← Diafora

Caso de estudio · Ciberseguridad

Aegis

Centro Inteligente de Operaciones de Seguridad (AI-SOC)

Cómo un banco regional con 1.4M de clientes pasó de detectar amenazas en horas a detectarlas en minutos — con un SOC autónomo que aprende, prioriza y responde por su cuenta, las 24 horas.

22 min

Tiempo de detección

−94%

Tiempo de respuesta

99.96%

Disponibilidad

7.4×

ROI en 24 meses

01 · El cliente

Un banco regional con 1.4M de clientes y un blanco creciente

C

Banco Capital del Norte

Bucaramanga · Colombia

Banca regional con 1.4M de clientes, 132 oficinas, app móvil con 800k usuarios activos, y un crecimiento en intentos de ataque de 340% en 18 meses.

Clientes

1.4M activos

Oficinas

132 puntos físicos

App móvil

800k usuarios activos

Empleados

2.100

Activos digitales

~12.000 dispositivos

Equipo de ciberseguridad

8 analistas SOC

Amenazas / día (antes)

~6.500 eventos

Detección manual

Imposible al volumen actual

Cumplimiento

SFC, ISO 27001, PCI-DSS

02 · El problema

Un equipo de 8 analistas contra millones de eventos al día

Capital del Norte tenía SIEM, antivirus y firewalls — todo lo "correcto". Pero el volumen de alertas era inmanejable: 6.500 eventos sospechosos al día. El equipo SOC pasaba el 80% del tiempo descartando falsos positivos, mientras que las amenazas reales se detectaban en promedio 6 horas después. Una eternidad.

Alertas inmanejables

6.500 eventos/día. 92% falsos positivos.

Detección tardía

6 horas promedio para identificar una amenaza real.

Respuesta manual

Cada incidente requería decisiones humanas, lentas.

Fatiga del analista

Rotación alta, errores por agotamiento.

Sin correlación entre fuentes

SIEM, EDR, IAM, red — todo desconectado.

Cumplimiento difícil de probar

Reportes para SFC y auditorías tomaban semanas.

03 · Arquitectura del AI-SOC

SIEM + IA + automatización + analistas humanos

Ingesta

Logs · EDR · Red · IAM

SIEM

Wazuh · Elastic · Kafka

IA

ML · LLMs · UEBA

Respuesta

SOAR · APIs · Playbooks

Dashboard SOC

Next.js · WebSockets

SIEM (Elastic/Wazuh)EDR/XDRNetwork traffic analysisUEBAThreat Intelligence FeedsSOARMicroserviciosKafka event streamingAlta disponibilidad multi-AZML (Random Forest, Isolation Forest)LLMs para análisisZero TrustAuto-escaladoBackups inmutablesDR multi-regiónCifrado E2E

04 · Módulos del sistema

Trece piezas que trabajan como una sola unidad

01

Centro de Operaciones (SOC)

La sala de control: cada amenaza, cada respuesta, cada activo en vivo.

  • ·Vista de cockpit en pantalla mural
  • ·Asignación inteligente al analista correcto
  • ·Playbooks ejecutables con un clic
  • ·Cooperación entre turnos
02

Monitoreo en tiempo real

Ingesta y análisis de logs de toda la infraestructura, 24/7.

  • ·Network, endpoint, cloud, IAM
  • ·Procesamiento de millones de eventos/hora
  • ·WebSockets para alertas instantáneas
  • ·Búsqueda forense en segundos
03

Gestión de incidentes

Cada incidente con ciclo de vida, evidencia y cierre.

  • ·Triaje automático por IA
  • ·SLA por severidad
  • ·Workflow de investigación
  • ·Lecciones aprendidas (knowledge base)
04

Gestión de activos

Inventario vivo de cada equipo, servidor, API y cuenta.

  • ·Discovery automático
  • ·Criticidad por activo
  • ·Tags por propietario y función
  • ·Estado de cumplimiento por activo
05

Gestión de usuarios e identidades

Quién accede a qué, cuándo y desde dónde.

  • ·Integración con AD/SSO
  • ·Detección de cuentas comprometidas
  • ·Revocación con un clic
  • ·Auditoría de privilegios
06

Gestión de dispositivos

Endpoint y dispositivos móviles, con respuesta inmediata.

