Un SIEM (Security Information and Event Management) centraliza logs, correlaciona eventos y dispara alertas cuando detecta patrones sospechosos en la infraestructura corporativa. Cualquier empresa con más de cincuenta endpoints genera millones de eventos diarios entre firewalls, servidores, antivirus y aplicaciones cloud. Sin una plataforma de security information event management que agrupe ese ruido, el equipo de seguridad navega a ciegas. La detección de amenazas moderna se apoya en correlación de eventos entre fuentes heterogéneas: un login fallido aislado no significa nada, pero diez fallos seguidos desde una IP extranjera contra una cuenta de administrador, mientras esa misma IP escanea puertos en otro segmento, sí. Las alertas de seguridad bien afinadas marcan la diferencia entre detectar un ransomware en hora cero o leerlo en la prensa al día siguiente.
Qué hace exactamente un SIEM dentro de la empresa
Un SIEM ingiere datos de prácticamente cualquier dispositivo que escupa logs: routers Cisco, controladores de dominio Windows, sondas IDS, EDR, aplicaciones SaaS como Microsoft 365 o Google Workspace, contenedores Kubernetes y bases de datos. Los normaliza a un formato común y aplica reglas de correlación que buscan patrones definidos por analistas o por modelos de machine learning.
El concepto nació hacia 2005, cuando Gartner fusionó dos categorías previas: SEM (gestión de eventos en tiempo real) y SIM (almacenamiento y análisis forense). De ahí el nombre híbrido. Hoy las plataformas más conocidas son Splunk Enterprise Security, IBM QRadar, Microsoft Sentinel, Elastic Security y, en el mundo open source, Wazuh, que ofrece capacidades equiparables a soluciones comerciales sin coste de licencia.
Las funciones nucleares son cuatro:
- Recolección y normalización de logs desde fuentes dispares.
- Correlación mediante reglas, queries y modelos UEBA (User and Entity Behavior Analytics).
- Alertado con escalado automático según severidad.
- Retención para análisis forense y cumplimiento normativo (RGPD, ENS, ISO 27001, NIS2).
Casos de uso reales: cuándo el SIEM salva la noche
La teoría está bien, pero el SIEM se gana el sueldo en escenarios concretos. Algunos ejemplos que cualquier SOC reconoce sin esfuerzo:
Detección de movimiento lateral. Un atacante compromete la cuenta de un becario y empieza a saltar entre máquinas usando credenciales robadas. El SIEM correlaciona logins de esa cuenta en hosts donde nunca había aparecido, combinados con ejecuciones de PsExec o WMI fuera del horario laboral. Sin correlación, cada evento parece legítimo.
Exfiltración de datos. Un empleado descarga 15 GB del SharePoint a una IP residencial fuera de España un domingo por la tarde. El proxy lo registra, el DLP lo registra, el firewall lo registra. El SIEM une los tres y dispara una alerta crítica antes de que termine la transferencia.
Explotación de vulnerabilidades conocidas. Cuando salió CVE-2021-44228 (Log4Shell) en diciembre de 2021, los equipos con SIEM bien configurado escribieron una regla en horas para detectar patrones ${jndi:ldap:// en logs HTTP. Quienes no tenían SIEM tardaron semanas en saber si estaban comprometidos.
Ataques tipo subdomain takeover o session hijacking, donde la pista está en cookies anómalas o cambios en registros DNS que pasan desapercibidos sin agregación centralizada.
Arquitectura típica: cómo se monta un SIEM sin morir en el intento
El despliegue de un SIEM corporativo sigue un patrón bastante estandarizado, aunque el tamaño cambia según la empresa. Los componentes habituales:
| Componente | Función | Ejemplos |
|---|---|---|
| Agentes / forwarders | Recogen logs en endpoints y los envían | Wazuh agent, Splunk Universal Forwarder, Winlogbeat |
| Indexador / motor de búsqueda | Almacena y permite consultar eventos | Elasticsearch, Splunk indexer |
| Motor de correlación | Aplica reglas y dispara alertas | Sigma rules, KQL en Sentinel, SPL en Splunk |
| Consola / dashboard | Visualización para analistas | Kibana, Splunk Web, portal Sentinel |
| SOAR (opcional) | Automatiza respuesta a incidentes | Cortex XSOAR, Tines, Shuffle |
El error clásico al implantar un SIEM es activar todas las fuentes posibles desde el día uno. Resultado: terabytes de logs, miles de alertas falsas y un equipo que termina ignorándolas todas (la temida alert fatigue). El enfoque sensato es empezar por los activos críticos (controlador de dominio, servidores expuestos, EDR) y añadir fuentes de forma progresiva mientras se afinan reglas.
SIEM gestionado, propio o híbrido: la decisión incómoda
No todas las empresas necesitan un SOC interno 24x7. La elección del modelo depende del tamaño, sector regulado y presupuesto.
- SIEM propio (on-premise o cloud autogestionado). Máximo control, soberanía del dato, pero exige analistas especializados disponibles fuera de horario. Una empresa mediana puede gastar aproximadamente entre 50.000 y 200.000 euros anuales solo en licencias y personal, según estimaciones de mercado para 2025.
