En esta entrevista, Jorge Hurtado, COO de Advense Iberia, analiza los desafíos de la ciberseguridad, el impacto de la IA y la evolución hacia Zero Trust.
En el panorama actual de la ciberseguridad, los Centros de Operaciones de Seguridad (SOC) se han convertido en una pieza clave para la detección y respuesta ante amenazas digitales. Advens Iberia, con presencia en múltiples países, opera un SOC en España que presta servicios a empresas, mayoritariamente del sector privado.
Para conocer más sobre el funcionamiento del SOC de Advens, su enfoque en inteligencia artificial y los retos que enfrenta el sector, hablamos con Jorge Hurtado, Chief Operating Officer de Advens Iberia. En esta entrevista, analiza la evolución de las ciberamenazas, el impacto de la normativa NIS 2 y los desafíos que plantea el auge de la computación cuántica.
– Advens cuenta con una red global de SOCs. ¿Cuál es su papel en España?
Este es uno de los cinco SOCs que tenemos en Advens. Nuestro centro principal está en Lille (Francia), y contamos con otros en Tahití, Canadá, Alemania y España. Desde esta estructura de SOCs prestamos servicio a 300 clientes. Esto significa que, globalmente, monitorizamos la actividad de un millón de empleados, detectando cualquier anomalía en sus sistemas de información. A escala global, nuestro alcance es mayor, con una cartera de clientes en distintos sectores. Cada cliente tiene necesidades específicas, pero todos buscan lo mismo: minimizar riesgos y fortalecer sus defensas ante las crecientes amenazas cibernéticas.
Lo clave para nosotros no es solo detectar amenazas conocidas, sino también identificar comportamientos anómalos que puedan indicar nuevos métodos de ataque, que es nuestra especialidad. Desde el principio entra en juego nuestra plataforma que diseñamos desde 2015 con la inteligencia artificial en mente, y que cuenta con un amplio backgroud de casos de machine learning y perfilado de usuarios.
En España, tenemos más de 50 clientes, de los cuales 20 cuentan con servicios SOC gestionados. No todos requieren el mismo nivel de supervisión: algunos clientes nos confían todo su stack tecnológico, otros solo la gestión de vulnerabilidades y otros exclusivamente los servicios de SOC.
Para este año tenemos como objetivo trabajar más con la administración pública. De hecho, acabamos de ingresar en la Red Nacional de SOCs, y aspiramos a convertirnos en miembro de oro de la Organización Nacional de SOCs el próximo trimestre.
– ¿Cómo está estructurado el SOC internamente?
El SOC está dirigido por un SOC Manager y cuenta con diferentes niveles de analistas (1,2 y 3). Además, contamos con un equipo de inteligencia que se encarga de analizar la evolución de las tácticas y técnicas de ataque. Cuando detectamos un comportamiento fuera de lo habitual, se genera una alerta que pasa al analista de nivel 1, quien investiga si se trata de un incidente real o un falso positivo.
Trabajamos con un sistema de priorización de incidentes basado en tres niveles: prioridad 1, 2 y 3. Las alertas más críticas se marcan en rojo cuando exceden los SLA (Service Level Agreements) establecidos. De esta forma el SOC Manager gestiona el equipo y asigna tareas según la urgencia.
– Además del SOC, mencionaste que hay otros equipos que trabajan en paralelo. ¿Cómo se estructuran y qué papel juegan en la ciberseguridad?
En paralelo al SOC funcionan otra serie de equipos, y al conjuntos lo llamamos “Fusion Center”, que es donde convergen los distintos equipos especializados. Cada uno tiene una función específica en la detección, respuesta y prevención de amenazas:
El Purple Team es un equipo híbrido que combina ofensiva y defensiva. Se encargan de simular ataques para evaluar cómo responde nuestro SOC y mejorar las defensas. Este equipo híbrido esta compuesto a su vez, por el Blue Team (encargados de gestionar los incidentes y responder a las alertas de seguridad en tiempo real); y el Red Team: quienes certifican o prueban mediante ataques reales para verificar si nuestras reglas de detección funcionan correctamente. También contamos con el Green Team, cuya labor es gestionar la tecnología de seguridad de los clientes, asegurándose de que sus herramientas estén optimizadas y protegidas.
