Herramientas de detección de amenazas: guía para el comprador sobre categorías, criterios y pruebas

Información clave

  • Las herramientas de detección de amenazas se dividen en cuatro categorías —plataformas SIEM y de análisis, EDR/XDR, NDR e inteligencia sobre amenazas—, y cada una de ellas recopila datos de telemetría distintos.
  • La adopción de la IA es casi universal; sin embargo, la encuesta insignia de 2025 sobre la caza de amenazas revela que el impacto de la IA a la hora de identificar a los autores de amenazas «sigue siendo limitado».
  • El tiempo medio de permanencia aumentó hasta los 14 días, a pesar de que el tiempo de acceso inicial se redujo a 22 segundos: las intrusiones pasan desapercibidas durante más tiempo, no se detectan más lentamente.
  • Evalúa cualquier herramienta en función de siete criterios: cobertura de telemetría, capacidad de consulta, retención, correspondencia verificable con el marco ATT&CK, tiempo de referencia, honestidad de la IA y coste cuantificable.
  • La mayoría de los equipos optan por una solución híbrida: primero se subsana la mayor carencia en materia de telemetría, que suele ser la visibilidad de la red o de las identidades.
  • Los marcos basados en resultados, como el NIST CSF 2.0, especifican los resultados de la caza y la telemetría, no los productos, lo que favorece la compra por categoría en lugar de por marca.

La mayoría de las páginas que aparecen en los resultados de búsqueda sobre herramientas de detección de amenazas son listados de proveedores —listas de marcas clasificadas, con escasa base empírica—. Esta guía, en cambio, adopta el punto de vista del comprador. Compara las cuatro categorías de herramientas de detección de amenazas cibernéticas, aplica siete criterios de evaluación con umbrales mínimos para 2026, analiza la decisión entre desarrollar, comprar o utilizar código abierto, y fundamenta cada recomendación en fuentes primarias actuales. La honestidad es lo más importante en lo que respecta a la IA. Su adopción es casi universal según el «Global Cybersecurity Outlook 2026» del Foro Económico Mundial; sin embargo, la encuesta de referencia sobre la detección de amenazas concluye que «el impacto de las técnicas basadas en la IA a la hora de descubrir a los autores de las amenazas sigue siendo limitado» (Encuesta sobre la detección de amenazas de SANS 2025). Si estás decidiendo qué añadir a una pila centrada en EDR, lo que realmente importa es la cobertura de la telemetría —qué categoría detecta el comportamiento del atacante que actualmente no puedes ver— y no qué marca encabeza una lista.

¿Qué son las herramientas de detección proactiva de amenazas?

Las herramientas de búsqueda de amenazas son las plataformas de software y las fuentes de datos que permiten a los equipos de seguridad buscar de forma proactiva en su entorno a los atacantes que eluden las alertas automatizadas. Se dividen en cuatro categorías —plataformas SIEM y de análisis, detección y respuesta en terminales, detección y respuesta en red, e inteligencia sobre amenazas— y se evalúan en función de la cobertura de la telemetría, la potencia de consulta y la evidencia fehaciente de lo que detectan.

Hay tres capacidades que diferencian una herramienta de búsqueda de amenazas de una simple herramienta de alertas: la posibilidad de realizar consultas y análisis cruzados arbitrarios, el almacenamiento de datos de telemetría para su revisión posterior y la compatibilidad con investigaciones basadas en hipótesis, en lugar de un motor de reglas que se activa ante firmas conocidas. Esta página da por hecho que ya conoces la disciplina en sí —el pilar de la búsqueda de amenazas aborda el proceso, los marcos de trabajo y las ventajas— y que comprendes cómo la búsqueda proactiva complementa la detección de amenazas basada en alertas. Lo que sigue se refiere estrictamente a la elección de las herramientas.

El punto de confusión más habitual es en qué se diferencian estas herramientas de las que ya utilizas. Un SIEM centraliza los registros y se activa según las reglas que tú mismo has definido; responde a preguntas que ya te habías planteado de antemano. La detección y respuesta en endpoints supervisa en profundidad los hosts gestionados, pero apenas ve más allá de ellos. Una herramienta de búsqueda de amenazas es cualquier plataforma que proporcione al analista la telemetría y la capacidad de consulta necesarias para poner a prueba una nueva hipótesis sobre el comportamiento de los atacantes; por eso, las cuatro categorías de esta guía cumplen los requisitos cuando alcanzan ese nivel, y por eso ninguna de ellas por sí sola los cumple.

Ese cambio de perspectiva es la primera conclusión a la que llega el comprador. El enfoque centrado en la categoría predomina en las evaluaciones serias, ya que la verdadera decisión se basa en la cobertura de la telemetría, no en la marca. Pregúntate qué comportamientos de los atacantes no puedes detectar actualmente —en la red, en los sistemas de identidad, en los planos cloud — y la lista de herramientas preseleccionadas para la búsqueda de amenazas prácticamente se elabora sola. El resto de esta guía proporciona las pruebas, los criterios y el marco de decisión para defender esa lista de herramientas preseleccionadas.

