosos de ellos eluden, por diseño, las herramientas basadas en firmas y alertas. En lugar de añadir más alertas, Attack Signal Intelligence la detección de comportamientos basada en IA en la red, la identidad y cloud sacar a la luz secuencias de ataques interconectadas, y para permitir búsquedas rápidas y repetibles de 5 minutos que los equipos reducidos puedan mantener.
El objetivo es obtener la señal adecuada a la velocidad del sistema, no más ruido. El análisis de valor empresarial de IDC para 2025 corrobora este enfoque, con una cobertura de más del 90 % MITRE ATT&CK y un retorno de la inversión (ROI) del 391 %, con un periodo de amortización de seis meses. Descubre la Vectra AI o empieza por los últimos informes sobre amenazas.
Un SIEM centraliza y correlaciona los registros y activa las reglas que el usuario ha definido. Las herramientas de búsqueda de amenazas añaden una búsqueda proactiva, basada en hipótesis, a través de los datos de telemetría conservados —de terminales, red e identidad— para detectar a los atacantes que ninguna regla había previsto. La mayoría de los equipos consideran el SIEM como un elemento más de la búsqueda de amenazas, no como la única capacidad disponible.
Depende de la competencia de los analistas y de la telemetría de la que ya dispongas. Un equipo cualificado puede sacar buen partido a las herramientas de código abierto; un equipo reducido obtiene mejores resultados con opciones comerciales o gestionadas. Hay que tener en cuenta el conflicto de intereses: la mayoría de las fuentes que sostienen que el código abierto es insuficiente venden un producto. La tendencia del mercado es híbrida: el uso de herramientas propias aumentó del 33 % al 48 %, mientras que la dependencia de las soluciones comerciales descendió del 70 % al 58 % (SANS 2025).
Ten en cuenta que se trata de rangos de precios, no de precios de catálogo. Las herramientas de código abierto trasladan el coste de las licencias a las horas de trabajo de analistas cualificados. Las plataformas comerciales suelen fijar sus precios por terminal o por volumen de datos procesados, y la búsqueda gestionada añade una tarifa de servicio. Presupuesta el periodo de referencia de comportamiento de entre 60 y 90 días y las horas de trabajo de los analistas necesarias para manejar la herramienta, no solo la licencia.
No según los datos actuales. La adopción de la IA es casi universal —el 77 % de las organizaciones la ha implementado para la ciberseguridad (Informe Global sobre Ciberseguridad 2026 del Foro Económico Mundial)—, pero la encuesta más destacada concluye que «el impacto de las técnicas basadas en la IA a la hora de detectar a los autores de amenazas sigue siendo limitado» (SANS 2025). La IA agiliza la clasificación y el trabajo manual a gran escala; la curiosidad humana sigue siendo la que descubre a los nuevos adversarios.
No te conformes con un porcentaje de cobertura. Pide pruebas a nivel de técnica —qué técnicas, contrastadas con qué datos, con qué lógica de detección— y valida una muestra en tu propio entorno. Centra la conversación en técnicas concretas, como T1059 (Intérprete de comandos y scripts, 13 subtécnicas). Una cifra sin pruebas que respalden su nivel técnico no es más que marketing.
Existen soluciones gratuitas y de código abierto en todas las categorías: análisis de metadatos de red de código abierto, consultas de terminales de código abierto, fuentes comunitarias de inteligencia sobre amenazas y el ATT&CK Navigator de MITRE para la elaboración de mapas de cobertura. Evalúalas en función de sus prestaciones, no de la marca. La disyuntiva es real: las herramientas gratuitas trasladan el coste a las horas de trabajo de analistas cualificados y a la disciplina que exige el autoalojamiento.
Cubre primero tu mayor laguna en materia de telemetría. Si ya utilizas un SIEM y un EDR, el mayor valor añadido suele ser la visibilidad de la red y de las identidades que te falta: esa capa que detecta los ataques «living-off-the-land» y el uso indebido de dispositivos periféricos que las soluciones centradas únicamente en los terminales no pueden ver.