En el centro de todo está el CERT (Centro de Respuesta ante Emergencias), que se activa cuando ocurre una crisis grave. Está compuesto por 15 especialistas dedicados exclusivamente a la gestión de crisis. Son los “bomberos” de la ciberseguridad, cuya misión es contener y erradicar incidentes críticos que afectan a nuestros clientes.
– ¿Cuántos incidentes detectáis tanto en España como a nivel global en los SOCs de Advens ¿Cómo medís la efectividad de estos equipos?
Recibimos cientos de miles de señales cada semana. De todas esas alertas, muchas se descartan porque no representan una amenaza real, pero aun así manejamos un número significativo de incidentes cada día.
A día de hoy, tenemos medida una tasa de detección superior al 98% en ataques realizados el el Red Team, con solo un 3% de falsos positivos. Es decir, cuando alertamos a un cliente sobre una posible amenaza, el 97% de las veces se trata de un incidente real y significativo.
En un solo día, un cliente puede recibir miles de alertas, pero solo unas pocas llegan a escalarse como prioridad 1. Nuestro trabajo es garantizar que cada incidente sea evaluado, “matcheando” esas técnicas y tácticas de los autores de amenazas con las alertas que se van recibiendo, para establecer cuáles son los patrones normales de comportamiento de las herramientas de seguridad del cliente, para evitar falsos positivos con precisión y responder de manera eficiente a las amenazas reales.
Para ponerlo en perspectiva, el año pasado gestionamos 72 crisis reales con clientes. Esto equivale a una crisis cada tres días, sin contar los cientos de miles de alertas que procesamos anualmente. Por eso está nuestro equipo del CERT.
– La normativa NIS 2 busca reforzar la ciberseguridad en Europa. ¿Cómo está afectando su implementación a las empresas y a la forma en que gestionáis la seguridad?
La NIS 2 está teniendo un gran impacto, especialmente en las resposabilidades de los directivos, para que tomen conciencia sobre la protección de los activos de información. De hecho, una de las consecuencias por mala práxis es la inhabilitación para ejercer en otros consejos de administración, incluso en empresas privadas.
Antes, la ciberseguridad solía considerarse un tema técnico, pero ahora los responsables de las empresas entienden que pueden ser inhabilitados si no cumplen con los requisitos de seguridad establecidos.
Otro punto clave de la NIS II es la seguridad en la cadena de suministro. Las empresas pueden trabajar con cientos de proveedores, y por esa razón no deben protegerse solo a sí mismas, sino también asegurarse de que sus proveedores cumplan con los estándares adecuados. Al final, una organización es tan fuerte como su proveedor más débil, dentro de su cadena se suministro.
Si el proveedor más débil al cual la organización ha concedido acceso a al sistema de información tiene una brecha, lamentablemente la organización también se verá afectada. NISS II pone mucho foco en esa posición proactiva de las terceras partes.
– ¿Cómo ha cambiado la gestión del riesgo de terceros con esta normativa?
Antes, nuestro equipo de vigilancia digital se enfocaba en el riesgo directo del cliente, como posibles fraudes o brechas de seguridad. Ahora, muchos clientes nos proporcionan la lista de sus proveedores para que los monitoricemos también. Incluso, mediante un sistema de “scoring” de riesgos, evaluamos a los proveedores y les asignamos una puntuación en función de su nivel de seguridad. Algunas empresas han llegado a establecer límites de seguridad, rechazando trabajar con proveedores que no alcancen un puntaje mínimo.
