En Sixtema acabamos de cerrar uno de los proyectos de mayor complejidad técnica en los que hemos participado: SAFENET UEBA, un SOC (Centro de Operaciones de Seguridad) construido sobre analítica de comportamiento de usuarios y entidades (UEBA) con inteligencia artificial explicable. Tres años de desarrollo en UTE con Gradiant, y un resultado que está listo para operar en entornos reales.

El proyecto se encuadra en el Reto 6: SOC de Sector Crítico de la cuarta convocatoria de Compra Pública de Innovación de INCIBE (CPP001/23), financiada a través del Plan de Recuperación, Transformación y Resiliencia (fondos Next Generation EU). Con esta convocatoria INCIBE busca impulsar el desarrollo de soluciones de ciberseguridad avanzadas validadas en sectores con alta exposición a ciberataques. SAFENET UEBA responde a ese reto con validación específica en los sectores alimentario y biofarmacéutico.

El problema que resuelve

Los SOC tradicionales operan mayoritariamente con reglas estáticas y firmas de ataques conocidos. Ese modelo tiene un techo: no detecta amenazas internas, movimientos laterales lentos ni atacantes que operan dentro de credenciales legítimas. SAFENET UEBA desplaza el foco hacia el comportamiento. La plataforma ingiere datos de múltiples fuentes, construye un baseline de comportamiento para cada usuario, dispositivo o entidad, y detecta desviaciones estadísticamente significativas antes de que deriven en incidentes.

Arquitectura técnica

La solución está construida sobre una arquitectura modular y distribuida capaz de procesar grandes volúmenes de datos en tiempo real, desde la ingesta y normalización de eventos hasta el almacenamiento, el análisis y la generación de alertas. Sobre esta base, el sistema integra un módulo SOC que conecta los modelos de detección con el flujo operativo de los analistas de seguridad.

Un elemento diferencial es el módulo de interpretabilidad: las alertas no son cajas negras. El sistema genera informes de seguridad que explican por qué un comportamiento se considera anómalo, lo que reduce el tiempo de triaje para los analistas del SOC.  La cobertura se amplía mediante conectores a sistemas SaaS corporativos y las amenazas detectadas se contrastan con fuentes externas de inteligencia sobre amenazas para aportar mayor contexto durante la investigación de incidentes.

La arquitectura también contempla la gestión de fuentes y subfuentes de datos desde el propio SOC, facilitando despliegues controlados, trazabilidad operativa y reducción de errores de configuración.

Sixtema y Gradiant: roles complementarios en la UTE

Este proyecto lo hemos ejecutado en UTE con Gradiant, centro tecnológico TIC con sede en Vigo, que ha liderado el desarrollo de los modelos de detección UEBA y el núcleo analítico de la plataforma.

Desde Sixtema hemos desarrollado el módulo SOC desde una visión integral. Nuestro trabajo ha incluido la construcción del backend, la gestión operativa de alertas, usuarios, fuentes de datos y notas de investigación, así como las integraciones necesarias para conectar el trabajo de los analistas con los procesos de análisis y detección.

También hemos desarrollado funcionalidades orientadas a la operación real del SOC, como la consulta de evidencias sobre el histórico de datos, la gestión del ciclo de vida de las alertas, la generación de informes, el enriquecimiento de Indicadores de Compromiso y la activación de procesos asociados a las fuentes configuradas. La interfaz de usuario es, por tanto, la capa visible de un conjunto más amplio de capacidades desarrolladas por Sixtema para que los analistas puedan visualizar, interpretar, gestionar y contextualizar las alertas generadas por el sistema.

SAFENET UEBA demuestra que es posible construir un SOC con capacidades UEBA reales, explicables e integrables en la infraestructura tecnológica existente de una organización, sin necesidad de sustituir los sistemas de gestión que ya tiene desplegados.