AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Kaspersky actualiza su plataforma UMP 4.2 con IA avanzada para detección de cuentas comprometidas

admin

#### Introducción

La gestión proactiva de amenazas y la detección temprana de incidentes se han convertido en una prioridad para los equipos de seguridad. En este contexto, Kaspersky ha anunciado el lanzamiento de la versión 4.2 de su Unified Monitoring and Analysis Platform (KUMA), incorporando capacidades avanzadas de inteligencia artificial para la detección de cuentas comprometidas, un correlador renovado y mejoras en la integración y usabilidad. Este artículo analiza en profundidad las novedades técnicas de KUMA 4.2, su impacto en la operativa de los SOC y las implicaciones para la protección de infraestructuras críticas y datos personales.

#### Contexto del Incidente o Vulnerabilidad

El robo y uso indebido de credenciales es uno de los vectores de ataque más frecuentes en entornos corporativos, con un crecimiento sostenido según los últimos informes de ENISA y MITRE. Los atacantes emplean técnicas de phishing, malware, fuerza bruta o explotación de vulnerabilidades para obtener acceso no autorizado a cuentas privilegiadas. El reto para los equipos SOC es identificar actividades anómalas en tiempo real, correlando grandes volúmenes de logs y eventos de seguridad procedentes de múltiples fuentes. Plataformas SIEM tradicionales presentan limitaciones ante amenazas avanzadas, lo que exige la integración de IA y mecanismos de correlación adaptativos.

#### Detalles Técnicos

La versión 4.2 de KUMA introduce un motor de detección basado en inteligencia artificial entrenado sobre grandes volúmenes de datos anónimos, capaz de identificar patrones de comportamiento atípicos en el uso de cuentas (MITRE ATT&CK T1078: Valid Accounts). Utiliza modelos de machine learning supervisado y no supervisado para detectar desviaciones respecto a la línea base de actividad, como accesos fuera de horario, cambios de ubicación geográfica, uso de dispositivos no habituales o secuencias de comandos anómalas.

El renovado correlador de eventos se apoya en un pipeline de procesamiento optimizado, permitiendo la ingestión y análisis simultáneo de millones de eventos por segundo, con soporte nativo para los formatos de logs más comunes (Syslog, Windows Event Log, CEF, LEEF). Además, KUMA 4.2 amplía su compatibilidad con fuentes externas, incluyendo integraciones out-of-the-box con soluciones EDR, firewalls de nueva generación, proxies y plataformas cloud como Microsoft 365, AWS CloudTrail y Google Workspace.

La plataforma soporta la definición de reglas de correlación personalizadas, detección de IoC (Indicators of Compromise) en tiempo real y ejecución automatizada de playbooks ante detecciones confirmadas. Para la gestión de amenazas, KUMA 4.2 incorpora integración directa con feeds de inteligencia de amenazas (Threat Intelligence Feeds) de Kaspersky y de terceros, acelerando la identificación de TTPs (Tactics, Techniques and Procedures) asociadas a APTs y campañas activas. El framework MITRE ATT&CK está completamente mapeado en la interfaz de análisis forense.

#### Impacto y Riesgos

El uso de IA para la detección de cuentas comprometidas reduce significativamente el tiempo medio de detección (MTTD), que se estima en un 40% menor respecto a versiones anteriores según pruebas internas de Kaspersky. Sin embargo, la dependencia de modelos de machine learning requiere revisiones periódicas y entrenamiento continuo para evitar falsos positivos y negativos. Un fallo en la detección puede permitir movimientos laterales, escaladas de privilegios y exfiltración de datos, en clara contravención de normativas como el GDPR y la inminente NIS2.

La plataforma está diseñada para entornos de alta criticidad, como bancos, infraestructuras críticas y grandes corporaciones, donde una brecha puede suponer pérdidas millonarias, daños reputacionales y sanciones regulatorias. Según IDC, el coste medio de una brecha relacionada con credenciales comprometidas supera los 4 millones de euros en la UE.

#### Medidas de Mitigación y Recomendaciones

Kaspersky recomienda actualizar a la versión 4.2 de KUMA tras evaluar la compatibilidad con el entorno existente. Se aconseja:

– Activar el motor de IA y ajustar los umbrales de sensibilidad según el perfil de riesgo de la organización.
– Integrar los logs de autenticación, EDR y servicios cloud para disponer de una visión holística.
– Revisar y personalizar las reglas de correlación y los playbooks de respuesta.
– Realizar simulacros de ataque (Red Team/Purple Team) para validar la eficacia de las detecciones.
– Formar al personal del SOC en el manejo de alertas basadas en IA y en la interpretación de anomalías.

#### Opinión de Expertos

Consultores de ciberseguridad advierten de la importancia de no delegar completamente la detección en la IA, sino combinarla con el análisis humano experto. “La automatización es clave, pero la supervisión y revisión periódica de los modelos es imprescindible para evitar sesgos y errores”, señala Javier López, CISO de una entidad financiera. Los analistas SOC valoran positivamente la integración con MITRE ATT&CK y la facilidad de ingestión de múltiples fuentes, aunque insisten en la necesidad de mantener actualizados los feeds de inteligencia y los IoC.

#### Implicaciones para Empresas y Usuarios

La adopción de KUMA 4.2 permitirá a las empresas anticipar y mitigar ataques dirigidos a cuentas privilegiadas, cumpliendo con los requisitos de monitorización continua exigidos por NIS2 y GDPR. Para los usuarios, se traduce en una mayor protección de sus identidades digitales y una reducción del riesgo de explotación de credenciales. No obstante, la implantación debe ir acompañada de políticas de formación y concienciación frente a amenazas emergentes como el phishing automatizado y el uso de deepfakes para el robo de identidad.

#### Conclusiones

La versión 4.2 de Kaspersky Unified Monitoring and Analysis Platform representa un avance significativo en la detección proactiva de cuentas comprometidas, gracias a su enfoque basado en IA, correlación avanzada y compatibilidad ampliada. Su despliegue adecuado fortalece la resiliencia de las organizaciones frente a amenazas complejas, aunque requiere de una gestión activa y una combinación equilibrada de tecnología y experiencia humana.

(Fuente: www.kaspersky.com)