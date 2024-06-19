Tras crear los modelos de referencia, las herramientas de UBA supervisan a los usuarios y comparan su comportamiento con estos modelos. Cuando detectan desviaciones que podrían indicar posibles amenazas, alertan al equipo de seguridad.

Los UBA pueden detectar anomalías de diferentes maneras, y muchas herramientas de UBA utilizan una combinación de métodos de detección.

Algunas herramientas de UBA utilizan sistemas basados en reglas en los que los equipos de seguridad definen manualmente las situaciones que deben activar alertas, como los usuarios que intentan acceder a activos fuera de sus niveles de permiso.

Muchas herramientas de UBA también utilizan algoritmos de IA y ML para analizar el comportamiento de los usuarios y detectar anomalías. Con IA y ML, UBA puede detectar desviaciones del comportamiento histórico de un usuario.

Por ejemplo, si un usuario ha iniciado sesión en una aplicación solo durante las horas de trabajo en el pasado y ahora inicia sesión por la noche y los fines de semana, eso podría indicar una cuenta comprometida.

Las herramientas UBA también pueden utilizar IA y ML para comparar a los usuarios con sus pares y detectar anomalías de esa manera.

Por ejemplo, es muy probable que nadie en el departamento de marketing necesite extraer registros de tarjetas de crédito de clientes. Si un usuario de marketing comienza a intentar acceder a esos registros, eso podría indicar un intento de exfiltración de datos.

Además de entrenar algoritmos de IA y ML sobre los comportamientos de los usuarios, las organizaciones pueden utilizar fuentes de inteligencia de amenazas para enseñar a las herramientas UBA a detectar indicadores conocidos de actividad maliciosa.

Puntuaciones de riesgo

Las herramientas UBA no generan alertas cada vez que un usuario hace algo fuera de lo común. Después de todo, las personas suelen tener razones legítimas para tener un comportamiento "anómalo". Por ejemplo, un usuario puede compartir datos con una parte previamente desconocida porque está trabajando con un nuevo proveedor por primera vez.

En lugar de marcar eventos individuales, muchas herramientas UBA asignan a cada usuario una puntuación de riesgo. Cada vez que un usuario hace algo inusual, su puntuación de riesgo aumenta. Cuanto más arriesgada sea la anomalía, mayor será el aumento. Cuando la puntuación de riesgo del usuario supera un determinado umbral, la herramienta UBA alerta al equipo de seguridad.

De este modo, la herramienta UBA no inunda al equipo de seguridad con anomalías menores. Sin embargo, aún así detectaría un patrón de anomalías regulares en la actividad de un usuario, que es más probable que indique una ciberamenaza. Una sola anomalía significativa también podría activar una alerta si supone un riesgo lo suficientemente alto.