El State of SIEM Detection Risk Report 2025, elaborado por CardinalOps en su quinta edición, revela un preocupante desfase entre los datos que las organizaciones están incorporando a sus sistemas SIEM (Security Information and Event Management) y su capacidad real para detectar amenazas. Aunque los entornos analizados ingieren una media de 23.746 fuentes únicas de logs, correspondientes a 259 tipos de logs diferentes, la cobertura efectiva frente a técnicas del marco MITRE ATT&CK apenas alcanza el 22%.
Esto significa que los SIEM empresariales no tienen reglas de detección para el 78% de las técnicas más comunes utilizadas por los atacantes. Incluso cuando se reduce el foco a las 10 técnicas más frecuentemente observadas en ataques reales, la cobertura media es de sólo 4 de cada 10.
El informe, que analiza más de 13.000 reglas de detección en producción y 2,5 millones de fuentes de logs, refleja también una mejora en la calidad de las reglas: el porcentaje de reglas rotas ha descendido al 10%, la cifra más baja desde que comenzó el estudio en 2021. Aun así, esto implica que 1 de cada 10 reglas no funciona, lo que deja a los equipos de seguridad ciegos ante posibles ataques activos.
Reglas rotas
En promedio, las organizaciones cuentan con 163 reglas activas en sus SIEM, lo que indica que unas 16 de ellas están inoperativas. Además, en los últimos tres años se ha observado una reducción sostenida en la cantidad total de reglas, lo que el informe interpreta como un cambio de paradigma hacia la calidad sobre la cantidad: reglas más duraderas, menos ruido y mayor precisión en la detección.
CardinalOps también destaca la creciente complejidad de los entornos tecnológicos. La adopción de arquitecturas híbridas y multicloud ha generado infraestructuras dispersas, formatos de logs inconsistentes y una presión constante sobre los equipos de ingeniería de detección. La sofisticación de los atacantes también ha aumentado, incluyendo ataques multietapa, malware polimórfico y el uso de IA para evasión y automatización de ataques.
El informe recomienda adoptar un enfoque más sistemático y automatizado de la ingeniería de detección, abandonando prácticas manuales en favor de procesos escalables que mejoren la cobertura y reduzcan los falsos positivos y negativos. Asimismo, propone integrar las reglas de detección como parte de programas de gestión continua de exposición a amenazas (CTEM), utilizando los SIEM como herramientas clave no solo para detectar, sino también para mitigar riesgos cuando no se pueden aplicar controles preventivos.
Finalmente, se pone en valor el marco MITRE ATT&CK como referencia para evaluar y mejorar la postura de detección, aunque se advierte que pocas organizaciones son conscientes de su verdadero nivel de cobertura. Como resume Anton Chuvakin, asesor de seguridad en Google Cloud: “La herramienta importa menos que cómo la uses. Un buen equipo con un SIEM medio es más eficaz que uno mediocre con la mejor tecnología”.
