Las capacidades predictivas son fundamentales para protegerse de amenazas como el ransomware. Symantec lo hace con categoría ofreciendo un nivel de anticipación que permite precisar los próximos 4 o 5 movimientos de los atacantes con un 100% de confianza.
Normalmente los ciberdelincuentes y actores de amenazas en general, cuentan con TTP predecibles que pueden ser utilizadas por los equipos de seguridad para optimizar sus protocolos de monitoreo, contención, respuesta y remediación en escenarios de riesgo.
En este panorama, la IA y el Aprendizaje Automático ofrecen capacidades avanzadas para hacer más eficiente la detección e interrupción de amenazas. La predicción de incidentes emerge como una de las nuevas capacidades de seguridad incluida en la tecnología de Adaptative Protection que ofrece Symantec.
El panorama de amenazas cibernéticas y actores maliciosos
El escenario de ciberdelincuentes es variopinto y va desde grupos estado-nación con recursos sofisticados, altamente disciplinados y con un alto nivel de organización hasta adolescentes que hacen parte de alguna pandilla de ransomware que se apoyan en herramientas gratuitas que consiguen en foros de la deepweb.
En este panorama, catalogado por los medios de comunicación como altamente impredecible, lo cierto es que muchas de las Tácticas, Técnicas y Procedimientos (TTP) usadas por las organizaciones son predecibles teniendo las tecnologías necesarias para la correlación de eventos. De hecho, según el informe de Symantec titulado Ransomware 2025: Una amenaza resistente y persistente, varían las familias de ransomware, pero no las TTP.
Lo que sí ha ocurrido es un refinamiento en las metodologías y herramientas ya conocidas, lo cual acontece porque hay muchas víctimas a las que apuntar y si uno de sus ataques falla van a la siguiente. Los actores de amenazas solo cambian sus TTP cuando es estrictamente necesario hacerlo.
En su investigación, Symantec ha descubierto que numerosos atacantes emplean técnicas LotL enfocando sus capacidades en la explotación de software legítimo. También encontraron que el malware ha tendido a la moderación y suele aparecer al final de una ataque como cuando se despliega como carga útil del ransomware. Otro punto que reafirma la predictibilidad es que los objetivos de los cibercriminales siguen siendo los mismos: acceder a la red de la víctima, obtener privilegios para moverse lateralmente, exfiltrar datos y desplegar una carga útil de cifrado en el mayor número de dispositivos conectados a una red.
Qué es Symantec Incident Prediction
La mayoría de herramientas de corrección detienen lo que se ha hecho, pero no le dicen a su equipo lo que va a hacer, cuál es su próximo movimiento. Ante este escenario, las organizaciones toman medidas como apagar las máquinas y toda la red, aplicando una táctica draconiana que tiene costos asociados como interrupción de las operaciones y daños a la reputación.
Symantec Incident Prediction es una capacidad de seguridad pionera en la industria que se suma a las capacidades de Symantec Adaptative Protection ya que permite a los profesionales de seguridad predecir, detener y recuperarse ante un incidente. Es una característica única de Symantec Endpoint Security Complete (SES Complete) que se impulsa con capacidades de IA para identificar e interrumpir ataques LotL y otro conjunto de amenazas cibernéticas antes de que se produzcan daños.
Esta tecnología está entrenada con un catálogo que incluye más de 500.000 cadenas de ataque desarrolladas por el Threat Hunter Team de Symantec y está pensada para devolver la ventaja a los defensores al predecir el comportamiento de los atacantes, ir un paso adelante de sus movimientos y que las organizaciones puedan restaurar su estado normal de funcionamiento con la mayor agilidad posible.
La inspiración para Incident Prediction surgió del funcionamiento de los grandes modelos de lenguaje (LLM) que utiliza la IA Generativa para predecir la siguiente palabra en una oración cuando se genera texto en los motores de búsqueda, correo electrónico y otras aplicaciones. Combinando estas capacidades con un extenso repositorio de cadenas de ataque e inteligencia de amenazas, los equipos de seguridad pueden predecir los próximos movimientos de los atacantes, interrumpirlos y volver automáticamente a la normalidad.
Cómo funciona el sistema predictivo de amenazas
En el momento en el que el análisis de nube de SES Complete detecta un incidente, el analista de seguridad recibe dos alertas, una directamente en la consola de Symantec Integrated Cyber Defensa Manager (ICDM) y la otra en su correo electrónico. En ambas plataformas puede ver detalles del incidente como comportamientos sospechosos que potencialmente desencadenaron el accidente, conductas previstas de los atacantes y probabilidades de próximos movimientos.
En función de dichas posibilidades el analista tiene la capacidad de seleccionar comportamientos específicos para mitigarlos e incluirlas en las políticas de protección adaptable. De esta forma, puede detener la propagación de los daños bloqueando acciones maliciosas previstas sin tener que apagar todo el sistema o desconectar la red. Este control detallado permite que las operaciones continúen con normalidad mientras se detienen selectivamente los comportamientos que se espera sean maliciosos.
eSoft y Symantec a la vanguardia de la protección cibernética
Representamos soluciones de clase mundial como Symantec que en alianza con Carbon Black, crean el nuevo Grupo de Seguridad Empresarial (ESG) y ofrecen a las organizaciones innovación constante, aprovechando capacidades avanzadas de IA y Machine Learning para ofrecer a los equipos de ciberseguridad una ventaja competitiva en el escenario creciente de amenazas emergentes y en constante transformación.
¿Su organización cuenta con soluciones de vanguardia para la protección de sus activos informáticos valiosos como información, identidades, redes, sistemas y otros? Si la respuesta es NO, podemos ayudarle a pensar de forma estratégica y construir una postura de seguridad con enfoque empresarial.