This is the Trace Id: 5b04a4b1ad45141dad011a2e8b109d97
Saltar al contenido principal Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Ver todos los productos Ciberseguridad con tecnología de IA Seguridad en la nube Seguridad y gobernanza de datos Identidad y acceso a la red Administración de riesgo y privacidad Seguridad para IA Pequeñas y medianas empresas SecOps unificadas Confianza cero Precios Servicios Partners Por qué Seguridad de Microsoft Concienciación sobre la ciberseguridad Casos de clientes Fundamentos de seguridad Pruebas de producto Reconocimiento del sector Microsoft Security Insider Informe de defensa digital de Microsoft Centro de respuestas de seguridad Blog de Seguridad de Microsoft Eventos de Seguridad de Microsoft Microsoft Tech Community Documentación Biblioteca de contenido técnico Capacitación y certificaciones Programa de cumplimiento de Microsoft Cloud Centro de confianza de Microsoft Portal de confianza de servicios Microsoft Iniciativa para un futuro seguro Business Solutions Hub Contacto con ventas Inicia la prueba gratuita Seguridad de Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Realidad mixta Microsoft HoloLens Microsoft Viva Computación cuántica Educación Automotriz Servicios financieros Gobierno Sanidad Fabricación Comercios minoristas Encuentra un asociado Conviértete en asociado Red de asociados Microsoft Marketplace Empresas de software Blog Microsoft Advertising Centro de desarrolladores Documentación Eventos Licenciamiento Microsoft Learn Microsoft Research Ver mapa del sitio
Dos profesionales de pie juntos en un salón de oficina, sosteniendo una tableta y hablando sobre el trabajo.

¿Qué es la detección y respuesta ante amenazas (TDR)?

Obtenga información sobre cómo proteger los recursos de su organización mediante la identificación y mitigación proactivas de los riesgos de ciberseguridad con la detección y respuesta ante amenazas.
Descubrir la solución XDR de Microsoft

Definición de detección y respuesta ante amenazas (TDR)

La detección y respuesta ante amenazas es un proceso de ciberseguridad para identificar ciberamenazas en los recursos digitales de una organización y tomar medidas para mitigarlas lo antes posible.

¿Cómo funcionan la detección y respuesta ante amenazas?

Para abordar las ciberamenazas y otros problemas de seguridad, muchas organizaciones configuran un centro de operaciones de seguridad (SOC), que es una función centralizada o un equipo responsable de mejorar la posición de ciberseguridad de una organización y de evitar, detectar y responder ante las amenazas. Además de supervisar y responder a ciberataques continuos, un SOC también realiza un trabajo proactivo para identificar ciberamenazas emergentes y vulnerabilidades organizativas. La mayoría de los equipos de SOC, que pueden ser internos o subcontratados, funcionan de forma ininterrumpida, los siete días a la semana.

El SOC usa la inteligencia sobre amenazas y la tecnología para descubrir un intento de vulneración de seguridad, o su realización correcta o en curso. Una vez identificada una ciberamenaza, el equipo de seguridad usará herramientas de detección y respuesta ante amenazas para eliminar o mitigar el problema.

La detección y respuesta ante amenazas suelen incluir las siguientes fases:
 
  • Detección. Las herramientas de seguridad que supervisan puntos de conexión, identidades, redes, aplicaciones y nubes ayudan a exponer riesgos y posibles infracciones. Los profesionales de seguridad también usan técnicas de búsqueda de ciberamenazas para descubrir ciberamenazas sofisticadas que evitan la detección.
  • Investigación. Una vez identificado un riesgo, el SOC usa la inteligencia artificial y otras herramientas para confirmar que la ciberamenaza es real, determinar cómo se ha producido y evaluar qué recursos de la empresa se ven afectados.
  • Contención. Para detener la propagación de un ciberataque, los equipos de ciberseguridad y las herramientas automatizadas aíslan los dispositivos infectados, las identidades y las redes del resto de los recursos de la organización.
  • Erradicación. Los equipos eliminan la causa principal de un incidente de seguridad con el objetivo de expulsar completamente al actor malintencionado del entorno. También mitigan las vulnerabilidades que pueden poner a la organización en riesgo de un ciberataque similar.
  • Recuperación. Una vez que los equipos están razonablemente seguros de que se ha eliminado una ciberataque o vulnerabilidad, vuelven a poner en línea los sistemas aislados.
  • Informe. En función de la gravedad del incidente, los equipos de seguridad documentarán e informarán de las acciones a los líderes, ejecutivos o panel directivo sobre lo que ha ocurrido y cómo se ha resuelto.
  • Mitigación de riesgos. Para evitar que vuelva a producirse una infracción similar y mejorar la respuesta en el futuro, los equipos estudiarán el incidente e identificarán los cambios que se realizarán en el entorno y los procesos.

