El oscuro secreto de las operaciones de seguridad empresarial es que los defensores han institucionalizado silenciosamente la práctica de no mirar. Esto no es sólo anecdótico, sino que está respaldado por un informe reciente que investiga más de 25 millones de alertas de seguridad, incluidas las informativas y las de baja gravedad, en entornos empresariales reales.
El conjunto de datos detrás de estos hallazgos incluye 10 millones de identidades y puntos finales monitoreados, 82 000 investigaciones forenses de puntos finales que incluyen escaneos de memoria en vivo, 180 millones de archivos analizados y telemetría de 7 millones de direcciones IP, 3 millones de dominios y URL, y más de 550 000 correos electrónicos de phishing.
Los patrones que emergen de estos datos cuentan una historia consistente. Los actores de amenazas están explotando las brechas predecibles creadas por operaciones de seguridad restringidas y basadas en la gravedad, y lo están haciendo de manera sistemática. Comprender dónde viven realmente esas brechas requiere observar el panorama de alerta completo, comenzando con la categoría que la mayoría de los equipos han sido condicionados a ignorar.
El problema del 1% que suma una infracción perdida por semana
En este análisis de 25 millones de alertas, casi el 1% de los incidentes confirmados se originaron a partir de alertas inicialmente clasificadas como de baja gravedad o informativas. Específicamente en los terminales, esa cifra aumentó a casi el 2%.
A escala empresarial, porcentajes como estos no son ruido. La organización promedio genera aproximadamente 450.000 alertas por año. El uno por ciento de eso son aproximadamente 54 amenazas reales al año, aproximadamente una por semana, que nunca se investigan bajo un modelo SOC o MDR tradicional. La detección no falló. La economía de clasificación simplemente hizo imposible la investigación.
Estos no son riesgos teóricos que se encuentran al final de la lista de deseos de un atacante. Son compromisos reales que se esconden en la categoría de alertas que los equipos de operaciones han sido entrenados para despriorizar.
EDR «mitigado» no significa limpio
Los hallazgos del informe sobre endpoints merecen especial atención porque desafían una suposición fundamental en la mayoría de los programas de seguridad: que se puede confiar en la corrección de EDR al pie de la letra.
De las 82.000 alertas que se sometieron a escaneos de memoria forense en vivo, 2.600 tenían infecciones activas. De los puntos finales comprometidos confirmados, el proveedor de EDR de origen ya había marcado el 51% como «mitigado».
En más de la mitad de los compromisos confirmados de endpoints detectados mediante análisis forense, el EDR cerró el ticket y declaró la amenaza resuelta. Sin análisis forense a nivel de memoria, esas infecciones siguen siendo invisibles. Las herramientas en las que confían la mayoría de las organizaciones como red de seguridad para sus terminales informan que las máquinas que no están limpias están limpias.
Las familias de malware que se encuentran ejecutándose en la memoria durante estos análisis incluyen Mimikatz, Cobalt Strike, Meterpreter y StrelaStealer, no son oscuras herramientas de prueba de concepto, sino los caballos de batalla de operaciones criminales activas y de estados-nación.
El phishing ha dejado atrás su puerta de enlace de correo electrónico
Los datos de phishing en el informe reflejan un cambio fundamental en la metodología de los atacantes que la mayoría de las arquitecturas de seguridad del correo electrónico no están diseñadas para detectar.
Menos del 6% de los correos electrónicos de phishing maliciosos confirmados contenían archivos adjuntos. La mayoría se basó en enlaces y lenguaje. Más importante aún, los atacantes han migrado su infraestructura a plataformas en las que se confía de forma predeterminada: Vercel, CodePen, OneDrive e incluso el propio sistema de facturación de PayPal.
Una campaña documentada en el informe utiliza la infraestructura legítima de solicitud de pago de PayPal para enviar correos electrónicos amenazantes, con números de devolución de llamada incrustados en las notas de pago y homoglifos Unicode para derrotar la detección basada en firmas. El dominio de envío pasa todas las comprobaciones de autenticación estándar porque el correo realmente se origina en PayPal.
Cloudflare Turnstile CAPTCHA se ha convertido en una señal confiable de intenciones maliciosas: los sitios que lo usaban tenían constantemente más probabilidades de ser páginas de phishing, mientras que Google reCAPTCHA se correlacionaba con una infraestructura legítima. Los atacantes están utilizando los mecanismos creados para detener los bots para detener los escáneres de seguridad automatizados.