Lo que revelan los datos: la situación de la detección proactiva de amenazas en 2026

Empecemos por el argumento con el que ahora todos los proveedores se lanzan al mercado: la IA. Su adopción es prácticamente universal: el 77 % de las organizaciones ha implementado la IA para la ciberseguridad, y el 94 % considera que la IA será el principal motor del cambio en 2026 (Informe «Global Cybersecurity Outlook 2026» del Foro Económico Mundial). Sin embargo, la adopción y la eficacia demostrada en la detección de amenazas son conceptos distintos, y en este ámbito se suelen confundir habitualmente. La encuesta «SANS 2025 Threat Hunting Survey» es contundente: su resumen ejecutivo afirma que «el impacto de las técnicas basadas en la IA a la hora de descubrir a los autores de las amenazas sigue siendo limitado», y su única cifra concreta sobre la IA se mantiene prácticamente estable: un 48 % en 2025, frente al 47 % de 2024. Es evidente que la IA reduce el trabajo de clasificación y las tareas manuales. La detección autónoma de nuevos adversarios es la parte que los datos aún no demuestran.

El resto de las pruebas de 2026 son igual de concretas:

  • El tiempo de permanencia está aumentando, no disminuyendo. La mediana global del tiempo de permanencia subió a 14 días, frente a los 11 anteriores (Mandiant M-Trends 2026), a pesar de que el intervalo mediano desde el acceso inicial hasta el traspaso se redujo drásticamente, pasando de más de ocho horas en 2022 a 22 segundos en 2025. Las intrusiones pasan desapercibidas durante más tiempo, no se ejecutan más lentamente.
  • La detección interna está mejorando los resultados. Las organizaciones detectaron por primera vez la actividad maliciosa de forma interna en el 52 % de los casos, frente al 43 % anterior (M-Trends 2026): esta es la prueba más sólida de que la capacidad de búsqueda interna influye en los resultados.
  • Los atacantes están pasando a un segundo plano. Inyección en el proceso (T1055) ocupó el primer puesto por tercer año consecutivo, con un 30 %; los atacantes «dedicaron el 80 % de sus técnicas a la ocultación, la evasión y la persistencia», y al cifrado mediante ransomware (T1486) cayó un 38 % en términos relativos (Informe Picus Red 2026).
  • La captación de clientes se está gestionando internamente, mientras que la medición se está reduciendo drásticamente. El porcentaje de equipos que gestionan la captación de clientes de forma interna ha aumentado del 45 % al 58 %, aunque solo el 51 % mide formalmente la eficacia de dicha captación (frente al 64 % anterior) y el 38 % no la mide en absoluto (SANS 2025).
  • La brecha de competencias es real y se está agravando. Nada menos que el 95 % de las organizaciones señalan al menos una brecha de competencias, y el 59 % la califican de crítica o significativa, frente al 44 % anterior (Estudio de ISC2 sobre la mano de obra en ciberseguridad de 2025).
  • La ventana de acceso sigue reduciéndose. El Informe global de respuesta a incidentes de Unit 42 de 2026 sitúa la mediana del tiempo transcurrido desde la intrusión hasta la exfiltración de datos en dos días; el cuartil más rápido alcanza la exfiltración en 72 minutos (frente a los 285 minutos del año anterior), y se detectan vulnerabilidades en la gestión de identidades en aproximadamente el 90 % de las investigaciones (investigación de Unit 42, 2026).

En conjunto, estas cifras describen a un adversario que actúa con rapidez en el punto de entrada y luego permanece inactivo durante semanas: el perfil de una amenaza persistente avanzada moderna. La fase de inactividad se basa en la técnica conocida como «living off the land» (LOTL), es decir, el uso indebido de herramientas legítimas integradas y funciones administrativas que impiden que las alertas basadas en firmas se activen. La búsqueda proactiva en los datos de telemetría almacenados es la medida de control que permite detectarla.

El ejemplo más reciente es el aviso de la CISA sobre el mantenimiento de los routers, de julio de 2026. El 13 de julio de 2026, la CISA, la NSA, el FBI y el DC3, junto con socios internacionales, publicaron un aviso conjunto AA26-194A, «Mejorar la seguridad de los routers para protegerse contra los ataques patrocinados por el Estado ruso». El aviso atribuye la campaña a actores del Centro 16 del FSB ruso, conocidos como «Berserk Bear» y «Static Tundra» —un grupo del linaje Dragonfly—, que se aprovechan de funciones legítimas de gestión de dispositivos en equipos de red; los productos de Cisco son el objetivo explotado que se menciona en el aviso (Nextgov/FCW). La técnica de ataque consiste simplemente en «aprovecharse de lo que hay»: cadenas de comunidad SNMP débiles, solicitudes SNMP «Set» que copian configuraciones en ejecución, transferencias TFTP de dichas configuraciones e inicios de sesión desde cuentas que no siguen las normas. Los agentes de punto final no pueden ejecutarse en estos dispositivos, por lo que las recomendaciones del aviso se basan en la telemetría: reforzar la seguridad de SNMP, supervisar el tráfico TFTP saliente y generar alertas ante artefactos de volcado de configuración tales como config.bkp y output.txt, y detectar los inicios de sesión en cuentas que se salen de lo habitual. La empresa de emulación de atacantes AttackIQ ya ha publicado escenarios de detección comprobables para el aviso. Para un comprador, la lección es de carácter estructural: esta campaña resulta invisible para una pila que solo incluye los dispositivos finales.

