Puede abrirse correctamente, mostrarse sin errores, pasar una revisión visual y no levantar ninguna sospecha. A simple vista, puede parecer un archivo completamente normal. Sin embargo, en su interior puede estar ocultando información, código, credenciales, instrucciones o incluso fragmentos de un payload.

Eso es la esteganografía: la técnica de ocultar información dentro de otro contenido para que su existencia pase desapercibida.

A diferencia del cifrado, cuyo objetivo es proteger el contenido para que no pueda ser leído sin una clave, la esteganografía busca algo distinto: ocultar que ese contenido existe. En el cifrado, el mensaje es visible, aunque no se pueda entender. En la esteganografía, el objetivo es que nadie sospeche que hay un mensaje.

Esa diferencia es clave en ciberseguridad.

La esteganografía no es una técnica nueva. Sus orígenes se remontan a métodos históricos de comunicación encubierta, mucho antes de la era digital. Desde mensajes ocultos en objetos físicos hasta tintas invisibles o marcas aparentemente irrelevantes en documentos, la idea siempre ha sido la misma: esconder información dentro de algo que parezca inocente.

Con la llegada del mundo digital, esta técnica evolucionó. Los archivos dejaron de ser simples documentos visibles para convertirse en estructuras complejas con metadatos, cabeceras, bloques internos, zonas de datos, comentarios, miniaturas, capas, objetos embebidos y espacios que pueden ser manipulados. Una imagen, un PDF, un audio o un vídeo no son solo lo que vemos al abrirlos. Son contenedores.

Un enfoque defensivo adecuado debería preguntarse: ¿hay datos fuera de las zonas esperadas del archivo? ¿Existen metadatos anómalos? ¿Aparecen cadenas codificadas o estructuras poco comunes? ¿El contenido oculto decodifica a texto, script o binario? ¿Hay indicadores compatibles con ejecución, persistencia, exfiltración o comunicación con sistemas externos?

Estas preguntas son importantes porque la esteganografía no siempre busca explotar una vulnerabilidad de forma directa. Muchas veces busca algo más simple: pasar desapercibida.

Y eso la hace especialmente relevante hoy.

• Pablo Mendoza Peréz

La Esteganografía convierte lo cotidiano en un escondite silencioso.

Podemos ayudarte

La entrada Esteganografía: El arte de ocultar información se publicó primero en 4Elitech.

¿Qué es el purple teaming y por qué importa ahora?

El purple teaming es la colaboración estructurada entre los equipos ofensivos (red team) y defensivos (blue team) para validar de forma real y continua la capacidad de una organización para detectar, investigar y contener un ataque.

No es un pentest puntual orientado al cumplimiento normativo. No es una simulación genérica de técnicas MITRE. Es un ejercicio de validación de exposición real, adaptado al perfil de amenaza específico de tu organización, ejecutado en formato abierto y colaborativo.

El objetivo no es «ganar» el ejercicio. El objetivo es mejorar.

Imaginemos una empresa del sector financiero con un stack de seguridad robusto: EDR de última generación, SIEM centralizado, reglas de detección actualizadas y un equipo de analistas formado. Todo correcto sobre el papel.

Cuando se ejecuta un ejercicio ded purple team, los operadores ofensivos acceden al entorno y comienzan a moverse lateralmente utilizando credenciales legítimas con permisos excesivos. No explotan vulnerabilidades técnicas. Abusan de la arquitectura tal y como fue diseñada. El movimiento lateral pasa completamente desapercibido durante horas. Las reglas de detección existen, pero no están afinadas para ese comportamiento específico. La telemetría está incompleta en ciertos segmentos de red.

 

Red team vs. purple team: Dos herramientas, un objetivo

Es importante no confundir ambos enfoques. Son complementarios, no sustitutivos.

En un ejercicio de red team, el SOC no sabe que está siendo atacado. Los operadores intentan permanecer sin ser detectados el mayor tiempo posible. El objetivo es emular a un adversario real y observar cómo responde la organización bajo condiciones de incidente genuino. Mide si las defensas aguantan bajo presión.

En un ejercicio de purple team, la colaboración es explícita desde el principio. El objetivo no es la sorpresa, sino la mejora. Refina las defensas de forma estructurada.

