Por qué tu SOC falla al detectar los verdaderos positivos
Descubrí por qué tu SOC no detecta amenazas reales: alert fatigue, reglas mal calibradas y cómo mejorar la detección de verdaderos positivos.
CIBERSEGURIDAD
7/13/20266 min read
Por qué tu SOC falla al detectar los verdaderos positivos
Tener un Security Operations Center no es garantía de seguridad. Muchas organizaciones invierten en tecnología, contratan analistas y despliegan herramientas avanzadas, pero siguen sufriendo brechas que sus propios equipos no detectaron a tiempo. El problema no siempre está en la falta de recursos, sino en algo más profundo: la incapacidad sistemática de distinguir una amenaza real de todo el ruido que la rodea. Entender por qué ocurre esto es el primer paso para construir un SOC que realmente proteja.
Qué es un verdadero positivo en el SOC y por qué importa
En el contexto de un SOC, un verdadero positivo es una alerta que corresponde a una actividad maliciosa o anómala real. Es decir, el sistema detectó algo, y ese algo efectivamente representa una amenaza. Frente a él se encuentran los falsos positivos, alertas que parecen amenazas pero no lo son, y los falsos negativos, que son quizás los más peligrosos: amenazas reales que el SOC no detectó en absoluto.
La tasa de verdaderos positivos define, en gran medida, la eficacia operativa del equipo. Un SOC con baja tasa de detección real está, en la práctica, operando a ciegas. Cada verdadero positivo no identificado es una ventana de oportunidad para el atacante, y cada minuto que pasa sin respuesta aumenta el impacto potencial del incidente. Por eso, mejorar esta métrica no es solo una cuestión técnica: es una prioridad estratégica.
Las causas raíz del fallo en la detección
Los fallos en la detección raramente tienen una sola causa. En la mayoría de los SOC, se trata de una combinación de factores técnicos y humanos que se refuerzan entre sí. Desde el punto de vista técnico, la falta de visibilidad sobre ciertos activos, la fragmentación de los datos de telemetría o la ausencia de integración entre herramientas crean puntos ciegos estructurales. Desde el punto de vista humano, la rotación de personal, la formación insuficiente y la presión operativa constante minan la capacidad analítica del equipo.
Otro factor crítico es la desconexión entre quienes diseñan las reglas de detección y quienes entienden el negocio. Cuando el SOC no conoce qué activos son críticos, qué usuarios tienen privilegios elevados o qué comportamientos son normales en cada entorno, sus detecciones son genéricas y poco precisas. La combinación de todos estos elementos crea un ecosistema donde las amenazas reales pasan desapercibidas.
El problema del alert fatigue y cómo distorsiona la detección
El alert fatigue, o fatiga de alertas, es uno de los fenómenos más documentados y dañinos en operaciones de seguridad. Cuando los analistas reciben cientos o miles de alertas al día, la mayoría de ellas irrelevantes, el cerebro humano comienza a normalizarlas. El resultado es que los verdaderos positivos quedan enterrados en el ruido, tratados con el mismo escepticismo que los falsos positivos más obvios.
Este problema se retroalimenta: cuanto más ruido genera el sistema, menos tiempo tienen los analistas para investigar en profundidad. Y cuanto menos investigan, más difícil es distinguir lo urgente de lo trivial. Reducir el volumen de alertas de baja calidad no significa ignorar amenazas, sino todo lo contrario: es una condición necesaria para que el equipo pueda concentrarse en lo que realmente importa.
Reglas de correlación mal calibradas: el enemigo silencioso
Las reglas de correlación son el corazón de cualquier SIEM. Pero cuando esas reglas son demasiado genéricas, están desactualizadas o no se han ajustado al entorno específico de la organización, generan exactamente el problema opuesto al que deberían resolver: más ruido, menos señal.
Una regla que dispara alerta ante cualquier intento de autenticación fallida, sin considerar el contexto del usuario o el horario habitual, inundará el panel con eventos irrelevantes. La recalibración de reglas debe ser un proceso continuo, no una tarea puntual. Implica revisar periódicamente las tasas de falsos positivos de cada regla, ajustar umbrales según el comportamiento real del entorno y eliminar sin miedo aquellas reglas que generan ruido sin aportar valor de detección real
Falta de contexto y enriquecimiento de datos en el análisis
Una alerta sin contexto es casi inútil. Saber que una IP externa intentó conectarse a un servidor no dice nada por sí solo. Saber que esa IP está asociada a un grupo APT conocido, que el servidor es crítico para el negocio y que el intento ocurrió fuera del horario habitual cambia completamente la ecuación.
El enriquecimiento de datos, integrando información sobre activos, identidades, geolocalización, reputación de IPs o comportamiento histórico del usuario, es lo que convierte una señal ambigua en un verdadero positivo accionable. Los SOC que no invierten en esta capa de contexto están condenados a tomar decisiones a ciegas, independientemente de la sofisticación de sus herramientas de detección.
