Plataforma activa · Telemetría + LLM + Ticketing

OBSIDIA
SOC con IA
para América Latina

Ciberseguridad de nivel enterprise. Sin el precio de un SOC.

Tu empresa está siendo escaneada ahora mismo. Obsidia detecta cada amenaza, la analiza con inteligencia artificial y le dice a tu equipo exactamente qué hacer — en menos de 60 segundos, en español, 24 horas al día.

<60s
De ataque a ticket con plan de acción
-85%
Costo vs SOC tradicional en LATAM
24/7
Monitoreo continuo sin intervención humana
100%
Trazabilidad para cumplimiento regulatorio
Arquitectura simple

Cómo funciona

Cuatro pasos. Completamente automatizados. Tu equipo solo recibe el veredicto.

01

Detección continua

Un motor de telemetría monitorea todos tus endpoints, servidores y red en tiempo real — cada evento queda registrado.

02

Correlación instantánea

OBSIDIA Core cruza alertas con reglas MITRE ATT&CK, determina Kill Chain y filtra falsos positivos.

03
AI

Análisis por IA

Un modelo de lenguaje (LLM) analiza el contexto completo y genera hipótesis, evaluación de riesgo y comandos de remediación en el idioma configurado — español, inglés o portugués.

04
#

Ticket accionable

El sistema de ticketing recibe el caso completo. Tu equipo sabe exactamente qué hacer, en qué orden, con qué comandos.

Capacidades

Todo lo que incluye

Monitoreo 24/7

Vigilancia continua de endpoints, servidores, firewalls y red sin intervención humana.

AI

LLM multiidioma

Cada amenaza explicada con contexto, hipótesis y pasos de acción. Configurable en español, inglés o portugués según el idioma del equipo SOC.

MITRE ATT&CK

Clasificación automática de táctica, técnica y etapa Kill Chain para cada evento detectado.

#

Ticketing automático

El sistema de ticketing gestiona el ciclo de vida del incidente. Nada se pierde, todo queda documentado.

Cumplimiento regulatorio

Expediente automático con timestamp, clasificación y acciones — listo para CNBV, PCI DSS, HIPAA, ISO 27001.

100% dockerizado

On-premise o nube. Datos dentro de tu infraestructura. Sin SaaS externo con tu información crítica.

Casos de uso por industria

El ataque que no viste venir

Escenarios reales. Lo que pasa sin Obsidia, y lo que pasa con Obsidia.

Finanzas / Banca

Credential stuffing contra banca en línea — 2:47 AM, sábado

Un bot usa 50,000 credenciales filtradas para acceder a cuentas de clientes. 300 intentos por minuto desde 40 IPs en Europa del Este.

  • 02:47:03
    Inicio del ataque
    Bot probando credenciales masivamente. 300 req/min.
  • 02:47:21 — 18 seg
    Obsidia detecta anomalía
    Regla 5712 disparada. Nivel 14 — CRÍTICO.
  • 02:47:44 — 41 seg
    IA clasifica amenaza
    T1110.004 Credential Stuffing · Kill Chain: Acceso Inicial.
  • 02:47:52 — 49 seg
    Ticket generado
    Plan completo de contención enviado al guardia de turno.
  • 02:53:00 — 6 min
    Contención exitosa
    IPs bloqueadas. MFA forzado. $0 en cuentas comprometidas.
CRÍTICO · Nivel 14 Kill Chain: Acceso Inicial MITRE T1110.004
[AUTH][BRUTE_FORCE][CRITICAL] portal-banca 187.x.x.x → 10.0.1.5 (rule=5712)
OBSIDIA SOC · soc@obsidia.center · 02:47:52 AM
Contexto
Agente: portal-banca-prod
Flujo: 187.23.x.x → 10.0.1.5:443 · 847 intentos / 180s
Táctica: TA0001 Initial Access · T1110.004
◆ AI — análisis LLM + acciones
1
Hipótesis: Credential stuffing con lista filtrada. Alta probabilidad de éxito parcial.
2
Bloquear IPs:
firewall-cmd --add-rich-rule='rule family=ipv4 source address="187.23.0.0/16" drop'
3
Identificar cuentas afectadas:
grep "auth_failed" /var/log/auth.log | awk '{print $9}' | sort | uniq -c | sort -rn | head -20
4
Remediación: Rate limiting 5 intentos/IP/15min + CAPTCHA adaptativo.
Salud

Ransomware en servidor de expedientes clínicos — jueves 11 PM

Un empleado abrió un PDF malicioso. El ransomware empieza a cifrar expedientes de 80,000 pacientes. Tienes 15 minutos antes de que sea irreversible.

