self.post_img_alt

UEBA: cómo la seguridad basada en comportamiento se volvió esencial sin que nos diéramos cuenta

  • Alex De los Llanos Dueñas
  • Abril 2025

Recuerdo una conversación que tuve con un colega hace un par de años. Estábamos tomando café después de un evento sobre ciberseguridad y me dijo algo que me quedó grabado:
—“Hoy en día, el problema ya no son los hackers que entran a lo bruto. El problema son los que se cuelan sin que nadie los vea, moviéndose como uno más.”

Y la verdad es que tenía razón.
Porque en 2025, los ciberataques no siempre tienen forma de virus, ni de ransomware ruidoso. Muchas veces, el atacante ya está dentro, usando cuentas legítimas, moviéndose despacio, copiando datos poquito a poco. Y si solo buscas lo típico —un archivo malicioso, un intento fallido de login—, probablemente no lo detectes.

Ahí es donde, para mí, la seguridad basada en comportamiento (UEBA) dejó de ser una curiosidad tecnológica y pasó a ser una necesidad real.

Entender antes de reaccionar: la nueva mentalidad en ciberseguridad

Al principio, no te voy a mentir, pensaba que todo esto del UEBA era solo otro término bonito que nos vendían para sonar más futuristas. "Analytics", "machine learning", "detección de anomalías"... Sonaba bien, pero también sonaba lejano.

Hasta que lo ves funcionando en serio.

Imagina que tienes a 100 personas trabajando contigo. Todos conectados, todos entrando y saliendo de sistemas, todos usando correos, aplicaciones, bases de datos. Cada uno con sus hábitos, sus horarios, sus rutinas. Sabes que Juan siempre trabaja desde Madrid, que Marta accede de 8 a 5 y que Pedro suele entrar en ciertas carpetas y nada más.

Ahora imagina que una noche, la cuenta de Pedro empieza a descargar gigas de datos de un servidor que normalmente ni toca. No salta el antivirus. No suena ninguna alarma de "archivo sospechoso". Desde fuera, todo parece correcto: Pedro tiene permisos, su login es válido, la IP es la suya.

Pero Pedro no es Pedro.

Eso, precisamente eso, es lo que la seguridad tradicional no ve.
Y eso es lo que UEBA sí detecta.

UEBA funciona entendiendo primero qué es lo normal para cada persona, cada servidor, cada aplicación. No busca patrones universales de ataque, busca desviaciones personales. Y cuando las encuentra, te avisa de que algo huele raro, aunque el sistema, en apariencia, esté en perfecto estado.

Para mí, eso fue un cambio brutal de mentalidad: no buscar lo obvio, sino lo que no encaja.

Lo difícil no es verlo. Lo difícil es interpretarlo bien.

Ahora bien, tampoco quiero venderte la moto de que UEBA es mágico y perfecto. No lo es. No es instalarlo y olvidarte. No es pulsar un botón y estar seguro de golpe.

De hecho, la parte más complicada de un sistema basado en comportamiento es enseñarle bien a diferenciar lo raro de lo peligroso.

Recuerdo un proyecto en el que pusimos en marcha un sistema UEBA en una empresa de servicios financieros. Durante las primeras semanas, saltaba todo tipo de alertas: que si un usuario descargaba más archivos de los habituales, que si otro cambiaba de localización, que si uno entraba más temprano de lo normal. El sistema, técnicamente, hacía su trabajo. Pero no todo lo raro es malo.

Tuvimos que sentarnos, revisar cada alerta, entender cada caso, afinar la sensibilidad, ajustar umbrales, enseñarle a no volverse loco con cada pequeña desviación. Fue trabajo humano, no magia de inteligencia artificial.

Y eso es importante entenderlo: UEBA necesita contexto.
Sin contexto, te ahoga en alertas. Con contexto, te salva de cosas que nunca verías a tiempo.

He visto UEBA detectar un ataque interno antes de que el empleado descargara información sensible. He visto cómo salvaba a una empresa de perder meses de trabajo por culpa de un acceso no autorizado que parecía normal. Pero también he visto lo difícil que es afinarlo para que no grite por cada pequeño cambio.

Es como tener un perro guardián: tienes que enseñarle a ladrar solo cuando hace falta.

¿Vale la pena entonces apostar por UEBA?

Para mí, después de todo lo que he vivido, sí. Absolutamente.

No porque sea la solución a todos los problemas —ninguna lo es—, sino porque añade una capa de sentido común tecnológico que antes no teníamos.
Antes, reaccionábamos cuando veíamos algo explícito: un virus, un fallo de sistema, una intrusión clara. Ahora, podemos actuar cuando notamos que "algo no cuadra", incluso si todo parece normal a simple vista.

Y créeme: esa diferencia de segundos, de minutos, puede ser la diferencia entre una anécdota y una crisis.

¿Que no es barato? No lo es. ¿Que requiere tiempo, paciencia y compromiso? Sí.
Pero también te da algo que hoy en día vale más que cualquier firewall: visibilidad real sobre lo que está pasando dentro de tu propio entorno.

Y en un mundo donde los ataques ya no siempre vienen con bandera de pirata, sino disfrazados de usuarios de confianza, eso no tiene precio.

Conclusión

Hoy, si quieres proteger una empresa de verdad, no puedes depender solo de lo que ves en las alertas básicas. Necesitas entender el comportamiento de tu entorno, anticiparte a lo extraño, actuar antes de que lo extraño se convierta en peligro.

Eso es lo que UEBA aporta: la capacidad de conocer tu propia casa mejor que nadie.
De saber cuándo algo no encaja, aunque el intruso esté vestido de invitado.
De prevenir en vez de lamentar.

En seguridad, como en la vida, el verdadero peligro casi nunca es el que grita. Es el que se mueve en silencio.

Y si quieres sobrevivir en 2025, más te vale aprender a escucharlo. Si necesitas ayuda o asesoramiento en ciberseguridad, contacta con nosotros de inmediato.

Etiquetas:
  • ciberseguridad
  • ueba
  • seguridad basada en comportamiento
  • seguridad empresarial
Categorías:
  • Ciberseguridad
VOLVER