Cobertura de MITRE ATT&CK: dónde quedan los puntos ciegos
El framework MITRE ATT&CK se ha convertido en el estándar de referencia para mapear tácticas, técnicas y procedimientos de los atacantes. Sin embargo, muchos SOC lo conocen pero no lo aplican de forma sistemática para evaluar su propia cobertura de detección.
Realizar un mapeo honesto entre las técnicas incluidas en ATT&CK y las capacidades de detección actuales del equipo revela, de forma inmediata, qué áreas están cubiertas y cuáles son puntos ciegos reales. Este ejercicio, conocido como ATT&CK Coverage Analysis, permite priorizar el desarrollo de nuevas reglas y capacidades de detección en función del riesgo real, no de la percepción subjetiva del equipo.
El rol de la inteligencia de amenazas en mejorar la detección
La threat intelligence actualizada y bien integrada en el flujo operativo del SOC es un multiplicador de eficacia. Cuando los analistas saben qué actores están activos, qué infraestructura utilizan y qué técnicas emplean, pueden priorizar alertas y validar verdaderos positivos con mucha mayor precisión.
El problema es que muchos equipos reciben inteligencia pero no la operativizan. Los feeds de IOCs se ingestan de forma pasiva sin conectarlos con las reglas de detección activas. Para que la inteligencia de amenazas tenga impacto real, debe integrarse directamente en el SIEM, en las reglas de correlación y en los playbooks de respuesta, cerrando el ciclo entre conocimiento del adversario y acción defensiva.
Métricas que revelan si tu SOC realmente detecta amenazas
Medir es imprescindible para mejorar. Los KPIs más relevantes para evaluar la calidad de la detección incluyen la tasa de verdaderos positivos sobre el total de alertas generadas, el Mean Time to Detect (MTTD) como indicador de velocidad, y el ratio signal-to-noise para entender qué proporción del trabajo del equipo es realmente útil.
Un SOC maduro también mide la cobertura de detección por táctica ATT&CK, el porcentaje de incidentes detectados de forma proactiva frente a los notificados externamente, y el tiempo medio de triaje por alerta. Estas métricas, revisadas con regularidad, permiten identificar tendencias, detectar degradaciones y justificar inversiones de mejora con datos concretos.
Valores ilustrativos de ejemplo. Las cifras reales varían según el entorno, el volumen de telemetría y la madurez del equipo.
Cómo los ejercicios de red team y purple team exponen los fallos
Los ejercicios de red team y purple team son quizás la herramienta más honesta para saber si el SOC detecta lo que cree que detecta. Un red team simula ataques reales contra la organización, y la pregunta crítica es siempre la misma: ¿el SOC lo vio? ¿Generó una alerta? ¿Alguien actuó?
Los ejercicios de purple team van un paso más allá al integrar a los equipos ofensivos y defensivos en un ciclo de retroalimentación continua. Cada técnica ejecutada por el equipo atacante se convierte en una oportunidad para validar si existe detección, ajustar reglas y cerrar brechas de forma iterativa. Este enfoque transforma las simulaciones en un motor de mejora continua para la capacidad de detección del SOC.
Hoja de ruta para mejorar la detección de verdaderos positivos
Mejorar la detección no requiere necesariamente más tecnología, sino una estrategia más inteligente. El primer paso es establecer una línea base honesta: auditar las reglas de correlación actuales, medir el ratio de falsos positivos y mapear la cobertura ATT&CK existente. Sin saber desde dónde se parte, cualquier esfuerzo de mejora será aleatorio.
A continuación, hay que abordar el ruido de forma sistemática: revisar y deshabilitar reglas que generen más falsos positivos que valor real, implementar enriquecimiento de datos en el flujo de triaje y establecer umbrales dinámicos ajustados al comportamiento real del entorno. En paralelo, integrar threat intelligence de calidad y ejecutar ejercicios de purple team trimestrales crea un ciclo de mejora continua que mantiene las capacidades de detección alineadas con el panorama de amenazas actual.
Conclusión
Un SOC que no detecta verdaderos positivos de forma consistente no es un SOC eficaz, independientemente de su tamaño o presupuesto. Los fallos en la detección tienen causas concretas y abordables: alert fatigue, reglas mal calibradas, falta de contexto, puntos ciegos no mapeados. Reconocer estos problemas sin defensividad es el primer paso hacia un equipo que realmente proteja a la organización. La seguridad no se mide en alertas generadas, sino en amenazas reales identificadas y contenidas a tiempo.
Mente Curiosa
Blog de medicina natural, cuentos infantiles y ciberseguridad para mentes curiosas de toda Latinoamérica.
Suscribete
© 2026 Mente Curiosa — Yamila Aquino Cardozo
