La realidad actual de la mayoría de los centros de operaciones de seguridad (SOC) es una batalla perdida contra el ruido constante, operando bajo una ideología puramente reactiva que resulta insostenible. Según el informe de Ponemon “Cost of Malware Containment” , los equipos de seguridad registran casi 17,000 alertas a la semana, una cifra que desborda cualquier capacidad de respuesta. Esta saturación provoca que el 52% de las alertas nunca se investiguen y, lo que es más frustrante, de aquellas que sí se logran procesar, solo el 26% representan una amenaza real. Esta ineficiencia sistémica condena a las organizaciones a desperdiciar más de 21,000 horas al año persiguiendo falsos positivos, alimentando una fatiga de alertas que nubla el juicio y extiende peligrosamente el Time to NO, ese tiempo vital que se pierde antes de confirmar que algo no es un riesgo.
Esta postura reactiva es especialmente peligrosa porque ignora la evolución del adversario. Hoy en día, el atacante ya no es un simple hacker aislado frente a una computadora, sino que nos enfrentamos a Grupos Criminales Organizados (CGE). Estas son organizaciones ampliamente financiadas, con estructuras corporativas, departamentos de investigación y una disciplina profesional que les permite operar a gran escala. Ante este nivel de profesionalismo delictivo, limitarse a reaccionar a los incidentes es una estrategia destinada al fracaso; se vuelve indispensable implementar una metodología de inteligencia de amenazas que permita anticipar movimientos y filtrar el ruido informativo para centrarse en lo que realmente importa.
Uno de los mayores obstáculos para lograr esta eficiencia es la confianza ciega en el sistema CVSS. Aunque es un estándar de la industria, el CVSS es un parámetro meramente técnico y teórico que no refleja el riesgo real en un contexto específico. La estadística es contundente: solo 1 de cada 8 vulnerabilidades publicadas llega a ser explotada. Para gestionar el riesgo de forma inteligente, debemos observar el Diagrama de Venn del riesgo real, donde la atención debe centrarse únicamente en la intersección de tres círculos: todas las vulnerabilidades divulgadas, las vulnerabilidades que existen en el entorno específico de la organización y las vulnerabilidades que están siendo explotadas activamente. Si un fallo no está en esa intersección, es ruido que consume recursos innecesarios.
Finalmente, para que la seguridad sea entendida por la alta dirección, debe dejar de ser una métrica de colores en un tablero. El modelo FIRE es la herramienta clave en esta transición, ya que permite traducir las amenazas técnicas directamente en pérdidas financieras potenciales. Al hablar el lenguaje del dinero, la seguridad deja de ser un gasto y se convierte en gestión de riesgo empresarial. En este nuevo paradigma, los métodos estáticos como los cuestionarios a proveedores demuestran su inutilidad, pues son incapaces de capturar la naturaleza dinámica de las amenazas. La inteligencia de amenazas no es un lujo, es el motor que permite a las organizaciones dejar de perseguir fantasmas y empezar a proteger lo que realmente tiene un impacto financiero.
Referencia:
-Ladd, B., & Ahlberg, C. (2020). The intelligence handbook: A roadmap for building an intelligence-led security program (4th ed.). Recorded Future.