Blog A3Sec

El aporte del SIEM en la búsqueda del SOC Autónomo

Escrito por Javier Díaz Evans, Director General Global | 25 noviembre, 2025

La evolución de los fabricantes de plataformas de Gestión de Eventos e Información de Seguridad (SIEM) ha sido impulsada en los últimos años por la necesidad de migrar de soluciones centradas en el cumplimiento normativo a plataformas avanzadas de Detección, Investigación y Respuesta a Amenazas (TDIR), con un fuerte enfoque en la analítica basada en comportamiento (UEBA) y la arquitectura como servicio (SaaS/Cloud-Native).

A continuación, se detalla la evolución y las características clave que definen el liderazgo o la pérdida de este.

 

Evolución de los Fabricantes de SIEM (2014 - 2025)

La evolución del mercado se puede segmentar en fases principales, marcadas por los criterios cambiantes de Gartner y las innovaciones tecnológicas de los líderes del mercado.

1. Fase Inicial: Enfoque en Log Management y Cumplimiento (2010 - 2015)

En esta fase, la adopción de la tecnología SIEM fue impulsada por la detección de amenazas y, secundariamente, por las necesidades de cumplimiento.

1) Periodo - 2014

Fabricantes Líderes (Ejemplos): IBM Security, HP, Splunk, McAfee, EMC (RSA), LogRhythm

Características Dominantes: Gestión de logs (SIM), gestión de eventos de seguridad (SEM), correlación en tiempo real y cumplimiento normativo.

2) Periodo - 2015

Fabricantes Líderes (Ejemplos): IBM Security, HP, Splunk, Intel Security (McAfee), LogRhythm

Características Dominantes: Detección de ataques dirigidos, necesidad de inteligencia de amenazas, profiling y mejor analítica.

Factores de Pérdida o Limitación de Liderazgo:

                                • - Complejidad y Costo: Soluciones percibidas como demasiado complejas o costosas (por ejemplo, HP ArcSight y Splunk, cuyo modelo de licenciamiento basado en el volumen de datos indexados generaba preocupaciones de costo).

                            • - Falta de Analítica Avanzada: Los proveedores que solo ofrecían correlación basada en reglas comenzaban a perder visión frente a la necesidad de profiling y detección de anomalías.

2. Fase de Transición: Analítica de Comportamiento y Adopción de la Nube (2016 - 2020)

El mercado se transforma, priorizando la analítica avanzada, especialmente UEBA, y comienza el cambio hacia modelos nativos de nube para simplificar la gestión y el escalado.

1) Periodo - 2017

Fabricantes Líderes (Ejemplos): Splunk, IBM, LogRhythm, Micro Focus (ArcSight), McAfee, Dell Tech (RSA)

Características Dominantes: Analítica de Comportamiento de Usuarios (UEBA), adopción de Big Data, y orquestación y automatización (SOAR).

2) Periodo - 2020

Fabricantes Líderes (Ejemplos): Splunk, IBM, Exabeam, Securonix

Características Dominantes: Consumo SaaS, integración EDR/NTA, analítica UEBA como función central, y modelos de precios no basados en volumen.

Características Clave de Liderazgo:

    • - Dominio de UEBA: Fabricantes como Exabeam y Securonix ascendieron rápidamente al incorporar UEBA y aprendizaje automático (ML) como capacidades fundamentales, proporcionando una detección de amenazas más efectiva y simplificando las investigaciones mediante "Smart Timelines" (Exabeam).
    • - Modelos de Precios Predecibles: La adopción de licencias basadas en el número de usuarios o activos (en lugar de volumen de datos ingeridos o EPS) redujo la "fricción de compra" y permitió a los clientes controlar el costo del SIEM (Exabeam, LogPoint, Rapid7).
    • - Enfoque en Servicios en la Nube (SaaS): La aparición y madurez de soluciones SaaS (como AlienVault USM Anywhere y, notablemente, el lanzamiento de Microsoft Sentinel a finales de 2019) fue un factor clave para la visión, facilitando el despliegue y la operación.
    • - Integración de SOAR: La integración nativa o estrecha con soluciones de Orquestación, Automatización y Respuesta (SOAR) se volvió esencial para operaciones ciber seguras y automatizadas. Splunk, por ejemplo, incluye SOAR con su producto.

    • Factores de Pérdida o Limitación de Liderazgo:

    • - Retraso en la Arquitectura Moderna: Los proveedores con arquitecturas legadas (como IBM QRadar, que en 2020 todavía tenía un UX inconsistente y complejo; y LogRhythm, que usaba una mezcla de Windows Server y MS SQL) vieron su ejecución obstaculizada.
    • - Falta de Analítica Avanzada: Fabricantes que carecían de capacidades nativas de analítica avanzada o dependían de módulos opcionales caros (McAfee 2017) perdieron tracción.
    • - Dependencia del Despliegue Local: La falta de una oferta SaaS entregada por el propio proveedor (como RSA NetWitness o Fortinet FortiSIEM en 2020) limitó su alcance en el mercado, especialmente para compradores que buscaban simplicidad operativa.

