El triaje en ciberseguridad consiste en una clasificación inicial rápida de eventos e incidentes. El analista evalúa la alerta y determina la naturaleza del suceso: falsa alarma, error común, actividad sospechosa o un ataque real que requiere investigación inmediata.
El término proviene de la medicina, donde se clasifica a los pacientes según la urgencia de la atención. En SOC funciona una lógica similar: resulta imposible investigar en profundidad cada notificación de SIEM, EDR, de protección de correo, del cortafuegos o del sistema de monitorización. El flujo de eventos supera regularmente los recursos temporales del equipo. Por eso primero es necesario identificar los incidentes más críticos.
Un triaje de calidad no sustituye la investigación. El procedimiento ayuda a identificar de forma rápida la dirección del análisis posterior, a involucrar a los especialistas necesarios, a bloquear las amenazas y a recopilar datos antes de que desaparezcan las evidencias de actividad.
Por qué es necesario el triaje
Sin triaje, el equipo de seguridad se sobrecarga de alertas. Un suceso puede ser una conexión normal de un empleado en viaje, otro un error de regla, un tercero un intento de fuerza bruta de contraseñas y un cuarto el inicio de un ataque de ransomware. Analizar las señales por orden de llegada crea el riesgo de pasar por alto un incidente peligroso.
- Eliminar el ruido: excluir duplicados, eventos de prueba, reglas obsoletas y detecciones que se confirmaron como falsas.
- Detectar casos urgentes: identificar rápidamente una infección, la compromisión de una cuenta, movimientos laterales en la red o una fuga de datos.
- Recopilar contexto: identificar el usuario, el host, el nivel de privilegios, el proceso en ejecución, así como los eventos previos y posteriores.
- Asignar prioridad: decidir qué eventos requieren respuesta inmediata y qué tareas pueden aplazarse.
En la práctica, el triaje lleva unos minutos. La investigación completa puede durar horas o días, pero la decisión inicial debe tomarse con rapidez. Requieren especial atención los incidentes relacionados con cuentas de dominio, servidores con bases de datos críticas, estaciones de trabajo de administradores o actividad sospechosa en la infraestructura en la nube.
Cómo se realiza el triaje de un incidente
El triaje comienza por comprobar la fuente de la señal. El analista evalúa el origen del suceso, la hora de la detección, la existencia de alertas similares, las características del activo afectado y la concordancia del comportamiento con la actividad normal del usuario o del sistema.
- Comprobar la fuente: SIEM, EDR, pasarela de correo, IDS, WAF, servicio en la nube o registro de la aplicación.
- Examinar el activo: estación de trabajo, servidor, controlador de dominio, buzón de correo, cuenta, recurso en la nube.
- Evaluar el contexto: usuario, hora, geolocalización del acceso, proceso, comando, archivo, dominio, dirección IP.
- Buscar eventos relacionados: qué ocurrió antes de la detección y qué cambió después.
- Asignar un estado: falsa alarma, sospecha, incidente confirmado, escalado urgente.
Un indicador aislado rara vez indica un ataque. Un acceso sospechoso puede deberse a un viaje de trabajo y un proceso poco habitual a una actualización de software. La situación cambia si el acceso desde una dirección nueva coincide con una descarga masiva de archivos y la creación de una regla de reenvío de correo.
Cómo establecer prioridades
La prioridad no depende solo de la categoría de la regla. El mismo evento en un portátil de prueba y en un servidor con datos de clientes tiene una criticidad distinta. Un triaje eficaz tiene en cuenta la naturaleza del activo, el valor de los datos, los privilegios del usuario y el daño potencial.