¿Qué ha cambiado realmente? — Una tabla de correcciones

Dado que la mayoría de las páginas que aparecen en los resultados de búsqueda para este término no citan ninguna estadística con referencia, circulan cifras obsoletas sin que nadie las cuestione. La tabla que figura a continuación corrige las cuatro cifras más habituales basándose en las fuentes primarias, a mediados de 2026.

Tabla 1. Comparación entre las estadísticas sobre la búsqueda de amenazas que se repiten con frecuencia y las fuentes primarias, 2026.

Afirmación ampliamente difundida Lo que realmente dice la ley electoral Fuente (año)
«El tiempo de permanencia sigue disminuyendo: 10 días, el mínimo histórico» (las versiones anteriores siguen indicando 181 o 280 días) La mediana del tiempo de permanencia a nivel mundial aumentó a 14 días en el último periodo analizado, frente a los 11 anteriores; la cifra de «10 días» corresponde a datos de la época de 2024, y las cifras más elevadas son aún más antiguas. Mandiant M-Trends 2026
«El 49 % de los ataques de ransomware utilizaron técnicas de tipo “living-off-the-land”». El 49 % de los responsables de seguridad encuestados observó el uso de LOTL en los incidentes de ransomware que detectaron, lo que supone un aumento respecto al 42 %; se trata de una medida de la observación por parte de los responsables de seguridad, no de un porcentaje del total de ataques. Encuesta de SANS sobre la búsqueda de amenazas de 2025
«La exfiltración selectiva es la principal preocupación de los responsables de la seguridad, con un 57 %». La preocupación por el uso de herramientas comerciales por parte de los atacantes ocupa el primer lugar, con un 58,8 %; la exfiltración selectiva ocupa el segundo lugar, con un 56,9 %. Encuesta de SANS sobre la búsqueda de amenazas de 2025
«El déficit de personal en el ámbito de la ciberseguridad asciende a 3,4 millones de personas» ISC2 no ha publicado ninguna estimación sobre la escasez de personal para 2025; según sus datos, el 95 % de las organizaciones presenta al menos una carencia de competencias, y el 59 % la califica de crítica o significativa. Estudio de ISC2 sobre el personal especializado en ciberseguridad para 2025

Las cuatro categorías de herramientas de detección proactiva de amenazas

Cualquier lista fiable de herramientas de búsqueda de amenazas se reduce a las mismas cuatro categorías: plataformas SIEM y de análisis de seguridad, detección y respuesta en terminales con su extensión XDR, detección y respuesta en red, e inteligencia sobre amenazas con enriquecimiento. Hay que considerar la búsqueda potenciada por IA como una capa de capacidades que abarca las cuatro categorías, y no como una quinta clase de productos, ya que aún no hay pruebas que respalden el descubrimiento autónomo. Una advertencia estructural: varias comparativas muy consultadas omiten por completo la categoría de red. La conclusión de SANS de que las técnicas LOTL son la táctica más observada por parte de los Estados-nación, citada por el 76 % de los encuestados (SANS 2025), es la razón por la que la telemetría de red no puede ser opcional.

Gráfico comparativo de cuatro categorías de herramientas de detección de amenazas —SIEM y análisis, EDR/XDR, NDR e inteligencia sobre amenazas— en el que se muestran los datos de telemetría que recopila cada una y los comportamientos de los atacantes que cada una pone de manifiesto.
Las cuatro categorías de herramientas de detección proactiva de amenazas, comparadas en función de la telemetría que recoge cada una y del comportamiento de los atacantes que detecta cada una.

Tabla 2. Comparación de las cuatro categorías de herramientas de detección proactiva de amenazas en función de la telemetría, los puntos fuertes, los puntos débiles y el perfil de comprador más adecuado.

