Enero de 2024: un tercero no autorizado accedió a datos personales confidenciales de aproximadamente 16,6 millones de clientes de LoanDepot. Agosto de 2025: Allianz Life sufrió un ciberataque que puso en peligro los datos personales de más de un millón de clientes. Febrero de 2026: un ataque de ransomware contra BridgePay Network Solutions dejó fuera de servicio el portal de facturación en línea de la ciudad de Palm Bay, en Florida.
Se observa una tendencia clara: las instituciones financieras se han convertido en un objetivo muy codiciado para los atacantes.
Estas operaciones suelen ser llevadas a cabo por grupos de ciberdelincuencia organizados o por actores respaldados por Estados que buscan obtener importantes beneficios económicos o provocar la desestabilización del mercado. Si trabajas en el sector financiero y crees que estás a salvo de estos riesgos, es que no estás prestando atención.
El punto de entrada rara vez es sofisticado. En muchos casos, todo comienza con un correo electrónico de phishing. A partir de ahí, los atacantes se desplazan lateralmente, explorando los sistemas internos, ampliando sus privilegios de acceso y acercándose cada vez más a su objetivo inicial: la infraestructura de pagos, las plataformas de negociación y los datos de los clientes.
Aquí es donde muchas entidades financieras pierden el control de la situación: si la visibilidad de la red es limitada, ese movimiento puede pasar desapercibido hasta que sea demasiado tarde; el tiempo medio de detección puede llegar a ser de hasta 181 días.
Este era el reto al que se enfrentaba una importante entidad financiera, que buscaba subsanar las deficiencias en materia de visibilidad y reforzar sus sistemas de detección y respuesta. Para ello, recurrió a OPSWAT MetaDefender NDR, implementándolo en segmentos críticos de su infraestructura con el fin de obtener una visión más detallada del tráfico de red y detectar las amenazas de forma más temprana.
Esta es su historia.
La escasa visibilidad de la red dejó los sistemas del cliente expuestos a movimientos laterales
El cliente contaba con herramientas de supervisión tradicionales, centradas principalmente en las alertas de los terminales y las defensas perimetrales. Estas herramientas funcionaban muy bien a la hora de detectar malware conocido o intentos de inicio de sesión sospechosos, pero adolecían de una falta de visibilidad de la red.
Por lo tanto, la red actuaba como una zona invisible, que era precisamente donde los sistemas de seguridad eran más vulnerables y los equipos del SOC estaban menos preparados para hacer frente a los incidentes. Estos puntos ciegos dieron lugar a:
Latencia en la detección de movimientos laterales
En los bancos y otras instituciones financieras, el movimiento lateral suele ser la fase en la que los atacantes pasan de una estación de trabajo inicialmente comprometida (como el ordenador portátil de un cajero o un equipo de la trastienda) a sistemas de gran valor. Estos sistemas pueden abarcar desde el procesamiento de pagos hasta la infraestructura SWIFT o las bases de datos bancarias centrales.
Para nuestro cliente, el retraso se debía a que dependía de alertas a nivel perimetral, que o bien llegaban tarde o bien ni siquiera se activaban. Con más de 50 000 empleados, los atacantes tenían muchas oportunidades de acceder a los sistemas. Un riesgo que el cliente no estaba dispuesto a asumir.
Flujos de trabajo forenses lentos
En las instituciones financieras, las investigaciones forenses posteriores a una brecha de seguridad suelen verse ralentizadas por la fragmentación de las fuentes de datos, ya que los equipos del SOC pueden verse obligados a correlacionar registros de cortafuegos, alertas de terminales o registros de autenticación. A pesar de la presión añadida para actuar con rapidez, estos equipos pueden seguir teniendo dificultades para determinar qué ha ocurrido realmente y cuál es la mejor estrategia para contener la brecha.
En pocas palabras: los equipos de SOC tenían los ojos vendados, y los posibles atacantes habrían aprovechado esta situación.
CómoMetaDefender NDR la detección y el análisis forense
La brecha de visibilidad se subsanó con MetaDefender NDR; diseñado específicamente para la búsqueda de amenazas en la red, MetaDefender NDR las funciones de visibilidad de red y las herramientas analíticas que faltaban en el arsenal de nuestro cliente.
MetaDefender NDR
MetaDefender NDR las organizacionesNDR detectar, investigar y responder a las amenazas de red con mayor rapidez sin interrumpir las operaciones empresariales.
Mediante el análisis de la telemetría de red para identificar patrones de tráfico anómalos, detecta movimientos laterales entre sistemas y descubre comunicaciones relacionadas con ciberataques.