  • 23:02:14
    PDF malicioso ejecutado
    Macros VBA lanza PowerShell oculto.
  • 23:02:31 — 17 seg
    Obsidia detecta ejecución anómala
    PowerShell con flags -enc y -nop. Regla 91521. CRÍTICO.
  • 23:02:55 — 41 seg
    IA identifica patrón ransomware
    T1059.001 PowerShell + T1486 Data Encrypted. Kill Chain: Ejecución.
  • 23:03:02 — 48 seg
    Ticket de aislamiento generado
    Comandos para aislar equipo y detener cifrado enviados.
  • 23:06:00 — 4 min
    Equipo aislado antes del daño mayor
    Solo 3% de archivos cifrados. Expedientes recuperados de backup.
CRÍTICO · Nivel 15 Kill Chain: Ejecución MITRE T1059.001 + T1486
[MALWARE][RANSOMWARE][CRITICAL] workstation-dra-garcia: powershell.exe -enc -nop (rule=91521)
OBSIDIA SOC · soc@obsidia.center · 23:03:02
Contexto
Agente: workstation-dra-garcia (RHUMCID)
Proceso: powershell.exe · PID: 4821 · Parent: winword.exe
Tácticas: TA0002 Execution · TA0040 Impact (cifrado)
◆ AI — análisis LLM + acciones
1
Hipótesis: Ransomware activo. Word lanzó PowerShell codificado — patrón de macro maliciosa.
2
Aislar INMEDIATAMENTE:
netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound
3
Matar proceso:
taskkill /PID 4821 /F && taskkill /IM powershell.exe /F
4
Notificar IMSS/COFEPRIS en <72h per NOM-024 y evaluar scope de expedientes afectados.
Manufactura

Acceso no autorizado a sistemas SCADA — planta activa, 3 AM

Alguien desde Rusia está escaneando tus PLCs y sistemas de control de línea de producción. Un comando equivocado puede dañar maquinaria por millones.

  • 03:14:07
    Escaneo de red OT detectado
    Nmap scan masivo desde 91.x.x.x (Rusia) hacia segmento SCADA.
  • 03:14:22 — 15 seg
    Obsidia detecta reconocimiento
    Regla 40101. Acceso a puerto 102 (Siemens S7). CRÍTICO.
  • 03:14:48 — 41 seg
    IA clasifica: ataque OT
    T1046 Network Scanning + T1566 ICS Initial Access. Kill Chain: Reconocimiento.
  • 03:14:55 — 48 seg
    Ticket con plan de aislamiento OT
    Comandos para segmentar red IT/OT enviados al ing. de guardia.
  • 03:19:00 — 5 min
    PLCs aislados. Producción intacta
    Cero interrupciones. Cero daño a maquinaria.
CRÍTICO · Nivel 14 Kill Chain: Reconocimiento MITRE T1046 + ICS T0840
[OT][SCADA][CRITICAL] firewall-planta 91.x.x.x → 10.10.5.0/24:102 (rule=40101)
OBSIDIA SOC · soc@obsidia.center · 03:14:55
Contexto
Target: Segmento SCADA (PLCs Siemens S7-300) · Puerto 102
Origen: 91.215.x.x (AS RU) · 2,400 paquetes en 90s
Tácticas ICS: T0840 Network Connection Enumeration
◆ AI — análisis LLM + acciones
1
Hipótesis: Reconocimiento previo a ataque a infraestructura OT. Patrón de APT industrial.
2
Aislar segmento SCADA:
iptables -I FORWARD -s 91.215.0.0/16 -d 10.10.5.0/24 -j DROP
3
Verificar integridad PLCs: Conectar localmente y validar que no hay lógica de escalera modificada.
4
Reportar a CERT-MX (ICS) y documentar para auditoría de seguridad industrial.
Retail

Skimming de datos de tarjetas en e-commerce — Black Friday, 11 PM

Un script malicioso fue inyectado en tu checkout. Está capturando números de tarjeta en tiempo real durante tu noche de mayor venta del año.

  • 23:31:44
    Script inyectado en checkout
    Magecart-style skimmer enviando datos a dominio externo.
  • 23:31:59 — 15 seg
    Obsidia detecta exfiltración
    Conexión saliente anómala desde web server hacia IP en Nigeria. Regla 87234.
  • 23:32:21 — 37 seg
    IA identifica Magecart
    T1185 Browser Session Hijack + T1041 Exfiltration. Kill Chain: Exfiltración.
  • 23:32:29 — 45 seg
    Ticket con pasos de emergencia
    Bloquear dominio malicioso + patch urgente del CMS enviado.
  • 23:35:00 — 3 min
    Skimmer eliminado
    Menos de 80 tarjetas expuestas. Ventas de la noche protegidas.
CRÍTICO · Nivel 13 Kill Chain: Exfiltración MITRE T1185 + T1041
[WEB][EXFIL][CRITICAL] ecommerce-prod: conexión saliente sospechosa :443 → 197.x.x.x (rule=87234)
OBSIDIA SOC · soc@obsidia.center · 23:32:29
Contexto
Origen: checkout.php (proceso nginx) → 197.234.x.x:443
Volumen: 12 KB cada 4 seg · Patrón: POST con estructura de datos de tarjeta
Tácticas: T1185 Hijack + T1041 Exfiltration Over C2
◆ AI — análisis LLM + acciones
1
Hipótesis: Skimmer Magecart activo. JS malicioso en checkout capturando tarjetas en tránsito.
2
Bloquear exfiltración:
iptables -A OUTPUT -d 197.234.0.0/16 -j DROP
3
Localizar script malicioso:
grep -r "197.234" /var/www/html/ && grep -r "btoa\|atob" /var/www/html/checkout*
4
Notificar a CONDUSEF y bancos emisores. PCI DSS exige notificación en <24h.
Gobierno

