I - Intro

Si trabajás o querés trabajar en ciberseguridad defensiva, estas dos siglas van a cruzarse en tu camino todos los días.

Este post explica qué son, de dónde vienen, en qué se diferencian, y cómo está el escenario a hoy abril de 2026, con nombres, contexto real y algunas estadísticas para que no te quedes con la idea básica o sólo datos de Wikipedia ;)

II - SIEM: el núcleo de la defensa

SIEM significa Security Information and Event Management. El término nació de dos analistas de Gartner: Mark Nicolett y Amrit Williams. En 2005 fusionaron dos tópicos que ya existían por separado: SIM (gestión de logs históricos) y SEM (monitoreo de eventos en tiempo real). Similar a la historia del lápiz con goma, no fue un invento de cero, sino una fusión de dos ya existentes, una nueva categoría.

¿Cuál es la función de un SIEM?

En esencia, y dependiendo de algún producto específico con más o menos opciones, hace lo siguiente:

  1. Recolecta logs y eventos de toda la infraestructura: servidores, firewalls, endpoints, aplicaciones, bases de datos, contenedores, etc.
  2. Normaliza esos datos a un formato común compatible (parsing).
  3. Correlaciona eventos entre fuentes distintas para detectar patrones de ataque.
  4. Genera alertas cuando algo coincide con una regla o un comportamiento anómalo.
  5. Almacena todo para cumplimiento de normativas (compliance) y análisis forense posterior.

Un SIEM no actúa sino más bien observa, correlaciona, avisa, monitorea. La acción queda en manos del Analista de Seguridad.

Es el sistema nervioso central de un SOC (Security Operations Center): todo pasa por ahí, pero las decisiones las toma un humano (por ahora xD ).

III - XDR: la acción

XDR significa Extended Detection and Response. El término lo introdujo Nir Zuk, fundador y CTO de Palo Alto Networks, en 2018. Nació como evolución del EDR (Endpoint Detection and Response), que a su vez evolucionó del antivirus tradicional. La “X” indica que va más allá del endpoint, integrando red, nube, identidad y correo en una sola plataforma.

¿Qué hace un XDR que un SIEM no?

  • Responde de forma automatizada y predecible: puede aislar un endpoint, bloquear un proceso, o suspender una cuenta sin esperar que el Analista de Seguridad tome la decisión y ejecución.
  • Correlaciona nativamente entre capas (endpoint + red + nube + identidad) en vez de depender de que integres herramientas de distintos vendors.
  • Unifica la visibilidad en un solo panel, eliminando la dependencia de varias plataformas.

La diferencia central: el SIEM observa y notifica, avisa. El XDR observa, decide y actúa.

Hay algunas variantes:

  • Native XDR: todo del mismo vendor (CrowdStrike Falcon, Palo Alto Cortex, etc). Integración nativa, pero quedás atado a un ecosistema lo cual nunca es recomendable en IT.
  • Open/Hybrid XDR: integra herramientas de múltiples vendors (Stellar Cyber, Wazuh en cierta medida). Más flexible, pero más complejo de configurar.

IV - Las diferencias que importan

La discusión no es SIEM o XDR, sino entender qué problema resuelve cada uno y para qué se usa:

El SIEM es insustituible para compliance y retención de logs. Regulaciones como NIS2 en Europa, PCI DSS, DORA para servicios financieros, o los requisitos del BCRA en Argentina exigen retención de logs por períodos definidos y capacidad de auditoría. El XDR no cubre eso. Si tu organización necesita demostrar ante un ente regulador que guardó logs de acceso durante 2 años, necesitás un SIEM.

El XDR se destaca por su velocidad de respuesta y reducción de herramientas.

La tendencia real, como viene sucediendo en IT es la convergencia: los SIEM modernos incorporan respuesta automatizada (territorio XDR), y los XDR incorporan gestión de logs (territorio SIEM). Las plataformas que sobrevivan van a ser las que logren hacer las dos cosas bien. Y ni hablar con el boom de la IA, muchas empresas están automatizando estos flujos e integrando herramientas, no eliminándolas, a través de la lA.

V - El escenario hoy: las principales herramientas

Hablando de referencias de SIEM/XDR es inevitable ver qué muestra El Cuadrante Mágico de Gartner para SIEM en 2025 (lo publicaron en octubre) es la referencia del mercado.