Una secuencia habitual que recomendamos a nuestros clientes: comenzar con un red team para identificar rutas de brecha reales, y transitar después a un ejercicio de purple teaming para cerrar los gaps con el equipo defensivo. El resultado: capacidades de detección mejoradas, validadas y medibles.

En 4Elitech no entendemos la ciberseguridad como un coste o una obligación regulatoria. La entendemos como una ventaja competitiva. Las organizaciones que validan su resiliencia de forma continua son más rápidas en la respuesta, más eficientes en la inversión y más confiables para sus clientes y partners.

El purple teaming es una de las herramientas más poderosas para construir esa resiliencia. No porque lo digamos nosotros. Sino porque cada ejercicio produce mejoras medibles y verificables.

La entrada Purple Teaming: Cuando atacar y defender se convierten en la misma estrategia se publicó primero en 4Elitech.

A diferencia de otros ataques más evidentes, este tipo de amenazas, no buscan provocar fallos visibles ni explotar vulnerabilidades de forma directa. Su objetivo es integrarse de manera natural en el entorno del usuario, como ocultando código JavaScript malicioso dentro de las imágenes de los iconos de las extensiones. Esta técnica permite retrasar la activación del malware durante semanas o meses, eludiendo controles de seguridad tradicionales.

Durante ese tiempo, las extensiones podían operar con normalidad mientras realizaban tareas de espionaje de la actividad de estos navegadores, redirección de enlaces de compra y fraude publicitario invisible. El hecho de que algunas de ellas llevaran activas desde 2020 pone de manifiesto una realidad preocupante: muchas amenazas actuales no entran por la fuerza, sino que se instalan con el consentimiento del propio usuario y pasan desapercibidas durante largos periodos de tiempo.

No obstante, la protección efectiva no se limita a levantar barreras, sino a asumir que el riesgo existe y que la seguridad debe entenderse como un proceso continuo de supervisión y mejora. En este contexto, contar con capacidades de monitorización y detección centralizadas, como las que puede ofrecer el Centro de Operaciones de Seguridad (SOC) de 4Elitech, permite ganar gran visibilidad sobre lo que ocurre en los sistemas y reaccionar con rapidez ante comportamientos anómalos, así como el contar con soluciones avanzadas que permitan securizar granularmente hasta el mayor mínimo detalle.

La entrada ¿Y si el ataque ya estuviera dentro? se publicó primero en 4Elitech.

¿Por qué atacan a personas y no solo a servidores? Porque robar una credencial o una cookie cuesta menos esfuerzo y da acceso rápido. Los informes de inteligencia muestran que el compromiso de credenciales está presente en la mayoría de los patrones de brecha, y que el uso de credenciales robadas es uno de los vectores más recurrentes en los incidentes reales. En lenguaje directo: si tus empleados usan la misma contraseña en varios servicios o ceden un código por error, el atacante no necesita explotar vulnerabilidades complejas; compra la entrada y entra.

Las cifras económicas también hablan claro: el coste medio global de una brecha se mide en millones de euros, y las organizaciones que detectan y contienen tarde pagan muchísimo más por la respuesta, notificación y pérdida reputacional. Esa suma no es solo una multa: es negocio parado, clientes desconfiando y contratos que sostienen tu economía, en riesgo.

Además, el modelo “comprar acceso por 10 €” simplifica la vida de los atacantes: cualquiera con poco presupuesto puede financiar un ataque peligroso. El riesgo ya no es solo “si nos atacan”, sino “cuántos accesos nuestros están circulando ahora mismo en estos foros y canales”.

La entrada De la detección a la anticipación: se publicó primero en 4Elitech.

Muchos directivos creen que, al invertir en herramientas tecnológicas, su organización está protegida. Pero ningún firewall puede detener a un empleado que comparta su contraseña por teléfono. Ningún antivirus puede evitar que alguien envíe información confidencial a un atacante porque creyó que era su jefe.

La seguridad no es solo cuestión de infraestructura, es una cuestión de cultura.
Sin una cultura de ciberseguridad activa, todo lo demás es simplemente una ilusión de control.

La entrada Tu mayor riesgo: un clic se publicó primero en 4Elitech.

