Skip to content

¿Qué es el User and Entity Behaviour Analytics (UEBA) y qué amenazas atrapa?

Respuesta breve

UEBA (User and Entity Behaviour Analytics) construye líneas base de comportamiento para usuarios y entidades (hosts, cuentas de servicio, dispositivos) y usa estadística o aprendizaje automático para puntuar las desviaciones como riesgo. Sobresale ante amenazas sin firma clara: credenciales comprometidas, abuso interno y movimiento lateral — p. ej. un usuario que de repente accede a sistemas que nunca toca, a horas inusuales, o que mueve volúmenes de datos anómalos. Complementa la detección basada en reglas en lugar de reemplazarla, y necesita ajuste para evitar falsos positivos por cambios de comportamiento legítimos.

UEBA — User and Entity Behaviour Analytics — responde a una pregunta que las firmas no pueden: ¿se está comportando esta cuenta o dispositivo como sí mismo? En lugar de coincidir con patrones conocidos como maliciosos, aprende el comportamiento normal de cada usuario y entidad y marca las desviaciones significativas.

Usuarios y entidades

La « U » son los usuarios; la « E » todo lo demás que actúa en tu entorno — hosts, cuentas de servicio, dispositivos IoT, aplicaciones. Las cuentas de servicio son especialmente valiosas para perfilar: deberían comportarse de forma predecible, así que una cuenta de servicio que de repente realiza inicios de sesión interactivos o toca nuevos sistemas es una señal fuerte.

Cómo funciona

UEBA establece una línea base por entidad y luego aplica modelos estadísticos o aprendizaje automático para puntuar cuánto se aleja la actividad actual de ella. En lugar de una única alerta binaria, suele producir una puntuación de riesgo que se acumula a través de varias señales débiles — hora de inicio de sesión extraña, más acceso inusual a recursos, más volumen de datos anómalo — haciendo aflorar las entidades de mayor riesgo para revisión de un analista.

Qué atrapa

  • Credenciales comprometidas — el inicio de sesión es válido, pero el comportamiento posterior no lo es.
  • Amenaza interna — un empleado que accede a datos o los exfiltra fuera de su rol.
  • Movimiento lateral — una entidad que alcanza sistemas con los que no tiene historial.

Límites

UEBA no es magia. El cambio legítimo — un ascenso, un proyecto, un viaje — también produce desviaciones, así que genera falsos positivos y necesita ajuste y contexto de un analista. Aumenta la detección basada en reglas y en TTP; no la reemplaza.

Por qué importa

Los entrevistadores quieren ver que sabes que UEBA apunta a amenazas conductuales que las firmas pierden, que entiendes la puntuación de riesgo y que respetas su coste en falsos positivos — no que la tratas como una bala de plata.

Posibles preguntas de seguimiento

  • ¿En qué se diferencia UEBA de un umbral de anomalía estático?
  • ¿Por qué las cuentas de servicio suelen ser buenas entidades para perfilar?
  • ¿Qué tipos de falsos positivos genera UEBA y cómo los manejas?

Fuentes

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.