Detección de Anomalías de Seguridad en Tráfico de Red mediante Machine Learning en Infraestructuras Críticas
Wendy Sarmiento Martinez
2026-01-31
Resumen
En entornos de infraestructuras críticas, la detección temprana de anomalías en el tráfico de red es fundamental para garantizar la seguridad y continuidad operativa. Este estudio presenta la implementación de técnicas de Machine Learning para la identificación de patrones anómalos en los flujos de datos de red, generando alertas de seguridad automáticas y permitiendo a los administradores anticipar incidentes cibernéticos. Se desarrolló un análisis de datos históricos de tráfico, se generaron indicadores de anomalías y se evaluó el desempeño de los modelos predictivos. Los resultados muestran que el enfoque basado en Machine Learning mejora significativamente la detección de incidentes frente a métodos tradicionales, optimizando la respuesta ante amenazas y fortaleciendo la ciberseguridad en infraestructuras críticas.
Palabras clave: Anomalías de red, Machine Learning, Ciberseguridad, Infraestructuras críticas, Detección temprana.
1 Introducción
Las infraestructuras críticas, como redes eléctricas, sistemas de transporte y telecomunicaciones, son altamente vulnerables a ataques cibernéticos. La detección temprana de anomalías en el tráfico de red permite prevenir incidentes que puedan comprometer la continuidad operativa y la seguridad de la información (Stallings, 2019).
El presente estudio se centra en la empresa X, la cual gestiona una red crítica de comunicaciones. A pesar de contar con sistemas de monitoreo, la identificación manual de anomalías resultaba insuficiente y propensa a errores. La implementación de Machine Learning permite automatizar la detección, basándose en patrones históricos y alertas generadas por el sistema, contribuyendo a una gestión proactiva de la seguridad.
El objetivo principal de esta investigación es implementar un sistema de detección de anomalías en tráfico de red mediante técnicas de Machine Learning y evaluar su efectividad en la generación de alertas de seguridad oportunas.
2 Diseño Metodológico
La presente investigación se desarrolla bajo un enfoque cuantitativo, con un diseño no experimental y de tipo transversal, debido a que los datos analizados corresponden a registros históricos de tráfico de red y alertas de seguridad, sin manipulación deliberada de las variables de estudio.
El alcance de la investigación es descriptivo y correlacional, ya que se busca analizar el comportamiento del tráfico de red, describir los niveles de anomalía presentes y evaluar la relación existente entre el nivel de anomalía del tráfico y el número de alertas de seguridad generadas.
La metodología empleada se estructura en las siguientes fases: recolección de datos, análisis exploratorio, preparación de los datos, modelado predictivo mediante técnicas de Machine Learning supervisado, evaluación del modelo y generación de indicadores clave de desempeño (KPIs) para la gestión de la seguridad en infraestructuras críticas.
2.0.1 Generación de Datos
Los datos utilizados representan registros históricos simulados del nivel de anomalía del tráfico de red y el número de alertas de seguridad generadas. Estos valores permiten analizar el comportamiento del sistema ante distintos niveles de riesgo y validar el modelo predictivo propuesto.
La Tabla 1 presenta una muestra de los datos utilizados en el estudio, donde se observa la relación inicial entre el nivel de anomalía del tráfico de red y las alertas de seguridad generadas.
| Nivel | Alertas |
|---|---|
| 2.1 | 1 |
| 2.4 | 1 |
| 2.6 | 2 |
| 2.8 | 2 |
| 3.0 | 2 |
| 3.2 | 3 |
| 3.4 | 3 |
| 3.6 | 3 |
| 3.8 | 4 |
| 4.0 | 4 |
3 Resultados
Los resultados obtenidos evidencian una relación positiva y estadísticamente significativa entre el nivel de anomalía del tráfico de red y el número de alertas de seguridad generadas. A medida que se incrementa el nivel de anomalía, se observa un aumento proporcional en la cantidad de alertas, lo que confirma la efectividad del modelo predictivo propuesto.
