Tema 14

14. Sensores de red y de host: NIDS, HIDS, NIPS, HIPS y telemetría defensiva

Para detectar bien hay que mirar desde varios puntos. Los sensores de red observan comunicaciones; los sensores de host observan lo que ocurre dentro de sistemas. Juntos aportan una visión más completa.

Objetivo Distinguir sensores de red y sensores de host
Enfoque Visibilidad, ubicación, telemetría y respuesta
Resultado Diseñar una cobertura de detección más completa

14.1 Introducción

En los temas anteriores vimos qué son IDS e IPS y qué métodos de detección pueden utilizar. Ahora veremos dónde se obtiene la información. Un sensor puede mirar tráfico de red, eventos de un sistema, procesos, archivos, conexiones, logs o actividad de usuarios.

No existe un único sensor que vea todo. Un sensor de red puede detectar escaneos y conexiones sospechosas, pero quizá no vea qué proceso dentro del equipo generó la conexión. Un sensor de host puede ver procesos y archivos, pero quizá no observe todo el tráfico lateral de la red.

La defensa mejora cuando combinamos ambos mundos: red y host.

14.2 Qué es un sensor de seguridad

Un sensor de seguridad es un componente que recolecta información para detectar, alertar, bloquear o investigar actividad sospechosa. Puede ser un dispositivo físico, una máquina virtual, un agente instalado en un sistema o un servicio nativo de nube.

Un sensor puede cumplir varias funciones:

  • Capturar tráfico o metadatos.
  • Analizar eventos del sistema operativo.
  • Detectar patrones de ataque.
  • Enviar alertas a un SIEM.
  • Bloquear acciones o conexiones.
  • Generar evidencia para investigación.

14.3 Sensores de red

Los sensores de red observan comunicaciones entre equipos. Pueden analizar paquetes completos, flujos, metadatos, protocolos, direcciones, puertos, certificados o patrones de tráfico.

Son útiles para detectar:

  • Escaneos de puertos.
  • Intentos de explotación contra servicios.
  • Tráfico entre zonas no esperado.
  • Conexiones hacia destinos sospechosos.
  • Patrones de malware o comando y control.
  • Transferencias anómalas de datos.
Un sensor de red ve comunicaciones. No siempre sabe qué proceso, usuario o archivo causó esa comunicación.

14.4 NIDS

NIDS significa Network Intrusion Detection System, o sistema de detección de intrusos de red. Observa tráfico de red y genera alertas cuando detecta actividad sospechosa.

Normalmente trabaja fuera de línea, recibiendo una copia del tráfico desde un puerto espejo, TAP, sensor virtual o mecanismo equivalente. Esto reduce el riesgo de interrumpir la comunicación, pero también limita su capacidad de bloqueo directo.

Usos comunes de NIDS:

  • Monitorear tráfico hacia la DMZ.
  • Observar tráfico lateral entre segmentos internos.
  • Detectar escaneos o reconocimiento.
  • Generar alertas para investigación.
  • Enviar eventos a SIEM.

14.5 NIPS

NIPS significa Network Intrusion Prevention System, o sistema de prevención de intrusos de red. Observa tráfico de red y puede bloquearlo porque está ubicado en línea.

Un NIPS puede descartar paquetes, cerrar sesiones o impedir que cierto tráfico llegue al destino. Es útil cuando se necesita prevenir ataques de forma automática, pero requiere mayor cuidado operativo.

Consideraciones importantes:

  • Debe dimensionarse para el volumen de tráfico.
  • Debe probarse antes de activar bloqueo amplio.
  • Debe tener políticas de bypass o alta disponibilidad si es crítico.
  • Debe ajustarse para reducir falsos positivos.
  • Debe monitorearse como componente de disponibilidad.

14.6 Sensores de host

Los sensores de host observan lo que ocurre dentro de un sistema: procesos, archivos, usuarios, conexiones locales, logs, servicios, cambios de configuración y actividad del sistema operativo.

Son útiles porque aportan contexto que la red no siempre muestra. Por ejemplo, pueden indicar qué proceso generó una conexión, qué archivo se ejecutó o qué usuario inició una acción.