¿Qué es la detección de amenazas?

La identificación de ciberamenazas se ha vuelto cada vez más difícil a medida que las organizaciones han ampliado su presencia en la nube, han conectado más dispositivos a Internet y han migrado a un lugar de trabajo híbrido. Los actores malintencionados aprovechan esta área expuesta expandida y la fragmentación en las herramientas de seguridad con los siguientes tipos de tácticas:
 
  • Campañas de suplantación de identidad (phishing). Una de las formas más comunes de que los actores malintencionados se infiltren en una empresa es mediante el envío de correos electrónicos que tienen como objetivo engañar a los empleados para que descarguen código malintencionado o proporcionen sus credenciales.
  • Malware. Muchos ciberataques implementan software diseñado para dañar equipos y sistemas o recopilar información confidencial.
  • Ransomware. Es un tipo de malware. Los atacantes de ransomware secuestran sistemas y datos críticos, amenazando con publicar datos privados o robar recursos en la nube para conseguir bitcoin hasta que se paga un rescate. Recientemente, el ransomware operado por personas, en el que un grupo de ciberataques obtiene acceso a toda la red de una organización, se ha convertido en un problema cada vez mayor para los equipos de seguridad.
  • Ataques de denegación de servicio distribuido (DDoS). Con una serie de bots, los actores malintencionados interrumpen un sitio web o servicio al saturarlo de tráfico.
  • Amenaza interna. No todas las ciberamenazas provienen de fuera de una organización. También existe el riesgo de que las personas de confianza con acceso a datos confidenciales puedan dañar la organización de forma involuntaria o malintencionada.
  • Ataques basados en identidad. La mayoría de las infracciones implican identidades en peligro, que es cuando los ciberataques roban o adivinan credenciales de usuario y las usan para obtener acceso a los sistemas y datos de una organización.
  • Ataques de Internet de las cosas (IoT). Los dispositivos IoT también son vulnerables al ciberataque, especialmente los dispositivos heredados que no tienen los controles de seguridad integrados que hacen los dispositivos modernos.
  • Ataques a la cadena de suministro. A veces, un actor malintencionado opera sobre una organización manipulando el software o el hardware proporcionado por un proveedor de terceros.
  • Inserción de código. Al aprovechar vulnerabilidades en la forma en que el código fuente controla los datos externos, los ciberdelincuentes insertan código malintencionado en una aplicación.
Detección de amenazas
Para anticiparse a los crecientes ataques de ciberseguridad, las organizaciones usan el modelado de amenazas para definir los requisitos de seguridad, identificar vulnerabilidades y riesgos, y priorizar la corrección. Con escenarios hipotéticos, el SOC intenta entrar en la mente de los ciberdelincuentes para que puedan mejorar la capacidad de la organización para evitar o mitigar incidentes de seguridad. El marco MITRE ATT&CK® es un modelo útil para comprender técnicas y tácticas comunes de ciberataques.

