Saltar a contenido
Empezar
Open search

Una aguja en un pajar de agujas: la caza de los infostealers con IA

La enorme cantidad de eventos y alertas puede resultar abrumadora, pero los procesos de varios niveles permiten filtrar el ruido.

François Labrèche

Escrito por François Labrèche

needle-hero-image
AI ResearchAIInfostealer

Durante la conferencia NorthSec 2026, François Labrèche, científico de datos principal de Sophos, presentó una ponencia titulada: «A Needle in a Haystack: Identifying an Infostealer Attack Through Trillions of Events in a Large-scale Modern SOC» («Una aguja en un pajar: identificar un ataque de infostealer entre billones de eventos en un SOC moderno a gran escala»).

Esa investigación aborda uno de los mayores problemas a los que se enfrentan hoy en día los analistas de los Centros de Operaciones de Seguridad (SOC): la llamada «fatiga de alertas», es decir, la sobrecarga causada por la enorme cantidad de alertas de seguridad que hay que analizar, muchas de las cuales resultan irrelevantes o inofensivas.

Algunos estudios anteriores han explorado formas de reducir los falsos positivos y el ruido dentro de los marcos de alertas de los SOC, pero presentan dos limitaciones persistentes, que no se ajustan a la realidad de un SOC moderno a gran escala:

  • Los enfoques publicados suelen centrarse en las alertas procedentes de los sistemas de detección de intrusiones (IDS).
  • El tamaño de los conjuntos de datos utilizados en investigaciones anteriores no refleja adecuadamente el de un SOC moderno de gran tamaño: de hecho, los conjuntos de datos analizados suelen oscilar entre 100 000 y 10 millones de eventos o alertas.

François presentó un enfoque alternativo y más realista: una serie de marcos de detección y filtrado multinivel, caracterizados por una complejidad creciente y diseñados para actuar en los distintos niveles del proceso de gestión de alertas.

Para demostrar cómo un enfoque multinivel puede facilitar la búsqueda de amenazas, François utilizó un periodo de dos semanas de datos procedentes de la telemetría de Sophos, que incluía billones de eventos. A continuación, combinó técnicas de deduplicación de alertas, detectores basados en reglas y modelos de aprendizaje automático, mecanismos de supresión de alertas y un modelo supervisado de priorización de alertas basado en aprendizaje automático, logrando una reducción drástica del ruido.

Gracias a esta importante reducción de las alertas irrelevantes, François ha demostrado que es posible detectar con precisión un auténtico ataque de robo de información oculto en una enorme cantidad de datos.

Lee el artículo completo en inglés: https://www.sophos.com/en-us/blog/a-needle-in-a-stack-of-needles-hunting-infostealers-with-ai

Acerca del autor

François Labrèche

François Labrèche

François Labrèche is a Senior Principal Data Scientist at Sophos, who focuses on applying machine learning approaches to improve the prioritization of threats, in the context of XDR and vulnerability management. He has a Ph.D. from École Polytechnique de Montréal, has published research papers on the topics of vulnerability exploit prediction, alert prioritization, threat research, spam detection and malware analysis, and has presented at conferences such as ACSAC, CAMLIS, Northsec, and BSides Montreal.