“La IA jugará un papel cada vez más relevante en la evolución de los servicios de seguridad gestionada”, Raquel Hernández, Microsoft España
- Entrevistas

¿Qué rol están jugando los servicios de seguridad gestionados en la evolución de la ciberseguridad? Con el impulso de las nuevas normativas y el incremento constante del volumen y la sofisticación de las amenazas, los servicios gestionados están adquiriendo un rol protagónico para resolver las necesidades de ciberseguridad de miles de empresas. Raquel Hernández, directora de Soluciones de Seguridad de Microsoft España, nos ofrece la visión de la compañía en este ámbito.
¿Por qué cree que los servicios gestionados de ciberseguridad están ganando tracción? ¿Qué ventajas y que desafíos supone la apuesta por la seguridad gestionada?
El panorama de ciberamenazas es complejo y desafiante. La evolución es constante con unos ciberdelincuentes cada vez mejor preparados y equipados que nunca. El último Informe de Defensa Digital de Microsoft 2024 (MDDR) destaca un aumento significativo del 22% en los ataques cibernéticos en comparación con el año anterior. También señala el aumento de las estafas tecnológicas, que se han disparado un 400% desde 2022. Microsoft ha observado un aumento significativo en la intensidad de la actividad maliciosa, nuestros clientes sufren 600 millones diarios de intentos de ataques, por ejemplo el número de ataques de contraseña por segundo pasó de 4.000 en 2023 a 7.000 en 2024. Más del 70% de las infraestructuras maliciosas que dan soporte a estos ataques estuvieron activas durante menos de dos horas, lo que significa que pueden desaparecer incluso antes de ser detectadas. Esta rápida tasa de rotación subraya la necesidad de medidas de ciberseguridad más ágiles y efectivas. El informe también señala que, así como la IA se utiliza cada vez más para ayudar a las personas a ser más eficientes, los ciberdelincuentes están aprendiendo cómo pueden usarla para atacar a sus víctimas, por ejemplo en los ataques de phishing, un 47% usaron IA.
A este contexto se suma la falta de profesionales especializados en la organizaciones. En el mundo hay 4 millones de vacantes sin cubrir, por ello las estrategias de seguridad están llamadas a incorporar todas las capacidades disponibles en el ecosistema para, sobre una consolidada base tecnológica, los procesos y los servicios de operación puedan detectar y responder proporcionalmente a la evolución del contexto. La combinación de innovación, Inteligencia Artificial y personas altamente cualificadas es lo que permite una defensa verdaderamente efectiva. Es clave la unión de capacidades: seguridad gestionada y una estrategia interna potente de zero trust.
En este contexto, los servicios gestionados aportan valor a la hora de diseñar la estrategia. Identificar servicios y procesos a externalizar, el seguimiento y nivel de servicio que debe gobernarlos es clave y no trivial, cuando debemos conservar la observabilidad del riesgo global de seguridad que afecta a la operación y a otras piezas de la estrategia. Aquí, modelos de plataforma con visibilidad end-to-end con IA incorporada y con una potente escalabilidad y automatización en la operación, son sin duda un facilitador para una externalización.
La IA puede ayudar a las organizaciones a defenderse, al proporcionar una ventaja y mejorar el tiempo de detección y respuesta; puede hacer que los expertos se centren en las tareas más relevantes, aliviándoles del peso de los trabajos más repetitivos, dándoles tiempo para una mayor posibilidad de reacción o de anticipación.
En cuanto a tecnología para acelerar el uso de la IA en las operaciones de seguridad, desde Microsoft ponemos a disposición de las organizaciones la próxima generación de IA aplicada a la ciberseguridad, Microsoft Security Copilot, una herramienta que ayuda a detectar y responder rápidamente a las amenazas. Security Copilot combina la amplia experiencia de Microsoft en la industria de la ciberseguridad y su vasto conocimiento en inteligencia contra amenazas para ayudar a los profesionales de la seguridad y complementarlos a través de un asistente de IA muy sencillo de utilizar. Security Copilot utiliza IA para analizar grandes volúmenes de datos y señales, agilizando la repuesta a las amenazas de ciberseguridad de una manera más efectiva.
¿Cómo es la propuesta de Microsoft en este ámbito?