  • ·EDR/XDR integrado
  • ·Aislamiento remoto
  • ·Forense en vivo
  • ·Quarantine automático
07

Gestión de vulnerabilidades

Escaneo, priorización y parcheo continuo.

  • ·Escaneo continuo
  • ·Priorización por exploit + activo
  • ·Recomendaciones de remediación
  • ·Integración con ITSM
08

Análisis de comportamiento (UEBA)

Aprende el patrón normal de usuarios y máquinas.

  • ·Baseline por usuario y entidad
  • ·Score de riesgo dinámico
  • ·Detección de exfiltración
  • ·Detección de movimientos laterales
09

Centro de inteligencia (Threat Intel)

Feeds globales + intel propio de la región.

  • ·IoC en tiempo real
  • ·Cruzado contra logs
  • ·Atribución a actores
  • ·Reglas custom por geografía
10

Centro de alertas

Donde nada se pierde.

  • ·Priorización por IA (no por orden)
  • ·Agrupación de alertas relacionadas
  • ·Canales múltiples (Slack, WhatsApp, email)
  • ·Snooze inteligente
11

Reportes y cumplimiento

Reportes ejecutivos y para reguladores en un clic.

  • ·Reportes para SFC, SIC
  • ·Cumplimiento PCI-DSS, ISO 27001
  • ·Reportes ejecutivos en lenguaje natural
  • ·Exportación CSV/PDF firmada
12

Auditoría

Cada acción del SOC queda registrada.

  • ·Auditoría inmutable
  • ·Firma digital de eventos
  • ·Trazabilidad por usuario y acción
  • ·Búsqueda forense post-incidente
13

Panel ejecutivo

El estado del riesgo, en un vistazo para el comité.

  • ·Riesgo global y tendencia
  • ·KPIs de seguridad
  • ·Estado de cumplimiento
  • ·Indicadores comparables con la industria

05 · Inteligencia Artificial

ML, UEBA y agentes que asisten al analista

ML para detección de amenazas

Modelos supervisados y no supervisados sobre logs, tráfico y comportamiento.

Detección de anomalías

Isolation Forest + Autoencoders sobre patrones de tráfico, login y acceso.

UEBA (User and Entity Behavior Analytics)

Baseline por usuario y máquina; score dinámico de riesgo.

Correlación inteligente de eventos

Une eventos aislados que aislados no significan nada, pero juntos sí.

Clasificación automática de riesgos

CVSS adaptado al contexto del banco; 95% menos falsos positivos.

Predicción de ataques

Identifica patrones precursores de campañas conocidas y nuevas.

Automatización de respuestas (SOAR)

Playbooks ejecutados por IA: aislamiento, revocación, bloqueo.

IA generativa para análisis

LLM (Claude) que analiza el incidente, propone hipótesis y siguiente paso.

Asistente conversacional

'Resume las amenazas de hoy', 'qué pasó con la cuenta X', en lenguaje natural.

Aprendizaje continuo

Cada incidente confirmado o descartado entrena el modelo.

06 · Dashboard ejecutivo

El riesgo del banco, en vivo

Aegis · Capital del Norte · SOC en vivo

Actualizado en tiempo real

Riesgo global

Bajo

−42% mes

Amenazas bloqueadas (24h)

1.840

98% auto

Tiempo medio detección

22 min

−94%

Cumplimiento

98.3%

Todo verde

Incidentes confirmados — 6 meses

↓ tendencia decreciente · curva ideal en SOC maduro

Automatizaciones activas

  • Bloqueo automático de IPs● activo
  • Aislamiento de endpoints● activo
  • Revocación de accesos● activo
  • Reportes regulatorios● activo
  • Asistente IA al analista● activo

Última amenaza bloqueada

Intento de phishing avanzado · IP 185.220.x.x (Rumania) · Bloqueado en 1.4 seg · 14:22:18

07 · Antes vs Después

Antes vs. Después

Tiempo medio de detección

Antes
6 horas
Después
22 minutos

Tiempo medio de respuesta (MTTR)