Eventos que puede observar un sensor de host:

  • Creación de procesos.
  • Cambios en archivos críticos.
  • Inicios de sesión.
  • Elevación de privilegios.
  • Conexiones salientes generadas por procesos.
  • Instalación de servicios o tareas programadas.
  • Modificaciones de configuración.

14.7 HIDS

HIDS significa Host Intrusion Detection System, o sistema de detección de intrusos de host. Su objetivo es detectar actividad sospechosa dentro de un sistema.

Un HIDS puede revisar logs, integridad de archivos, cambios de configuración, procesos y eventos de seguridad. Normalmente alerta, pero no siempre bloquea.

Ejemplos de alertas HIDS:

  • Archivo crítico modificado.
  • Usuario privilegiado creado.
  • Inicio de sesión fallido repetidamente.
  • Servicio nuevo instalado.
  • Proceso sospechoso ejecutado.
  • Permisos modificados en una ruta sensible.

14.8 HIPS

HIPS significa Host Intrusion Prevention System, o sistema de prevención de intrusos de host. Además de detectar, puede bloquear acciones dentro del sistema.

Puede impedir ejecución de procesos, bloquear modificaciones de archivos, detener conexiones, impedir cambios de registro o aplicar políticas locales.

Como cualquier control preventivo, debe ajustarse con cuidado. Un HIPS mal configurado puede bloquear procesos legítimos y afectar aplicaciones críticas.

14.9 Comparación general

Tipo Observa Fortaleza Limitación
NIDS Tráfico de red Buena visibilidad de comunicaciones. No siempre identifica proceso o usuario.
NIPS Tráfico de red en línea Puede bloquear ataques en tránsito. Puede afectar disponibilidad si está mal ajustado.
HIDS Eventos del sistema Da contexto local del host. No ve todo el tráfico de la red.
HIPS Acciones dentro del host Puede bloquear actividad local peligrosa. Puede generar impacto en aplicaciones.

14.10 Telemetría defensiva

La telemetría defensiva es el conjunto de datos recolectados para observar, detectar, investigar y responder. No se limita a alertas; incluye eventos, métricas, logs, flujos y contexto.

Fuentes de telemetría:

  • Firewalls.
  • IDS/IPS.
  • EDR o agentes de endpoint.
  • Servidores y sistemas operativos.
  • DNS, proxy y correo.
  • Identidad y autenticación.
  • Nube y contenedores.
  • Aplicaciones críticas.

14.11 Visibilidad de red vs. visibilidad de host

La visibilidad de red muestra comunicaciones. La visibilidad de host muestra actividad interna del sistema. Ambas responden preguntas distintas.

Pregunta Mejor fuente
¿Qué equipos se comunicaron? Sensor de red, firewall, NetFlow.
¿Qué proceso inició la conexión? Sensor de host o EDR.
¿Qué regla permitió o bloqueó tráfico? Firewall.
¿Qué usuario ejecutó una acción? Host, identidad, EDR o logs de sistema.
¿Hubo movimiento lateral? Combinación de red, host e identidad.

14.12 Ubicación de sensores de red

La ubicación define qué ve el sensor. Un sensor en el perímetro observa entrada y salida de internet, pero puede no ver tráfico lateral entre servidores. Un sensor entre DMZ y red interna ve un flujo más específico y crítico.

Puntos recomendados:

  • Perímetro de internet.
  • Tráfico hacia servicios publicados.
  • Entre DMZ y red interna.
  • Entre usuarios y servidores críticos.
  • Segmentos de bases de datos.
  • Red de administración.
  • Conexiones con nube o sedes remotas.

14.13 Selección de hosts críticos

No siempre es posible instalar sensores de host en todos los sistemas desde el primer día. Conviene priorizar activos críticos.

Buenos candidatos para HIDS/HIPS o agentes avanzados:

  • Controladores de dominio.
  • Servidores de bases de datos.
  • Servidores web públicos.
  • Bastiones administrativos.
  • Repositorios de backups.
  • Servidores de archivos.
  • Consolas de virtualización o nube.
  • Sistemas con datos sensibles.

14.14 Integridad de archivos

Una capacidad común en HIDS es el monitoreo de integridad de archivos. Consiste en detectar cambios en archivos, directorios o configuraciones importantes.

Ejemplos:

  • Modificación de archivos de configuración del sistema.
  • Cambios en binarios críticos.
  • Alteración de archivos de aplicación.
  • Creación de scripts en rutas sensibles.
  • Cambios en permisos de archivos.

