De la simulación a la realidad: cómo el SOC de Kyndryl prepara a las empresas contra ciberataques

Recientemente he tenido la oportunidad de visitar las oficinas de Kyndryl en Madrid, donde junto a otros periodistas especializados en tecnología, asistimos a un simulacro de ciberataque mediante una experiencia inmersiva. Desde la sala War Room del SOC de Kyndryl, asistimos a lo que denominan Tabletop, es decir, una simulación realista de una crisis desde el SOC. La compañía asegura que el ejercicio es el mismo que llevan a cabo con sus clientes en el SOC, con el fin de que puedan estar preparados para reaccionar de la forma más efectiva, con ciberresiliencia, frente a un ciberataque.

Según el informe Kyndryl Readiness Report 2025, tres de cada cinco directivos a nivel global afirman que este año sienten más presión que el pasado para obtener un retorno de la inversión en IA, y que su principal caso de uso es la ciberseguridad. En España, un 71% afirma haber sufrido alguna interrupción en su actividad relacionada con la ciberseguridad.

El objetivo de Kyndryl con este ejercicio es mostrar a las organizaciones todo aquello que ocurre de puertas para dentro cuando la compañía sufre un ataque, y por qué es necesario contar con un equipo de expertos del SOC para protegerse, reaccionar y recuperarse con el menor daño posible para la empresa.

Datos del SOC de Kyndryl

Previo al simulacro, la compañía nos ofrece una visita guiada del SOC, el cual está construido bajo los estándares del Esquema Nacional de Seguridad de nivel alto. La sala se encuentra aislada a nivel de conectividad, con sus sistemas de alimentación ininterrumpida para soportar caídas de corriente entre 8 y 10 horas. Karen Gaines, vicepresidenta y directora de la práctica de seguridad y resiliencia de Kyndryl en España y Portugal, nos explica que el SOC de Kyndryl pertenece a la Red Nacional de SOC, y cuenta con las principales certificaciones (ISO, CSIRT y FIRST), aprovechando la estructura de la compañía, la colaboración y las alianzas establecidas con fabricantes de soluciones de ciberseguridad y los grandes hiperescalares.

El SOC utiliza herramientas como SIEM (Microsoft Sentinel) para correlacionar eventos y detectar anomalías, así como la herramienta OpenCTI (Threat Intelligence) que les permite ser proactivos, investigando grupos de atacantes y aplicando esa información a los sistemas de seguridad. De hecho, el equipo de Threat Intelligence se dedica a identificar amenazas y trasladarlas a los sistemas para prevenir brechas, adaptándose a nuevas tecnologías como la IA. Kyndryl se apoya en tecnologías propias o del cliente, ofreciendo servicios gestionados o soporte a herramientas existentes. Todos los operadores trabajan en una consola unificada (RTIR) para gestionar incidentes de seguridad en el SOC, aplicando playbooks o escalando a niveles superiores.

Kyndryl cuenta con un total de siete SOCs a nivel global, además de dos salas dedicadas que se encuentran en las instalaciones de dos grandes bancos para dar servicio propio. El SOC de Madrid, en el que trabajan 75 personas, dispone de una réplica en Salamanca para garantizar una alta disponibilidad.

Con la IA se incrementa el shadow IT

Nacho Hontoria, responsable de servicios de seguridad de Kyndryl en España y Portugal, nos explica que “el equipo de incidencias críticas es el que marca las pautas de seguridad, mientras que los equipos de IT ayudan a revertir la situación. Los ataques tipo ransomware suelen ser los de mayor repercusión por su capacidad de encriptar los servidores”, confiesa. De hecho, “el 90% de ataques suele producirse a través de la persona, como el Shadow IT. Por este motivo, es importante saber catalogar bien los datos y aplicarles una gobernanza”, afirma.

El equipo de Threat Intelligence se dedica a identificar amenazas y trasladarlas a los sistemas para prevenir brechas, adaptándose a nuevas tecnologías como la IA

Hontoria expone que las alarmas de los ataques suelen producirse cuando éstos llegan a los sistemas que están bien protegidos, una vez que han accedido por la parte sin protección. “Por este motivo estamos haciendo ejercicios de concienciación, ya que aunque las empresas están concienciadas, el usuario o empleado suele ser el punto crítico de acceso”.

El directivo explica la evolución que ha tenido el SOC en el mundo de la ciberseguridad, pasando de ser un equipo reactivo a intentar ir un paso por delante. “Ser proactivo e identificar amenazas por todas partes es clave para poder trasladar a nuestros sistemas y evitar este tipo de brechas que se producen”. Añade además que con la IA se está incrementando el Shadow IT, hasta el punto que se meten controles de la toxicidad de los “prompt” para controlar que no se filtren datos.

Ejercicio de ciberataque

Con el ejercicio de simulación de incidentes desde el SOC se busca aumentar la concienciación, especialmente en el entorno de la alta dirección, probando protocolos de respuesta y detectando deficiencias antes de que ocurran incidentes reales. Se asignan roles de alta dirección (CEO, Director Legal, Director de Comunicación, Operaciones, CISO y Líder Técnico) a los participantes, y el ejercicio es dirigido por un experto del SOC, con apoyo técnico para resolver dudas y bloqueos, fomentando la libre expresión de ideas.

El suceso escala de manera que en menos de 48 horas, los atacantes hacen pública información robada, fuentes confidenciales, correos internos, así como datos personales de clientes. Así, el incidente se transforma en una crisis reputacional, legal y ética. La presión en medios y redes sociales es inmediata.

Tanto Paco Guirado, associate director, security and resiliency Kyndryl Consult en España y Portugal, como Blanca Ruiz, cybersecurity senior consultant de Kyndryl en España y Portugal, nos guían en el ejercicio de simulación sobre los pasos que deben darse: la detección del ciberincidente, el comité de crisis, la consulta sobre el manual de respuesta a incidentes, o el acceso a backups.

El enfoque de ciberresiliencia que aplica Kyndryl a los ataques lo aplica mediante Kyndryl Cyber Resilience Framework

Guirado destaca el papel que juega el equipo de respuestas ante incidentes del SOC, un grupo de personas que viven haciendo análisis forenses y que no todas las empresas pueden permitirse tener en plantilla. Resulta fundamental mediar la afectación y las contramedidas que deben ser aplicadas.

El enfoque de ciberresiliencia que aplica Kyndryl al ataque lo aplica mediante Kyndryl Cyber Resilience Framework, ayudando a las compañías afectadas, no solo a resistir y recuperarse, sino también a manejar los procesos, orientar a las personas y fomentar la comunicación. Los cinco pilares sobre los que se estructura son los siguientes:

1.- Identificación: analizando vulnerabilidades y riesgos específicos del escenario

2.- Protección: planteando las capas de protección necesarias; desde accesos hasta redes y datos.

3.- Detección: simulan los mecanismos de detección temprana que habrían permitido frenar el ataque antes de su escalada.

4.- Respuesta: evalúan las decisiones estratégicas y la coordinación entre departamentos: comunicación, legal, TI.

5.- Recuperación: demuestran cómo una infraestructura preparada, con backups, plataformas híbridas y respuesta forense, permite recuperar la actividad en el menor tiempo posible.

A modo de conclusión, la compañía destaca que la ciberresiliencia no es un producto, sino una estrategia. La comunicación es clave. La normativa ayuda, siempre que se cumpla bien, y la función de todos y cada uno de los departamentos es determinante para el buen resultado final.