Movimiento lateral en red gubernamental — APT activo

Un actor de estado comprometió una cuenta de bajo privilegio y está escalando permisos para llegar a la base de datos del padrón ciudadano. 5 millones de registros en riesgo.

  • 01:22:08
    Login en horario inusual
    Usuario "jlopez" conectado a las 1 AM desde IP de Venezuela.
  • 01:22:31 — 23 seg
    Obsidia detecta anomalía de acceso
    Geolocalización anómala + horario inusual. Regla 18119. ALTO.
  • 01:22:58 — 50 seg
    IA detecta movimiento lateral
    T1078 Valid Accounts + T1021 Remote Services. Kill Chain: Movimiento Lateral.
  • 01:23:05 — 57 seg
    Ticket con plan de contención
    Suspender cuenta + analizar sesiones activas + scope del acceso.
  • 01:26:00 — 4 min
    Cuenta suspendida. Padrón protegido
    Sesión terminada. Zero registros exfiltrados. Credenciales rotadas.
ALTO · Nivel 12 Kill Chain: Movimiento Lateral MITRE T1078 + T1021
[APT][LATERAL][HIGH] DC-principal: jlopez@190.x.x.x (VE) acceso 01:22 fuera de horario (rule=18119)
OBSIDIA SOC · soc@obsidia.center · 01:23:05
Contexto
Usuario: jlopez · Último acceso legítimo: ayer 17:42 CDMX
IP: 190.25.x.x (AS Venezuela) · Geolocalización anómala
Tácticas: T1078 Valid Accounts · T1021 Remote Services
◆ AI — análisis LLM + acciones
1
Hipótesis: Credenciales comprometidas usadas por actor externo. Patrón APT de movimiento lateral.
2
Suspender cuenta inmediatamente:
net user jlopez /active:no && wmic /node:DC-principal process where "name='explorer.exe' AND owner='jlopez'" call terminate
3
Auditar acceso al padrón:
Get-WinEvent -FilterHashtable @{LogName='Security';Id=4663} | Where-Object {$_.Message -like '*jlopez*'}
4
Notificar CERT-MX per LGPDPPSO y Acuerdo de Seguridad INAI. Obligación legal en <72h.
Ventajas competitivas

Obsidia vs SOC tradicional

Por qué Obsidia reemplaza a un SOC tradicional — sin sacrificar cobertura ni respuesta.

✗ SOC Tradicional
Equipo de analistas de seguridad dedicados 24/7
Licencias de plataforma SIEM enterprise de alto costo
Infraestructura dedicada y mantenimiento
6–12 meses de implementación
Respuesta en minutos u horas (turno humano)
Reportes técnicos que nadie entiende
Análisis solo en inglés (mayoría de herramientas)
✓ Con Obsidia
Tu equipo IT existente + Obsidia como capa de IA
Telemetría open source + Obsidia (fracción del costo)
Docker en tu infraestructura actual
Implementación en días, no meses
Respuesta en <60 segundos, automática
Tickets accionables para cualquier persona
100% en español / PT — contexto LATAM
Personal
Tu equipo IT existente se convierte en el SOC — sin contratar analistas de seguridad dedicados. Obsidia hace el trabajo pesado.
Plataforma
Stack open source + Obsidia, en tu propia infraestructura. Sin licencias enterprise de seis cifras ni dependencia de plataformas externas.
Implementación
Días, no meses. El instalador automatizado tiene todo listo en horas. Sin proyectos de consultoría interminables ni fricción de integración.
Cumplimiento
Cada incidente queda documentado automáticamente. La evidencia que exige tu auditor — CNBV, PCI DSS, ISO 27001 — se genera sola.
El ROI de Obsidia

En ciberseguridad, el costo real no es la plataforma — es el incidente que no detectaste a tiempo. Obsidia reduce la ventana de exposición a menos de 60 segundos, automatiza la respuesta y documenta cada evento para tu siguiente auditoría. El retorno se mide en riesgos evitados, no en cifras de ahorro.