Las inversiones en ciberseguridad no paran de crecer. Según un informe de Gartner, el gasto global en seguridad de la información superará los 200.000 millones de euros en 2025, un aumento superior al 15 % respecto a 2024. Sin embargo, paralelamente el coste del cibercrimen sigue aumentando. Ya solo en 2024, el FBI reportó pérdidas récord de 16.600 millones de dólares y la aparición de más de 60 nuevas variantes de ransomware.

Mientras los equipos de seguridad adoptan nuevas estrategias, los atacantes también evolucionan. El fortalecimiento de los endpoints ha empujado a los ciberdelincuentes a centrarse en el perímetro: firewalls, VPNs, y sobre todo, infraestructuras en la nube. 

El ransomware sigue siendo un reto en 2025. Pero no es invencible. Los atacantes no ganan por ser más inteligentes: ganan porque cometemos errores.

Desde el SOC de 4Elitech ayudamos a las compañías a recuperar el control mediante la monitorización continua, la detección temprana, y una respuesta eficaz. Actuamos bajo la premisa de: Respuesta máxima; Impacto mínimo. No se trata de hacer cosas extraordinarias, sino de comenzar haciendo bien lo esencial, y no dar más ventajas al adversario.

 

La entrada Ransomware en 2025: ¿Por qué sigue siendo una amenaza? se publicó primero en 4Elitech.

La entrada Nace 4Elitech se publicó primero en 4Elitech.

Cada vez son más las organizaciones que van tomando conciencia de la importancia de formar a sus empleados en materia de ciberseguridad con el fin de que puedan identificar los riesgos y las amenazas a los que están sometidos los sistemas de información.

Como bien es sabido, una de las principales amenazas a las que tienen que hacer frente los usuarios es el Phising. Este tipo de ciberataque utiliza técnicas de ingeniería social para ganarse la confianza de los usuarios y obtener información valiosa (credenciales, número de tarjetas de crédito, etc…).

Los actores maliciosos, en vista de que han ido perdiendo eficacia en sus acciones, han comenzado a desarrollar nuevos métodos para sortear las medidas adoptadas por las organizaciones.

En el SOC de Global Technology estamos observando cómo los ciberatacantes han comenzado a combinar vectores de ataque muy eficaces para lograr sus objetivos.

Así, por un lado, están aprovechando la debilidad de la cadena suministro. Es habitual que las organizaciones se sirvan de proveedores y de empresas colaboradoras de diferente índole para desarrollar su actividad. Éstas pueden ser grandes empresas o pequeños suministradores locales. En el caso de los segundos, las medidas de ciberseguridad que implementan no son siempre lo suficientemente efectivas. En el SOC estamos detectando como los actores maliciosos se están aprovechando de esta circunstancia para comprometer las credenciales de acceso de los empleados de las empresas suministradoras a determinados servicios, como el correo electrónico.

Una vez tomado el control de una cuenta de correo legítima, es cuando los ciberatacantes ponen en juego otro vector de ataque, el Phising. Una vez que tienen acceso al buzón de correo del empleado pueden revisar sus contactos e identificar posibles objetivos a los que remitir correos que no levanten sospechas y que puedan contener un formulario para recabar ciertos datos o un enlace a un contenido malicioso.

Un ejemplo real es el caso de un empleado de una empresa de suministros industriales con funciones comerciales que ha visto comprometida su cuenta de correo. El actor malicioso accede a su cuenta de correo e identifica las empresas y contactos con los que intercambia información de manera habitual. Con esta información, el ciberatacante compone un correo electrónico con un asunto y contenido nada sospechoso (una factura o un albarán) que incluye el enlace a un fichero de O365.

Cuando el destinatario recibe el correo, verá cómo al intentar acceder al enlace se le mostrará una página de login de O365, que en apariencia es real. Sin embargo, en la barra de navegación figurará una URL que no se corresponde con la oficial de la aplicación. Se trata de una página suplantada con la que los actores maliciosos obtendrán las credenciales del usuario una vez introducidas. 

A partir de ese momento, los ciberatacantes podrán tomar el control de la cuenta de O365 y desencadenar otro tipo de acciones. 

Estes caso de la suplantación ilustra claramente cómo un ataque bien dirigido puede explotar la confianza y la rutina de los empleados para comprometer la seguridad de toda la organización. 

