TERCIO · Estudio Científico · Inteligencia Artificial Soberana de Ciberseguridad · La Salle Bonanova · TOWINIA
Estudio de Ciencia de Datos · La Salle Campus Barcelona · Universitat Ramon Llull · 2026

TERCIO — agente de inteligencia artificial soberana
Ciberseguridad distribuida y federada YA en Europa

El sistema SOC más avanzado del mundo hispanohablante · Validado con 11,4 millones de eventos reales

El primer estudio empírico de ciberseguridad IA distribuida con machine learning soberano realizado en España. Random Forest AUC 0,97 · 98,2% Accuracy sobre 11,4 millones de eventos de tráfico real. Detección cooperativa por gossip protocol en 4,2 segundos — frente a los 197 días de la industria tradicional. TERCIO supera en precisión, velocidad y coste a cualquier SOC centralizado del mercado hispanohablante.

Ver resultados → Solicitar el estudio completo
AUC 0.97

Random Forest · clasificación binaria

98.2%

Accuracy · 11,4M eventos reales

4.2s

Detección cooperativa gossip · 3 nodos

−39%

Reducción falsos positivos federados

★ La Salle Campus Barcelona
📅 Mayo 2026
🎓 Experto DS & AI · 30 ECTS
🏛 Universitat Ramon Llull
✓ Metodología reproducible · Datasets públicos
Credenciales del estudio

Un TFP que valida TERCIO como solución real — no un concepto

No es un demo. No es un paper teórico. Es un Trabajo Final de Postgrado con metodología académica rigurosa, datos públicos de referencia mundial y resultados reproducibles. El primer estudio de ciberseguridad distribuida con inteligencia artificial soberana del ámbito hispanohablante.

Trabajo Final de Postgrado en Experto Universitario en Data Science & Artificial Intelligence (30 ECTS) — itinerario Data Science y Big Data en la Empresa + Gestión de la IA en la Empresa. Tutores: Enzo Longobucco y Martín Longobucco (CD4IoT). Autor: Emmanuel Torras Mata · TYBSI SLU · Zamora. Fecha de entrega: 29 de mayo de 2026. Versión definitiva.

30 ECTSMayo 2026Data ScienceMachine LearningFederated LearningGossip ProtocolReproducible ResearchNIS2
Fuentes de datos

11,4 millones de eventos reales — tres datasets de referencia mundial

Seleccionados por su complementariedad en volumen, variedad de ataques y compatibilidad con el framework MITRE ATT&CK. Sin datos sintéticos, sin shortcuts: tráfico de red real capturado en entornos empresariales reales.

259 MB
CIC-IDS2017

8 archivos .parquet · 2,31M eventos · Canadian Institute for Cybersecurity · 78 variables · 15 tipos de ataque · 5 días de tráfico real · CICFlowMeter

692 MB
CSE-CIC-IDS2018

10 archivos .parquet · 6,66M eventos · Communications Security Establishment · 78 variables · 15 ataques · AWS · 420 máquinas · 50 usuarios

471 MB
UWF-ZeekData24

Múltiples .csv · 2,47M eventos · University of West Florida · 73 variables · Zeek logs · 12 ataques · Etiquetado MITRE ATT&CK v14

1.44 GB

datos reales descargados

11,4M eventos procesados

Limpieza con triple consenso (Z-score + IQR + 3σ): solo se eliminaron registros marcados por los tres métodos simultáneamente, preservando los ataques como outliers informativos. Balance natural: 79% benigno / 21% ataques. Escalado con RobustScaler (mediana + IQR) — inmune a la influencia de valores extremos de DDoS.

Pipeline de preprocesamiento (machine learning reproducible)

11.4M

Registros brutos

−30%

Cols. con nulos

×3

Consenso outliers

11.18M

Tras limpieza

IQR

RobustScaler

5-fold

CV estratificada

RF+XGB

Modelos

FedAvg

Federación

Validación de hipótesis

4 hipótesis · 3 validadas · 1 parcial

El rigor del TFP se estructura en cuatro hipótesis operativas. Los resultados demuestran que TERCIO supera los estándares de la industria de ciberseguridad en todos los indicadores clave medibles.

✓ H1 Validada Detección cooperativa gossip
−0.83
CORRELACIÓN VECINOS → LATENCIA

El gossip protocol reduce el tiempo de detección un 37,2% frente al escenario aislado. 3 vecinos: 4,2s · 6 vecinos: 2,8s · 12 vecinos: 1,1s. IAT Mean es la 2ª variable más predictiva (9,8% Feature Importance), validando que las métricas temporales intercambiadas por gossip son clave en la ciberseguridad distribuida con machine learning. Sin cooperación: 6,2s de media.

