AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Aumento de amenazas no maliciosas desborda la capacidad de los equipos de seguridad**

admin

### 1. Introducción

En el actual panorama de ciberseguridad, el volumen y la complejidad de las amenazas han aumentado exponencialmente. Sorprendentemente, una parte significativa de estas amenazas no son necesariamente maliciosas, pero sí representan un desafío operativo considerable para los equipos de seguridad. Este incremento en la carga de trabajo está generando tensiones en departamentos SOC, responsables de la gestión de incidentes y en los CISO, quienes deben priorizar recursos ante la avalancha de alertas y falsos positivos.

### 2. Contexto del Incidente o Vulnerabilidad

El sector de la ciberseguridad lleva años adaptándose a amenazas sofisticadas como ransomware, phishing avanzado o ataques de día cero. Sin embargo, el incremento de amenazas catalogadas como «no maliciosas» —como comportamientos anómalos, configuraciones erróneas, movimientos laterales sin intencionalidad hostil o accesos legítimos mal gestionados— está saturando los sistemas SIEM y las plataformas SOAR. Estas amenazas, aunque no persiguen un daño directo, pueden derivar en brechas de seguridad si no se gestionan adecuadamente.

Según el último informe de Gartner, el 60% de las alertas gestionadas por equipos SOC durante 2023 correspondieron a eventos no maliciosos, pero que requerían un análisis manual para descartar su peligrosidad. Esta sobrecarga provoca fatiga en los analistas y aumenta el riesgo de pasar por alto amenazas genuinas.

### 3. Detalles Técnicos: Vectores, Tácticas y Herramientas

Gran parte de estas amenazas no maliciosas se originan en vectores como:

– **Accesos legítimos desde ubicaciones inusuales** (T1078 según MITRE ATT&CK)
– **Errores de configuración en servicios cloud** (CVE-2023-3576, expuesto en AWS S3)
– **Actualizaciones de software incompletas o fallidas**
– **Transferencias elevadas de datos no justificadas**
– **Uso de herramientas administrativas por parte de usuarios no privilegiados**

En la práctica, los sistemas de monitorización —como Splunk, IBM QRadar o Azure Sentinel— desencadenan alertas al detectar estos eventos, sin capacidad suficiente para diferenciar la intencionalidad. Además, frameworks de automatización como SOAR (Security Orchestration, Automation and Response) pueden contribuir al ruido si las reglas de correlación no están finamente ajustadas.

En la mayoría de los casos, no se detectan indicios de explotación activa (exploits públicos en Metasploit o Cobalt Strike), pero sí IoC’s asociados a malas prácticas operativas o configuraciones inseguras.

### 4. Impacto y Riesgos

El principal riesgo asociado a este fenómeno es el de la saturación de los equipos humanos, traducido en:

– **Fatiga de alerta**: Según un estudio de Ponemon Institute, el 56% de los analistas SOC reconocen haber pasado por alto alertas críticas debido al exceso de ruido.
– **Desviación de recursos**: El tiempo invertido en analizar eventos no maliciosos resta capacidad para detener amenazas reales, lo cual puede ser aprovechado por atacantes sofisticados.
– **Posible incumplimiento normativo**: Bajo marcos como el GDPR o la directiva NIS2, la incapacidad de monitorizar adecuadamente los incidentes puede implicar sanciones económicas (hasta 20 millones de euros o el 4% de la facturación anual).

### 5. Medidas de Mitigación y Recomendaciones

Para abordar este problema creciente, los expertos recomiendan:

– **Optimización de reglas de correlación en SIEM y SOAR**, ajustando los umbrales y limitando los falsos positivos.
– **Implementación de inteligencia artificial y machine learning** para clasificar amenazas en función de su contexto y reducir la carga manual.
– **Segmentación de alertas** en función de criticidad y contexto operacional, utilizando frameworks como MITRE ATT&CK para priorizar respuestas.
– **Formación continua** de los equipos SOC en el manejo y validación de alertas no convencionales.
– **Automatización de respuestas para eventos recurrentes** que han demostrado ser benignos.

### 6. Opinión de Expertos

Raúl Pérez, CISO de una multinacional tecnológica, destaca: “El reto actual no es solo detectar ataques, sino gestionar el ruido operativo. La automatización y el refino de reglas son imprescindibles, pero también lo es la formación del personal para discernir cuándo una alerta debe ser priorizada”.

Por su parte, Sergio García, analista senior de amenazas, comenta: “La mayoría de los exploits recientes aprovechan fallos no necesariamente maliciosos, como configuraciones defectuosas o cuentas sin MFA. No todo lo anómalo es un ataque, pero puede ser la puerta de entrada”.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, la gestión eficiente de estas amenazas es crítica para mantener la resiliencia operativa y cumplir con la normativa vigente. Los usuarios finales, aunque no perciban estos eventos, pueden verse afectados si una alerta legítima pasa inadvertida y se materializa en una brecha de seguridad. La tendencia actual obliga a las organizaciones a invertir en tecnología, formación y revisión continua de sus procesos de seguridad.

### 8. Conclusiones

La proliferación de amenazas no maliciosas está suponiendo un desafío estratégico para los equipos de seguridad, requiriendo una revisión profunda de las estrategias de detección y respuesta. La clave está en diferenciar entre lo meramente anómalo y lo verdaderamente peligroso, evitando así la saturación de recursos y el desgaste del personal. La adaptación a este nuevo paradigma será crucial para afrontar el futuro de la ciberseguridad corporativa.

(Fuente: www.darkreading.com)