Supongamos que acaba de comprar una casa nueva. Aunque está en una urbanización privada con guardias de seguridad, no quiere arriesgarse, así que instala un sistema de seguridad de última generación. Todos los días recibe un aluvión de alertas en su teléfono, que se activan cuando su familia entra y sale por la puerta principal, cuando abre una ventana para tomar el aire y cada vez que su perro pasa junto al detector de movimiento.

Al cabo de unas semanas, empieza a ignorar las alertas, convencido de que no hacen más que detectar comportamientos normales e inocuos. Entonces, un día, se produce un robo en su casa. Usted revisa las alertas y comprueba que han abierto la puerta principal y ha saltado la alarma. ¿Cómo no se dio cuenta?

Este es el dilema al que se enfrentan hoy en día los profesionales de la ciberseguridad. El otrora manejable firewall y software antivirus de una empresa, se ha visto desbordado; con más dispositivos, usuarios, sistemas y herramientas, los datos se generan a un ritmo vertiginoso. Este crecimiento exponencial de los datos supervisados (algo necesario dado que los actores de amenazas lanzan un ataque cada 39 segundos) ha provocado una avalancha de alertas. Cuando esos datos no se gestionan y filtran de forma eficaz, los falsos positivos aumentan y las amenazas reales pasan desapercibidas, ya que incluso un equipo de seguridad experimentado puede verse atrapado en medio de un mar de confusión.

Falsos positivos: Un juego de cifras con graves consecuencias

Los falsos positivos son las alertas de seguridad que se generan como consecuencia de una actividad considerada sospechosa pero que, en última instancia, tiene su origen en un suceso inofensivo. La frecuencia de los falsos positivos es asombrosa. En el informe Estado de la Detección y Respuesta a las Amenazas del año pasado, el 48 % de los profesionales de la seguridad informaron de un aumento de 3 veces en el número de alertas diarias, señalando que al menos el 50 % eran falsos positivos.

En el Informe sobre la Fatiga por Alertas en la Seguridad de la Nube de 2022, Orca reveló que el 59% de las organizaciones reciben más de 500 alertas de seguridad en la nube al día, y el 38% más de 1000. Así mismo, el 56% de los equipos afirmaron dedicar más del 20% de su jornada laboral a investigar y priorizar las alertas, aunque la mayoría de los equipos señalaron que solo el 10% de las alertas eran críticas. Los falsos positivos no sólo hacen perder el tiempo; el 55% de los encuestados afirman que diariamente se ignoran alertas críticas debido a la insensibilización de los equipos y a una priorización ineficaz de las alertas.

¿Qué hay detrás de estas “tormentas de alertas”? La respuesta se resume en una palabra: crecimiento. El ritmo de los ciberataques crece, la superficie de ataque crece y, para hacer frente a ambas situaciones simultáneamente, crece el número de herramientas de seguridad que utilizan las empresas. Sin embargo, el aumento del número de herramientas de distintos proveedores se traduce en un mayor número de alertas (falsos positivos y alertas verdaderas) y en una mayor fatiga por alertas debido a la existencia de herramientas inconexas que informan de las mismas alertas.

Las causas de los falsos positivos

Acabar con los falsos positivos es un desafío constante, ya que las reglas y definiciones más estrictas pueden detectar más amenazas, pero también detectan un mayor número de actividades inofensivas como sospechosas. Y, por el contrario, unas reglas menos estrictas reducen los falsos positivos, pero aumentan el riesgo de pasar por alto las amenazas reales.

La complejidad del sistema dificulta la definición de reglas claras que distingan con precisión entre las actividades maliciosas y las actividades normales, por lo que a veces combinaciones inesperadas de acciones lícitas pueden desencadenar falsos positivos. La eficacia de la detección basada en anomalías depende en gran medida de la calidad y exhaustividad de los datos analizados; unos datos incompletos o imprecisos pueden dar lugar a falsos positivos, ya que la herramienta puede interpretar como sospechosas las desviaciones normales. 

Además, a medida que los atacantes modifican sus tácticas, los criterios de lo que se considera sospechoso cambian constantemente, lo que hace que las herramientas de seguridad tengan que ponerse al día constantemente. En el momento en que se crea una firma o una regla basada en anomalías para detectar una amenaza concreta, es posible que los atacantes ya hayan cambiado de método. Incluso con las mejores herramientas, los analistas tienen que revisar y verificar las alertas, pero el cansancio, la falta de formación o un simple error humano pueden llevar a pasar por alto amenazas reales o a validar erróneamente los falsos positivos.