    • 3. Fase de Consolidación y Plataformas Cloud-Native (2021 - 2025)

El mercado se define por la arquitectura nativa en la nube (Cloud-Native), el crecimiento de las ofertas de Detección y Respuesta Extendidas (XDR), y la integración de la Inteligencia Artificial (AI/GenAI) en los flujos de trabajo.

1) Periodo - 2021

Fabricantes Líderes (Ejemplos): Exabeam, IBM, LogRhythm, Rapid7, Securonix, Splunk (Líderes)

Características Dominantes: SIEM Cloud-Native, Analítica UEBA avanzada, Integración total con SOAR/XDR, y Gestión de Costos del Dato (Data Cost Bloat).

2) Periodo - 2024

Fabricantes Líderes (Ejemplos): Exabeam, IBM, Microsoft, Securonix, Splunk (Líderes)

Características Dominantes: Ecosistema altamente integrado (Microsoft), Analítica UEBA/ML avanzada, Opciones de precios flexibles, Compromiso a largo plazo con arquitecturas locales (LogRhythm).

3) Periodo - 2025

Fabricantes Líderes (Ejemplos): Exabeam, Google, Gurucul, Microsoft, Securonix, Splunk (Líderes)

Características Dominantes: TDIR con AI/GenAI, Data Management Options (lakes), Arquitectura SaaS/Cloud-Native (requisito comercial/funcional más estricto).

  • Características Clave de Liderazgo (2021-2025):

  •  

    • - Dominio de la Nube (SaaS/Cloud-Native): Microsoft Sentinel, como solución exclusivamente SaaS y nativa de Azure, ejemplifica la nueva era de liderazgo, ofreciendo escalabilidad elástica y un modelo de pago por uso (pay-as-you-go).
    • - Integración de Ecosistemas de Seguridad: Los líderes (Microsoft, Splunk, Securonix, Palo Alto Networks) han priorizado la integración de sus plataformas SIEM con sus propias ofertas de EDR, NDR y soluciones de identidad (IAM) para ofrecer una experiencia TDIR unificada.
    • - Analítica Avanzada y GenAI: Las capacidades superiores de UEBA y ML siguen siendo cruciales (Exabeam, Securonix, Gurucul). Además, la inversión en Inteligencia Artificial Generativa (GenAI) para simplificar consultas, automatizar el triaje y enriquecer flujos de trabajo se está convirtiendo en un nuevo diferenciador clave (Google SecOps, Fortinet, Splunk).
    • - Flexibilidad de Datos y Costos: La aparición de modelos de licenciamiento flexibles (basados en créditos, usuarios o cargas de trabajo como Splunk Virtual Compute) y la capacidad de buscar en data lakes de terceros (Securonix, Exabeam, Devo) se han convertido en elementos de liderazgo para combatir el "descontrol de costos" y abordar los requisitos de soberanía de datos.

    • Factores de Pérdida o Limitación de Liderazgo (2021-2025):

    •  

      • - Requisitos Comerciales Estrictos de la Nube: Proveedores que no lograron alcanzar los umbrales de ingresos por licencias Cloud-Native/SaaS (aumento a $75M en 2021 y $85M en 2025) fueron excluidos del Magic Quadrant, como AT&T Cybersecurity y SolarWinds.
      • - Complejidad Operacional: La necesidad de un gran número de días de servicios profesionales para la implementación (Exabeam, Splunk, OpenText ArcSight) puede desalentar a los compradores menos maduros y aumentar el TCO.
      • - UI Dividida o Legada: Las plataformas que requerían que los usuarios cambiaran entre interfaces de consola antiguas (Micro Focus ArcSight, LogRhythm) para funciones de gestión, perdieron puntos en la Experiencia del Cliente (Customer Experience) y Facilidad de Uso.
      • - Falta de Integraciones Modernas: La limitación de integraciones bidireccionales con SOAR de terceros (Odyssey) o la falta de apoyo para funciones de privacidad de datos (Rapid7, que carece de ofuscación nativa) pueden ser factores limitantes.

      • Criterios Definitivos de Liderazgo y Pérdida de Liderazgo

    • Los fabricantes de SIEM demuestran liderazgo principalmente a través de su "Habilidad para Ejecutar" y su "Visión Completa".

    • Características que Consolidan el Liderazgo (Habilidad para Ejecutar y Visión)

      1) Característica: Arquitectura Cloud-Native / SaaS

      Detalle/Justificación: La capacidad de escalar elástica y horizontalmente, sin que el cliente tenga que gestionar la infraestructura, es un diferenciador clave para el éxito en el mercado moderno. La migración de arquitecturas legacy es crítica.