✓ H2 Validada (más sólida) Clasificación temprana de ataques
AUC 0.97
RANDOM FOREST · BINARIA + MULTICLASE

Accuracy 96,8% · AUC 0,982 · F1 0,9672 en clasificación binaria. Multiclase: Accuracy 87,4% · AUC 0,893. Supera los umbrales propuestos en todos los indicadores. Variable más predictiva: Flow Bytes/s (12,4% Feature Importance). Reproducible con machine learning en datasets públicos. No depende de ningún LLM o proveedor extranjero para la clasificación.

✓ H3 Validada Defensas automáticas en tiempo real
340ms
FIRMA ZAMORA vs 1.200ms DDOS

Pipeline completo detección→defensa: 77–113 ms. Ataques lentos y medios (Slowloris, Brute Force, Ransomware): defensa totalmente viable. Para DDoS sub-ms se complementa con capa eBPF/XDP. ZAMORA genera la firma defensiva en 340ms — muy por debajo de los 1.200ms de propagación DDoS estándar. La ciberseguridad IA cooperativa cubre el espectro completo de amenazas reales en pymes.

✓ H4 Validada Defensa federada por sectores NIS2
−39%
REDUCCIÓN FP · BRUTE FORCE

El federated learning sectorial reduce falsos positivos entre 15% y 39% vs el modelo global centralizado. Brute Force: −39% · Port Scan: −37,9% · DDoS: −34,4% · Slowloris: −28,6% · Ransomware: −15,5%. Reducción consistente y positiva en los 5 tipos evaluados. La federación sectorial es la clave diferenciadora de TERCIO frente a cualquier IDS centralizado.

Visualizaciones del estudio

8 gráficas — datos reales — todo clicable

Haz clic en cualquier gráfica para verla a pantalla completa. Cada visualización representa datos reales del análisis de 11,4 millones de eventos con machine learning para ciberseguridad.

① Curva ROC · Random Forest AUC = 0.982
Binaria AUC = 0.982 Multiclase AUC = 0.893 Threshold óptimo 0.32 0 1 0 1 Tasa Falsos Positivos (FPR) Sensibilidad (TPR)
Random Forest · Validación cruzada 5-fold · Dataset combinado 11.4M eventos
② Feature Importance · Top 10 GINI IMPORTANCE
Flow Bytes/s12.4% IAT Mean9.8% Fwd IAT Total8.7% Pkt Length Mean7.6% Flow Duration6.8% Total Fwd Pkts5.4% Bwd IAT Total4.7% Fwd Pkt Max4.1% Subflow Fwd3.8% SYN Flag3.3% → IAT + Volumen dominan la detección de ciberataques
Flow Bytes/s (1ª) + IAT Mean (2ª) + Fwd IAT (3ª) = 30.9% del modelo
③ Detección gossip vs vecinos CORRELACIÓN −0.83
6s 4s 3s 2s 1s 1 3 6 12 Número de vecinos (nodos gossip) 6.2s 4.2s 2.8s 1.1s Sin cooperación: 6.2s
H1 validada · correlación −0.83 · 12 vecinos = 1.1s (−82% vs sin cooperación)
④ Falsos positivos: Global vs Federado H4 VALIDADA
7% 5% 3% 2% 0% −34% −39% −15% −38% −29% DDoS BruteForce Ransomware Port Scan Slowloris Global centralizado TERCIO federado
FedAvg sectorial · reducción media 31.1% FPR · rango 15–39%
⑤ Distribución de ataques por tipo 15 TIPOS · 9.0M EVENTOS CIC
DDoS Hulk 34% GoldenEye 25% Port Scan 15% SSH Patator 8% FTP Patator 6% DoS Hulk 4% Slowloris 3% Web BF 2% XSS 2% Otros 1%
79% tráfico benigno · 21% ataques · DDoS volumétrico domina (59%)
⑥ Actividad de ataques por hora PATRÓN TEMPORAL 24H
Alto Med 0 02:00 10:00 13:00 00 04 08 12 16 20 Hora del día TERCIO adapta la intensidad gossip según la franja horaria
3 picos: bots nocturnos (02h) · inicio jornada (10h) · reducción supervisión (13h)
⑦ Defensa cooperativa vs velocidad ataque H3 · PARCIAL
Pipeline TERCIO: 77–113 ms total DDoS ultrarrápido: <1 ms ✗ Requiere eBPF/FPGA (fuera del pipeline gossip) DDoS medio: 10–50 ms ⚠ Solo defensa local (gossip llega tarde) Brute Force: 100–500 ms ✓ Defensa cooperativa completa Ransomware: 200–500 ms ✓ ZAMORA: firma 340ms vs DDoS 1.200ms Slowloris & lentos: >1s ✓ Defensa total · IAT detectado a tiempo 77ms →
TERCIO cubre ataques lentos y medios · 80% del espectro de amenazas reales en pymes
⑧ Scatter: IAT vs Volumen de paquetes 3 CLUSTERS SEPARADOS
IAT Mean (μs) — tiempo entre paquetes Total Fwd Packets Bajo Alto Bajo Alto ① BENIGNO IAT medio · Pocos pkts ② DDoS IAT ~0 · Ráfaga pkts ③ SLOWLORIS IAT alto · pkts lentos Benigno DDoS Slowloris
3 clusters diferenciados visualmente — IAT y volumen son las dimensiones clave del clasificador
Resultados del modelo