Splunk, ahora de Cisco tras una adquisición de USD 28.000 millones, lleva años liderando y tiene una cuota altísima de adopción y facturación.

Es el estándar por defecto pero también el más caro, con precios que arrancan en $150–225 por GB/día de datos ingestados. Cisco está testeando un modelo nuevo basado en analytics en vez de volumen de datos, lo que podría cambiar el juego.

Microsoft Sentinel creció a más de 25.000 organizaciones y es líder tanto en Gartner como en Forrester. Funciona dentro del ecosistema Azure y se fusionó con Defender XDR y Copilot for Security en un portal unificado. Es la opción natural para organizaciones que ya viven en Microsoft.

CrowdStrike entró al cuadrante de SIEM también. Su plataforma Falcon ya era referente en XDR/EDR, y ahora compite directamente en el espacio SIEM. Logró recuperarse después del recordado incidente en julio de 2024 donde un update defectuoso de su agente crasheara 8,5 millones de endpoints Windows a nivel global.

Palo Alto XSIAM es el producto de mayor crecimiento en la historia de Palo Alto Networks: 470 clientes, superó los USD 1.000 millones en bookings el año pasado. Es el XDR que directamente reemplaza al SIEM.

IBM QRadar Tras vender sus activos SaaS a Palo Alto Networks, los productos cloud de QRadar (QRadar on Cloud, QRadar SOAR, QRadar Log Insights) alcanzaron su EOL (End of Life) el 14 de abril de 2026… hace dos días!! Los productos on-prem siguen sin fecha oficial de muerte, pero la inversión de IBM apunta a la “alianza” con Palo Alto.

Las organizaciones están migrando a Sentinel, Splunk o soluciones open source como Wazuh. Es un evento importante y el resto de herramientas está al acecho para tomar esos clientes.

VI - ¿Dónde entra el open source?

Como es usual, la seguridad y protección es cara. Sin embargo, quienes asuman este rol en la compañía saben que son mirados de reojo y usualmente sus recomendaciones son resistidas, pese a ser de las más importantes.

Splunk cobra por GB. Sentinel cobra por GB ingestado en Azure. XSIAM cobra más de un millón por cliente al año. Para PYMEs, organizaciones sin presupuesto de enterprise o entornos donde el vendor lock-in es inaceptable, la alternativa es el SIEM/XDR open source.

En este apartado el líder es Wazuh: costo de licencia cero, reglas y dashboards por defecto integrados, calificación de 4,4/5 en Gartner PI. Sin embargo si bien no pagás licencia, se debe invertir en tiempo de ingeniería para configurarlo y mantenerlo. El gasto anual mediano en servicios profesionales de Wazuh es de unos $16.000 por organización mediana.

Wazuh, combinado con herramientas como Suricata (detección de red), TheHive (gestión de casos) y Shuffle (automatización SOAR), permite armar un stack SOC completo y auto-hospedado que rivaliza y compite con alternativas comerciales de miles de dólares mensuales.

En próximos posts vamos a hablar de Wazuh en profundidad: qué es, qué resuelve, y cómo se posiciona frente a las plataformas comerciales.

VII - Lo que se viene

El mercado SIEM/XDR se está consolidando a un ritmo sin precedentes, como toda la Ciberseguridad en general. Desde 2024, Cisco compró Splunk por USD 28.000 millones, Palo Alto absorbió los activos SaaS de QRadar, Sophos compró Secureworks, y Exabeam se fusionó con LogRhythm.

Queda claro cuál es el mensaje: integración, la convergencia de SIEM + XDR + SOAR + UEBA + threat intelligence en plataformas unificadas, con inteligencia artificial como componente nativo (y quién sabe qué rol más tendrá).

¿Eso significa que los analistas de seguridad humanos sobran? No. Significa que van a necesitar entender estas plataformas a fondo y que saber configurar, optimizar y operar un SIEM es una habilidad que no pierde valor.

VIII - Conclusión

🐧 SIEM y XDR son conceptos y herramientas vitales que ayudan a cumplir el objetivo: saber qué pasa en tu infraestructura y actuar a tiempo.

Conocer las diferencias, los jugadores y el momento del mercado no es anecdótico, es el contexto que necesitás para aportar un valor adicional en el rubro, en un SOC o proyecto de seguridad defensiva.

Hasta el siguiente post! 🐧

Fuentes