La NIS 2 está actuando como un catalizador para mejorar la seguridad en toda la cadena de suministro ya que está llevando a que pequeñas y medianas empresas tengan que invertir más en ciberseguridad si quieren seguir siendo competitivas.
– ¿Cómo lo veis el panorama de la ciberseguirdad desde el SOC de Advens?
Es el campo de batalla del siglo XXI y los analistas del SOC son nuestros soldados. En muchas ocasiones tenemos que luchar sin suficientes soldados, porque en el sector hay una gran escasez de talento en ciberseguridad.
Al mismo tiempo, los actores de amenazas cada vez tienen más recursos, lo que hace que la lucha sea más desigual. Hay bandas de cibercriminales con presupuestos millonarios, estructuras organizadas y laboratorios de I+D donde desarrollan nuevas tácticas de ataque. La inteligencia artificial es clave para equilibrar la balanza y ayudarnos a suplir esa falta de personal especializado, que es uno de los problemas que enfrentan todas las empresas.
– ¿Cuáles son las principales tendencias en ciberataques que estáis observando de cara a 2025?
El ransomware sigue siendo una de las principales amenazas, pero ahora estamos viendo un aumento significativo en el robo de información y en técnicas de phishing cada vez más sofisticadas y perfeccionadas por el uso de Inteligencia Artificial.
Los atacantes han aumentado su nivel de sofisticación, por lo que nuestra capacidad de anticipación y detección debe ser aún mayor. Cada vez vemos ataques más sofisticados, como phishing generado con IA, que es casi imposible de distinguir de un correo legítimo. Antes, podíamos identificar correos de phishing por errores gramaticales o estructuras sospechosas. Ahora, los atacantes utilizan IA para generar mensajes perfectamente redactados y personalizados, lo que hace que sean mucho más difíciles de detectar.
– Con esta evolución de los ataques, ¿cómo estáis adaptando vuestra estrategia de defensa?
La lucha contra las amenazas de ciberseguridad es una carrera constante entre atacantes y defensores. Para hacer frente a este desafío, nuestros sistemas EDR de detección con inteligencia artificial se actualizan con información que extraemos cada minuto, y nutren a los modelos de machine learning que analizan patrones de comportamiento y detectan anomalías en tiempo real. Pero la inteligencia artificial no solo es una ventaja para nosotros. Los atacantes también están incorporando técnicas avanzadas basadas en IA, lo que hace que esta lucha evolucione constantemente.
Por otro lado, consideramos que la clave es la colaboración. Nuestro SOC trabaja en estrecha relación con más de 30 instituciones, incluyendo el CCN-CERT, INCIBE y el CERT de Luxemburgo, compartiendo información sobre incidentes y nuevas tácticas de ataque. Este intercambio de inteligencia nos permite mejorar la detección y respuesta ante amenazas en tiempo real.
– Muchas empresas están migrado a entornos cloud híbridos. ¿Cómo afecta esto a la ciberseguridad?
La virtualización en todos los entornos es un hecho y todos los clientes están avanzando en esa dirección. Sin embargo, hemos observado que algunas empresas que intentaron migrar su infraestructura al cloud público ahora están volviendo a modelos híbridos.
Desde el punto de vista de la ciberseguridad, el cloud tiene grandes ventajas si se usa correctamente. Yo soy un defensor de que en el cloud estamos muchos más seguros que en los entornos on-premise, siempre que se gestione bien, porque nos ofrece más seguridad. La capacidad de control, monitorización y respuesta en la nube es enorme, pero también lo es el riesgo si no se toman las medidas adecuadas. La capacidad para “meter la pata” en el cloud también es infinita. Mucha gente migra al cloud sin tener un conocimiento profundo de cómo configurarlo de manera segura. Se creen que es tan fácil como la infraestructura como código y eso puede terminar mal.