Categoría A qué caza / telemetría Puntos fuertes Puntos ciegos Ideal para
SIEM y análisis de seguridad (con UEBA) Registros agregados de todo el entorno; desviaciones respecto a los valores de referencia de usuarios y entidades Búsqueda y conservación centralizadas; una única interfaz de consulta para múltiples fuentes Cualquier cosa que nunca genere un registro; el coste varía en función del volumen de datos procesados. Equipos que necesitan un único lugar desde el que consultar múltiples fuentes
EDR / XDR Telemetría de procesos, archivos, registro y memoria en hosts gestionados; XDR correlaciona la identidad y cloud Análisis forense en profundidad de los terminales; historial detallado de los procesos Dispositivos no gestionados e imposibles de gestionar —routers, dispositivos periféricos, IoT/OT— y abusos relacionados exclusivamente con la red Entornos en los que el terminal es el principal campo de batalla
NDR Tráfico de red y metadatos; comportamiento este-oeste entre hosts Detecta movimientos laterales, estructuras de mando y control, y el uso indebido de LOTL que no deja rastros en los terminales Requiere la colocación de sensores y un periodo de referencia antes de que las detecciones se estabilicen La capa de red de la arquitectura de visibilidad; LOTL y la búsqueda de dispositivos periféricos
Información sobre amenazas y enriquecimiento de datos PTP de los actores, indicadores y señales de código abierto Convierte las observaciones en hipótesis; aporta contexto a todas las demás categorías No es un terreno de caza en sí mismo; la calidad varía en función de la alimentación Un complemento para las otras tres categorías, no una herramienta de búsqueda independiente

Las plataformas SIEM y de análisis de seguridad constituyen la base de la búsqueda para los equipos que necesitan un único lugar desde el que consultar múltiples fuentes. Un SIEM agrega y correlaciona los registros de todo el entorno, y al añadir capas de análisis del comportamiento de usuarios y entidades (UEBA), permite realizar búsquedas de desviaciones respecto a la línea de base además de la búsqueda en bruto. Sus puntos fuertes son la retención centralizada y una única interfaz de consulta. El punto ciego estructural es todo aquello que nunca genera un registro, y el coste varía en función del volumen de datos capturados, lo que explica precisamente por qué las decisiones sobre la retención acaban determinando la profundidad de la búsqueda.

La detección y respuesta en terminales (EDR) cuenta con la telemetría más detallada del host —procesos, archivos, registro, memoria— y la detección y respuesta ampliadas (XDR) extiende esa correlación a la identidad y cloud. Cuando el terminal es el campo de batalla, no hay nada que se le pueda comparar. Sin embargo, las herramientas de clase EDR no pueden detectar dispositivos no gestionados e inmanejables —routers, dispositivos periféricos, IoT y OT—, una brecha que los programas de gestión de la superficie de ataque siguen descubriendo una y otra vez y que, como demuestra la campaña AA26-194A, los atacantes explotan deliberadamente. La profundidad en los puntos finales por sí sola no es suficiente para la caza «living-off-the-land».

La detección y respuesta en red (NDR) analiza el tráfico y los metadatos desde el punto de vista del comportamiento; así es como los responsables de la seguridad detectan los sistemas de comando y control, los movimientos laterales y los abusos de LOTL que no dejan rastros en los terminales. La NDR requiere la instalación de sensores y un periodo de referencia antes de que sus detecciones se estabilicen —hay que tener en cuenta ambos aspectos—, pero es la categoría que cubre precisamente la laguna que describe la recomendación sobre la higiene de los routers, y constituye la capa de red natural de una arquitectura de visibilidad equilibrada.

La inteligencia sobre amenazas y su enriquecimiento convierten una observación en una hipótesis: las TTP de los actores, los indicadores y las señales de fuentes abiertas que indican al cazador dónde debe centrar su atención a continuación. Se trata de un insumo para las otras tres categorías, más que de un ámbito de búsqueda en sí mismo; la guía dedicada a las herramientas de inteligencia sobre amenazas aborda en profundidad las plataformas, los canales de información y los precios.

En las cuatro categorías, merece la pena invertir en las capacidades potenciadas por la IA —triaje asistido, correlación entre fuentes y consultas en lenguaje natural— cuando se demuestre que agilizan el trabajo del analista. Evalúalas como una característica de una categoría, no como una categoría en sí misma. Los criterios de evaluación que figuran a continuación te indican exactamente qué preguntas debes plantear.

Cómo funcionan las herramientas de detección proactiva de amenazas: desde la telemetría hasta la búsqueda validada

Sea cual sea la categoría, el proceso consta de las mismas cinco etapas. Las herramientas recogen datos de telemetría de tantas fuentes como pueden alcanzar, los enriquecen con contexto —identidad de los activos, geolocalización, coincidencias de inteligencia— y, a continuación, aplican un análisis de patrones para detectar desviaciones respecto a la línea de referencia. La correlación une los eventos relacionados en una narrativa que un ser humano puede evaluar, y la investigación valida o descarta la hipótesis. El proceso es importante para el comprador porque cada etapa es un ámbito en el que las herramientas difieren realmente: lo que recopilan limita lo que pueden encontrar, y la calidad de su correlación determina cuánto trabajo de integración debe realizar el analista manualmente.

Este proceso también explica por qué el análisis de comportamiento se ha convertido en la etapa fundamental. La detección basada en firmas y reglas solo se activa ante lo que alguien ha previsto, y la actividad «living-off-the-land» es, por su propia naturaleza, indistinguible de las tareas administrativas a nivel de firmas. El establecimiento de líneas de base de comportamiento en la red y la identidad es lo que convierte «una cuenta legítima que ejecutó una herramienta legítima» en una pista de investigación; por eso, tanto los métodos como las herramientas de búsqueda proactiva de amenazas convergen en un trabajo basado en hipótesis a partir de datos de telemetría conservados y enriquecidos.