Desde Microsoft ponemos a disposición de ellos el servicio Microsoft Incident Response y Microsoft Security Experts: Microsoft Incident Response compuesto por el Equipo de Detección y Respuesta (DART) y el Equipo de Acción Crítica de Respuesta a Incidentes de Microsoft (MIRCAT). DART es un equipo de respuesta a incidentes orientado al cliente, compuesto por detectores de amenazas, expertos forenses digitales, ingenieros y expertos en seguridad de todo el mundo. DART colabora estrechamente con Microsoft Threat Intelligence para ofrecer investigaciones basadas en inteligencia que ayuden a los clientes a ser más ciberresistentes. Proporcionamos, de forma reactiva y proactiva, respuesta ante incidentes, asistiendo a los clientes durante las crisis de seguridad.
La respuesta a incidentes de Microsoft suele constar de dos fases: La primera fase, DART después de que un cliente ha sido objeto de un ciberataque. El compromiso reactivo puede incluir todo, desde la recuperación de la infraestructura para entender cómo «los elementos malos» entraron y para recopilar datos del entorno necesarios para apoyar, contención táctica y en la investigación.
En la segunda fase, MIRCAT, el compromiso es seguir mejorando proactivamente la postura de seguridad del cliente para mitigar futuros ataques. Las medidas proactivas pueden incluir la recuperación y el refuerzo continuos, así como orientación, educación y otras medidas proactivas que el cliente pueda adoptar para reducir la superficie de ataque.
Es relevante mencionar también el valor que el DART puede proporcionar en los momentos previos a un ciberincidente. Sus sesiones de inteligencia de amenazas permiten a las organizaciones estar al tanto de las amenazas emergentes, ofreciendo orientación adaptada a la industria y ubicación geográfica de cada cliente Además, cuentan con capacidades para identificar y mitigar riesgos antes de que se conviertan en incidentes graves, mendiante un análisis detallado por parte de recursos altamente especializados , que identifican sistemas comprometidos o vulnerables y proporcionan recomendaciones proactivas para mejorar la seguridad.
Microsoft Security Experts es una categoría de servicios que permite a las empresas protegerse de un modo mucho más eficiente y con ayuda de un equipo extendido altamente cualificado. Esta propuesta pone a disposición de las organizaciones diferentes soluciones en todas las categorías de producto de seguridad, cumplimiento, identidad, administración y privacidad de Microsoft.
Entre las capacidades de los servicios de Defender Experts de Microsoft, se encuentran:
- Búsqueda proactiva de amenazas: Supervisión y análisis continuos de amenazas en endpoints, correo electrónico, identidad y apps en la nube.
- Respuesta gestionada: Respuesta a incidentes dirigida por expertos para contener y remediar rápidamente.
- Notificaciones en tiempo real: Actualizaciones oportunas con información detallada sobre el alcance de las amenazas y los pasos para reparar fallos.
- Acceso directo a expertos: para obtener orientación sobre incidentes específicos o vectores de amenazas.
- Información exhaustiva: Análisis en profundidad de las amenazas cibernéticas para mejorar las defensas de las organizaciones. Microsoft Defender Experts para XDR: Además de las ofertas personalizables de partners para toda la gama de necesidades de clientes globales, para aquellos que requieren productos XDR y servicios gestionados de un único proveedor de plataforma, Microsoft proporciona Microsoft Defender Experts for XDR, una oferta MXDR que ofrece a los equipos de seguridad cobertura con protección y experiencia líder de extremo a extremo. Impulsado por la mejor suite XDR de Microsoft, Defender Experts para XDR ayuda a los equipos de seguridad a clasificar, investigar y responder ante incidentes relacionados con el correo electrónico, las aplicaciones en la nube, end points e identidad para detener a los atacantes en su camino y evitar futuros compromisos.
Microsoft Defender Experts for Hunting es un servicio gestionado que busca amenazas de forma proactiva 24/7/365 en endpoints, correo electrónico, identidad y aplicaciones en la nube de Microsoft 365 Defender. El servicio combina IA y experiencia humana. Microsoft Defender Experts for Hunting amplía las capacidades de búsqueda de amenazas de los equipos de seguridad de las organizaciones para añadir una capa de detección proactiva de amenazas.
