Los sistemas IDS para mitigar ataques en un entorno simulado.

Abstract

El presente estudio tiene como objetivo evaluar la efectividad de los sistemas de detección de intrusos (IDS) Snort, Suricata y Zeek en la identificación y mitigación de ciberataques, con un enfoque particular en el escaneo de puertos, dentro de un entorno simulado. El escaneo de puertos es una técnica común utilizada por los atacantes para identificar servicios vulnerables en una red, lo que lo convierte en un punto de partida crítico para ataques más avanzados. A través de pruebas controladas, se comparó el desempeño de estas herramientas en términos de tasa de detección, falsos positivos, rendimiento en alto tráfico y facilidad de uso. Los resultados mostraron que Suricata fue la herramienta más efectiva, con una tasa de detección del 98%, gracias a su capacidad de inspección profunda de paquetes (DPI) y su arquitectura multihilo. Snort alcanzó una tasa de detección del 95%, siendo una opción sólida para redes pequeñas o medianas, aunque su arquitectura monohilo limitó su rendimiento en entornos de alto tráfico. Por su parte, Zeek mostró una tasa de detección del 90%, destacándose más en el análisis forense y la generación de logs detallados que en la detección en tiempo real. Además, se propusieron estrategias de optimización para cada herramienta, como la actualización de reglas de detección, la integración con sistemas SIEM y el uso de hardware especializado. Este estudio contribuye al campo de la ciberseguridad al ofrecer recomendaciones prácticas para la implementación de IDS en diferentes contextos, especialmente en entornos virtualizados, y fomenta la adopción de estas herramientas en sectores vulnerables, como pequeñas organizaciones y usuarios individuales.