Skip to content

Una alerta del SIEM se dispara por un inicio de sesión sospechoso. Explícame cómo la trías.

Respuesta breve

Confirma que la alerta es real antes de actuar: lee qué se disparó y por qué, luego enriquécela: quién es el usuario, si la IP/geo/dispositivo de origen son esperados, si hay viaje imposible, si hubo fallos previos. Clasifica como verdadero o falso positivo, escala o contén si es real (desactivar la sesión, forzar un restablecimiento de MFA) y documéntalo todo para que el siguiente analista pueda seguir tu razonamiento.

El triage consiste en responder de forma eficiente a una pregunta: ¿es real y, de serlo, qué tan grave es? Los entrevistadores quieren ver un proceso repetible, no un reflejo. Saltar directamente a «desactivar la cuenta» es una señal de alarma: podrías estar actuando sobre un falso positivo y quemando confianza, o avisando a un atacante antes de entender el alcance.

1. Validar

Empieza leyendo la propia detección. ¿Qué regla se disparó, sobre qué fuente de datos y cuál es la condición exacta que coincidió? Un «inicio de sesión sospechoso» podría ser una sola regla de geovelocidad o una correlación de varias señales. Saber por qué se disparó te indica qué evidencia reunir.

2. Enriquecer con contexto

Aquí está la mayor parte del valor. Reúne los hechos circundantes:

  • Identidad: quién es el usuario, cuál es su rol, ¿suele iniciar sesión a esta hora?
  • Origen: ¿la IP proviene de un rango corporativo conocido, de un VPN, de un ISP residencial o de un proveedor de hosting / nodo de salida Tor? ¿Qué país, y es plausible?
  • Dispositivo: ¿es un dispositivo gestionado con el user agent esperado, o algo nuevo?
  • Secuencia: ¿hubo intentos fallidos antes del éxito (password spray / fuerza bruta), y hay viaje imposible: dos inicios de sesión demasiado distantes geográficamente para ser la misma persona?

3. Clasificar

Con el contexto en mano, decide: verdadero positivo, falso positivo o verdadero positivo benigno (real pero autorizado, p. ej. el usuario de viaje). Dilo de forma explícita y registra la evidencia que te llevó a esa conclusión.

4. Contener (si es real)

Si parece una cuenta comprometida, actúa de forma proporcional: revoca la sesión activa, fuerza un restablecimiento de credenciales y MFA, y comprueba qué hizo la sesión: reglas de buzón, concesiones OAuth, acceso a datos. La contención es mejor que esperar.

5. Escalar y documentar

Traspasa a respuesta a incidentes si el radio de impacto supera una sola cuenta o si ves movimiento lateral. En cualquier caso, escríbelo: qué se disparó, qué comprobaste, qué concluiste y qué hiciste. Las buenas notas son lo que permite a un SOC ajustar las detecciones y sobrevivir a una auditoría.

Por qué importa

La estructura demuestra criterio. Cualquiera puede pulsar «bloquear»; un analista que puede explicar por qué un inicio de sesión era o no malicioso —y que deja un rastro limpio— es a quien se le confían incidentes mayores.

Posibles preguntas de seguimiento

  • ¿Qué es el «viaje imposible» y cómo lo detectarías?
  • ¿Cuándo escalas a respuesta a incidentes en lugar de gestionarlo tú mismo?
  • ¿Cómo ajustas una regla ruidosa sin crear un punto ciego?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.