De hecho, las brechas de seguridad más costosas suelen estar relacionadas con errores en la gestión de la nube, porque todo está a un clic de distancia dentro del cloud. Entonces eso puede servir tanto para lo bueno como para lo malo. Nuestra experiencia es que es más cómodo para el usuario, y desde el punto de seguridad nosotros estamos más satisfechos porque tenemos mayor visibilidad de todo.
– ¿Es más seguro un entorno basado en Zero Trust que uno on-premise tradicional?
Definitivamente sí. Muchas infraestructuras on-premise siguen operando con sistemas obsoletos y con grandes deudas tecnológicas, lo que genera vulnerabilidades difíciles de solucionar.
Son un infierno porque a pesar de conocer la solución, muchas veces no se puede aplicar porque el fabricante no da soporte, porque el negocio depende enteramente de un sistema que está basado en un Windows 2003 o en XP. Entonces esas son las cosas que realmente a nosotros nos preocupan más, como la obsolescencia tecnológica y que se ha asumido el riesgo, que es altísimo.
Hoy los modelos de Zero Trust que están inherentemente asociados al cloud y al trabajo remoto nos permiten tener mucho más control sobre accesos y mayor capacidad de respuesta ante incidentes.
– ¿Falta especialización en seguridad cloud en el mercado laboral?
Sí, y es un problema crítico cuando hablamos de temas de cloud en general, pero particularmente en ciberseguridad. En España hay profesionales con gran experiencia en ciberseguridad tradicional, pero falta talento especializado en cloud y en tecnologías SaaS nativas. Todavía hay gente que no entiende que el perfil de ciberseguridad también necesita un poco de conocimiento en desarollo para automatizar en el cloud. Me parece difícil encontrar ese perfil profesional que aune el cloud nativo con conocimiento puro de ciberseguridad
– ¿Ese es el perfil más difícil de encontrar hoy en día?¿El perfil nace viejo?
Totalmente. Al perfil le cuesta llegar. La ciberseguridad moderna necesita automatización nativa en cloud, lo que implica conocimientos en programación. Y si además le sumamos habilidades de desarrollo, todavía es más complicado
El problema es que aún existe una separación muy fuerte entre perfiles: quienes hacen ciberseguridad y quienes hacen desarrollo. Pero en el cloud, estas áreas deben converger. Un especialista en seguridad que no entiende de automatización o desarrollo tendrá dificultades en los entornos actuales. Este es un desafío urgente porque cada vez más empresas operan en entornos híbridos y necesitan expertos capaces de protegerlos eficazmente.
– Hemos hablado del impacto de la inteligencia artificial en la ciberseguridad, pero ¿qué pasará cuando la computación cuántica sea una realidad accesible?
Todavía peor. La computación cuántica representará un desafío enorme, especialmente en todo lo relacionado con cifrado y protección de datos. De momento, la computación cuántica sigue en fase experimental y está limitada a instituciones gubernamentales, centros de investigación y grandes corporaciones tecnológicas. Sin embargo, llegará el día en que los actores de amenazas también tengan acceso a estas capacidades, y cuando eso ocurra, será necesario un replanteamiento global por completo en los esquemas de cifrado para cumplir con los estándares de seguridad.
En sectores como el financiero y entidades de gobierno relacionadas con la seguridad, hay muchas empresas que ya nos están pidiendo asesoramiento para identificar el inventario de algoritmos criptográficos que utilizan actualmente y y prepararse de cara al futuro. Ya se están protegiendo para lo que pueda venir.
Un estudio de LiceoTIC desvela que la duración media en el rol de Chief Information…
De momento, el segundo trimestre de su ejercicio 2025 ha terminado con más de 8000…
GoDaddy asume la gestión del ciclo de vida del SSL, desde la instalación a la…
También quiere capacitar a 5.000 instructores para los ámbitos de la inteligencia artificial, la ciberseguridad,…
La falta de inversión en startups tecnológicas, la fragmentación del mercado y el exceso de…
Según cálculos de la consultora Juniper Research, este adelantamiento se producirá en 2028, año en…