    • 2) Característica: Analítica de Amenazas Avanzada (UEBA/ML/AI)

      Detalle/Justificación: La provisión de profiling, detección de anomalías y algoritmos de Machine Learning (ML) nativos (no solo correlación basada en reglas) es fundamental para la detección temprana de ataques dirigidos. La integración de GenAI está emergiendo como un motor de innovación.

    • 3) Característica: Ecosistema TDIR Integrado

      Detalle/Justificación: Ofrecer o integrar estrechamente SIEM con UEBA, SOAR, TIP, y capacidades de EDR/NDR, a menudo bajo un paraguas de plataforma unificada (como Splunk ES, Securonix o Microsoft Sentinel).

    • 4) Característica: Flexibilidad del Modelo de Datos y Apertura

      Detalle/Justificación: La capacidad de ingerir y analizar cualquier tipo de dato sin requerir normalización previa (schema-on-read), como Splunk, o la capacidad de integrarse con data lakes de terceros (Securonix, Exabeam) es crucial para entornos diversos y el control de costos.

    • 5) Característica: Modelos de Licenciamiento Predictibles

      Detalle/Justificación: Moverse a modelos basados en el número de usuarios, activos o cargas de trabajo, en lugar de volumen de ingesta pura (EPS/GB por día), para mitigar el aumento de costos del dato (Exabeam, Rapid7, Splunk).

    • Factores que Causan la Pérdida de Liderazgo o Freno (Cautions)

      1) Factor: Complejidad Arquitectónica y Operacional

      Detalle/Justificación: Soluciones que requieren un alto volumen de servicios profesionales para su implementación y puesta a punto, o que tienen interfaces de usuario legadas o divididas (LogRhythm, ArcSight Legacy).

    • 2) Factor: Costos Prohibitivos (Percepción)

      Detalle/Justificación: Modelos de precios basados puramente en volumen de ingesta, lo que genera una alta percepción de costo (Splunk históricamente, que ha trabajado en introducir modelos más flexibles).

    • 3) Factor: Lagging Cloud Adoption/SaaS

      Detalle/Justificación: La incapacidad o el retraso en ofrecer una solución SaaS nativa y gestionada por el proveedor.

    • 4) Factor: Debilidad en Funciones Clave Modernas

      Detalle/Justificación: Falta de funcionalidades nativas de SOAR, UEBA básica o limitada personalización de modelos de ML para usuarios avanzados.

    • 5) Factor: Limitaciones Geográficas

      Detalle/Justificación: El enfoque de ventas y soporte concentrado en regiones específicas (como APAC para Venustech o Huawei) dificulta el crecimiento y la visibilidad global requerida para el liderazgo.


  • Futuro del SIEM: El cerebro detrás del SOC autónomo

    Llevo años revisando los reportes de líderes de industria como Gartner (haz clic aquí para leer el reporte del 2024) y Forrester. Siempre me genera entusiasmo revisar cómo el SIEM ha evolucionado continuamente con las capacidades de la tecnología. Cómo vimos en este análisis, se ha transformado en el repositorio de logs al centro de la operación de ciberseguridad, en términos de TDIR. Pero el futuro se ve más brillante de lo que se plantea. 

    El SIEM ha evolucionado hasta convertirse en un pilar central de la operación de ciberseguridad impulsada por datos. Aunque muchos fabricantes afirman que la ciberseguridad es un problema de datos, la realidad es que el factor crítico es el tiempo.  El desafío al que nos enfrentamos actualmente es la forma en la que transformamos la telemetría de ciberseguridad en inteligencia accionable para poder tomar decisiones y actuar adecuadamente acorde a la problemática actual. 

    El SIEM va a apoyar a las organizaciones en transformar sus operaciones de la siguiente forma:

- Procesos enriquecidos con contexto e inteligencia: La integración de la GenAI apoyará, volviendo eficiente tareas de análisis e investigación.

- El SIEM será el centro de mando y control de toda la ciberseguridad, no sólo TDIR sino también de la Gestión de la Exposición. Los procesos de Gestión de Activos y Gestión de Configuración serán integrados para proveer capacidades proactivas y no sólo reactivas.

- Integración con la arquitectura de detección y respuesta:  La integración del SIEM no solo será para extracción de la ciber telemetría de forma eficiente, sino para poder interactuar de forma efectiva con todos los componentes de forma inteligente para reajustarse, mejorar la postura de ciberseguridad y reaccionar de forma efectiva ante los incidentes. La interfaz de integración será mediante agentes de IA que pueden explotar al máximo la interacción y ajustarse a las necesidades de lo que estemos gestionando.

Buscamos el SOC Autónomo, donde el analista de ciberseguridad aumente sus capacidades, que el contexto sea mayor para poder tomar las mejores decisiones y actuar de forma más oportuna para reducir la exposición y el impacto.

Se viene una época interesante y veremos cómo nuevamente el SIEM evolucionará más rápido que la tecnología para mantenerse en el centro de las operaciones de ciberseguridad.

  •  
Ver post completo