Tu firewall guarda registros. Tus servidores guardan registros. El antivirus, el sistema de accesos, las aplicaciones: todos guardan registros. El problema es que están dispersos, cada uno en su rincón, y nadie los lee juntos. Y ahí es donde se esconden los ataques: no en un solo registro llamativo, sino en el patrón que forman varias piezas pequeñas de fuentes distintas. Un SIEM existe justamente para juntar esas piezas y ver el patrón. Entender qué hace —y por qué importa— es entender cómo se detecta de verdad una amenaza.
Qué significa y qué hace
SIEM son las siglas de Security Information and Event Management. En cristiano: es un sistema que recoge los registros (logs) de todas tus fuentes, los normaliza a un formato común, y los correlaciona para detectar patrones sospechosos, generando alertas cuando algo huele mal. La palabra clave es correlacionar. No se trata solo de guardar todo en un lugar (eso es apenas el primer paso), sino de cruzar información entre fuentes para ver lo que ninguna vería sola.
El ejemplo que lo explica todo
Imagina estas cuatro cosas, cada una en su registro, cada una inocente por separado: (1) varios intentos fallidos de contraseña en un servidor a las 2 a.m.; (2) un acceso VPN exitoso desde un país donde no tienes empleados; (3) ese usuario accediendo a carpetas que nunca toca; (4) un pico de datos saliendo hacia internet. Miradas una por una, ninguna dispara una alarma clara —los intentos fallidos pasan, la gente viaja, los picos ocurren—. Pero correlacionadas, cuentan una historia inconfundible: alguien entró y está robando datos. Eso es lo que un SIEM ve y un montón de registros dispersos no. Ninguna persona podría vigilar manualmente todos los registros de todas las fuentes en tiempo real; el SIEM lo hace por ti.
Por qué no basta con "tener los logs"
Mucha empresa cree que está cubierta porque sus equipos generan registros. Tener los registros y no correlacionarlos es como tener cámaras de seguridad que graban pero que nadie mira nunca: sirven para la autopsia, no para prevenir. De hecho, registrar lo correcto es la materia prima, pero sin algo que lo analice, los registros solo sirven después del incidente, para reconstruir qué pasó —valioso, pero tarde—. El SIEM convierte esa materia prima en detección: pasa de "podemos investigar qué ocurrió" a "nos enteramos mientras ocurre".
El otro lado: no es magia y hay que operarlo
Seamos honestos: un SIEM no es un botón que enciendes y te vuelve seguro. Requiere alimentarlo con las fuentes correctas, afinar sus reglas a tu realidad, y —sobre todo— alguien que atienda sus alertas. Un SIEM mal afinado genera un mar de falsas alarmas que agota al equipo hasta que dejan de mirarlo, y volvemos al punto de partida. Por eso el SIEM va de la mano de la disciplina de evitar la fatiga de alertas: reglas con criterio, umbrales sensatos, y prioridades claras. La herramienta detecta; la gente decide. Un SIEM sin quién lo opere es un gasto; uno bien operado es la diferencia entre enterarte del ataque hoy o dentro de seis meses, cuando ya es tarde.
En el siguiente artículo aclaramos una confusión costosa: por qué un SIEM no es lo mismo que un servidor syslog ni que un FortiAnalyzer, aunque los tres tengan que ver con registros.