Una defensa multicapa requiere herramientas que proporcionen supervisión continua en tiempo real del entorno y expongan posibles problemas de seguridad. Las soluciones también deben superponerse para que, si un método de detección está en peligro, otro detecte el problema y notifique al equipo de seguridad. Las soluciones de detección de ciberataques usan diversos métodos para identificar amenazas, entre los que se incluyen:
 
  • Detección basada en firmas. Muchas soluciones de seguridad examinan el software y el tráfico para identificar firmas únicas asociadas a un tipo específico de malware.
  • Detección basada en el comportamiento. Para ayudar a detectar ciberamenazas nuevas y emergentes, las soluciones de seguridad también buscan acciones y comportamientos comunes en los ciberataques.
  • Detección basada en anomalías. La IA y el análisis ayudan a los equipos a comprender los comportamientos típicos de los usuarios, dispositivos y software para que puedan identificar algo inusual que pueda indicar un ciberataque.
Aunque el software es fundamental, las personas desempeñan un papel igualmente importante en la detección de ciberataques. Además de evaluar e investigar las alertas generadas por el sistema, los analistas usan técnicas de búsqueda de ciberamenazas para buscar de forma proactiva indicaciones de riesgo, o buscan tácticas, técnicas y procedimientos que sugieran una posible amenaza. Estos enfoques ayudan al SOC a descubrir y detener rápidamente ataques sofisticados y difíciles de detectar

¿Qué es la respuesta ante amenazas?

Una vez identificada una ciberamenaza, la respuesta ante amenazas incluye las acciones que realiza el SOC para contenerla y eliminarla, recuperarla y reducir las posibilidades de que vuelva a producirse un ataque similar. Muchas empresas desarrollan un plan de respuesta a incidentes para ayudarles a guiarlos durante una posible infracción cuando factores como estar organizados y moverse rápidamente son clave. Un buen plan de respuesta a incidencias incluye cuadernos de estrategias con instrucciones paso a paso para tipos específicos de amenazas, roles y responsabilidades, y un plan de comunicación.

Componentes, ventajas y prácticas recomendadas de TDR

Las organizaciones usan diversas herramientas y procesos para detectar y responder ante las amenazas. Una detección y respuesta eficaces ante amenazas mejora la resiliencia, minimiza las vulnerabilidades y fomenta prácticas que ayudan a los equipos a colaborar y a reducir la frecuencia y el coste de los ciberataques.

Detección y respuesta extendidas

Los productos de detección y respuesta extendidas (XDR) ayudan a los SOC a simplificar todo el ciclo de vida de la prevención, detección y respuesta ante amenazas. Estas soluciones supervisan los puntos de conexión, las aplicaciones en la nube, el correo electrónico y las identidades. Si una solución de XDR detecta una ciberamenaza, alerta a los equipos de seguridad y responde automáticamente a determinados incidentes en función de los criterios que define el SOC.

Detección y respuesta de amenazas de identidad

Dado que los actores malintencionados suelen dirigirse a los empleados, es importante implementar herramientas y procesos para identificar y responder ante las amenazas a las identidades de una organización. Estas soluciones suelen usar el análisis de comportamiento de usuarios y entidades (UEBA) para definir el comportamiento del usuario de línea base y descubrir anomalías que representan una amenaza potencial.

Administración de eventos e información de seguridad

La obtención de visibilidad de todo el entorno digital es el primer paso para comprender el panorama de amenazas. La mayoría de los equipos de SOC usan soluciones de administración de eventos e información de seguridad (SIEM) que agregan y correlacionan datos entre puntos de conexión, nubes, correos electrónicos, aplicaciones e identidades. Estas soluciones usan reglas de detección y cuadernos de estrategias para exponer posibles ciberamenazas mediante la correlación de registros y alertas. Los sistemas de SIEM modernos también usan IA para descubrir ciberamenazas de forma más eficaz e incorporan fuentes de inteligencia sobre amenazas externas para que puedan identificar ciberamenazas nuevas y emergentes.

Inteligencia sobre amenazas

Para obtener una vista completa del panorama de ciberamenazas, los SOC usan herramientas que sintetizan y analizan datos de una variedad de orígenes, incluidos puntos de conexión, correo electrónico, aplicaciones en la nube y orígenes externos de inteligencia sobre amenazas. La información de estos datos ayuda a los equipos de seguridad a prepararse para un ciberataque, detectar ciberamenazas activas, investigar incidentes de seguridad en curso y responder de forma eficaz.