Las consecuencias de la sobrecarga de alertas y los falsos positivos

Además de estar al límite de su capacidad, los equipos de seguridad tienen que investigar un sinfín de alertas que, en su mayoría, son falsos positivos; de hecho, casi la mitad de los encuestados en el informe de Orca afirman que más del 40% de las alertas son falsos positivos. Aun así, cada alerta exige una investigación. Con el tiempo, es inevitable que aparezca la fatiga asociada a las alertas, lo que lleva a la insensibilización y a pasar por alto las amenazas reales. A su vez, la empresa se arriesga a sufrir brechas de datos, interrupciones en su actividad, pérdidas económicas y daños a su reputación. Es como el niño que gritaba que venía el lobo, sólo que esta vez el lobo es un ciberdelincuente, y las consecuencias son mucho más graves que un viaje en balde al redil. 

Desde el punto de vista humano, la fatiga por alertas es uno de los principales factores que contribuyen al agotamiento, a la rotación de personal y a la disminución de la moral entre los equipos de seguridad, lo que debilita aún más las defensas de la organización. 

Las alertas crean una falsa sensación de seguridad

Cuando las alertas filtradas y priorizadas de forma inadecuada inundan el sistema, es fácil sentirse abrumado e insensible. Un flujo constante de falsos positivos confirmados puede llevar a los equipos a experimentar una falsa sensación de seguridad. Incluso pueden llegar a creer que sus defensas son eficaces simplemente porque se activan constantemente, sin percatarse de que la ausencia de amenazas reales supone la existencia de un punto ciego en su proceso de supervisión o investigación. 

Las deficiencias en el filtrado y la priorización son igualmente problemáticas, ya que provocan el despilfarro de recursos y la pérdida de oportunidades a la hora de detectar amenazas. Un ataque sofisticado podría pasar desapercibido porque no se ajusta a los criterios de generación de alertas, una vulnerabilidad crítica podría considerarse de bajo riesgo por su similitud con un falso positivo anterior, o una amenaza de alta prioridad podría ignorarse en favor de alertas de menor prioridad.

Las avalanchas de alertas sin filtrar, dificultan la priorización y pueden conducir a la parálisis en la toma de decisiones, mermando la capacidad de un equipo para responder con rapidez y decisión. El estudio de Orca reveló que el 79% de las organizaciones reciben más de 500 alertas de seguridad en la nube al día, y el 46% de los equipos afirman que tardan tres o más días en solucionar una alerta. Incluso si se detecta una amenaza potencial, entenderla sin una correlación de eventos y sin contexto dificulta la obtención de una imagen real de la situación. El resultado son tiempos de respuesta lentos que permiten a los atacantes infligir más daño antes de ser detenidos.

Aceptar lo inevitable, pero nunca las consecuencias

Los falsos positivos son la triste realidad de un panorama cibernético en constante evolución, pero no tiene por qué enfrentarse solo a esta incesante avalancha de alertas. El sistema de Detección y Respuesta Gestionadas (MDR) de CYREBRO, basado en tecnología propia, está diseñado para reducir los falsos positivos y aumentar significativamente la detección de amenazas con una precisión milimétrica. Utilizando información relevante sobre amenazas, análisis avanzados y datos forenses, nuestros expertos analistas clasifican las alertas, investigan los incidentes y proponen las medidas de mitigación adecuadas. La claridad de la información que ofrecemos, permite a su equipo centrarse en los peligros causados por los ataques reales en lugar de perder el tiempo entre falsas alarmas.

Cuando esto se combina con nuestro sistema de Gestión de Eventos e Información de Seguridad (SIEM), optimizado y ajustado continuamente mediante el marco ATT&CK de MITRE y otros métodos, es posible mejorar su resiliencia general y reforzar su entorno. En un mundo digital caótico, los equipos de ciberseguridad no pueden permitirse cometer errores y pasar por alto las amenazas debido a los falsos positivos. La única forma de evitar que su equipo se ahogue es equiparlo con soluciones de seguridad eficaces que aligeren su carga y le ayuden a hacer frente a la tormenta.