Este tipo de amenaza pone de manifiesto la importancia de que los empleados sean capaces de reconocer señales sutiles de un posible ataque, como URLs sospechosas o formularios inesperados.

Es evidente que la formación en ciberseguridad debe ser un proceso continuo y no un evento aislado. A medida que los ciberatacantes desarrollan técnicas más sofisticadas, es imperativo que las organizaciones no solo capaciten a sus empleados de forma regular, sino que también actualicen constantemente sus programas de formación para reflejar las amenazas emergentes. 

Además de la formación, es crucial que las organizaciones implementen una estrategia integral de ciberseguridad que incluya la monitorización constante de los sistemas, la actualización de las medidas de protección y la simulación de ataques como pruebas de phising controladas. Estas simulaciones permiten identificar puntos débiles en la cadena de protección y reforzar las áreas vulnerables.

Finalmente, es vital que las empresas fomenten una cultura de ciberseguridad en la que los empleados se sientan capacitados para reportar cualquier actividad sospechosa sin temor a represalias. La comunicación abierta y el compromiso con la ciberseguridad deben ser pilares en la estrategia de cualquier organización que aspire a proteger sus activos digitales en un entorno cada vez más hostil.

La batalla contra las amenazas cibernéticas es un esfuerzo constante que requiere tanto la concienciación continua de los empleados como la adaptación rápida a las nuevas tácticas empleadas por los actores maliciosos. Solo mediante una estrategia de ciberseguridad proactiva y evolutiva podrán las organizaciones mantenerse un paso adelante y minimizar el riesgo de sufrir ataques.

La entrada Phising a través de la cadena de suministro se publicó primero en 4Elitech.

El lanzamiento de los primeros sistemas operativos de Microsoft con una interfaz gráfica amigable en la década de los 90, precursores de los que utilizamos actualmente, facilitó la tarea de creación, acceso y difusión de información.

En los puestos de trabajo de los usuarios se sustituyeron los terminales por PCs que, entre otros dispositivos, disponían de una disquetera. Éste fue, quizás, uno de los primeros medios tecnológicos a través de los cuales se propiciaba la fuga de información. Los menos jóvenes recordarán cómo en algunas empresas se daba la orden de desconectar esos dispositivos para evitar que los usuarios grabasen información en disquetes y se la pudieran llevar fuera de la compañía con fines no autorizados.

Posteriormente, la irrupción del correo electrónico, la transformación digital y el viaje a la nube han ido multiplicando las facilidades para compartir información y, como consecuencia, la posibilidad de abrir puertas a filtraciones no controladas.

Qué es una filtración de datos

Suele ser habitual considerar siempre la filtración de datos como un ciberataque. Sin embargo, esto no siempre tiene que ser así. Como en el caso citado, la filtración puede tener su origen en un comportamiento indebido o, incluso, accidental de un empleado.

De forma general, se considera una filtración de datos cualquier incidente de seguridad en el que terceros no autorizados obtienen acceso a datos o a información de una organización. La gravedad del incidente no dependerá tanto del volumen de información sustraída en la filtración sino por el tipo de información. Así, la filtración de datos de carácter personal con un nivel de protección alto (por ejemplo, informes médicos) podrá acarrear severas consecuencias para la organización.

Cuando nos referimos a la filtración de datos estamos pensando en una sustracción que se realiza utilizando software malicioso y técnicas propias del ámbito tecnológico (ransomware, phishing, etc.) Sin embargo, una filtración de información también se puede acometer por métodos tradicionales: robo de documentos en papel, sustracción de dispositivos USB, robo de ordenadores portátiles, etc.

Tipos y motivaciones de filtración de datos

Desde el punto de vista de las causas que pueden provocar una filtración se pueden distinguir dos tipos:

• Accidental: el trabajo diario de los empleados está sujeto a numerosas vicisitudes. Así, con relativa frecuencia se realizan envíos de correos electrónicos a destinatarios equivocados o se comparte información en un repositorio incorrecto. Estas situaciones que parecen inocentes, sin embargo, dependiendo del tipo de información compartida, puede derivar en sanciones o en situaciones incómodas para la compañía.
• Maliciosa: se trata de filtraciones provocadas de forma intencionada con fines diversos. Los actores que las ejecutan pueden ser empleados internos, conocidos como “insiders”, o terceros ajenos a la compañía (ciberdelincuentes).

