3.

Redes de datos

• ¿Qué es?: Es el sistema que permite que los computadores se conecten entre sí.
• ¿Para qué sirve?: Para compartir archivos, impresoras, internet, y recursos.
• ¿Cómo se usa?: Con cables, dispositivos de red, Wi-Fi, y configuraciones.
• ¿Dónde se usa?: En oficinas, casas, fábricas, universidades.
• ¿Cuándo se debe usar?: Cuando necesitas que varios equipos trabajen conectados.

4. Medios de comunicación de datos

• ¿Qué es?: Son los “caminos” por donde viaja la información.

• ¿Para qué sirve?: Para enviar datos de un lugar a otro.
• ¿Cómo se usa?: A través de cables (como fibra óptica) o inalámbricamente (WiFi).
• ¿Dónde se usa?: En cualquier red de datos.
• ¿Cuándo se debe usar?: Siempre que quieras conectar dispositivos y enviar datos.

12. Firewall, Switch, Access Point, Router

• ¿Qué son?
o Firewall: es como un portero que decide qué entra o sale de la red.
o Switch: conecta varios equipos en una red interna.
o Access Point (AP): da señal WiFi a los dispositivos.
o Router: conecta tu red a internet.
• ¿Para qué sirven?: Para controlar, distribuir y proteger el acceso a internet o la red
interna.
• ¿Cómo se usan?: Se instalan en redes y se configuran para trabajar juntos.
• ¿Dónde se colocan?: En oficinas, casas, edificios con red.
• ¿Cuándo se deben usar?: Cuando se necesita conexión organizada y protegida.

19. Datacenters

• ¿Qué es?: Son lugares físicos con muchos servidores donde se guardan datos o
servicios de muchas empresas.
• ¿Para qué sirve?: Para almacenar y mantener funcionando sistemas sin que tú
tengas los equipos.
• ¿Cómo se usa?: Se alquilan o contratan servicios en un datacenter.
• ¿Dónde están?: En muchas partes del mundo, operados por empresas
especializadas.
• ¿Cuándo se usa?: Cuando necesitas alta disponibilidad, seguridad y escalabilidad.
5. Servidor

• ¿Qué es?: Es un computador muy potente que entrega servicios a otros.

• ¿Para qué sirve?: Para guardar información, correr programas, enviar correos, etc.
• ¿Cómo se usa?: Se instala en un lugar seguro, se configura y se conecta a la red.
• ¿Dónde se usa?: En empresas, sitios web, plataformas digitales.
• ¿Cuándo se debe usar?: Cuando muchos usuarios necesitan acceder a la misma
información o sistema.

1. Seguridad de la información

• ¿Qué es?: Es todo lo que hacemos para proteger la información valiosa (clientes,
dinero, procesos).
• ¿Para qué sirve?: Para evitar que esa información caiga en manos equivocadas, se
pierda o se dañe.
• ¿Cómo se usa?: Con claves, copias de seguridad, accesos restringidos y programas
de protección.
• ¿Dónde se usa?: En empresas, bancos, hospitales, colegios, cualquier lugar con
datos importantes.
• ¿Cuándo se usa?: Siempre. Desde el momento en que se maneja información que
no debe ser pública.

6. Triada CIA

• ¿Qué es?: Tres principios para proteger la información:

o Confidencialidad: solo quien debe puede ver la info.
o Integridad: la info no se modifica sin permiso.
o Adisponibilidad: la info está cuando se necesita.
• ¿Para qué sirve?: Para garantizar que la información esté segura y disponible.
• ¿Cómo se usa?: Con controles de acceso, respaldos y protección contra cambios.
• ¿Dónde se usa?: En sistemas, bases de datos, archivos importantes.
• ¿Cuándo se debe usar?: Siempre que se maneje información crítica.

2. Ciberseguridad

• ¿Qué es?: Es la parte de la seguridad que protege todo lo que está conectado a
internet.
• ¿Para qué sirve?: Para evitar robos digitales, como hackeos o estafas.
• ¿Cómo se usa?: Con antivirus, firewalls, y educando al personal para que no caiga
en trampas.
• ¿Dónde se usa?: En computadores, redes, servidores y celulares.
• ¿Cuándo se debe usar?: Desde el momento en que se tiene conexión a internet.
15. Almacenamiento de contraseñas

• ¿Qué es?: Es guardar las claves de forma segura.

• ¿Para qué sirve?: Para no olvidarlas y protegerlas contra robos.
• ¿Cómo se usa?: Con aplicaciones tipo “llavero digital”, protegidas por una
contraseña maestra.
• ¿Dónde se usa?: En celulares, navegadores, o servicios como LastPass o
Bitwarden.
• ¿Cuándo se debe usar?: Siempre que se manejen varias claves.