Detección y respuesta de puntos de conexión

Las soluciones de detección y respuesta de puntos de conexión (EDR) son una versión anterior de las soluciones XDR, centradas solo en puntos de conexión, como equipos, servidores, dispositivos móviles e IoT. Al igual que las soluciones XDR, cuando se detecta un posible ataque, estas soluciones generan una alerta y, para determinados ataques bien comprendidos, responden automáticamente. Dado que las soluciones de EDR solo se centran en los puntos de conexión, la mayoría de las organizaciones están migrando a soluciones XDR.

Administración de amenazas y vulnerabilidades

La Administración de amenazas y vulnerabilidades es un proceso continuo, proactivo y, a menudo, automatizado que supervisa los sistemas informáticos, las redes y las aplicaciones empresariales en busca de puntos débiles de seguridad. Las soluciones de Administración de amenazas y vulnerabilidades evalúan la gravedad y el nivel de riesgo de las vulnerabilidades, y proporcionan informes que el SOC usa para corregir los problemas.

Respuesta automatizada de orquestación de seguridad

Las soluciones de respuesta automatizada de orquestación de seguridad (SOAR) ayudan a simplificar la detección y respuesta de ciberamenazas al reunir datos y herramientas internos y externos en un único lugar centralizado. También automatizan las respuestas ante ciberamenazas en función de un conjunto de reglas predefinidas.

Detección y respuesta administradas

No todas las organizaciones tienen los recursos necesarios para detectar y responder eficazmente ante las ciberamenazas. Los servicios de Detección y respuesta administradas ayudan a estas organizaciones a aumentar sus equipos de seguridad con las herramientas y las personas necesarias para buscar amenazas y responder adecuadamente.
Volver a pestañas

Soluciones de detección y respuesta ante amenazas

La detección y respuesta ante amenazas es una función crítica que todas las organizaciones pueden usar para ayudarles a encontrar y abordar las ciberamenazas antes de causar daños. Seguridad de Microsoft ofrece varias soluciones de protección contra amenazas para ayudar a los equipos de seguridad a supervisar, detectar y responder a las ciberamenazas. Para las organizaciones con recursos limitados, Microsoft Defender Experts ofrece servicios administrados para complementar al personal y las herramientas existentes.
Recursos

Más información acerca de Seguridad de Microsoft

  1.
equipo colaborando alrededor de paneles de datos en la oficina.

Solución unificada de operaciones de seguridad

Proteja todo su patrimonio digital con una experiencia unificada de detección, investigación y respuesta.
Más información
compañeros colaborando en escritorios de oficina

Microsoft Defender XDR

Acelere su respuesta con visibilidad de nivel de incidente e interrupción automática de los ataques.
Más información
persona usando una tableta en la sala de estar.

Microsoft Sentinel

Unifique los datos de seguridad y el contexto para potenciar la defensa basada en agentes con la plataforma SIEM & con prioridad en la IA.
Más información
persona trabajando en un portátil junto a la ventana.

Expertos de Microsoft Defender para XDR

Obtenga ayuda para detener a los atacantes y evitar futuros riesgos con un servicio XDR administrado.
Más información
equipo analizando una presentación en una sala de reuniones.

Administración de vulnerabilidades de Microsoft Defender

Reduzca las ciberamenazas gracias a la evaluación continua de vulnerabilidades, la priorización basada en riesgos y la corrección.
Más información
dos profesionales manteniendo una conversación en un moderno salón de oficina.