Mapa de cobertura que muestra qué categorías de herramientas de detección de amenazas recogen datos de cloud de terminales, redes, identidades y cloud .
Cada categoría de herramientas de detección proactiva de amenazas abarca un ámbito concreto de cloud de terminales, redes, identidades y cloud ; las lagunas son precisamente donde fallan las operaciones de detección proactiva.

Cómo evaluar las herramientas de detección proactiva de amenazas: siete criterios

«¿Cuáles son las mejores herramientas de búsqueda de amenazas?» es la pregunta a la que toda evaluación acaba llegando, y las listas de clasificación de las mejores herramientas de búsqueda de amenazas no pueden responderla; en cambio, una rúbrica sí puede. Las mejores herramientas de búsqueda de amenazas para tu entorno son aquellas que superan siete pruebas relacionadas con tu telemetría, tu equipo y tu modelo de amenazas. La rúbrica que se muestra a continuación sirve para cualquier candidato, ya sea comercial o de código abierto, y también puede utilizarse como plantilla para una solicitud de propuestas. Tanto si un proveedor comercializa su producto como una plataforma de búsqueda de amenazas, un paquete de análisis o una herramienta de detección con funciones de búsqueda, se aplican los mismos siete criterios:

  1. Cobertura de telemetría en dispositivos finales, redes, identidades y cloud.
  2. El lenguaje de consulta y el análisis cruzado de fuentes que un analista puede llevar a cabo.
  3. La retención y el período de retrospectiva son lo suficientemente amplios para los tiempos de permanencia actuales.
  4. MITRE ATT&CK que puedes verificar a nivel de técnica.
  5. Plazo de generación de valor de referencia documentado, normalmente de entre 60 y 90 días.
  6. Automatización honesta: asistencia asistida por IA frente a afirmaciones de autonomía nativa de la IA.
  7. Modelo de costes predecible con medición de la eficacia integrada.

Tabla 3. Siete criterios independientes del proveedor para evaluar herramientas de detección de amenazas, con los requisitos mínimos para 2026.

Criterio Por qué es importante Cómo evaluar Puntuación mínima en 2026
1. Cobertura de las fuentes de datos LOTL y el abuso de bordes son invisibles para las pilas que solo utilizan puntos finales Compara la telemetría nativa de la herramienta con tu entorno Visibilidad nativa de los dispositivos finales, la red y las identidades — no solo de los dispositivos finales—
2. Lenguaje de consulta y tablas dinámicas Las búsquedas son hipótesis arbitrarias, no reglas preestablecidas Organiza una búsqueda práctica durante el periodo de prueba Lenguaje de consultas ad hoc más pivote entre fuentes
3. Conservación de datos y período retrospectivo La permanencia media es de 14 días; algunas intrusiones persisten durante años Calcula el coste del periodo de retención que realmente necesitas Al menos 90 días de datos de telemetría fácilmente consultables
4. MITRE ATT&CK verificable del marco MITRE ATT&CK Los porcentajes de cobertura son orientativos hasta que se demuestre lo contrario Solicita pruebas a nivel técnico y la lógica de detección Mapeo a nivel técnico que puedes validar con datos de prueba
5. Tiempo de generación de valor de referencia La detección basada en el comportamiento requiere un periodo de aprendizaje antes de que resulte fiable. Pregunta cuándo las detecciones son fiables Un período inicial documentado de entre 60 y 90 días, presupuestado para
6. Automatización y honestidad en la inteligencia artificial Las pruebas que avalan el descubrimiento autónomo siguen siendo limitadas Pregunta qué hace la IA y qué es lo que aún debe hacer un ser humano Intervención humana en las acciones de alta gravedad; medidas de seguridad definidas
7. Modelo de costes y medibilidad Solo el 51 % de los equipos miden de manera formal la eficacia de la búsqueda de clientes Establece un modelo de precios por punto final o por volumen de datos procesados a tu escala real Coste predecible y medición de la eficacia integrada

El criterio 1 es donde se ganan o se pierden la mayoría de las evaluaciones, ya que la telemetría determina qué puede ver un equipo de investigación. El uso de recursos locales («living-off-the-land») y el abuso de dispositivos periféricos documentados en AA26-194A son invisibles para una pila centrada únicamente en los terminales —no se ejecuta ningún agente en un router— y la superficie de identidad está implicada en la mayoría de las investigaciones actuales. Compara la telemetría nativa de cada candidato con tu entorno y considera la cobertura de detección y respuesta de red como un requisito fundamental, en lugar de un complemento. El mínimo exigido para 2026 es la visibilidad nativa conjunta de los terminales, la red y la identidad.