Los empleados internos que provocan una filtración suelen estar alentados por dos tipos de motivaciones a la hora de ejecutar estas acciones. La más habitual es la del descontento con la empresa, el afán de venganza ante una situación que consideran injusta. Por otro lado, están aquellos que buscan un beneficio económico con su acción, que habitualmente se traduce en la entrega de información a la competencia.

Por su parte, en las filtraciones de datos en las que intervienen ciberdelincuentes, generalmente, es la búsqueda de ingresos económicos el móvil que de manera recurrente está detrás de la ejecución de estas acciones, si bien hay otras claves no menos importantes.  Así, dependiendo de los sectores productivos, se deben tener en cuenta estas otras:

• Espionaje industrial: aquí se incluye el robo de documentos relativos a patentes, diseños de productos o planes de desarrollos futuros e investigaciones realizadas por laboratorios y universidades.
• Acciones promovidas por estados: los objetivos que persiguen los grupos sostenidos por estados van desde el causar afecciones al funcionamiento de las organizaciones hasta dañar la imagen y la reputación de éstas.

Principales amenazas

Una vez determinadas las causas y las motivaciones, es necesario conocer que amenazas son las que, si se materializan, desencadena la filtración de información. Aquí nos fijaremos en las tres amenazas que con mayor frecuencia son identificadas por nuestro Centro de Operaciones de Seguridad:

• Ransomware: mediante este tipo de malware, los actores maliciosos cifran toda o parte de los datos de la empresa víctima del ataque. Para evitar vender o exponer la información en Internet y, por tanto, que se filtre la información, solicitan un rescate.
• Malware de tipo stealer: se trata de software malicioso desarrollado para ejecutarse en los equipos de los usuarios y robar información confidencial de todo tipo: números de tarjetas de crédito, credenciales de acceso, documentos, etc.…). Los actores maliciosos se sirven de la ingeniería social, fundamentalmente de campañas de phishing, para lograr sus objetivos.
• Robo de credenciales: conseguir credenciales que faciliten el acceso a los servicios de las compañías es uno de los principales objetivos de los ciberdelincuentes. Una vez logrado, les resulta muy fácil acceder a información y sacarla fuera de la organización.

Coste de las filtraciones

Una amenaza de filtración de datos provocada por la ejecución de un ransomware tiene unas evidentes consecuencias económicas. Dado que puede llegar a provocar la interrupción de las operaciones de la empresa.

Más allá de esto, el perjuicio económico se puede ver incrementado a raíz de las sanciones en las que se hayan podido incurrir al incumplir determinada normativa de protección de datos.

A esta circunstancia, se añadirá el consiguiente daño reputacional y de confianza que deberá soportar la empresa, lo cual también se traduce en un perjuicio económico.

A todo ello hay que sumar el impacto legal que puede tener la filtración si con ella se pueden ver afectadas las relaciones con terceros, fundamentalmente con clientes y proveedores.

Protección de los datos

En otras ocasiones hemos hablado de las medidas de seguridad que se pueden implementar a diferentes niveles para proteger de manera adecuada los sistemas de información. En general, se trata de tecnología de detección de amenazas, de control de acceso, de gestión de identidades. También de acciones de concienciación para que los usuarios sean capaces de detectar determinadas acciones basadas en ingeniería social.

Sin embargo, existen otras herramientas diseñadas específicamente para facilitar la protección del dato. Las funcionalidades que ofrece estas soluciones permiten conocer todo el ciclo de vida del dato. Esto se consigue a través de estas acciones:

• Auditar: para proteger nuestros datos primero deber saber qué datos tenemos y dónde están.
• Clasificar: no todos los datos tienen la misma criticidad ni deber ser accedidos por los mismos usuarios.
• Trazar: rastrear la creación, los cambios y los accesos dejando registro de todo ello.
• Visibilizar: monitorizar la actividad que afecta a los datos, permitiendo gestionar los permisos de acceso.

La protección de los datos frente a la amenaza de una filtración requiere de una dedicación continua. Esta tarea es posible abordarla confiando en tecnología avanzada desarrollada para este fin. El SOC de Global Technology cuenta con la última tecnología en protección del dato y con un equipo expertos que le ayudarán a implementarla y a gestionarla.