Microsoft Defender para Empresas

Proteja su pequeña o mediana empresa frente a ciberataques, como malware y ransomware.
Más información
Volver a la sección de productos relacionados
Preguntas frecuentes

Preguntas más frecuentes

  • La detección avanzada de amenazas incluye las técnicas y herramientas que los profesionales de seguridad usan para descubrir amenazas persistentes avanzadas, que son amenazas sofisticadas diseñadas para permanecer sin detectar durante un largo período de tiempo. Estas amenazas suelen ser más graves y pueden incluir el espionaje o el robo de datos.
  • Los métodos principales de detección de amenazas son soluciones de seguridad, como SIEM o XDR, que analizan la actividad en todo el entorno para detectar indicaciones de riesgo o comportamiento que se desvían de lo esperado. Las personas trabajan con estas herramientas para evaluar las prioridades y responder a posibles amenazas. También usan XDR y SIEM para buscar atacantes sofisticados que puedan eludir la detección.
  • La detección de amenazas es el proceso de descubrir posibles riesgos de seguridad, incluida la actividad que puede indicar que un dispositivo, software, red o identidad se ha puesto en peligro. La respuesta a incidentes incluye los pasos que el equipo de seguridad y las herramientas automatizadas realizan para contener y eliminar un ciberataque.
  • El proceso de detección y respuesta de amenazas incluye:
     
    • Detección. Las herramientas de seguridad que supervisan puntos de conexión, identidades, redes, aplicaciones y nubes ayudan a exponer riesgos y posibles infracciones. Los profesionales de seguridad también usan técnicas de búsqueda de ciberamenazas para intentar descubrir ciberamenazas emergentes.
    • Investigación. Una vez identificado un riesgo, las personas usan la IA y otras herramientas para confirmar que la ciberamenaza es real, determinar cómo se ha producido y evaluar qué recursos de la empresa se ven afectados.
    • Contención. Para detener la propagación de un ciberataque, los equipos de ciberseguridad aíslan los dispositivos, las identidades y las redes infectados del resto de los recursos de la organización.
    • Erradicación. Los equipos eliminan la causa principal de un incidente de seguridad con el objetivo de expulsar completamente al adversario del entorno y mitigar las vulnerabilidades que podrían poner a la organización en riesgo de un ciberataque similar.
    • Recuperación. Una vez que los equipos están razonablemente seguros de que se ha eliminado una ciberataque o vulnerabilidad, vuelven a poner en línea los sistemas aislados.
    • Generación de informes. En función de la gravedad del incidente, los equipos de seguridad documentarán e informarán de las acciones a los líderes, ejecutivos o el panel directivo sobre lo que ha ocurrido y cómo se ha resuelto.
    • Mitigación de riesgos. Para evitar que vuelva a producirse una infracción similar y mejorar la respuesta en el futuro, los equipos estudiarán el incidente e identificarán los cambios que se realizarán en el entorno y los procesos.
  • TDR significa detección y respuesta ante amenazas, que es un proceso para identificar las amenazas de ciberseguridad a una organización y tomar medidas para mitigar esas amenazas antes de que se produzcan daños reales. EDR significa detección y respuesta de puntos de conexión, que es una categoría de productos de software que supervisan los puntos de conexión de una organización en busca de posibles ciberataques, exponen esas ciberamenazas al equipo de seguridad y responden automáticamente a determinados tipos de ciberataques.

Seguir a Seguridad de Microsoft

Copilot para organizaciones Copilot para uso personal Microsoft 365 Explora los productos de Microsoft Aplicaciones de Windows 11 Perfil de la cuenta Centro de descargas Soporte de Microsoft Store Devoluciones y reembolsos Seguimiento de pedidos Microsoft Educación Dispositivos para el sector educativo Microsoft Teams para Educación Microsoft 365 Educación Office Educación Entrenamiento y desarrollo para educadores Ofertas para estudiantes y padres Azure para estudiantes
Microsoft AI Seguridad de Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Desarrollador de Microsoft Microsoft Learn Admite aplicaciones del Marketplace de IA Comunidad de Microsoft Tech Microsoft Marketplace Microsoft Power Platform Empresas de software Visual Studio Trabajos Acerca de Microsoft Privacidad en Microsoft Inversionistas
Español (México) Privacidad de la salud del consumidor Ponte en contacto con Microsoft Privacidad Administrar cookies Aviso legal Marcas Registradas Sobre nuestra publicidad