¿Por qué los equipos líderes del SOC se están moviendo masivamente hacia el NDR?

Imagina que has construido un sistema de seguridad moderno, implementado las mejores soluciones EDR, configurado un SIEM, invertido en cortafuegos de nueva generación. Todo funciona, los incidentes se registran, se envían informes. Pero un día descubres que un atacante estuvo dentro de tu red... durante dos meses. Y nadie lo notó. ¿Pero cómo es posible? ¿Por qué los enfoques tradicionales no funcionan frente a las nuevas amenazas? ¿Y qué hacen los mejores equipos SOC para recuperar el control? La respuesta está en NDR. Pero empecemos por lo principal.

Una nueva era de atacantes invisibles

El atacante moderno no es un script kiddie caótico que envía correos de phishing. Es un adversario paciente y metódico. Trabaja en silencio, sin dejar virus que puedan detectarse por firmas. Actúa sin levantar sospechas — y eso lo hace letal.

Los atacantes hace tiempo que aprendieron a usar herramientas legítimas: PowerShell, WMI, servicios del sistema de Windows. Acceden a la red con credenciales válidas, se mueven por ella sin ser detectados, se comunican por canales cifrados y camuflan su actividad como si fuera tráfico de negocios habitual.

Como resultado, el tiempo medio de permanencia de un atacante en la red sigue siendo alarmantemente alto — unos 21 días. Y en algunos casos, los ataques duran meses o incluso años.

¿Por qué las herramientas clásicas no son suficientes?

La gran mayoría de las soluciones tradicionales están diseñadas para la detección basada en firmas — identificar lo que ya se conoce. Pero si el ataque es único y utiliza herramientas integradas de Windows o APIs específicas — estos enfoques son inútiles. EDR también tiene limitaciones: solo ve lo que ocurre en el host. ¿Y si el host no está dentro del alcance? ¿O el agente está desactivado? ¿O el ataque se propaga por segmentos no controlados de la red? Aquí es donde aparecen las zonas ciegas. Y es precisamente ahí donde actúan los atacantes modernos.

¿Qué es NDR y por qué todos hablan de ello?

Network Detection and Response (NDR) — es una categoría de soluciones que hace por la red lo que EDR hace por los endpoints. NDR analiza el tráfico de red — tanto en tiempo real como de forma retrospectiva. Busca anomalías, cruza los datos con información de inteligencia, identifica acciones sospechosas.

Pero lo principal es que NDR no depende de agentes, no requiere acceso al sistema de archivos y no es vulnerable a intentos de ocultar rastros en el host. Un ataque puede no dejar registros, pero sin comunicación de red no puede ejecutarse. Y la red, a diferencia de los logs, no miente.

Los sistemas NDR reconocen movimiento lateral, escaneos, comunicaciones C2, túneles, usos no estándar de protocolos y muchas otras señales que escapan a las herramientas clásicas.

«Este-Oeste»: por qué el tráfico east-west es tan importante

Hoy en día, la mayoría de los incidentes no se producen en el perímetro, sino dentro de la red. Cuando el atacante ya está dentro, empieza a moverse horizontalmente, de servidor a servidor, de segmento a segmento. Este tráfico — conocido como east-west — a menudo queda fuera del alcance del cortafuegos, especialmente en infraestructuras distribuidas.

Es aquí donde NDR muestra su mejor desempeño. Puede analizar el tráfico entre nodos internos, detectando, por ejemplo, el uso de RDP fuera del horario habitual o la transferencia de datos entre servicios que antes no interactuaban. Esto es una señal de que algo no va bien — y un motivo para investigar.

Cifrado sin ilusiones: ¿es posible ver sin descifrar?

Más del 90% del tráfico de Internet está cifrado hoy en día. Esto es excelente para la privacidad, pero perjudicial para el monitoreo. Muchas empresas siguen intentando descifrar el tráfico en el borde de la red, pero eso es caro, complejo y contradice varias normativas.

Los sistemas NDR modernos han aprendido a trabajar de otro modo. Analizan el comportamiento, no el contenido: tamaños de paquetes, características temporales, huellas JA3/JA3S, secuencias de conexiones. Esto permite detectar comunicaciones sospechosas incluso sin acceso al contenido del tráfico.