16. Cifrado y tipos

• ¿Qué es?: Es convertir la información en algo ilegible para otros.

• ¿Para qué sirve?: Para que, aunque roben los datos, no puedan entenderlos.
• ¿Cómo se usa?:
o Simétrico: la misma clave sirve para cifrar y descifrar.
o Asimétrico: usa una clave pública para cifrar y una privada para descifrar.
• ¿Dónde se usa?: En correos, mensajería, archivos, sitios web (https).
• ¿Cuándo se debe usar?: Cuando se maneja información confidencial.

17. Backup (copia de seguridad) y tipos

• ¿Qué es?: Es guardar una copia de tus archivos por si se pierden o dañan.
• ¿Para qué sirve?: Para recuperar la información después de un error o ataque.
• ¿Cómo se usa?:
o Completo: copia todo.
o Incremental: copia solo los cambios desde el último backup.
o Diferencial: copia todo lo que ha cambiado desde el último backup
completo.
• ¿Dónde se guarda?: En discos externos, servidores, o la nube.
• ¿Cuándo se debe usar?: A diario, semanalmente o según la importancia de la
información.

18. Cloud (la nube) y tipos

• ¿Qué es?: Es usar internet para acceder a sistemas, archivos o servicios sin tener los
equipos físicos.
• ¿Para qué sirve?: Para trabajar desde cualquier lugar, ahorrar costos y crecer
fácilmente.
• ¿Cómo se usa?: Se contrata un proveedor (como Google, Amazon, Microsoft) y se
configura el acceso.
• Tipos:
 o Pública: compartida con otros (ej: Google Drive).
o Privada: solo para una empresa.
o Híbrida: mezcla de ambas.
• ¿Dónde se usa?: En empresas, colegios, oficinas, usuarios personales.
• ¿Cuándo se debe usar?: Cuando se necesita flexibilidad y accesibilidad sin invertir
en infraestructura.

10. SPAM

• ¿Qué es?: Correos o mensajes no deseados.

• ¿Para qué sirve saberlo?: Para no caer en trampas.
• ¿Cómo se identifica?: Suelen tener promociones exageradas o links sospechosos.
• ¿Dónde llega?: Al correo, redes sociales, mensajes de texto.
• ¿Cuándo tener cuidado?: Siempre que se reciba algo no solicitado.

11. Virus, troyano, malware, gusano, ransomware

• ¿Qué es?: Son tipos de programas dañinos (malware) que hacen daño a
computadores o roban información.
o Virus: se pega a programas y se activa cuando los usas.
o Troyano: se disfraza de algo útil, pero espía o daña.
o Gusano: se copia a sí mismo y se propaga por redes.
o Ransomware: secuestra los archivos y pide dinero para liberarlos.
• ¿Para qué sirve saber esto?: Para identificar y evitar infecciones.
• ¿Cómo se previene?: Usando antivirus, sin abrir archivos sospechosos y
capacitando al personal.
• ¿Dónde se presenta?: Correos, USBs, sitios web falsos.
• ¿Cuándo se debe actuar?: Apenas se detecta algo raro: lentitud, archivos
desaparecidos o mensajes extraños.

20. Modelo de responsabilidad compartida

• ¿Qué es?: Es dividir quién cuida qué entre tú y el proveedor de servicios en la nube.
• ¿Para qué sirve?: Para dejar claro que la seguridad es de ambos.
• ¿Cómo se usa?: El proveedor cuida la infraestructura, tú cuidas los usuarios, datos
y accesos.
• ¿Dónde aplica?: En servicios en la nube.
• ¿Cuándo se debe tener en cuenta?: Desde que se contrata un servicio de cloud.

21. Modelo Zero Trust

 • ¿Qué es?: Significa “no confiar en nadie” por defecto, ni siquiera dentro de la
empresa.
• ¿Para qué sirve?: Para evitar que un atacante con acceso interno dañe o robe
información.
• ¿Cómo se usa?: Pide autenticación constante, verifica cada acceso, y da permisos
mínimos.
• ¿Dónde se usa?: En redes empresariales modernas.
• ¿Cuándo se debe aplicar?: Cuando se quiere máxima seguridad, incluso contra
amenazas internas.

8. Vector de ataque

• ¿Qué es?: Es el camino que el atacante usa para entrar.

• ¿Para qué sirve saberlo?: Para bloquear esos caminos.
• ¿Cómo se usa?: Identificando por dónde pueden llegar ataques: correos, apps,
claves débiles.
• ¿Dónde se da?: En sistemas vulnerables o mal protegidos.
• ¿Cuándo se debe revisar?: Siempre, como parte de una buena seguridad.