Los criterios 2 y 3 van de la mano, ya que la capacidad de consulta no sirve de nada frente a datos de telemetría de los que ya no se dispone. Insiste en un lenguaje de consulta ad hoc y en la capacidad de cruzar fuentes, y prueba ambos aspectos con una búsqueda en tiempo real durante el periodo de prueba —dirigida por tu propio analista del SOC, no por el ingeniero de ventas del proveedor—. A continuación, evalúa la retención de datos con honestidad. El tiempo medio de permanencia de 14 días (M-Trends 2026) es el mínimo, no la cifra de referencia para la planificación: Volt Typhoon en infraestructuras críticas de EE. UU. durante al menos cinco años (CISA AA24-038A, 2024). Noventa días de datos de telemetría fácilmente consultables es el mínimo creíble para 2026.

El criterio 4 se refiere a la cifra más manipulada del mercado: MITRE ATT&CK cobertura. Un porcentaje no dice nada sobre la profundidad: cubrir una subtécnica de T1059 (Intérprete de comandos y scripts, versión 2.7, con 13 subtécnicas) no cubre esa técnica. Solicita información sobre las correspondencias a nivel de técnica, la lógica de detección que hay detrás de ellas y pruebas que puedas validar con datos de prueba en tu propio entorno. Un proveedor que te enseña cómo verificar sus afirmaciones te está diciendo algo; uno que se resiste te está diciendo aún más.

El criterio n.º 5 es aquel que casi ninguna página de clasificación menciona: las herramientas de análisis de comportamiento no aportan valor desde el primer día. Las líneas de base de comportamiento necesitan entre 60 y 90 días para que la detección de anomalías sea fiable —una opinión experta de Jason Martin, de Permiso, en «Cyber Insights 2026» de SecurityWeek — y un proveedor que no hable de su periodo de línea de base es porque aún no lo ha puesto en marcha. Pregunta cuándo las detecciones serán fiables, pregunta qué puede hacer la herramienta durante el periodo de aprendizaje y ten en cuenta ese tiempo en tu presupuesto como parte de la compra.

Los criterios 6 y 7 cierran el círculo en materia de honestidad. Hay que distinguir entre las herramientas asistidas por IA, que aceleran el trabajo de un cazador humano, y las afirmaciones de descubrimiento autónomo propias de la IA: la conclusión de SANS de que el impacto de la IA en la caza de amenazas «sigue siendo limitado» es la razón para exigir controles con intervención humana para las acciones de alta gravedad y la divulgación de los mecanismos de protección. En cuanto al coste, simula la estructura de licencias —por terminal o por volumen de datos procesados— en función de tus volúmenes de datos reales y, a continuación, da un paso más allá. Solo el 51 % de los equipos mide formalmente la eficacia de la búsqueda de amenazas, lo que supone un descenso respecto al 64 % (SANS 2025), por lo que es preferible optar por herramientas que generen métricas de eficacia de forma nativa. Una herramienta que no se puede medir es una herramienta que no se puede defender a la hora de renovarla.

Desarrollar, comprar o recurrir al código abierto: un marco para la toma de decisiones

El debate entre «desarrollar o comprar» en este mercado adolece de un problema de transparencia: la mayoría de las fuentes publicadas que sostienen que el código abierto es insuficiente comercializan un producto comercial. La versión honesta parte de tus propias limitaciones, no del catálogo de nadie. Las herramientas de código abierto pueden ser excelentes; su precio real son las horas de trabajo de analistas cualificados y la disciplina que exige el autoalojamiento. Las plataformas comerciales aportan rapidez en la obtención de valor y soporte técnico; su precio real es el coste de la licencia, que se adapta al tamaño de tu infraestructura. Hay cinco factores, sopesados en función de la madurez de las operaciones de tu SOC, que determinan qué opción elegir en cada caso.

  • Plantilla y competencias de los analistas. Dado que el 95 % de las organizaciones señalan al menos una carencia de competencias (ISC2 2025), un equipo con menos de dos «cazatalentos» dedicados saca mayor partido de las opciones comerciales o gestionadas; una plantilla amplia puede gestionar bien el código abierto.
  • La telemetría de la que ya dispones. Si ya cuentas con SIEM y EDR, el mayor valor añadido suele ser la capa de red e identidad que te falta; la comparación entre SIEM y NDR analiza esa disyuntiva en detalle.
  • Exposición a amenazas y sector. Los entornos de infraestructuras críticas y con gran presencia de dispositivos periféricos —el perfil al que se dirigen los actores Volt Typhoon «AA26-194A»— deberían dar prioridad a la profundidad de la búsqueda de amenazas en la red y de identidades, por encima de un mayor ajuste de los terminales.
  • Madurez en la medición. Si aún no puedes medir la eficacia de la captación, una opción comercial o gestionada que cuente con los instrumentos adecuados puede aportar la disciplina de la que suelen carecer las herramientas internas.
  • La tendencia del mercado es híbrida. El uso de herramientas propias aumentó del 33 % al 48 %, mientras que la dependencia de herramientas comerciales se redujo del 70 % al 58 % (SANS 2025); la mayoría de los equipos optan por una combinación de herramientas, en lugar de una opción exclusiva.