Uno de los temores de los responsables de TI respecto a la nube es que se dispare su gasto. ¿Puede ocurrir los mismo en servicios gestionados por terceros?
Una buena estrategia de ciberseguridad requiere contar con un equipo de expertos con habilidades específicas, activo las 24 horas del día y capaz de monitorear las actividades dentro de la red y responder rápidamente a cualquier ciberataque. Algo que plantea problemas importantes, tanto en términos de organización como de costes, para asegurar que sea entregado con recursos propios.
Nuestra oferta de Defender Experts proporciona a las organizaciones un modelo de costes predecible para controlar los gastos y reducir las preocupaciones sobre aumentos de costes, al pasar a un modelo de servicio gestionado. Esta estructura de costes se logra a través de un plan basado en el número de usuarios, y a añadir capacidad según sea necesario. Estas características aseguran que las organizaciones solo paguen por los servicios que utilizan, puedan escalar sus operaciones de seguridad según sea necesario y reciban una cobertura integral en múltiples dominios. Como comentábamos, creemos que la clave está en la combinación de capacidades: seguridad gestionada, una estrategia interna potente de zero trust automatización y uso de IA.
La ciberseguridad es un elemento clave de las nuevas normativas como DORA y NIS2, que ponen el foco entre otras cosas en la responsabilidad de los equipos directivos. En el caso de los servicios de seguridad gestionados, ¿qué responsabilidad recae sobre el proveedor en caso de incidente?
DORA requiere a empresas financieras y proveedores de servicios críticos en la UE implementar planes robustos de respuesta a incidentes, reportar violaciones y otros eventos cibernéticos, y garantizar la continuidad del negocio para manejar interrupciones graves. Además de establecer expectativas claras sobre el papel de los proveedores TIC, DORA proporciona a las Autoridades Europeas de Supervisión (AES) competencias de supervisión directa sobre los proveedores de TIC críticos designados. Microsoft está preparado para ser designado como "proveedor de servicios críticos de terceros de TIC" y cumple con las disposiciones aplicables en virtud de DORA, y ayudará a las instituciones financieras reguladas a cumplir sus propios requisitos.
En Microsoft proporcionamos un amplio conjunto de funcionalidades integradas de gestión de riesgos TIC en nuestros servicios. Esto incluye, por ejemplo: Microsoft Defender for Cloud, Microsoft 365 Service Health Dashboard, Microsoft Secure Score, Azure Service Health, Microsoft Purview y Microsoft Purview Compliance Manager.
Por su parte, NIS2 exige a las organizaciones que definan medidas de seguridad básicas para mitigar el riesgo de ciberataques y mejorar el nivel general de ciberseguridad en la UE (o en aquellas empresas que hacen negocios con la UE). En este sentido, las soluciones de seguridad de Microsoft permiten a las empresas gestionar mejor los riesgos, protegerse de los ciberataques y minimizar el impacto de los incidentes. Los principios de Zero Trust y el enfoque de plataforma de Microsoft están alineados con los objetivos de NIS2.
NIS2 es algo más que un mero ejercicio de cumplimiento, es una oportunidad para generar confianza entre los clientes y garantizar que una organización está preparada para cualquier ciberamenaza que pueda traer el futuro.
¿Cómo cree que será la evolución de este tipo de servicios?
La IA jugará un papel cada vez más relevante en la evolución de los servicios de seguridad gestionada. Esta tecnología será crucial para automatizar y mejorar aspectos clave como la detección, respuesta, análisis y predicción de amenazas. Su capacidad para procesar, clasificar y contextualizar grandes volúmenes de información en tiempo récord supera con creces las capacidades humanas, permitiendo identificar dispositivos vulnerables, detectar intentos de suplantación y diferenciar entre incidentes aislados y amenazas más complejas en cuestión de segundos.
Un dato representativo es que los usuarios de Microsoft Security Copilot, han experimentado mejoras significativas, como un aumento del 44% en la precisión y una aceleración del 26% en la finalización de tareas. Estas cifras demuestran cómo la IA está redefiniendo la efectividad de los servicios de seguridad gestionada al proporcionar a los profesionales herramientas más rápidas y precisas para abordar las amenazas.