9. Superficie de ataque

• ¿Qué es?: Es todo lo que el atacante puede intentar usar para entrar.
• ¿Para qué sirve entenderla?: Para reducirla y hacer más difícil un ataque.
• ¿Cómo se reduce?: Quitando accesos innecesarios, actualizando sistemas,
educando a usuarios.
• ¿Dónde se aplica?: En toda la empresa, no solo en computadores.
• ¿Cuándo se analiza?: Al diseñar, revisar o mejorar la seguridad.

7. Técnicas de ataque

• ¿Qué es?: Son las formas que usan los delincuentes para robar o dañar información.
• ¿Para qué sirve conocerlas?: Para protegerse mejor.
• ¿Cómo se hacen?: Pueden ser correos falsos, virus, engaños por teléfono, etc.
• ¿Dónde ocurren?: En internet, correos electrónicos, redes sociales, sitios web.
• ¿Cuándo se presentan?: En cualquier momento, muchas veces sin que la víctima
se dé cuenta.

22. Tipos de ataque comunes

• ¿Qué son?: Las formas más usuales en que atacan a personas o empresas.
 • Ejemplos:
o Phishing: correos falsos que engañan.
o Ransomware: secuestro de información.
o DDoS: saturar un sistema para que deje de funcionar.
o Ingeniería social: engañar personas para obtener datos.
• ¿Para qué sirve conocerlos?: Para evitarlos o reaccionar a tiempo.
• ¿Cómo se identifican?: Con capacitación, monitoreo, y alertas.
• ¿Dónde ocurren?: En correos, redes, llamadas, sitios web falsos.
• ¿Cuándo pueden pasar?: En cualquier momento, incluso en días festivos o en la
noche.

13. SIEM (Security Information and Event Management)

• ¿Qué es?: Es un sistema que revisa todo lo que pasa en la red, buscando actividades
sospechosas.
• ¿Para qué sirve?: Para detectar ataques o errores antes de que causen daño.
• ¿Cómo se usa?: Se conecta a todos los sistemas y analiza los eventos en tiempo
real.
• ¿Dónde se usa?: En empresas medianas y grandes, con mucha información que
proteger.
• ¿Cuándo se necesita?: Cuando se quiere monitoreo constante y profesional de la
seguridad.

14. SOAR (Security Orchestration, Automation and Response)

• ¿Qué es?: Es como un “robot de seguridad” que actúa automáticamente cuando

detecta un problema.
• ¿Para qué sirve?: Para responder rápido y sin intervención humana.
• ¿Cómo se usa?: Se conecta con SIEM y otros sistemas, y ejecuta acciones como
bloquear usuarios o cerrar accesos.
• ¿Dónde se usa?: En centros de seguridad avanzados.
• ¿Cuándo se debe usar?: Cuando se necesita respuesta inmediata ante amenazas.
Nexsys

co901607169

N.Eduardo2025*+

[Link]@[Link]
cómo funciona un siem en detalle? para que lo uso, como lo uso, cuando lo uso,
como lo integro con otras herramientas, que debo tener en cuenta para desplegarlo
en un entorno empresarial?

Un SIEM (Security Information and Event Management) es una solución que

centraliza, correlaciona y analiza eventos y datos de seguridad provenientes de
múltiples fuentes en una red empresarial. Vamos a desglosar en detalle cómo
funciona, para qué sirve, cómo se usa, cómo se integra y qué considerar al
desplegarlo.

¿Qué es y cómo funciona un SIEM?

Un SIEM funciona como un centro de monitoreo y análisis de seguridad. Recolecta

logs, eventos y alertas de diferentes fuentes de TI (firewalls, servidores, aplicaciones,
endpoints, etc.), los almacena, normaliza y correlaciona para detectar
comportamientos anómalos, amenazas o ataques.

Principales funciones:
1. Recolección de logs/eventos: captura información de sistemas, redes,
aplicaciones y dispositivos.

2. Normalización: convierte los logs de múltiples fuentes a un formato común

para facilitar el análisis.

3. Correlación de eventos: aplica reglas para identificar patrones sospechosos

o ataques basados en eventos relacionados.

4. Alertas y notificaciones: genera alertas automáticas cuando detecta

anomalías o comportamientos que coinciden con indicadores de compromiso
(IoCs).

5. Visualización: ofrece dashboards para supervisión en tiempo real.

6. Análisis forense e investigación: permite buscar y analizar eventos pasados.

7. Cumplimiento normativo: ayuda a cumplir regulaciones (GDPR, ISO 27001,

PCI-DSS, etc.) con reportes automáticos.