Tabla 4. Correspondencia entre los cinco factores de decisión y las plataformas de detección de amenazas de código abierto, comerciales e híbridas.

Factor decisivo Código abierto «Lean» / compilar si Oferta especial / cómpralo si... Patrón híbrido
Número de analistas y competencias Hay expertos que saben alojar, ajustar y aplicar parches por su cuenta Tienes menos de dos cazadores especializados, o bien generalistas que desempeñan múltiples funciones Herramientas de análisis de código abierto gestionadas por un equipo central reducido; detección comercial en ámbitos en los que hay escasez de personal cualificado
Los dispositivos de telemetría que ya tienes La cobertura actual de SIEM y EDR es amplia y permite realizar búsquedas Tienes un punto cloud en la red, la identidad o cloud que debes subsanar rápidamente Mantén el registro actualizado; compra únicamente la capa de telemetría que falte
Exposición a amenazas y sector Las amenazas relacionadas con las materias primas predominan en tu modelo de riesgo Gestionas infraestructuras críticas o entornos con una gran presencia en la periferia que están en el punto de mira de actores estatales Cobertura de redes comerciales e identidades, además de enriquecimiento de datos de código abierto
Madurez en materia de medición Ya realizáis un seguimiento interno de los indicadores de eficacia de las campañas de búsqueda Todavía no puedes medir los resultados y necesitas una disciplina inherente Informes comerciales basados en indicadores definidos internamente
Estructura de costes Las horas de trabajo de los analistas te salen más baratas que las licencias Una cuota de suscripción predecible es mejor que los costes laborales ocultos Herramientas gratuitas para telemetría de bajo riesgo y cobertura con licencia para los activos más valiosos

¿Cómo es una configuración básica para cazar?

En cada categoría existe un conjunto inicial de herramientas eficaces que no requieren licencia: análisis de metadatos de red de código abierto para la visibilidad del tráfico, consultas de puntos finales de código abierto para el interrogatorio de hosts a gran escala, fuentes comunitarias de inteligencia sobre amenazas para el enriquecimiento de datos y el ATT&CK Navigator de MITRE para mapear la cobertura que se va creando. Combina todo ello con las herramientas EDR que ya utilizas y podrás empezar a detectar amenazas hoy mismo. La disyuntiva real no desaparece: las herramientas gratuitas trasladan el coste de las licencias a las horas de trabajo de analistas cualificados, y cada componente autohospedado se convierte en algo que tu equipo debe actualizar y gestionar.

Hay dos indicios que señalan que es hora de actualizar el sistema. En primer lugar, has acumulado datos de telemetría que no puedes analizar con la rapidez suficiente para comprobar una hipótesis mientras aún sea relevante. En segundo lugar, no puedes evaluar si la búsqueda de amenazas funciona: los hallazgos nunca se traducen en detecciones más sólidas ni en un traspaso más fluido de la respuesta ante incidentes. Cualquiera de estas señales indica que la limitación ahora radica en la herramienta y no en el equipo, y que una capa comercial —normalmente la telemetría de red o de identidad de la que careces— empieza a justificar su inversión.

Herramientas de detección de amenazas y cumplimiento normativo

Ninguno de los principales marcos de referencia menciona ningún producto concreto, y ahí radica precisamente la clave. Los marcos basados en resultados especifican los datos de telemetría que hay que recopilar y los resultados que hay que alcanzar, lo que favorece una compra basada en la categoría frente a una basada en la marca, y proporciona al comprador argumentos sólidos para la negociación del presupuesto.

El marco NIST CSF 2.0 enmarca la búsqueda de amenazas en su función «Detectar» — DE.CM (Supervisión continua) y DE.AE (Análisis de incidentes adversos). La subcategoría DE.CM-01 del NIST CSF 2.0 reza, textualmente: «Se supervisan las redes y los servicios de red para detectar posibles incidentes adversos». Las herramientas de búsqueda de amenazas son la materialización operativa de ese resultado; el marco no especifica deliberadamente ningún producto concreto.

La guía más práctica es, además, gratuita. La guía conjunta de la CISA para identificar y mitigar las técnicas «living-off-the-land» está diseñada para ser independiente de los proveedores: especifica las fuentes de registro y los comportamientos que necesitan los defensores, y da prioridad al registro centralizado fuera de banda para que el análisis de comportamientos y la búsqueda proactiva sean posibles en primer lugar. Su aviso complementario AA24-038A documenta por qué se ha establecido ese umbral: Volt Typhoon en infraestructuras críticas de EE. UU. durante al menos cinco años, aplicando 79 identificadores de técnicas ATT&CK en 13 tácticas, sin activar las herramientas basadas en firmas. El aviso de 2026 sobre la higiene de los routers extiende la misma lógica de «primero la telemetría» a los dispositivos perimetrales de la red.

