Thomas Bayes (c. 1701-1761) fue un matemático y teólogo inglés que desarrolló el teorema que formaliza la inferencia bayesiana en la que se aborda la «probabilidad inversa», que consiste en inferir la probabilidad de una hipótesis a partir de los efectos observados, invirtiendo el sentido habitual de la probabilidad condicional.
Es decir, supongamos que analizamos logs en el SIEM y vemos tráfico anómalo a un dominio C2 (efecto observado), la probabilidad directa sería preguntarse «Si hay una brecha activa, ¿cuál es la probabilidad de observar tráfico C2?», mientras que la indirecta (problema de Bayes) pasaría por «Dado que observas tráfico C2, ¿cuál es la probabilidad de que exista una brecha real?»
Este problema, aplicado al análisis de riesgos de ciberseguridad, transforma la estimación estática de probabilidad hacia un modelo dinámico que permite integrar telemetría operativa como logs, IOCs o alertas del IDS.
Pero, ¿cómo lo hacemos?
Imaginaros que tenemos que analizar un LIMS (Sistema de gestión de la información de laboratorio) que almacena datos de calidad tales como resultados analíticos, controles GMP, trazabilidad lotes.
Desde un enfoque tradicional, podríamos asignar una probabilidad inicial de compromiso baja (por ejemplo, “el sistema está segmentado y validado”), si bien esa probabilidad a priori debería cambiar en cuanto observamos nuevas evidencias tales como:
- Conexiones salientes inusuales desde el servidor LIMS
- Accesos fuera de horario a tablas de resultados.
- Hashes sospechosos en binarios del middleware.
- Alertas IDS correlacionadas con TTPs conocidos.
Es decir, el primer paso y principal diferencia con el enfoque tradicional es discernir entre evidencia (señales observables) e hipótesis (representa el estado real que queremos inferir), lo que implica definir explícitamente:
- La probabilidad de observar esa evidencia sin brecha (ruido, falsos positivos).
- La probabilidad inicial de compromiso.
- Qué tan probable es observar esa evidencia si la brecha es real.
Bayes rompe con la equivalencia porque te obliga a establecer una probabilidad inicial de compromiso que no surge de la alerta ni de la evidencia actual, sino del contexto del sistema (exposición a red, historial de incidentes, madurez de los controles de seguridad o el grado de segmentación), en donde lo importante no es que sea exacta, sino que sea explícita y razonada, ya que actúa como punto de partida del análisis.
A partir de ahí, el foco se desplaza a la evidencia, que se basa en determinar cuánto ruido genera el sistema en condiciones normales, apoyándonos en datos históricos, en la tasa conocida de falsos positivos y en la experiencia operativa del SOC.
Posteriormente, debemos estimar qué tan probable es observar esa misma evidencia si el sistema estuviera realmente comprometido, por lo que aquí entran en juego el conocimiento de TTPs, los patrones observados en incidentes previos y la inteligencia de amenazas, pues no siempre es fácil discernir si el comportamiento es anómalo o no.
Esto, en términos tangibles, implica que la fórmula habitual no cambia, si bien la P pasa a P=P(H∣E) donde E es la evidencia observada y H la hipótesis de riesgo, calculándose así:
De forma que los criterios de cada variable sería:
| Probabilidad | Criterios | Rangos típicos |
| P(H) – Probabilidad a priori del evento, que representa la frecuencia base del evento antes de observar evidencia | 1. Frecuencia histórica real del evento 2. Estadísticas internas o sectoriales 3. Juicio experto estructurado 4. Rangos cualitativos | Muy raro <1% Raro 1 a 5% Ocasional 5 a 20% Frecuente >20% |
| P(E ¬H) – Probabilidad de observar la evidencia cuando el evento no ocurre, es decir, el ruido o falsos positivos que pueden aparecer incluso en condiciones normales | 1.Tasa de falsos positivos 2.Frecuencia normal de la señal 3.Comportamiento base del sistema | Muy común > 70% Moderada 30–70% Rara < 30% |
| P(E H) – Probabilidad de observar la evidencia cuando el evento sí ocurre, reflejando la fuerza explicativa de la señal sobre la hipótesis de riesgo | 1.Análisis de incidentes reales, 2.Patrones conocidos 3. Inteligencia de amenazas 4.Estudios técnicos | Débil < 40% Media 40–70% Fuerte > 70% |
De forma que el impacto en el riesgo depende solo de esta relación y no del número exacto:
- ≈ 1 → evidencia irrelevante
- ≫ 1 → evidencia incrementa riesgo
- < 1 → evidencia reduce riesgo
De forma que, una vez calculada la relación, podemos saber qué tan relevante es cada evidencia para ajustar la probabilidad del evento, de forma que no importa cuántas señales se acumulen, pues lo que realmente importa es la fuerza de la evidencia en relación con la hipótesis.
Una vez calculada, volvemos a la fórmula general Riesgo = Probabilidad x Impacto, y resolvemos.
En definitiva, aunque implementar este enfoque puede implicar desafíos —como la falta de datos históricos, la complejidad conceptual o la integración en sistemas existentes—, los beneficios superan ampliamente las dificultades al obtener un riesgo más preciso, decisiones mejor fundamentadas y una mayor capacidad de adaptación a la evidencia real.