En los datos se identificaron cuatro nuevas técnicas para eludir las puertas de enlace de correo electrónico: cargas útiles Base64 ocultas dentro de archivos de imagen SVG, enlaces incrustados en metadatos de anotaciones PDF invisibles para los escáneres de nivel de superficie, páginas de phishing cargadas dinámicamente a través de recursos compartidos legítimos de OneDrive y archivos DOCX que ocultan contenido HTML archivado que contiene códigos QR. Ninguno de estos es exótico. Son técnicas operativas que se utilizan a escala.
La telemetría en la nube muestra a los atacantes jugando juegos largos
Los datos de alerta de nube del informe muestran una concentración pronunciada en torno a la evasión de defensa y las tácticas de persistencia, con relativamente pocos comportamientos de alto impacto como el movimiento lateral o la escalada de privilegios que aparecen en la señal.
Los atacantes están siendo cautelosos y pacientes. El patrón dominante es el acceso a largo plazo. Manipulación de tokens, abuso de funciones legítimas de la nube y ofuscación para evitar desencadenar detecciones de mayor gravedad. El objetivo es permanecer presente y pasar desapercibido, no hacer ruido.
Las malas configuraciones de AWS agravan silenciosamente este riesgo. S3 representa aproximadamente el 70 % de todas las infracciones de control de la nube en el conjunto de datos, y los problemas más comunes se centran en la gestión del acceso, el registro del servidor y las restricciones entre cuentas. Estos hallazgos rara vez activan alertas. La mayoría se clasifican como de baja gravedad. Y han sido explotados repetidamente una vez que los atacantes establecen algún punto de apoyo, acelerando dramáticamente lo que pueden hacer a continuación.
Por qué los SOC y MDR tradicionales no pueden cerrar esta brecha
Se trata de un problema operativo y de capacidad que la tecnología por sí sola no resolvió hasta hace poco.
Los analistas humanos no escalan con el volumen de alertas. A medida que la telemetría se expande a través de endpoints, nubes, identidades, redes y SaaS, todos los SOC eventualmente alcanzan el mismo techo. La única forma de operar dentro del presupuesto es una clasificación agresiva: automatizar la mayoría de los cierres, investigar solo lo que parece crítico y confiar en que las etiquetas de gravedad reflejan la realidad. Los datos de 2026 muestran que la confianza está fuera de lugar a gran escala.
Los proveedores de MDR enfrentan limitaciones idénticas. El modelo operativo a escala humana significa que aproximadamente el 60% de las alertas aún no se revisan, ya sea que se manejen internamente o se subcontraten. Agregar más analistas mueve el techo pero no lo elimina. Las plataformas SOAR le brindan automatización del flujo de trabajo, pero requieren que su equipo diseñe cada manual y aún así no reemplazan la ejecución de la investigación.
El problema más profundo es el circuito de retroalimentación que nunca se cierra. Cuando las alertas de baja gravedad nunca se investigan, las amenazas perdidas nunca salen a la luz. Las reglas de detección que no logran detectar ataques reales nunca se corrigen. El sistema no se automejora porque los insumos que necesitaría mejorar nunca se examinan.
¿Qué cambia cuando investigas todo?
La investigación de los 25 millones de alertas contenidas en el informe antes citado requirió eliminar la restricción que históricamente ha hecho imposible una cobertura total. Específicamente, la capacidad del analista humano es el cuello de botella. En este conjunto de datos, Intezer AI SOC se utilizó para clasificar e investigar, con menos del 2 % de las alertas enviadas a un analista humano, una precisión del veredicto del 98 % y un tiempo medio de clasificación de menos de un minuto en todo el volumen.
Los efectos de una investigación de cobertura total son mensurables. Cuando cada alerta recibe un análisis de grado forense independientemente de su gravedad, los resultados de la clasificación se basan en evidencia y no en suposiciones sobre lo que significan las etiquetas de baja gravedad. Las amenazas en etapa inicial que sólo producen señales iniciales débiles salen a la superficie antes de progresar. La ingeniería de detección también se beneficia directamente, porque cada investigación genera retroalimentación que se puede incorporar al ajuste de reglas en la fuente.
El resultado práctico para los analistas humanos es un cambio en el destino de su tiempo. Las escaladas se vuelven menos frecuentes y más confiables, lo que significa que los analistas se involucran en el punto de decisión en lugar de gastar capacidad en el descubrimiento y la clasificación inicial.
Para la organización en general, esto se traduce en una postura de seguridad que mejora continuamente en lugar de una que se mantiene estable mientras el panorama de amenazas cambia a su alrededor.
Para explorar el informe completo y los resultados de la investigación, consulte el Informe AI SOC 2026 para CISO de Intezer.