| Factor | Qué preguntar | Por qué es importante |
|---|---|---|
| Criticidad del activo | ¿Es un servidor, una estación de trabajo, un dominio, la nube o un entorno de pruebas? | Un incidente en un sistema clave requiere una respuesta más rápida. |
| Privilegios del usuario | ¿La cuenta es de usuario normal, privilegiada o de servicio? | La compromisión de una cuenta administrativa es más peligrosa que el error de un usuario común. |
| Datos | ¿Hay acceso a datos personales, dinero, código fuente o secretos comerciales? | El riesgo de filtración cambia la urgencia y el orden de las acciones. |
| Alcance | ¿El suceso se limita a un host o ya afecta a decenas de dispositivos? | La propagación por la red exige una contención rápida. |
| Recuperación | ¿Se puede restaurar el sistema rápidamente? | Una recuperación compleja aumenta la prioridad. |
Normalmente se clasifican los eventos en cuatro niveles: bajo, medio, alto y crítico. La prioridad baja espera su turno sin problema, mientras que la alta debe tratarse lo antes posible. Si el incidente es crítico, el equipo activa inmediatamente la respuesta: aísla el host, restablece contraseñas, bloquea tokens, desactiva el reenvío de correo, termina el proceso malicioso o simplemente corta el acceso externo.
Errores comunes en el triaje
El triaje no funciona si el analista saca el suceso de contexto y solo mira una línea. No basta ver un hash de archivo detectado: hay que averiguar de dónde proviene y si llegó a ejecutarse. Y si el sistema registra un acceso desde otro país, conviene comprobar de inmediato las sesiones VPN, el calendario de viajes, la actividad previa del empleado y lo que hizo tras autenticarse.
- Creer ciegamente en el nombre de la regla. Una etiqueta llamativa de «estado crítico» en el panel de control no siempre indica una amenaza real.
- Olvidar las particularidades del activo. La misma alerta en el servidor de prueba de un desarrollador y en el controlador principal de dominio son escalas de problema completamente distintas.
- Ignorar los eventos relacionados. Una notificación aislada rara vez muestra el panorama; siempre hay que revisar la cadena de acciones antes y después.
- Acumular alertas antiguas. Si no se gestionan a tiempo los atrasos, entre la montaña de alertas antiguas se puede pasar por alto un ataque reciente.
- No dejar anotaciones. Sin un breve resumen, el equipo volverá una y otra vez a perder tiempo en los mismos casos banales.
Un buen triaje deja un panorama claro: qué ocurrió, si la señal es fiable, qué sistemas están afectados, qué se ha comprobado y cuál es el siguiente paso. Todo esto se registra en una breve nota de trabajo para que el siguiente analista pueda retomar la tarea sin preguntas innecesarias.
Preguntas frecuentes
¿El triaje y la investigación del incidente son lo mismo?
No. El triaje es solo una selección inicial y una evaluación de las amenazas «a simple vista». La investigación comienza después, cuando el equipo excava a fondo toda la cadena, busca la causa raíz, evalúa la magnitud del daño y elimina las consecuencias.
¿Quién suele encargarse del triaje?
Normalmente esta tarea recae en la primera línea del SOC. Los analistas filtran el flujo de alertas, descartan falsos positivos, recopilan el contexto básico y derivan los casos confirmados o complejos a colegas de nivel superior.
¿Qué herramientas se necesitan para el triaje?
Se usan todo tipo de fuentes: SIEM, EDR, protección de correo, registros de Windows y Linux, datos de VPN, proxy, DNS, cortafuegos, nubes y sistemas de inventario de activos. Rara vez una sola herramienta puede mostrar el panorama completo.
¿Qué es más importante en el triaje: velocidad o precisión?
Hay que encontrar un equilibrio. El triaje debe ser rápido pero no negligente. Si se observan signos claros de un ataque crítico, es mejor recopilar los datos básicos y derivar el incidente a respuesta, que perder horas valiosas intentando probar todos los matices.
¿Cómo saber si el triaje está bien configurado?
El equipo tiene establecidos niveles claros de prioridad, una lista de activos críticos, plantillas de comprobación, reglas de escalado y normas para documentar cada caso. Los analistas asignan recursos según el nivel de riesgo para el negocio y no tratan todos los eventos por igual.