La entrada ¿Cómo las filtraciones de datos pueden afectar a tu negocio? se publicó primero en 4Elitech.

Sin embargo, la incorporación de la tecnología y, muy especialmente, la utilización de Internet, han obligado a las organizaciones a hacer frente a nuevos desafíos. Las organizaciones están dedicando numerosos esfuerzos para salvaguardar los sistemas de información de las amenazas cibernéticas.

Las entidades públicas y privadas se están viendo obligadas a adoptar un conjunto de medidas de seguridad para proteger la información sensible, con el fin de garantizar su disponibilidad, integridad y confidencialidad. Esta es una labor de enorme transcendencia como se desprende del hecho de que son muchos los sectores en los que son de aplicación normas que exigen el cumplimiento de determinados controles de seguridad informática.

Reglamento Europeo de protección de datos.

Uno de los aspectos fundamentales que tienen que observar las organizaciones es el tratamiento de los datos personales que puedan almacenar. Para regular este proceso se ha desarrollado en Europa el Reglamento Europeo de Protección de Datos (GDPR, en sus siglas en inglés), convirtiéndose en norma de referencia y de obligado cumplimiento para todas las organizaciones. El GDPR establece que se deben implementar controles de seguridad adecuados para proteger los datos personales contra posibles violaciones o brechas de seguridad. El GDPR exige, igualmente, que las organizaciones implementen medidas técnicas y organizativas apropiadas para este fin.

ISO/IEC 27001.

La ISO/IEC 27001 es un estándar internacional emitido por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) que establece los requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI). Este estándar proporciona un marco para gestionar de manera efectiva y sistemática la seguridad de la información, con el objetivo de proteger la confidencialidad, integridad y disponibilidad de la información.

La /IEC 27001 es ampliamente reconocida y utilizada por organizaciones de todo tipo y tamaño en todo el mundo, y su implementación puede ser certificada por organismos de certificación acreditados.

Esquema nacional de seguridad.

En España, se ha desarrollado el Esquema Nacional de Seguridad (ENS) como marco regulatorio para garantizar la protección de la información y los servicios electrónicos en el sector público.

De manera muy similar a lo establecido por la ISO-27001, entre los objetivos del ENS están el asegurar que la información manejada y los servicios prestados por las administraciones públicas estén adecuadamente protegidos. Para ello, en la norma se definen un conjunto común de medidas de seguridad que deben implementarse en todas las administraciones públicas. Todo ello encaminado a promover la evaluación y mejora continua de la seguridad de la información.

 Otras normas sectoriales.

Junto con estas normas de ámbito generalista, existen otras que son de aplicación en sectores concretos que dada su relevancia económica y social requieren de un control exhaustivo de los procesos que implementan. Estos son algunos ejemplos:

• PCI-DSS (Payment Card Industry Data Security Standard): esta norma fija un conjunto de estándares de seguridad definidos para proteger la información de las tarjetas de pago y prevenir el fraude asociado con su uso. Esto se traduce en un grupo de requisitos que las organizaciones deben implementar para asegurar el adecuado tratamiento de la información.
• HIPAA (Health Insurance Portability and Accountability Act): es una ley federal de los Estados Unidos, que establece estándares para proteger la información médica y de salud personal. La HIPAA se diseñó para asegurar la portabilidad y continuidad de la cobertura del seguro de salud, así como para reducir el fraude y el abuso en el sector de la salud. También incluye disposiciones para la protección de la privacidad y la seguridad de la información de salud.
• TISAX (Trusted Information Security Assessment Exchange): es una norma de seguridad de la información específica para la industria de la automoción. Fue desarrollada por la Asociación Alemana de la Industria Automotriz. Su objetivo principal es proporcionar un estándar común de seguridad de la información para todos los que participan en la cadena de suministro de la industria de este sector.

Como se puede observar, todas estas normas tienen como nexo común la protección de la seguridad de la información a través del establecimiento de mecanismos adecuados. La correcta implementación se verifica en las auditorías periódicas a las que están sometidas las organizaciones sujetas a este cumplimiento normativo.