¿Para qué se usa un SIEM?

• Detección temprana de amenazas.

• Respuestas rápidas a incidentes.

• Visibilidad centralizada del entorno TI.

• Auditoría y cumplimiento regulatorio.

• Análisis forense post-incidente.

• Automatización de alertas y respuesta.

¿Cómo se usa un SIEM en la práctica?

1. Conexión de fuentes de datos: defines qué sistemas enviarán logs (ej: Active
Directory, firewalls, EDR).

2. Definición de reglas de correlación: creas o usas reglas predefinidas para

detectar actividades maliciosas.

3. Monitoreo y alertado: el equipo de seguridad revisa dashboards y responde a

alertas críticas.
 4. Análisis de logs: para investigar incidentes y verificar el cumplimiento.

5. Respuesta automatizada (opcional): algunos SIEM se integran con SOARs

para respuestas automáticas (bloqueo de IP, aislamiento de equipos).

¿Cómo se integra un SIEM con otras herramientas?

Fuentes de logs típicas:

• Firewalls (Palo Alto, Cisco ASA)

• IDS/IPS

• EDR/antivirus

• Servidores Windows/Linux

• Active Directory

• Cloud (AWS CloudTrail, Azure logs)

• Aplicaciones empresariales (ERP, bases de datos)

Integraciones comunes:

• SOAR (Security Orchestration, Automation and Response): para

automatizar respuestas.

• Threat Intelligence Feeds: para enriquecer datos con IoCs actualizados.

• Herramientas de ticketing (Jira, ServiceNow): para gestión de incidentes.

• Sistemas de detección de comportamiento (UEBA): para análisis

avanzados.

¿Qué debo tener en cuenta para desplegar un SIEM en una empresa?

1. Definir los objetivos del SIEM:

• ¿Quieres detección temprana? ¿Cumplimiento? ¿Ambas?

2. Alcance del despliegue:

• ¿Qué activos y sistemas se van a monitorear?

• ¿Qué volumen de logs se generará diariamente?

3. Capacidad del SIEM:

• Almacenamiento y retención de logs (30-90 días en caliente, hasta 1 año o

más en frío).

• Escalabilidad según el crecimiento de la infraestructura.

4. Recursos humanos:

• Personal capacitado para configurar, mantener y responder a alertas.

• ¿Tienes un SOC interno o contratarás un MSSP?

5. Costo y licenciamiento:

• Algunos SIEM se licencian por volumen de datos diario (EPS – events per
second).

• Ejemplos: Splunk, IBM QRadar, ArcSight, LogRhythm, Graylog, Wazuh (open

source).

6. Cumplimiento normativo:

• Considera las políticas de retención, encriptación y protección de datos.

7. Fase de despliegue:

• Prueba piloto → despliegue parcial → tuning de reglas → despliegue completo.

Ejemplo de uso práctico

Un SIEM detecta una autenticación fallida repetida desde una IP extranjera seguida
de una autenticación exitosa fuera de horario laboral. Con reglas de correlación,
genera una alerta y el analista inicia una investigación. Si hay integración con un
SOAR, el sistema puede aislar automáticamente al usuario comprometido y crear
un ticket de incidente.

Recomendación de SIEMs según tu contexto

Tipo de empresa Recomendación

PyME / presupuesto limitado Wazuh, Elastic SIEM

Tipo de empresa Recomendación

Mediana empresa QRadar, LogPoint, Splunk Light

Gran empresa / compliance crítico Splunk Enterprise, ArcSight, IBM QRadar

Un SOAR (Security Orchestration, Automation, and Response) es una plataforma que

permite automatizar y orquestar la gestión de incidentes de seguridad, integrando
múltiples herramientas para responder a amenazas de manera rápida y eficiente.

A continuación, te explico cómo funciona un SOAR en detalle, para qué sirve, cómo
se usa, cómo se integra, y qué debes considerar para desplegarlo en un entorno
empresarial.

¿Qué es un SOAR y cómo funciona?

Significado:

• Security Orchestration: coordinación de múltiples sistemas y herramientas

de seguridad.

• Automation: ejecución automática de tareas repetitivas o procesos definidos.

 • Response: gestión y respuesta a incidentes en tiempo real o mediante flujos
automatizados.

Funcionamiento general:

1. Recepción de alertas desde múltiples fuentes (por ejemplo, desde un SIEM,

EDR, firewall, o IDS).

2. Ejecución de playbooks automatizados (guiones que definen cómo

responder a determinados incidentes).

3. Orquestación de acciones entre herramientas (bloquear IPs, aislar hosts,

notificar por email, abrir tickets, etc.).