- MSSP / SOC gestionado. Externalizas la operación a un proveedor que monitoriza tus logs. Más barato a corto plazo, pero los tiempos de respuesta y la calidad varían mucho entre proveedores. Pide SLAs concretos por escrito.
- Modelo híbrido. El SIEM lo gestiona la empresa pero un MSSP cubre los turnos de noche y fines de semana. Es la opción más habitual en empresas de 200 a 1.000 empleados.
Sectores como banca, sanidad y administración pública están obligados por ENS (Esquema Nacional de Seguridad) y la directiva europea NIS2 a disponer de capacidades de detección y respuesta. Para muchas pymes industriales catalogadas como entidades esenciales o importantes, NIS2 ha convertido el SIEM en una obligación de facto desde su fecha límite de transposición en octubre de 2024.
Errores frecuentes al desplegar un SIEM
El sector está lleno de proyectos SIEM que acabaron como elefantes blancos: caros, ruidosos e inútiles. Los fallos más repetidos:
- Falta de casos de uso definidos. Comprar la herramienta antes de saber qué amenazas se quieren detectar es garantía de fracaso.
- Reglas genéricas sin tunear. Las reglas out-of-the-box generan ruido. Hay que adaptarlas al entorno real (qué cuentas son de servicio, qué horarios son normales, qué IPs son legítimas).
- No medir el coste por GB ingerido. Splunk facturando por volumen ha arruinado más de un presupuesto. Filtra logs en origen para no enviar lo que no aporta.
- Ignorar la fase de respuesta. Detectar sin saber qué hacer después no sirve de nada. Los playbooks deben estar escritos antes de la primera alerta.
- No formar al equipo. Un SIEM sin analistas formados es un dashboard caro. La inversión en formación continua es tan crítica como la licencia.
Para complementar la detección con visibilidad sobre el comportamiento de los usuarios, conviene revisar técnicas como el browser fingerprinting, que muchos SIEM modernos integran en sus módulos UEBA para detectar sesiones legítimas vs. robadas.
Integración con threat intelligence y MITRE ATT&CK
Un SIEM aislado tiene utilidad limitada. Su valor crece notablemente al conectarlo con feeds de threat intelligence (AlienVault OTX, MISP, feeds comerciales como Recorded Future) y al mapear sus reglas contra el framework MITRE ATT&CK.
MITRE ATT&CK es la taxonomía de referencia para clasificar tácticas, técnicas y procedimientos (TTPs) de los atacantes. Una empresa con SIEM maduro puede mostrar en un dashboard qué porcentaje de las técnicas ATT&CK relevantes para su sector tiene cubiertas con reglas de detección. Eso se denomina detection coverage y es la métrica que cualquier CISO debería poder enseñar a su comité de dirección.
Plataformas como Sigma permiten escribir reglas de detección en un formato neutral y compilarlas a la sintaxis de cada SIEM concreto. Un repositorio público de reglas Sigma en GitHub mantiene cientos de detecciones validadas por la comunidad.
Preguntas frecuentes
Cuánto cuesta un SIEM para una empresa mediana?
El rango es enorme según el modelo. Un Wazuh autogestionado puede costar solo el hardware y el tiempo del equipo. Un Splunk o QRadar comercial para una empresa de 500 empleados ronda, según estimaciones del mercado en 2025, entre 60.000 y 150.000 euros anuales en licencias, sin contar personal. Microsoft Sentinel factura por GB ingerido y suele ser competitivo si ya usas Azure.
Diferencia entre SIEM, EDR y XDR?
El EDR (Endpoint Detection and Response) protege endpoints concretos. El SIEM agrega y correlaciona datos de múltiples fuentes, no solo endpoints. El XDR (Extended Detection and Response) es una evolución que combina capacidades de EDR, NDR y análisis de identidad en una plataforma única, normalmente del mismo fabricante. No se sustituyen, se complementan.
Es obligatorio tener SIEM por RGPD o NIS2?
El RGPD no menciona SIEM literalmente, pero exige medidas técnicas para detectar brechas de datos en menos de 72 horas. Sin un sistema centralizado de detección, cumplir ese plazo es casi imposible. NIS2 sí impone capacidades de monitorización continua para entidades esenciales e importantes, y el SIEM es la respuesta estándar.
Qué SIEM open source recomendáis para empezar?
Wazuh es la opción más popular: agente propio, reglas predefinidas, integración con MITRE ATT&CK y comunidad activa. Para entornos más orientados a búsqueda y exploración, Elastic Security (con su Elastic Stack) ofrece flexibilidad superior. Ambos son gratuitos en su versión core.
Cuántos analistas necesito para operar un SIEM 24x7?
Un SOC interno con cobertura completa requiere mínimo 6-8 analistas para cubrir tres turnos con relevos, vacaciones y bajas. Por eso muchas empresas optan por modelos híbridos o externalizan los turnos nocturnos a un MSSP especializado.
El siguiente paso
Descarga Wazuh en una máquina virtual, conecta el agente a uno de tus servidores Windows o Linux y observa qué eventos genera durante 48 horas. Esa primera toma de contacto te dará más información sobre las necesidades reales de tu empresa que cualquier presentación comercial.