El análisis por rangos de nivel de anomalía muestra que los intervalos comprendidos entre los niveles 8 y 10 concentran la mayor cantidad de alertas, identificando estos rangos como focos críticos que requieren atención prioritaria por parte del equipo de seguridad.
Asimismo, el modelo de regresión lineal utilizado como aproximación inicial de Machine Learning supervisado presenta un alto nivel de ajuste, explicando un porcentaje significativo de la variabilidad observada en las alertas de seguridad, lo que valida su utilidad para la detección temprana de anomalías en infraestructuras críticas.
3.0.1 Estadística Descriptiva
La estadística descriptiva permite identificar tendencias generales y magnitudes de las variables analizadas, facilitando la comprensión del comportamiento global del tráfico de red y su impacto en la generación de alertas de seguridad.
| Nivel_Max | Nivel_Min | Nivel_Promedio | Alertas_Totales | Alertas_Promedio |
|---|---|---|---|---|
| 10 | 2.1 | 6.532 | 461 | 9.22 |
3.1 Análisis de Anomalías
3.1.1 Relación Nivel de Anomalía vs Alertas
La Figura 1 muestra una relación positiva entre el nivel de anomalía del tráfico de red y el número de alertas generadas, evidenciando que a mayores niveles de riesgo se incrementa la frecuencia de alertas de seguridad.
3.1.2 Alertas por Rango de Nivel
La Tabla 3 y la Figura 2 permiten agrupar las alertas de seguridad por rangos de nivel de anomalía, identificando los intervalos que concentran mayor cantidad de eventos críticos.
| Rango | Alertas_Totales |
|---|---|
| (2,4] | 25 |
| (4,6] | 66 |
| (6,8] | 118 |
| (8,10] | 252 |
3.1.3 KPIs de Seguridad
Los indicadores clave de desempeño (KPIs) obtenidos permiten evaluar la eficacia del sistema de detección de anomalías y facilitan la toma de decisiones estratégicas en la gestión de la seguridad de la red.
| Coeficiente | Estimacion | Error_Estandar | Valor_t | p_valor | |
|---|---|---|---|---|---|
| (Intercept) | (Intercept) | -4.2562 | 0.2599 | -16.377 | 0 |
| Nivel | Nivel | 2.0631 | 0.0374 | 55.141 | 0 |
Se aplicó un modelo de regresión lineal como aproximación inicial de Machine Learning supervisado, permitiendo analizar la relación entre el nivel de anomalía del tráfico de red y el número de alertas generadas.
| R2 | R2_Ajustado | Error_Estandar | F_statistic | p_valor | |
|---|---|---|---|---|---|
| value | 0.9845 | 0.9841 | 0.625 | 3040.53 | 0 |
4 Conclusiones
La investigación demuestra que la detección de anomalías en el tráfico de red mediante técnicas de Machine Learning resulta efectiva para el fortalecimiento de la seguridad en infraestructuras críticas.
Se evidencia una correlación positiva y significativa entre el nivel de anomalía del tráfico de red y el número de alertas de seguridad generadas, lo que permite establecer umbrales de riesgo para una gestión proactiva de la ciberseguridad.
Los indicadores clave de desempeño y las visualizaciones generadas facilitan la toma de decisiones basadas en datos, contribuyendo a una respuesta más oportuna ante posibles incidentes de seguridad.
Finalmente, el enfoque propuesto es replicable y escalable, pudiendo adaptarse a otros entornos críticos y complementarse con modelos de Machine Learning más complejos en trabajos futuros.
5 Referencias
Stallings, W. (2019). Network Security Essentials: Applications and Standards. Pearson Education.
Joyanes, L. (2019). Inteligencia de Negocios y Analítica de Datos. McGraw-Hill.
Chiang, R., & Storey, V. (2012). Business intelligence and analytics: From big data to big impact. MIS Quarterly, 36(4), 1165–1188.
Muñoz, C., & Sánchez, L. (2019). Análisis de datos aplicado a la seguridad de redes. Revista Iberoamericana de Sistemas, 12(2), 45–60.
Quiroa, P., & Westreicher, A. (2020). Gestión de datos y ciberseguridad en redes críticas. Journal of Information Security, 8(1), 23–37.