**Divulgación de Ciberincidentes: ¿Por qué Compartir los “Casi Brechas” Puede Fortalecer la Ciberseguridad Empresarial?**

—

### 1. Introducción

En el sector de la ciberseguridad, la transparencia tras un incidente es una práctica cada vez más habitual, en parte impulsada por regulaciones como el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2. Sin embargo, la mayoría de las organizaciones sólo informan de las brechas consumadas, ignorando aquellas amenazas que, aunque detectadas y neutralizadas a tiempo, podrían haber tenido un impacto considerable. ¿Qué ocurriría si las empresas comenzasen a compartir detalles sobre estos “casi incidentes”? Analizamos el potencial valor de esta estrategia para la comunidad profesional y los retos que plantea.

—

### 2. Contexto del Incidente o Vulnerabilidad

Tradicionalmente, los informes públicos y las notificaciones formales se centran en incidentes confirmados: accesos no autorizados, exfiltración de datos o interrupciones de servicio significativas. Sin embargo, en el día a día de un SOC, se producen múltiples eventos de seguridad críticos que—gracias a la eficacia de los controles defensivos o la rápida intervención de los analistas—no llegan a materializarse como una brecha. Estas situaciones, conocidas como “close calls” o “near misses”, incluyen desde la detección de un exploit que no llegó a ejecutarse, hasta un movimiento lateral abortado o una campaña de spear phishing que no logró comprometer credenciales.

La falta de visibilidad sobre estos eventos limita la capacidad del sector para anticipar nuevas tácticas, técnicas y procedimientos (TTP) de los atacantes y reduce la efectividad colectiva de la defensa.

—

### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

En los “casi incidentes” se suelen identificar indicadores de compromiso (IoC) valiosos, como IPs maliciosas, hashes asociados a malware inédito o patrones de phishing avanzados. Por ejemplo, un intento fallido de explotación de la vulnerabilidad CVE-2023-34362 (MOVEit Transfer) puede ofrecer información crítica sobre la campaña y los artefactos utilizados, incluso si el exploit no tuvo éxito.

Los TTP observados en estas situaciones pueden mapearse en el framework MITRE ATT&CK, permitiendo detectar tendencias emergentes: uso de Cobalt Strike para beaconing, cargas maliciosas vía macros de Office, técnicas de living-off-the-land (LOLbins) o abuso de credenciales privilegiadas. Herramientas como Metasploit o frameworks personalizados pueden aparecer en logs y telemetría, revelando la sofisticación del atacante.

La correlación de estos “casi incidentes” entre distintas organizaciones facilita la identificación de campañas coordinadas, amenazas persistentes avanzadas (APT) o vulnerabilidades zero-day en explotación activa pero aún no divulgada públicamente.

—

### 4. Impacto y Riesgos

La divulgación de “near misses” ayuda a la comunidad a calibrar el grado real de exposición, identificar nuevas superficies de ataque y mejorar el threat intelligence compartido. Sin embargo, también existen riesgos: revelar estos detalles podría alertar a los atacantes sobre qué técnicas han sido detectadas y reforzar campañas dirigidas a organizaciones con controles menos maduros.

En cuanto al impacto económico, estudios recientes de ISACA y ENISA indican que los “casi incidentes” suponen hasta un 60% de los eventos investigados por equipos SOC, y su análisis contribuye a reducir en un 30% el tiempo medio de detección (MTTD) de ataques reales.

—

### 5. Medidas de Mitigación y Recomendaciones

Para gestionar eficazmente la divulgación de “close calls”, se recomienda:

– **Establecer protocolos internos de documentación** de incidentes frustrados, con detalles técnicos, IoC y análisis forense.
– **Compartir información anonimizada** a través de ISACs, CERTs o plataformas sectoriales como MISP, asegurando el cumplimiento de la GDPR y la confidencialidad contractual.
– **Actualizar las reglas de detección** (SIEM, EDR, IDS) y playbooks de respuesta basándose en los nuevos TTP observados.
– **Colaborar con organismos reguladores** para definir marcos de notificación voluntaria que aporten valor sin incrementar la carga legal.

—

### 6. Opinión de Expertos

Varios CISOs y responsables de threat intelligence consultados coinciden en que la práctica de compartir “near misses” resulta especialmente útil para sectores críticos (financiero, salud, energía), donde la anticipación de amenazas puede marcar la diferencia. Según Marta López, CISO de una multinacional del IBEX35, “la compartición de incidentes frustrados en foros sectoriales nos ha permitido ajustar nuestros controles proactivos y detectar campañas antes de que se materialicen”.

Por su parte, analistas de ENISA subrayan la importancia de “normalizar la notificación de estos eventos para fortalecer la ciberresiliencia europea, sobre todo en el contexto de NIS2”.

—

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, compartir información sobre “casi brechas” supone un paso más allá en la madurez de su programa de ciberseguridad y mejora su posición frente a auditorías, aseguradoras y reguladores. También puede ayudar a reducir la reputación de opacidad y a fomentar una cultura de seguridad colaborativa.

Desde la perspectiva de los usuarios, beneficiarse de un ecosistema empresarial más transparente y proactivo reduce la probabilidad de exposición a ataques masivos y mejora la protección de datos personales, clave para el cumplimiento de la GDPR y la confianza digital.

—

### 8. Conclusiones

La divulgación sistemática de “close calls” representa una evolución natural en la colaboración sectorial ante amenazas cada vez más sofisticadas. Adoptar esta práctica de forma estructurada y segura permitirá anticiparse a vectores de ataque emergentes, optimizar la respuesta y elevar el estándar de ciberseguridad empresarial. La clave: equilibrar el valor del threat intelligence compartido con la protección de la propia postura defensiva.

(Fuente: www.darkreading.com)