Por ejemplo, la solución Network Attack Discovery de Positive Technologies (PT NAD) utiliza algoritmos de comportamiento y análisis profundo de protocolos para detectar amenazas tanto en el tráfico “norte-sur” como en el interno. Es capaz de analizar más de 100 protocolos de red y 9 protocolos de túnel, construir hipótesis sobre la relación entre eventos y detectar automáticamente anomalías que indiquen conexiones C2 o movimiento lateral dentro de la red.

¿Y cuando no se puede instalar un agente?

No todos los dispositivos pueden controlarse mediante EDR u otras soluciones con agentes. ¿Ejemplos? Cámaras de videovigilancia, impresoras, sensores IoT, sistemas SCADA, equipos industriales. Están fuera del área de confort habitual de los especialistas en ciberseguridad.

Pero participan activamente en la vida de red. Eso significa que pueden ser vectores de ataque. Y por tanto, deben ser visibles. NDR permite rastrear el comportamiento de estos dispositivos mediante su actividad de red. Sin necesidad de instalar software. Sin riesgo de interrumpir su funcionamiento.

Trabajo en equipo: cómo NDR complementa a EDR y SIEM

Una pregunta común: ¿sustituye NDR a otras herramientas? No. Y no debería. Es una capa adicional de observación que refuerza los demás medios. EDR analiza mejor los procesos en los hosts, pero no ve las conexiones de red. SIEM agrega logs, pero a menudo no recibe información lo suficientemente detallada sobre el tráfico.

NDR ofrece un nuevo plano de observación — y ayuda a construir una imagen completa de lo que está ocurriendo. Y si se integra con una plataforma XDR, como en PT XDR, entonces todas las fuentes de datos — desde tráfico de red hasta logs y eventos en los hosts — se unifican en una sola cadena. Esto acelera la investigación, reduce la carga sobre los analistas y permite determinar con mayor precisión el alcance y la fase del ataque.

Las personas no son de goma: automatización en lugar de agotamiento

El déficit de especialistas en ciberseguridad es un problema global. Faltan más de 3,5 millones de profesionales en el mundo. Hay más ataques, menos tiempo y más estrés.

NDR reduce la carga cognitiva sobre los equipos SOC. Relaciona eventos automáticamente, detecta incidentes, agrupa señales en cadenas. Esto reduce la rutina, disminuye las falsas alarmas y permite centrarse en lo realmente importante.

Algunos sistemas, como PT XDR, permiten construir escenarios de respuesta automatizados. Por ejemplo: si el tráfico de un servidor interno se dirige a una dirección externa poco común por un puerto no estándar — enviar una alerta, aislar el nodo, iniciar una investigación. Y todo eso — sin intervención humana.

La ley lo exige: NDR y requisitos normativos

La gran mayoría de los reguladores hoy en día exige que las empresas respondan rápidamente a los incidentes. 72 horas según el GDPR, entre 24 y 48 horas según varias normativas nacionales. Pero no se puede responder rápido si no sabes qué ocurrió.

NDR no solo ayuda a ver el incidente — guarda todos los detalles: quién, con quién, cuándo, por qué protocolo, con qué frecuencia, en qué volumen. Esto es la base de los informes, prueba para los reguladores, herramienta para la auditoría interna.

Una escopeta inteligente: NDR y caza proactiva

Las plataformas NDR modernas permiten no solo la detección automática, sino también la caza proactiva de amenazas. Es decir, cuando los especialistas SOC buscan señales de posible intrusión incluso sin una alerta directa.

Las plataformas potentes, como PT Network Attack Discovery, ofrecen acceso retrospectivo al tráfico completo de red. Esto permite volver una semana o incluso un mes atrás y encontrar el momento exacto de la primera acción de compromiso. Y con ello — identificar todos los puntos de entrada y asegurarse de que la amenaza ha sido completamente eliminada.

Un final sin punto

La ciberseguridad ya no puede confiar en herramientas de protección aisladas. El mundo ha cambiado. Los atacantes son más astutos, las infraestructuras más complejas, los riesgos más altos. Y es precisamente por eso que los mejores equipos SOC están adoptando NDR: no porque esté de moda, sino porque no hay otra forma.

La red es lo único que no sabe mentir. A diferencia de los logs, de los hosts, e incluso de los usuarios. Y si quieres saber lo que realmente ocurre en tu infraestructura — empieza a mirar el tráfico.

Y si quieres no solo mirar, sino ver y actuar — elige soluciones maduras y bien pensadas, como PT NAD y PT XDR.