Cumplimiento

Listo para tu auditor

Obsidia genera automáticamente la evidencia que tus reguladores exigen — desde el minuto uno.

$
Finanzas

CNBV / DGIE

Notificación de incidentes en <72h. Obsidia genera el expediente completo con timestamp, clasificación y acciones tomadas, listo para enviar.

Finanzas /Retail

PCI DSS v4.0

Log de todos los eventos de acceso a datos de tarjeta. Trazabilidad forense automática para cumplir Req. 10 de PCI DSS sin esfuerzo manual.

+
Salud

NOM-024 / HIPAA

Protección de expedientes clínicos electrónicos. Obsidia detecta acceso indebido a PHI y genera el reporte de brecha para COFEPRIS.

Todos los sectores

LGPDPPSO / ISO 27001

Ley General de Protección de Datos. Obsidia documenta el incidente, el scope y las acciones — cumplimiento INAI en tiempo y forma.

Stack tecnológico

Arquitectura probada en producción

Corriendo hoy en múltiples regiones de América Latina. Desplegable en tu infraestructura en menos de una semana.

Capa de detección

Telemetría

Motor de detección open source. Monitorea endpoints, logs, integridad de archivos y red en tiempo real.

OBSIDIA Core

Motor de correlación

Python · Docker. Enriquece con MITRE ATT&CK, Kill Chain y llama a la IA para cada alerta.

Análisis LLM
AI

Motor LLM

Análisis contextual por modelo de lenguaje. Hipótesis, evaluación de riesgo y comandos de remediación en español.

Ticketing
#

Ticketing

Ciclo de vida completo del incidente. Asignación, seguimiento, cierre y evidencia forense.

Reportes ejecutivos

Documentación automática para directivos y auditores

Obsidia genera reportes PDF listos para presentar — sin trabajo manual, desde el dashboard.

7D
Reporte Semanal
Resumen ejecutivo de 7 dias de actividad
  • Resumen ejecutivo con totales de alertas y tickets
  • Top reglas disparadas y agentes afectados
  • Tacticas MITRE ATT&CK activas en el periodo
  • Kill chain y etapas de ataque detectadas
  • Desglose por severidad (CRITICAL / HIGH / MED / LOW)
  • Tabla de eventos con analisis de IA
30D
Reporte Mensual
Postura de seguridad del mes
  • Vision ejecutiva del mes completo
  • Tendencias de ataques y vectores mas frecuentes
  • Metricas de respuesta automatica (latencia IA)
  • Cumplimiento: evidencia para CNBV, PCI DSS, ISO 27001
  • Historial de incidentes criticos con resolucion
  • Recomendaciones de mejora de postura
Dashboard en Vivo
monitor.obsidia.center — acceso 24/7
  • Feed de alertas en tiempo real con MITRE por fila
  • Vistas temporales: EN VIVO · 7D · 14D · 28D
  • Panel MITRE ATT&CK con tacticas activas
  • Descarga de reportes PDF con un clic
  • Multi-tenant: cada cliente ve solo sus datos
  • Autenticacion segura por cliente
Planes

Capacidades por nivel de protección

Cada plan incluye activación en menos de 24 horas. Solicita cotización y te enviamos propuesta en el día.

Starter
Starter
Visibilidad de seguridad lista en días. Ideal para organizaciones de hasta 10 activos.
Cotización a medida

Precio según tu infraestructura

Incluye
≤10 assets Retención 15 días SLA 8h
  • Análisis IA — severity Critical únicamente
  • Correlación con umbral de 5 alertas
  • Dashboard SOC en tiempo real
  • Sistema de tickets automático
  • Reportes semanales
  • Soporte por email
Enterprise
Enterprise
Para organizaciones con infraestructura compleja. Analista dedicado, SLA 2h y cobertura total.
Cotización a medida

Precio según tu infraestructura

Incluye
30+ assets Retención 60 días SLA 2h
  • Todo lo del nivel Pro
  • Análisis IA — todo configurable
  • Correlación personalizable
  • Reportes personalizados PDF
  • Soporte dedicado
  • Atención directa con analista

Sin permanencia mínima  ·  Activación en <24 horas  ·  Cotización personalizada según tu infraestructura. Contáctanos →

Documentación

Brief técnico-ejecutivo

Documento completo de la plataforma — arquitectura, casos de uso, cobertura MITRE y opciones de contratación. Disponible en tres idiomas, imprimible como PDF.

Abre el brief en tu navegador y usa Ctrl+P → Guardar como PDF para obtener el datasheet listo para enviar.
El documento incluye portada, arquitectura, casos de uso reales y opciones de contratación.

¿Listo para probarlo?

Tu empresa merece
protección real

Mostramos Obsidia detectando amenazas reales en tu industria — en vivo, en menos de 30 minutos.

Escribir a soporte@obsidia.center