**Las Empresas Solo Detectan 1 de Cada 7 Ataques Simulados en sus SIEM, según el Picus Blue Report 2025**
—
### 1. Introducción
Los sistemas de Gestión de Información y Eventos de Seguridad (SIEM) se han consolidado como la piedra angular de la monitorización y detección de amenazas en entornos corporativos. Estos sistemas permiten a las organizaciones centralizar logs, correlacionar eventos y activar alertas en tiempo real para responder a incidentes de seguridad. Sin embargo, un reciente informe técnico, el Picus Blue Report 2025, ha puesto en entredicho la eficacia real de estas soluciones, revelando déficits significativos en la capacidad de detección ante ataques cada vez más sofisticados.
—
### 2. Contexto del Incidente o Vulnerabilidad
El Picus Blue Report 2025, elaborado tras analizar más de 160 millones de simulaciones de ataques en entornos corporativos a nivel global, arroja una conclusión alarmante: los SIEM actuales solo detectan aproximadamente el 14% de los ataques simulados, es decir, uno de cada siete intentos. Este estudio se ha realizado empleando técnicas, tácticas y procedimientos (TTP) alineados con el marco MITRE ATT&CK, replicando amenazas tanto conocidas como emergentes, con especial atención a ataques de ransomware, movimientos laterales y exfiltración de datos.
La investigación evidencia que, a pesar de las fuertes inversiones en tecnología SIEM y la proliferación de equipos SOC (Security Operations Center), existe una brecha notable entre la capacidad de registro de eventos y la detección efectiva de actividades maliciosas. Entre los factores identificados se encuentran la mala configuración de los sistemas, la falta de actualización de reglas de correlación y la carencia de integración con herramientas de Threat Intelligence.
—
### 3. Detalles Técnicos
El informe destaca que las simulaciones incluyeron ataques representativos de varias fases del ciclo de vida de la amenaza, como ejecución de malware, escalada de privilegios, persistencia y exfiltración de información. Se utilizaron exploits y frameworks ampliamente conocidos en el ámbito ofensivo, como Metasploit, Cobalt Strike y herramientas para la evasión de EDR y SIEM.
En cuanto a vectores de ataque, se analizaron:
– CVE-2023-23397 (Microsoft Outlook Privilege Escalation)
– CVE-2024-21413 (MS Exchange Zero-Day)
– Técnicas de spear phishing y abuso de macros en documentos Office
– Uso de Living-off-the-Land Binaries (LOLBins) para evadir la detección (por ejemplo, PowerShell, WMIC, Certutil)
– Simulación de ataques tipo ransomware con cifrado progresivo y lateral movement
El mapeo de los ataques siguió el framework MITRE ATT&CK, con especial incidencia en técnicas T1059 (Command and Scripting Interpreter), T1071 (Application Layer Protocol), T1027 (Obfuscated Files or Information) y T1041 (Exfiltration Over C2 Channel).
En cuanto a Indicadores de Compromiso (IoC), se emplearon hash de archivos maliciosos, direcciones IP de C2, dominios fraudulentos y patrones de comportamiento anómalo en logs de autenticación y acceso a recursos críticos.
—
### 4. Impacto y Riesgos
Las conclusiones del informe ponen de manifiesto que el 86% de las amenazas simuladas permanecen indetectadas por los SIEM, lo que representa una ventana de exposición crítica para las organizaciones. Este déficit de visibilidad aumenta el riesgo de brechas de datos, sabotaje interno y sanciones regulatorias bajo normativas como el RGPD (Reglamento General de Protección de Datos) o la directiva NIS2 de la UE.
El coste medio de una filtración de datos, según el último informe de IBM, supera los 4 millones de dólares, cifra que puede incrementarse sustancialmente en entornos sometidos a fuerte regulación o con operaciones críticas.
—
### 5. Medidas de Mitigación y Recomendaciones
El Picus Blue Report 2025 recomienda una serie de acciones para mejorar la efectividad de los sistemas SIEM:
– **Revisión y actualización periódica de reglas de correlación**, alineadas con los últimos TTP de MITRE ATT&CK.
– **Automatización del Threat Hunting** para identificar patrones anómalos y reducir el tiempo de detección.
– **Integración con fuentes de Threat Intelligence** actualizadas y contextualizadas.
– **Simulación continua de ataques** (BAS, Breach and Attack Simulation), utilizando plataformas que permitan validar la capacidad real de detección.
– **Formación certificada y continua del personal SOC**, con ejercicios prácticos y revisión de incidentes reales.
– **Optimización del pipeline de logs**, garantizando la ingestión y correlación efectiva de eventos críticos, minimizando los falsos positivos y negativos.
—
### 6. Opinión de Expertos
Especialistas en ciberseguridad, como Fernando Díaz, CISO del sector financiero, subrayan: “El SIEM no es una solución plug-and-play. Su eficacia depende de una configuración y mantenimiento rigurosos, así como de la colaboración continua entre equipos de seguridad y operaciones IT. Las empresas deben invertir en simulaciones de ataques realistas y en la actualización constante de la inteligencia de amenazas”.
Por su parte, analistas de SANS Institute advierten que la tendencia hacia SIEM gestionados (MSSP) no exime a las organizaciones de su responsabilidad en la supervisión de las capacidades de detección y respuesta.
—
### 7. Implicaciones para Empresas y Usuarios
El bajo índice de detección pone en jaque la confianza de los clientes y la resiliencia operativa. Las organizaciones deben prepararse para cumplir con los requisitos de notificación de incidentes de la directiva NIS2 y el RGPD, que exigen tiempos de respuesta ágiles y pruebas de diligencia debida en la protección de la información.
Para los equipos de seguridad, esto implica adoptar una mentalidad proactiva respecto a la validación de sus controles y priorizar la inversión en capacidades de Threat Detection & Response frente a meras soluciones de cumplimiento.
—
### 8. Conclusiones
El Picus Blue Report 2025 ofrece una llamada de atención urgente: los SIEM, pese a su papel central en la arquitectura de seguridad, presentan una eficacia limitada si no son configurados, validados y actualizados de manera continua. La automatización de simulaciones de ataque, la integración de inteligencia de amenazas y la formación avanzada de los equipos SOC son factores clave para cerrar la brecha de detección y proteger los activos críticos en un entorno de amenazas cada vez más dinámico.
(Fuente: feeds.feedburner.com)