La perspectiva de Cyber Academy
MTTD es el tiempo promedio desde el inicio de un incidente hasta su detección. MTTR es el tiempo promedio desde la detección hasta la recuperación. Juntos constituyen las métricas operativas clave de un SOC y de un programa de respuesta a incidentes. Los benchmarks del sector se sitúan en días o semanas; los programas maduros apuntan a horas.
Dos métricas, una sola línea temporal
El MTTD y el MTTR describen dos segmentos consecutivos de la misma línea temporal de un incidente. El MTTD cubre el periodo silencioso entre el momento en que un atacante actúa por primera vez y el momento en que su equipo se da cuenta de que algo va mal. El MTTR cubre todo lo posterior a ese punto, desde el triaje hasta la contención y la recuperación, hasta un retorno confirmado a la normalidad. Leerlos juntos es precisamente la cuestión: un MTTD bajo con un MTTR alto significa que detecta las amenazas con rapidez pero le cuesta actuar sobre ellas, mientras que un MTTD alto con un MTTR bajo significa que responde rápido, pero solo una vez que el daño ya está hecho. Ningún número resulta útil de forma aislada, y mejorar uno a expensas del otro rara vez ayuda.
En la práctica, estos son los números destacados que un SOC reporta a la dirección, porque traducen la actividad técnica a un lenguaje que el negocio entiende: cuánto tiempo estuvimos expuestos y cuánto tardamos en cerrar la puerta. También son las métricas en torno a las cuales giran los reguladores y los marcos de referencia, incluso cuando emplean palabras distintas. Un plazo de notificación de una brecha es esencialmente un tope legal sobre una parte de su MTTR, y la obligación de detectar incidentes a su debido tiempo es la obligación de mantener bajo el MTTD.
Qué mueve realmente estos números
El MTTD viene impulsado por la visibilidad y el ajuste. No puede detectar lo que no recopila, de modo que la cobertura de registros en los endpoints, la red, la identidad y la nube constituye la base. Por encima de eso, el contenido de detección debe ajustarse: demasiado laxo y los analistas se ahogan en falsos positivos y pierden la señal real, demasiado estricto y las intrusiones genuinas se cuelan. Por eso un SIEM, una buena ingeniería de detección y la inteligencia sobre amenazas alimentan directamente el MTTD.
El MTTR viene impulsado por el proceso y la autoridad: manuales documentados, la potestad de aislar un host o deshabilitar una cuenta sin esperar a un comité, copias de seguridad probadas y comunicación ensayada. La mejora clásica aquí es la automatización mediante un SOAR, que elimina los minutos perdidos en los traspasos manuales.
| Aspecto | MTTD (Detectar) | MTTR (Recuperar) |
|---|---|---|
| Ventana del reloj | Del inicio del incidente a la detección | De la detección a la recuperación total |
| Pregunta principal | ¿Cuánto tiempo estuvimos a ciegas? | ¿Cuánto tiempo para contener y restaurar? |
| Palancas principales | Cobertura de registros, ajuste de la detección, inteligencia sobre amenazas | Manuales, automatización, autoridad para actuar, copias de seguridad |
| Herramientas | SIEM, EDR, detección de amenazas | SOAR, runbooks de respuesta a incidentes, herramientas de recuperación |
| Foco del responsable | Ingeniería de detección y monitorización | Respuesta a incidentes y operaciones |
Cómo aparecen las métricas en las normas y los puntos de referencia
Los marcos de referencia no suelen imponer un objetivo concreto de MTTD o de MTTR, porque el número correcto depende de la organización y de la amenaza. Lo que exigen es la capacidad y la medición. La ISO/IEC 27035 establece el ciclo de vida de la gestión de incidentes que estas métricas cuantifican. Las directrices del NIST para el tratamiento de incidentes plantean la detección, el análisis, la contención, la erradicación y la recuperación como fases distintas, que es exactamente la estructura sobre la que se asientan el MTTD y el MTTR.
ENISA y agencias nacionales como ANSSI transmiten el mismo mensaje operativo: detectar pronto, responder rápido y poder demostrarlo. Los regímenes regulatorios añaden plazos externos estrictos, por ejemplo las ventanas de notificación de brechas previstas en el RGPD y las obligaciones de notificación de incidentes previstas en NIS2 y DORA, que convierten una parte de su tiempo de respuesta en un requisito de cumplimiento más que en un objetivo de rendimiento.
Los puntos de referencia para ambas métricas tienden a situarse incómodamente altos en todo el sector, a menudo del orden de días o semanas para la detección, mientras que los programas maduros apuntan a horas. Perseguir un punto de referencia publicado es, sin embargo, el instinto equivocado. El valor del MTTD y del MTTR reside en las líneas de tendencia que usted posee: mídalas de forma coherente, observe la dirección a lo largo de los trimestres y vincule el movimiento a inversiones concretas en visibilidad, ajuste y automatización. Un número definido con honestidad y que baja de forma constante vale mucho más que una cifra halagadora y puntual.
Frequently asked questions
01¿Cuál es la diferencia entre el MTTD y el MTTR?
El MTTD (mean time to detect) es el tiempo medio desde que comienza un incidente hasta que se detecta. El MTTR (mean time to recover) es el tiempo medio desde la detección hasta la recuperación total. El MTTD mide cuánto tiempo estuvo a ciegas; el MTTR mide cuánto tiempo costó contener y restaurar.
02¿Qué significa MTTR?
En un contexto de seguridad, MTTR significa con mayor frecuencia mean time to recover o mean time to respond, el lapso entre la detección y un retorno verificado a las operaciones normales. El mismo acrónimo también se usa para mean time to repair en ingeniería de fiabilidad, así que conviene confirmar la definición antes de comparar cifras.
03¿Qué es un buen MTTD y un buen MTTR?
No existe un objetivo universal. Los puntos de referencia del sector se sitúan a menudo del orden de días o semanas para la detección, mientras que los programas maduros apuntan a horas. La pregunta más útil es si sus propios números, medidos de forma coherente, tienden a bajar con el tiempo.
04¿Cómo se reducen el MTTD y el MTTR?
Reduzca el MTTD con una cobertura de registros más amplia, un mejor ajuste de la detección e inteligencia sobre amenazas que alimente un SIEM bien gestionado. Reduzca el MTTR con manuales documentados, copias de seguridad probadas, una autoridad clara para actuar y automatización mediante un SOAR para eliminar las demoras manuales.
05¿Exigen las regulaciones valores específicos de MTTD o de MTTR?
La mayoría de los marcos exigen la capacidad de detectar y responder en lugar de un número fijo. No obstante, los plazos de notificación de brechas previstos en el RGPD y las obligaciones de notificación de incidentes previstas en NIS2 y DORA fijan en la práctica topes legales sobre partes de su tiempo de respuesta.