4. Análisis y enriquecimiento de los incidentes usando feeds de threat

intelligence y otras fuentes.

5. Generación de reportes y auditoría del proceso de respuesta.

¿Para qué se usa un SOAR?

• Reducir el tiempo de respuesta ante incidentes.

• Eliminar tareas repetitivas manuales.

• Establecer procedimientos de respuesta consistentes.

• Orquestar diferentes tecnologías de ciberseguridad.

• Mejorar la eficiencia del SOC y reducir la fatiga de alertas.

• Asegurar cumplimiento normativo y trazabilidad.

¿Cómo se usa un SOAR?

1. Definición de playbooks (flujos de trabajo)

• Ejemplo: Si una alerta de SIEM indica un login sospechoso → verificar IP →

consultar reputación → aislar endpoint si es malicioso.

2. Integración con fuentes de alertas

• Conectarlo a SIEMs, EDRs, firewalls, antivirus, herramientas de ticketing, etc.

3. Automatización de tareas
 • Recolección de logs, búsqueda de IOC, envío de notificaciones, apertura de
tickets.

4. Colaboración entre analistas

• Permite trabajo en equipo sobre un incidente, con visibilidad compartida,

comentarios y evidencias.

5. Cierre y reporte

• Documenta acciones realizadas, resultados y lecciones aprendidas.

¿Cómo se integra un SOAR con otras herramientas?

Tipos de integración:

• Entradas: SIEMs (Splunk, QRadar, Wazuh), EDRs (CrowdStrike, SentinelOne),

NIDS/IPS.

• Salidas y acciones: ticketing (Jira, ServiceNow), notificaciones (Slack, Teams,

correo), herramientas de contención (firewalls, NAC, EDR).

• Threat intelligence: VirusTotal, AbuseIPDB, AlienVault OTX, MISP.

• APIs: la mayoría de SOAR modernos se integran a través de REST APIs.

¿Qué debes tener en cuenta para desplegar un SOAR en una empresa?

1. Definir objetivos claros

• ¿Quieres automatizar la respuesta, reducir tiempos, integrar procesos

manuales o todo a la vez?

2. Evaluar madurez del SOC

• El SOAR necesita una base sólida: SIEM configurado, inventario de activos,

procesos definidos, analistas capacitados.

3. Documentar y estandarizar procesos existentes

• Necesitas flujos documentados para transformarlos en playbooks (por

ejemplo: qué hacer ante un ransomware o phishing).

4. Elegir la plataforma adecuada

• Ejemplos de SOAR populares:

o Cortex XSOAR (Palo Alto)

o Splunk SOAR

o IBM Resilient

o DFLabs IncMan

o TheHive + Cortex (open source)

• Evalúa según facilidad de integración, costo, comunidad, soporte, y facilidad

de scripting.

5. Definir casos de uso prioritarios

• Algunos comunes:

o Phishing sospechoso

o Escaneo de puertos o brute force

o Alertas del EDR

o Accesos no autorizados o desde geolocalizaciones inusuales

6. Prueba y ajuste de playbooks

• Haz pruebas controladas (sandbox) antes de permitir que un playbook ejecute

acciones destructivas (como aislar un equipo).

7. Capacitación del equipo

• Los analistas deben entender cómo funcionan los flujos y cómo

personalizarlos.

• Algunos playbooks requieren conocimiento de scripting (Python, Bash).

8. Métricas y evaluación continua

• Tiempo medio de respuesta (MTTR)

• Alertas procesadas automáticamente

• Incidentes contenidos por automatización

Diferencias clave entre SIEM y SOAR

Característica SIEM SOAR

Enfoque Recolección y análisis de logs Orquestación y automatización

Entrada Eventos/logs Alertas y eventos procesables

Acción Correlación y alerta Automatización de respuesta

Usuario principal Analista nivel 1 y 2 Analista nivel 2, 3 y equipo de IR

Requiere playbooks No Sí

Ejemplo de playbook simple (detección de phishing)

1. Alerta de SIEM por correo sospechoso.

2. SOAR recibe alerta → extrae URLs/IPs.

3. Consulta IP/URL en VirusTotal y AbuseIPDB.

4. Si se confirma que es malicioso:

o Bloquea dominio en proxy/firewall.

o Aísla endpoint si el usuario hizo clic.

o Abre ticket en Jira.

o Notifica al equipo de TI.

5. Cierra el incidente con documentación automática.

¿Te gustaría que te arme un checklist de despliegue de SOAR, como el que hicimos
con el SIEM? También puedo ayudarte con ejemplos de playbooks específicos para tu
entorno.