¿Cuánto tardan los actores de amenazas en pasar del acceso inicial al movimiento lateral? ¿Días? ¿horas? Desgraciadamente, la respuesta para muchas organizaciones es cada vez más "minutos". De hecho, según un informe, el tiempo medio de penetración en 2024, 48 minutos, fue un 22% más corto que el año anterior. A la preocupación se suma otra cifra del mismo informe: el tiempo medio para contener (MTTC) los ciberataques se medía normalmente en horas.

Se trata de una carrera contrarreloj que muchas organizaciones están perdiendo. Afortunadamente, los adversarios no tienen todas las cartas, y los defensores de la red pueden contraatacar. Al invertir en detección y respuesta gestionadas (MDR) de primer nivel de un socio de confianza, los equipos de TI obtienen acceso a un equipo de expertos que trabaja las 24 horas del día para descubrir, contener y mitigar rápidamente las amenazas entrantes. Es hora de ponerse en la vía rápida.

¿Por qué necesita MDR?

Se espera que el mercado de MDR crezca a una CAGR del 20% durante los próximos siete años para superar los 8.300 millones de dólares en 2032. Se trata de una respuesta directa a la evolución del ciberpaisaje. Su creciente popularidad entre los equipos informáticos y de seguridad se debe a varios factores críticos interconectados:

Las infracciones están alcanzando niveles récord

Según el Centro de Investigación del Robo de Identidad (ITRC), el año pasado se produjeron en Estados Unidos más de 3.100 violaciones de datos corporativos, que afectaron a 1.400 millones de víctimas, y 2025 va camino de volver a batir récords.

Las consecuencias financieras son igual de nefastas: el último informe de IBM sobre el coste de una filtración de datos cifraba el costo de una filtración de datos media en 4,4 millones de dólares en la actualidad. Sin embargo, sólo en Estados Unidos, el costo es mucho mayor: 10,22 millones de dólares de media.

La superficie de ataque sigue creciendo

Las empresas siguen contando con un gran número de trabajadores remotos e híbridos. Y están invirtiendo en la nube, IA, IoT y otras tecnologías para obtener una ventaja competitiva. Desafortunadamente, estas mismas inversiones -y el continuo crecimiento de las cadenas de suministro- también aumentan el tamaño del objetivo al que apuntan los adversarios.

Los actores de amenazas se están profesionalizando

El subsuelo de la ciberdelincuencia está cada vez más inundado de ofertas basadas en servicios que reducen las barreras de entrada para todo, desde phishing y DDoS hasta ransomware y campañas de infostealer. Según los expertos del gobierno británico, la IA ofrecerá aún más oportunidades nuevas para los ciberdelincuentes, aumentando la frecuencia e intensidad de las amenazas.

Ya está ayudándolos a automatizar el reconocimiento y explotación de vulnerabilidades con mayor rapidez. Un estudio afirma haber registrado una reducción del 62% en el tiempo transcurrido entre el descubrimiento de un fallo de software y su explotación.

La escasez de competencias y recursos sigue creciendo

Hace tiempo que los equipos defensivos carecen de personal suficiente. El déficit mundial de profesionales de seguridad informática se estima en más de 4,7 millones. Y con el 25% de las organizaciones que informan de despidos en ciberseguridad, los líderes empresariales no están de humor para gastar mucho en talento y equipos para un Centro de Operaciones de Seguridad (SOC).

A Buyer’s Guide to Managed Detection and Response: What is it and why do you need it?

Por qué importa la velocidad en MDR

La externalización en este contexto tiene todo el sentido. Es una forma más barata (especialmente en gastos de capital) de ofrecer supervisión y detección de amenazas 24 horas al día, 7 días a la semana, incluida la búsqueda proactiva de amenazas, por parte de un equipo de expertos especializados. Esto no sólo ayuda a superar la escasez de personal cualificado, sino que también garantiza una protección rápida y permanente. Esto puede aportar tranquilidad, especialmente en un momento en el que el 86% de las víctimas de ransomware admiten haber sido atacadas durante el fin de semana o en un día festivo.