Antes
48 horas
Después
11 horas

Falsos positivos

Antes
92%
Después
14%

Amenazas reales escapadas / mes

Antes
14
Después
0

Disponibilidad de servicios

Antes
99.4%
Después
99.96%

Tiempo para reporte regulatorio

Antes
2 semanas
Después
1 día

Incidentes resueltos por automatización

Antes
6%
Después
78%

Costo por incidente

Antes
$84M COP
Después
$11M COP

08 · Resultados (24 meses)

Métricas reales de un AI-SOC maduro

−94%

Tiempo de detección

−77%

Tiempo de respuesta

−85%

Falsos positivos

78%

Incidentes automatizados

99.96%

Disponibilidad

100%

Cumplimiento SFC/PCI

$3.2B

Pérdidas evitadas (COP/año)

7.4×

Retorno de la inversión

09 · Testimonio

"Mi equipo dejó de apagar incendios para empezar a prevenirlos. Aegis no reemplazó a mis analistas — los convirtió en cirujanos. Hoy detectamos en minutos lo que antes nos tomaba horas, y mi reporte para la SFC se prepara solo. Diafora entendió la ciberseguridad como pocos."
Daniela Vergara · CISO, Banco Capital del Norte

10 · Casos de uso

Diseñado para organizaciones que no pueden permitirse fallar

🏦 Bancos y fintech

Cumplimiento SFC/PCI, detección de fraude, alta disponibilidad.

💻 Empresas de tecnología

Protección de IP, supply chain, customer data.

🏥 Hospitales y clínicas

HIPAA/Habeas Data, ransomware (alto riesgo), continuidad operativa.

🎓 Universidades

Datos académicos, investigación, presupuesto limitado.

🏛️ Gobierno

Cumplimiento normativo, infraestructura crítica, soberanía de datos.

🏭 Industria

OT/IT convergence, ICS/SCADA, ransomware industrial.

🛒 E-commerce

Fraude, PCI-DSS, ataques estacionales (Black Friday, etc.).

📡 Telecomunicaciones

Infraestructura crítica, alta disponibilidad, escala masiva.

🖥️ Centros de datos

Multi-tenant, alta concurrencia, exposición pública.

🌐 Empresas medianas y grandes

SOC-as-a-service, sin equipo full SOC propio.

11 · FAQ

Lo que nos preguntan los CISO

¿Reemplaza a mi SOC actual o lo complementa?+

Lo potencia. Reemplazamos el ruido (falsos positivos, alertas duplicadas) con inteligencia. Tus analistas siguen, pero ahora trabajan en lo que importa.

¿Cuánto tarda la implementación?+

Despliegue base de 8-12 semanas. Integración total con su stack (SIEM, EDR, IAM, cloud) en 16-20 semanas.

¿Es compatible con mi SIEM existente?+

Sí. Soportamos Splunk, Elastic, Wazuh, Sentinel, QRadar, ArcSight y cualquiera con API. También podemos reemplazarlo si la licencia es muy cara.

¿Funciona on-premise, cloud o híbrido?+

Los tres. Para sectores regulados (banca, salud, gobierno) ofrecemos despliegue 100% on-premise.

¿Y la IA — no es ella misma un riesgo de seguridad?+

Los modelos corren en infraestructura aislada del cliente. Los LLM se ejecutan via API con prompts sin datos sensibles, o on-premise para clientes regulados. Auditable end-to-end.

¿Cumple con regulaciones?+

Sí: ISO 27001, SOC 2 Type II, PCI-DSS, SFC (Colombia), HIPAA (salud), GDPR (Europa). Reportes regulatorios generados automáticamente.

¿Qué pasa si falla la conexión?+

Aegis es multi-región con failover automático. Detección y respuesta básica continúa incluso sin internet (modos on-premise).

¿Cuántos eventos por segundo soporta?+

Hasta 250.000 EPS en configuración estándar; escalable a millones con cluster multi-nodo.

¿Cuánto tarda tu equipo en detectar una amenaza real?

Te lo medimos en un diagnóstico técnico de 30 minutos con tu equipo de seguridad. Sin compromiso.

Agenda tu diagnóstico gratis