Este control es útil para detectar manipulación, persistencia o cambios no autorizados.

14.15 Sensores en nube y contenedores

En nube y contenedores, la telemetría puede venir de agentes, logs de plataforma, flujos de red, grupos de seguridad, servicios administrados, registros de auditoría y herramientas específicas de runtime.

Aspectos a considerar:

  • Los recursos pueden ser dinámicos y cambiar con frecuencia.
  • Las direcciones IP pueden no ser suficientes para identificar cargas de trabajo.
  • Las etiquetas, identidades y roles aportan contexto.
  • La visibilidad debe integrarse con SIEM o plataforma central.
  • Los sensores deben adaptarse a escalado automático y despliegues frecuentes.

14.16 Cobertura y puntos ciegos

Un punto ciego es una zona, activo o tipo de actividad que no está siendo observado. Los puntos ciegos pueden aparecer por falta de sensores, tráfico cifrado, mala ubicación, logs desactivados o integración incompleta.

Preguntas para detectar puntos ciegos:

  • ¿Vemos tráfico entre usuarios y servidores?
  • ¿Vemos tráfico lateral entre servidores?
  • ¿Sabemos qué proceso inicia una conexión sospechosa?
  • ¿Tenemos logs de cambios administrativos?
  • ¿La nube envía eventos a la plataforma central?
  • ¿Los sensores cubren activos críticos?
  • ¿Se monitorean entornos de desarrollo y pruebas?

14.17 Ejemplo práctico: combinar red y host

Un NIDS detecta que una estación de trabajo intenta conectarse a muchos servidores por SMB. El sensor de red muestra origen, destinos y puertos. Pero no indica qué proceso lo generó.

Un sensor de host en esa estación puede aportar:

  • Proceso responsable de las conexiones.
  • Usuario que estaba activo.
  • Archivo ejecutado antes del comportamiento.
  • Conexiones adicionales.
  • Cambios en el sistema.

Combinando ambas fuentes, la investigación pasa de "un equipo se comporta raro" a "este proceso ejecutado por este usuario generó estas conexiones".

14.18 Errores frecuentes

  • Confiar solo en sensores de red: falta contexto de proceso, usuario y archivos.
  • Confiar solo en sensores de host: se pierde visión amplia del tráfico entre segmentos.
  • Ubicar sensores sin criterio: pueden quedar fuera de los flujos importantes.
  • No monitorear sensores: un sensor caído crea un punto ciego.
  • No centralizar telemetría: dificulta correlacionar eventos.
  • No priorizar activos críticos: se invierte esfuerzo donde el impacto es menor.
  • Ignorar nube y contenedores: deja sin visibilidad parte de la infraestructura moderna.

14.19 Lista de verificación inicial

  • Identificar activos y segmentos críticos.
  • Definir qué tráfico debe observarse con sensores de red.
  • Instalar sensores de host en sistemas de mayor impacto.
  • Centralizar logs y alertas en SIEM o plataforma equivalente.
  • Monitorear salud de sensores y agentes.
  • Revisar puntos ciegos de red, host, nube y contenedores.
  • Correlacionar eventos de red con procesos y usuarios.
  • Documentar ubicación, propósito y responsable de cada sensor.
  • Evaluar impacto antes de activar prevención en línea.
  • Revisar cobertura después de cambios de arquitectura.

14.20 Ideas clave para recordar

  • NIDS y NIPS observan tráfico de red; NIPS puede bloquear en línea.
  • HIDS y HIPS observan actividad del host; HIPS puede bloquear acciones locales.
  • La red aporta visión de comunicaciones; el host aporta contexto de procesos y usuarios.
  • La telemetría defensiva debe centralizarse y correlacionarse.
  • La ubicación de sensores define la visibilidad real.
  • Los puntos ciegos deben buscarse de forma activa.

14.21 Conclusión

Los sensores de red y de host se complementan. Los primeros muestran cómo se comunican los sistemas; los segundos explican qué ocurre dentro de cada equipo. Una defensa con buena telemetría combina ambos enfoques y reduce puntos ciegos.

En el próximo tema estudiaremos gestión de alertas: severidad, falsos positivos, correlación, priorización y escalamiento.

Volver al índice