• La información está dispersa.
• Es difícil hacer correspondencia entre lo que narran las fuentes.
• La detección en gran medida depende del ojo humano, creando ineficiencias operativas y disminuye la capacidad de anticipar las amenazas y responder a los incidentes.

Este trabajo propone diseñar e implementar una plataforma XDR para el área que unifique y mejore las herramientas de monitoreo actuales, con tres componentes principales:  

• Como primer componente, se propone mejorar la capacidad de logging, enriqueciendo los sistemas actuales con un IDS de red para crear logs enriquecidos sobre el uso de los recursos, en particular a nivel de flujos de red y eventos de seguridad. 
• Segundo, una gestión centralizada de eventos a través de un SIEM open source, que permita recoger los logs de Zabbix, Wazuh, Suricata, etc., permitiendo consultas centralizadas, análisis histórico y una visión única del estado de la infraestructura.
• El último componente se establece como una solución que integra capacidades de detección avanzada a través de un motor de correlación de eventos y un pipeline de aprendizaje automático entrenado con datos reales del area, complementados con datasets comunitarios cuando sea necesario.  

Este módulo pretende anticipar la gravedad de los incidentes, priorizar las alertas y disminuir la dependencia del monitoreo humano, pasando de una gestión reactiva a una proactiva del riesgo; de este modo, la plataforma planteada aprovecha y reutiliza el ecosistema de monitoreo ya desplegado en el área, pero dotándolo de inteligencia, trazabilidad y automatización para prevenir, detectar y responder ante incidentes y optimizar el uso de los recursos humanos y tecnológicos del departamento.

El proyecto implementó una plataforma XDR/SIEM que integra Zabbix, Wazuh y Suricata sobre Elasticsearch, con ingestión multifuente y correlación centralizada de eventos. Se desplegaron agentes en más de 500 hosts, cubriendo el 58 % de la infraestructura crítica, con flujos cifrados y normalizados para monitorear red, autenticación, integridad y rendimiento; la centralización de logs permitió crear reglas contextuales por host, usuario e IP, generando alertas categorizadas por severidad y respaldadas por dashboards, que ahora alimentan directamente la operación diaria y la mesa de servicio, reduciendo búsquedas manuales y mejorando la trazabilidad entre eventos técnicos e impacto académico.

En la capa analítica se construyó un pipeline de Machine Learning de cinco pasos con 26 454 eventos históricos, obteniendo métricas reales como MTTR y distribución de severidades, por ello se tomó el dataset para entrenar un modelo Random Forest para predecir severidad (1–4), con resultados experimentales de accuracy y F1-Score de 1.0, especialmente robusto para eventos de alta severidad. El pipeline se dejó como canalización reproducible en Jupyter, con datos y modelos versionados para asegurar trazabilidad y auditabilidad, y se diseñó para integrarse progresivamente con la plataforma XDR/SIEM, exportando eventos normalizados a un servicio de inferencia que devuelve severidades o puntajes de riesgo que se reinyectan en dashboards y reglas de correlación.

Se estableció un marco de validación técnica con 511 escenarios de prueba y se diseñó un modelo de madurez basado en NIST CSF 2.0, incorporando métricas operativas como MTTD, MTTR, cobertura de agentes y SLA de alertamiento ≤ 1 minuto. Se definieron niveles de madurez actuales y acciones a 12–18 meses para las funciones de Detectar, Responder y Gobernar, incluyendo aumento de reglas de correlación, playbooks de respuesta y revisión trimestral de indicadores en comités de operación y seguridad.

En conjunto, la solución transforma el monitoreo aislado en una plataforma integrada con correlación, análisis predictivo y medición continua de postura, reduciendo el esfuerzo manual, priorizando incidentes que afectan procesos académicos y ofreciendo un roadmap claro de mejora en la gestión de seguridad y operación de servicios.