La velocidad es importante en este contexto porque puede ayudar a:

  • Minimizar el tiempo de permanencia del atacante, que actualmente es de 11 días, según Mandiant. Cuanto más tiempo se permita a los adversarios permanecer en la red, más tiempo tendrán para encontrar y extraer datos confidenciales y desplegar ransomware.
  • Contener rápidamente el "radio de explosión" de un ataque, garantizando el aislamiento de los sistemas o segmentos de red comprometidos y evitando así la propagación de la brecha.
  • Reducir los costos que conllevan las violaciones graves, incluidos el tiempo de inactividad, la reparación, la reputación de la marca, la notificación, la consultoría de TI y las posibles multas reglamentarias.
  • Mantener satisfechos a los organismos reguladores demostrando su compromiso con una detección y respuesta rápidas y eficaces a las amenazas.

Qué buscar en MDR

Una vez que se haya decidido mejorar las operaciones de seguridad (SecOps) con una solución MDR, la atención debe centrarse en los criterios de compra. Con tantas soluciones en el mercado, es importante encontrar la adecuada, que como mínimo debería contar con:

  • Detección y respuesta a amenazas basadas en IA: Análisis inteligentes para detectar automáticamente comportamientos sospechosos, utilizar datos contextuales para mejorar la fidelidad de las alertas y corregirlas automáticamente cuando sea necesario. Esta es la forma de acelerar las investigaciones y solucionar los problemas antes de que los adversarios tengan la oportunidad de causar daños duraderos.
  • Un equipo de expertos de confianza: Tan importante como la tecnología es el personal que respalda la solución MDR. Necesita expertos SOC de nivel empresarial que trabajen como una extensión de su equipo de seguridad de TI para gestionar la supervisión diaria, la búsqueda proactiva de amenazas y la respuesta a incidentes.
  • Capacidades de investigación de punta: Los proveedores que cuentan con laboratorios de investigación de malware de renombre estarán mejor situados para detener las amenazas emergentes, incluidas las de zero-day Esto se debe a que sus expertos investigan cada día nuevos ataques y cómo mitigarlos. Esta inteligencia tiene un valor incalculable en un contexto de MDR.
  • Despliegue personalizado: Una evaluación del cliente antes de cada nueva contratación garantiza que el proveedor de MDR comprende su entorno de TI y su cultura de seguridad únicos.
  • Cobertura completa: Busque capacidades similares a las de XDR en endpoint, correo electrónico, red, nube y otras capas, sin dejar a los adversarios espacio para esconderse.
  • Búsqueda proactiva de amenazas: Investigaciones periódicas para encontrar amenazas que pueden haber eludido el análisis automatizado, incluidas amenazas APT sofisticadas y explotaciones de día cero.
  • Rápida incorporación: Una vez que haya elegido un proveedor, lo último que necesita es esperar semanas hasta que pueda beneficiarse de la protección. Las reglas de detección, las exclusiones y los parámetros deben estar correctamente configurados antes de empezar.
  • Compatibilidad con otras herramientas: Las herramientas de detección y respuesta deben funcionar a la perfección con sus herramientas de gestión de eventos e información de seguridad (SIEM) y de orquestación y respuesta de seguridad (SOAR). Estas deben ser ofrecidas por el proveedor de MDR o a través de API a soluciones de terceros.

El MDR adecuado añadirá una capa de valor incalculable al entorno de ciberseguridad, con un enfoque basado en la prevención, y centrado principalmente en impedir que códigos o actores maliciosos dañen los sistemas informáticos. Esto significa utilizar también protección de servidores, puntos finales y dispositivos, gestión de vulnerabilidades y parches, y cifrado de disco completo, entre otros elementos. Con la combinación adecuada de inteligencia humana y artificial, puede acelerar su camino hacia un futuro más seguro.