La plataforma tiene como objetivo ampliar los conocimientos especializados de un analista típico de un centro de operaciones de seguridad (SOC). Gracias a sus modelos de detección asistidos por IA, analiza continuamente el comportamiento de la red para identificar anomalías sutiles que puedan indicar la actividad de un atacante en una fase más temprana del ciclo de vida del ataque.
Para nuestro cliente, la plataforma resolvió los principales problemas que afectaban al rendimiento del SOC.
Detección de movimiento lateral
En lugar de basarse en los puntos finales para informar de la actividad, MetaDefender NDR continuamente el tráfico este-oeste a nivel de red, al tiempo que inspecciona los flujos de tráfico entre los sistemas internos. De este modo, puede detectar patrones como intentos de autenticación repetidos, conexiones inusuales o comunicaciones entre sistemas que normalmente nunca interactúan entre sí.
La latencia se reduce gracias a la combinación del establecimiento de un patrón de referencia del comportamiento de la comunicación interna normal y la detección de anomalías aplicada casi en tiempo real.
Investigaciones forenses más rápidas
MetaDefender NDR registraNDR los metadatos del tráfico y permite realizar análisis retrospectivos. Una vez detectado un IOC (indicador de compromiso), el sistema puede retroceder en el tiempo y comprobar si algún sistema interno se ha comunicado con él en el pasado.
Ahora, los equipos de SOC ya no tienen que intentar reconstruir el tráfico del día en que se produjo un incidente ni buscar registros anteriores; los analistas pueden consultar directamente la telemetría de red almacenada, lo cual resulta especialmente valioso en el sector financiero, donde el tiempo transcurrido tras un ataque puede dar lugar a incumplimientos normativos.
Además, los flujos de trabajo de investigación asistidos por IA ayudaron a los analistas a correlacionar las alertas, priorizar los incidentes de alto riesgo y reducir el tiempo dedicado a la investigación manual, lo que permitió a la institución pasar de una detección reactiva a una supervisión proactiva de la red.
Impacto cuantificable en la visibilidad del SOC y la detección de amenazas
MetaDefender NDR la visibilidad a la capa de red y aplicó análisis de comportamiento al tráfico interno, lo cual resulta especialmente eficaz en entornos financieros segmentados. Además, permitió a los analistas dedicar menos tiempo a recopilar datos y más tiempo a tomar decisiones.
Estos son los resultados en todas las áreas:
| Área de impacto | Resultado cuantificable |
|---|---|
| Visibilidad de la red | Proporcionó una visión detallada de las comunicaciones del sistema financiero interno. |
| Velocidad de detección de amenazas | Los análisis asistidos por IA permitieron detectar antes las actividades sospechosas y los movimientos laterales. |
| Eficacia de la investigación | Reducción del tiempo que necesitan los analistas del SOC para investigar las alertas. |
| Protección operativa | Mayor capacidad para detectar amenazas avanzadas que operan dentro de la red. |
| Respuesta ante incidentes | Respuesta rápida ante posibles ataques antes de que se agraven. |
| Preparación para el cumplimiento normativo | Se requieren capacidades de supervisión reforzadas para cumplir los requisitos de supervisión regulatoria financiera. |
Si las amenazas pasan desapercibidas, la visibilidad lo es todo
Lo hemos visto en películas de atracos y lo hemos visto en la vida real. Para las entidades financieras, la filtración inicial no es peligrosa en sí misma. Si se detecta a tiempo, no puede causar mucho daño, salvo poner de manifiesto el punto débil de una empresa.
Sin embargo, el peligro real surge cuando los atacantes logran infiltrarse en un sistema pero no se apresuran a revelar su presencia. En lugar de eso, observan, se mueven con sigilo y se sitúan cerca de lo que más importa: los pagos o los datos confidenciales de los clientes.
Por eso la seguridad no puede limitarse al perímetro. De lo contrario, los indicadores de compromiso (IOC) pasan desapercibidos hasta que es demasiado tarde.
Con la implantación MetaDefender NDR, nuestro cliente pasó de un sistema de alerta limitado a una vigilancia continua de la red. Ahora, sus equipos del SOC pueden detectar comportamientos sospechosos en el momento en que se producen, relacionar las señales de la red para identificar patrones y actuar antes de que las anomalías se conviertan en incidentes.
Si su organización se está replanteando cómo detectar y responder a las amenazas más allá del perímetro, tal vez sea el momento de ir más allá de los controles tradicionales y plantearse un enfoque a nivel de red. Póngase en contacto con nosotros y descubra cómo MetaDefender NDR ayudarle.
