Qué deberías medir realmente en ciberseguridad (y qué no)

Para recapitular, los temas que han trascendido hasta ahora son hardening, ransomware, drift, control y fragmentación de herramientas. Y si todos estos temas apuntan hacia una misma conclusión: tener herramientas no significa necesariamente tener control, y tener control tampoco garantiza entender el nivel real de riesgo al que está expuesta una organización.

Uno de los problemas más comunes dentro de la industria es que muchas empresas siguen midiendo actividad en lugar de reducción real de riesgo. Basta con hacer una pregunta: “¿Cómo sabes que hoy estás más seguro que hace seis meses?”. En muchos casos, las respuestas suelen enfocarse en que existen más herramientas desplegadas, más alertas procesadas, más tickets cerrados o más eventos detectados. Sin embargo, ninguna de esas métricas confirma por sí sola que el entorno sea realmente más seguro.

El problema es que, en numerosas organizaciones, los dashboards de seguridad terminan convirtiéndose en enormes paneles llenos de gráficas, eventos y alertas constantes. Todo parece moverse todo el tiempo, pero aun así resulta difícil responder cuál es el nivel real de exposición del entorno en este momento.

La situación puede entenderse fácilmente con una analogía sencilla. Es como llevar un automóvil al taller y recibir un reporte donde el mecánico informa que revisó sensores, detectó alertas y procesó distintos eventos. Aunque toda esa información suene técnica y detallada, la verdadera pregunta es “¿El vehículo está bien o no?”. En ciberseguridad ocurre exactamente lo mismo, existen enormes cantidades de métricas técnicas, pero muchas veces no logran traducirse en información útil para entender el estado real del entorno.

Uno de los errores más frecuentes consiste en confundir volumen con efectividad. Tener más alertas no significa tener más seguridad. Contar con más dashboards no implica disponer de mayor control. Incorporar más herramientas tampoco garantiza una disminución del riesgo. De hecho, en muchos casos sucede lo contrario: más datos generan más ruido, el ruido reduce la visibilidad y la falta de visibilidad complica la toma de decisiones.

Otro problema importante es que muchas organizaciones siguen evaluando la seguridad únicamente a partir de incidentes, ataques detectados o tiempos de respuesta. Aunque estos indicadores tienen valor, existe una limitación: todas esas métricas aparecen después del impacto. Es decir, miden consecuencias, no necesariamente el nivel de exposición previo.

Por eso se necesita cambiar de enfoque. En lugar de concentrarse únicamente en actividad o incidentes, las organizaciones deberían medir la postura real de seguridad, entendiendo qué tan controlado se encuentra verdaderamente el entorno.

En ese contexto, comienzan a cobrar relevancia preguntas mucho más útiles. Por ejemplo, cuántos endpoints continúan alineados con el baseline de seguridad. Si el hardening comienza a degradarse, el riesgo aumenta incluso aunque no existan alertas visibles. También resulta fundamental entender cuántos usuarios mantienen privilegios administrativos excesivos, ya que este tipo de accesos facilita movimiento lateral, ejecución de malware y propagación de ransomware.

Otro punto importante es conocer cuántas herramientas remotas existen dentro del entorno y, sobre todo, si realmente están gobernadas. Lo mismo ocurre con los servicios remotos expuestos. RDP continúa siendo uno de los vectores más explotados por atacantes, y aun así muchas organizaciones desconocen cuántos endpoints lo tienen habilitado.

El drift también se convierte en una señal crítica. No desde la teoría, sino observando lo que realmente sucede en producción. El drift acumulado suele ser una de las evidencias más visibles de pérdida de control operativo, porque refleja cómo el entorno se va alejando gradualmente de la configuración segura definida inicialmente.

Todo esto obliga a cambiar la pregunta principal. La discusión ya no debería centrarse únicamente en cuántas amenazas se detectan, sino en qué tan expuesto se encuentra realmente el entorno.

En América Latina esta necesidad se vuelve todavía más relevante. Los equipos suelen ser pequeños, las herramientas son múltiples y la presión operativa es constante. En ese escenario, las organizaciones necesitan métricas que permitan tomar decisiones rápidas y accionables, no dashboards imposibles de interpretar.

Además, existe otro fenómeno muy común: las vanity metrics. Son métricas que se mantienen porque lucen bien en reportes o presentaciones, aunque aportan poco valor operativo. Cantidad de logs, eventos procesados o alertas generadas pueden verse impresionantes visualmente, pero eso no significa que estén ayudando a reducir el riesgo.

Una métrica realmente útil debería ayudar a responder preguntas concretas: dónde existe mayor exposición, qué áreas están perdiendo control, qué necesita corrección inmediata y si el entorno está mejorando o degradándose con el tiempo. Cuando una métrica no facilita decisiones, normalmente termina convirtiéndose en ruido.

La situación puede compararse también con un escenario médico. Imagina recibir cientos de páginas llenas de resultados y datos clínicos, pero sin obtener respuesta a algo básico: “¿Estoy sano o no?”. Existe demasiada información disponible y muy poca capacidad para transformarla en claridad operativa.

Al final, las organizaciones no necesitan más dashboards. Necesitan contexto. No requieren más alertas, sino comprender su exposición real. Tampoco necesitan más complejidad, sino mayor claridad para operar y priorizar.

Si se conectan todos los temas, la relación resulta evidente. El hardening define el estado seguro del entorno. El drift explica cómo ese estado comienza a degradarse. El ransomware aprovecha precisamente esa exposición. El control mantiene la alineación operativa. Y las métricas permiten entender si realmente se está perdiendo control con el tiempo.

En ciberseguridad resulta relativamente sencillo medir actividad. Lo difícil es medir control real, consistencia, exposición y degradación operativa. Lo importante no es únicamente cuánto se está observando, sino si realmente se entiende el estado actual del entorno.