IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

SIEM sin fatiga de alertas: cómo se decide qué merece despertar a alguien

09/07/2026 3 min de lectura Rubén Espinoza

Hay una forma segura de que un incidente pase desapercibido: ahogarlo en diez mil alertas irrelevantes. No hace falta un atacante sofisticado; basta un SIEM mal afinado y un equipo agotado de mirar avisos que nunca eran nada. A eso se le llama fatiga de alertas, y es uno de los problemas más subestimados de la seguridad operativa.

Por qué más alertas es peor, no mejor

La intuición dice que mientras más vigiles y más te avise el sistema, más seguro estás. La realidad operativa es la contraria a partir de cierto punto. Cuando el 95% de las alertas no lleva a ninguna acción, el cerebro humano aprende a ignorarlas. Y el día que aparece la que sí importaba, llega al mismo buzón saturado que todas las demás. El ruido no solo molesta: entrena al equipo para no mirar.

De dónde sale el ruido

La fatiga casi nunca es culpa del analista. Suele venir de decisiones de configuración:

  • Reglas de correlación mal afinadas que disparan con cualquier cosa.
  • Todo marcado con severidad alta, así que nada es realmente prioritario.
  • Falsos positivos conocidos que nadie suprimió.
  • Alertas sin contexto: un evento aislado que no dice si es parte de algo mayor.

Cómo se decide qué merece despertar a alguien

La pregunta correcta no es "¿qué puedo alertar?", sino "¿qué merece que alguien actúe, y con qué urgencia?". Eso se resuelve por niveles: qué se registra para investigar después, qué se revisa en horario laboral, y qué de verdad despierta a alguien de madrugada. Un intento de login fallido no es lo mismo que una cadena —acceso inusual, luego escalamiento de privilegios, luego un volumen raro de datos saliendo—; esa correlación es la que convierte eventos sueltos en una señal accionable.

Encima de eso se suprime el ruido conocido y se enriquece cada alerta con contexto, para que quien la reciba pueda decidir en segundos, no reconstruir la historia desde cero.

El trade-off, dicho de frente

Afinar tiene un riesgo evidente: silenciar de más y perder una señal real. Por eso no es un ajuste que se hace una vez y se olvida —igual que los umbrales de monitoreo, se revisa con datos: qué se silenció, qué se escapó, qué llegó tarde. Es un equilibrio que se sostiene, no un interruptor.

El objetivo final es simple y exigente a la vez: que cuando algo suene, alguien lo mire de verdad —y sepa qué hacer, que es justo el terreno del runbook de respuesta. Diseñar y operar ese equilibrio es parte de nuestro NOC/SOC administrado.

#siem #fatiga de alertas #soc #correlacion #monitoreo

Preguntas frecuentes

¿Qué es la fatiga de alertas?

Es el desgaste que sufre un equipo de seguridad cuando recibe tantas alertas —muchas irrelevantes o falsos positivos— que deja de prestarles atención. El riesgo real es que, entre el ruido, se pase por alto la alerta que sí correspondía a un incidente. Más alertas no significa más protección; a partir de cierto punto, significa menos.

¿Cómo se decide qué alerta merece respuesta inmediata?

Combinando severidad, contexto y correlación: no es lo mismo un intento fallido de login que una cadena de eventos (acceso inusual + escalamiento de privilegios + exfiltración). Se definen niveles (qué se registra, qué se revisa en horario y qué despierta a alguien), se suprime el ruido conocido y se correlacionan eventos para que la alerta llegue con contexto, no aislada.

¿Silenciar alertas no es peligroso?

Silenciar sin criterio, sí. Pero afinar —suprimir falsos positivos conocidos y agrupar eventos relacionados— no es callar señales, es hacer que las señales reales se vean. El trade-off se administra con revisión continua: se mide qué se silenció y por qué, y se ajusta. El objetivo es que cuando algo suene, alguien de verdad lo mire.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

Cifrado en reposo y en tránsito: qué protege cada uno y contra qué no
Umbrales de monitoreo: ni alertar por todo ni callar lo importante
Control de acceso a datos: mínimo privilegio sin frenar el trabajo