En lo que respecta a los debates sobre arquitectura, la tríada de visibilidad del SOC sigue siendo un modelo de referencia útil: SIEM para los registros, EDR para los terminales y NDR para la red, de modo que cada uno cubre los puntos ciegos de los demás. El modelo es anterior al XDR, por lo que conviene considerarlo como una perspectiva sobre la telemetría complementaria más que como una lista de requisitos, pero se ajusta perfectamente a las cuatro categorías de esta guía.

Tabla 5. Correspondencia entre los marcos y las directrices basados en resultados y las herramientas de detección de amenazas.

Marco Función o mando correspondiente Cómo funcionan las herramientas de detección proactiva de amenazas Pruebas / notas
LCR 2.0 DEL NIST Detectar: DE.CM (Seguimiento continuo) y DE.AE (Análisis de eventos adversos) Las herramientas de búsqueda ponen en práctica los resultados de DE.CM, incluidas las redes y los servicios de red supervisados de DE.CM-01 Basado en resultados; no menciona ningún producto (NIST.CSWP.29, 2024)
MITRE ATT&CK Base de datos de adversarios a nivel técnico Un lenguaje común para formular hipótesis de búsqueda y para comprobar la veracidad de las afirmaciones de los proveedores sobre su cobertura T1059 — versión 2.7, 13 subtécnicas, última modificación: 12 de mayo de 2026
Directrices de la CISA sobre el «living-off-the-land» Orientaciones sobre detección y refuerzo de la seguridad, con los avisos conjuntos AA24-038A y AA26-194A Especifica las fuentes de registro y los comportamientos que se deben analizar; da prioridad al registro centralizado fuera de banda Gratuito e independiente de proveedores (CISA, 2024; AA26-194A, 2026)
La tríada de visibilidad del SOC Modelo de referencia: SIEM, EDR y NDR como sistemas de telemetría complementarios Frames: por qué ninguna categoría de herramientas por sí sola constituye todo el programa de caza Un modelo duradero anterior al XDR: una perspectiva, no una obligación

Enfoques modernos de las herramientas de detección de amenazas

El argumento de los SOC basados en agentes —agentes de IA que cazan amenazas de forma autónoma— es el tema más sonado del mercado, pero la realidad es más limitada. La clasificación asistida por IA, la correlación entre fuentes y la investigación en lenguaje natural suponen auténticas mejoras de productividad, que se potencian aún más en equipos reducidos. Lo que los datos aún no respaldan es el descubrimiento autónomo de nuevos adversarios; el veredicto de la encuesta de SANS de que «sigue siendo limitado» se mantiene hasta que cambien los datos. La perspectiva de un profesional recogida en «Cyber Insights 2026» de SecurityWeek es difícil de superar: «nada podrá sustituir la imprevisibilidad y la curiosidad innata de un analista humano». Adquiere capacidad de detección de amenazas mediante IA que multiplique esa curiosidad, en lugar de prometer su desaparición.

El hilo conductor desde Volt Typhoon el aviso sobre routers de 2026 es que los adversarios más peligrosos se camuflan entre la actividad legítima: desde intrusiones pacientes patrocinadas por Estados hasta grupos de ransomware de alta velocidad que ahora priorizan el sigilo frente al cifrado. Las herramientas basadas en firmas no tienen nada contra lo que actuar, por lo que la detección de amenazas basada en el comportamiento en toda la red y en las superficies de identidad se ha convertido en el complemento operativo imprescindible para cualquier herramienta de terminales y de registros que ya utilices. Esa es la dirección que está tomando toda la categoría: menos volumen de alertas y más narrativas de ataque validadas.

Vectra AI de Vectra AI sobre las herramientas de detección de amenazas

Vectra AI la búsqueda de amenazas partiendo de la filosofía de «asumir que el sistema está comprometido»: los atacantes más hábiles logran infiltrarse, y los más peligrosos de ellos eluden, por diseño, las herramientas basadas en firmas y alertas. En lugar de añadir más alertas, Attack Signal Intelligence la detección de comportamientos basada en IA en la red, la identidad y cloud sacar a la luz secuencias de ataques interconectadas, y para permitir búsquedas rápidas y repetibles de 5 minutos que los equipos reducidos puedan mantener.

El objetivo es obtener la señal adecuada a la velocidad del sistema, no más ruido. El análisis de valor empresarial de IDC para 2025 corrobora este enfoque, con una cobertura de más del 90 % MITRE ATT&CK y un retorno de la inversión (ROI) del 391 %, con un periodo de amortización de seis meses. Descubre la Vectra AI o empieza por los últimos informes sobre amenazas.

Preguntas frecuentes

¿Cuál es la diferencia entre las herramientas de detección proactiva de amenazas y un SIEM?

¿Necesito herramientas comerciales o bastan las opciones de código abierto?

¿Cuánto costarán las herramientas de detección de amenazas en 2026?

¿Puede la IA sustituir a los cazadores de amenazas humanos?

¿Cómo se comprueban las afirmaciones de un proveedor MITRE ATT&CK ?

¿Qué herramientas gratuitas existen para la detección proactiva de amenazas?

¿Cuál es la primera herramienta en la que debería invertir para la detección proactiva de amenazas?