Durante el desarrollo de las auditorías es habitual que los auditores soliciten evidencias que demuestren la correcta implementación de estos mecanismos de seguridad como, por ejemplo: la política de cambio de contraseñas, la gestión de usuarios, la gestión del acceso a los servicios, la actividad registrada en el firewall, los registros de la herramienta antimalware, la retención de los eventos de seguridad, la detección de ciberataques, etc.

Contribución clave del CyberSOC.

establecer numerosos mecanismos de seguridad. Esta circunstancia desencadena nuevos Para alcanzar el grado de cumplimiento exigido en las distintas normas, las organizaciones deben procesos que deben atender las organizaciones como, por ejemplo, la revisión de los eventos de seguridad que registran las herramientas de seguridad. La realización de esta tarea de manera independiente resulta prácticamente imposible de abordar de manera continuada.

Suplir esta carencia ha sido posible gracias al desarrollo de los Centros de Operaciones de Cibereguridad, más conocidos a través de sus siglas en inglés como CYBERSOC o SOC. Éstos contribuyen de manera esencial al cumplimiento normativo a través de las tareas que tiene encomendadas:

• Monitorización continua y registro de eventos de seguridad: el SOC se apoya en el SIEM (Sistema de Gestión de Información y Eventos de Seguridad) para monitorizar de forma continua la actividad que se genera alrededor de los activos de los sistemas de información. El SIEM centraliza los eventos de seguridad de las diferentes fuentes de eventos y, tras su tratamiento, puede generar alertas de seguridad. El SIEM, además, cumple con la función de almacenar y retener estos eventos durante el tiempo exigido por los estándares normativos. De esta manera, se asegura que los datos relevantes están disponibles para auditorías y revisiones.
• Detección y Respuesta a Incidentes: la normas que rigen en materia de ciberseguridad exigen a las organizaciones que tengan capacidad para detectar y responder a incidentes. Los equipos que integran un CYBERSOC proporcionan estas capacidades mediante el uso de tecnologías avanzadas, como el SIEM, y un conjunto de procesos definidos para identificar y responder rápidamente a incidentes de seguridad.
• Gestión de vulnerabilidades: ciertas normativas, como la PCI-DSS, hacen especial hincapié en la gestión de vulnerabilidades. Así, esta norma exige que se realicen análisis periódicos de vulnerabilidades y pruebas de intrusión. El SOC participa activamente en estos procesos, realizando los análisis de vulnerabilidades, identificando y priorizando aquellas que deban ser mitigadas a través de los planes de remediación. Así mismo, supervisa la correcta aplicación de los parches de seguridad.

Si bien éstas son las tareas con las que de forma más evidente un SOC contribuye al cumplimiento normativo de las organizaciones, no hay que dejar de lado otras igualmente relevantes para alcanzar este objetivo.

Otras normativas relevantes en CYBERSOC.

• Inteligencia de Amenazas o Ciberinteligencia: el SOC recopila y analiza información de inteligencia sobre amenazas para anticipar y prevenir posibles ataques. Como resultado del tratamiento de la información registrada el CYBERSOC genera informes útiles para la toma de decisiones en el ámbito de la seguridad de los sistemas de información.
• Políticas y Procedimientos de Seguridad: el SOC es un colaborador cualificado en el proceso de desarrollo, implementación y mantenimiento de las políticas y procedimientos de seguridad. La visión global que posee del estado de la seguridad de los sistemas de información le permite aportar información de valor para que estos se adapten a las normativas aplicables.
• Concienciación de los usuarios: el SOC puede liderar la realización y seguimiento de programas de concienciación a los usuarios de la organización en materia de ciberseguridad, con el fin de que estos estén alineados con las exigencias normativas.

En resumen, un CYBERSOC es un actor con un papel protagonista para el aseguramiento del cumplimiento normativo y de las regulaciones aplicables en el sector, colaborando muy activamente con la organización para alcanzar el objetivo.

Global Technology dispone de un CYBERSOC formado por un equipo experto de analistas en ciberseguridad, que opera con herramientas que cumplen con los requisitos establecidos por las distintas normas de referencia. Los analistas del CYBERSOC tienen una amplia experiencia acompañando a las organizaciones en los procesos de auditoría, aportando las evidencias y registros solicitados por los auditores.

La entrada CYBERSOC PARA EL CUMPLIMIENTO NORMATIVO DE LAS EMPRESAS se publicó primero en 4Elitech.