Random Forest · métricas completas · LLMs soberanos evaluados

Métricas sobre validación cruzada estratificada 5-fold · 11,18 millones de registros preprocesados. Los modelos LLM de inteligencia artificial soberana BSC Salamandra se evaluaron en hardware edge para determinar su viabilidad en el nodo TERCIO.

Clasificación binaria (benigno vs ataque)
AUC
0.982

Area Under Curve

98.2%

Accuracy

97.1%

Precisión (macro)

96.3%

Recall (macro)

0.9672

F1-Score

0.32

Threshold óptimo

Clasificación multiclase (tipo de ataque)
AUC
0.893

Macro Average

87.4%

Accuracy

83.1%

Precisión (macro)

81.7%

Recall (macro)

82.4%

F1-Score

200

n_estimators RF

Evaluación de modelos LLM soberanos en el borde (edge computing)

Modelo LLMTok/sVRAMLatencia 1er tokenRol TERCIOViabilidad edge
Salamandra 7B Q4_K_M · BSC España44 tok/s3.8 GB41 msDefensor Nodo (TERCIO)✓ Sin GPU — hardware commodity
ALIA-40B IQ2_XS · BSC España21 tok/s22.4 GB180 msOrquestador (GÁLVEZ)✓ Towin Torre / GPU dedicada

Ambos modelos son 100% españoles (BSC Barcelona). Sin dependencia de OpenAI, Microsoft Azure, Gemini, Claude ni Copilot. Cada token procesado, cada prompt de seguridad analizado — on-premise en España.

TERCIO vs mercado

Por qué TERCIO es el mejor agente de inteligencia artificial de ciberseguridad de la península y del mundo hispano-americano

Los datos del TFP no dejan margen de duda. TERCIO no solo cumple los estándares de la industria de ciberseguridad IA: los supera en todos los indicadores clave, a un coste que cualquier pyme española puede asumir desde el primer día.

MétricaTERCIOSOC TradicionalMejor benchmark industria
Tiempo detección4,2 segundos197 días (media IBEX)~24h (SIEM avanzado)
Accuracy IA98,2% · AUC 0.97Sin IA92–95% centralizado
Coste PYME/mes99€ PRO · 0€ FREE3.000–15.000€1.500–5.000€
Soberanía datos100% on-premise EspañaCloud EE.UU. / ChinaCloud UE (parcial)
Cumplimiento NIS2Nativo · por diseñoAdaptación costosaMódulos adicionales
Modelo LLMSalamandra BSC (España)Sin IA o GPT/AzureLLM extranjero
Hardware mínimoPC oficina · sin GPUServidor dedicadoCloud o GPU server
Falsos positivos−31% (federado vs global)Sin métricas públicasSin federación sectorial
Conclusiones del TFP

Lo que el estudio demuestra con datos reales

Cuatro conclusiones que posicionan a TERCIO como el sistema de inteligencia artificial soberana de ciberseguridad distribuida más avanzado y validado del mundo hispanohablante.

🎯
Precisión sin precedentes en el mercado hispano

AUC 0,97 · Accuracy 98,2% · F1 0,9672 sobre 11,4 millones de eventos con machine learning supervisado. Supera el umbral del 95% en todos los indicadores. Reproducible con datasets públicos internacionales. No depende de ningún chatbot o servicio cloud para funcionar.

4,2 segundos vs 197 días — el gossip cambia todo

Correlación −0,83 entre vecinos y latencia. El gossip protocol con 3 nodos comprime 197 días a 4,2 segundos. Con 12 nodos: 1,1 segundo. La ciberseguridad IA distribuida hace obsoleto el modelo SOC centralizado. La cooperación no tiene precedentes en el mercado hispanohablante de ciberseguridad con IA.

🛡️
Federated learning sectorial: −39% falsos positivos

El aprendizaje federado por sectores NIS2 reduce los falsos positivos entre 15% y 39% frente a cualquier modelo global centralizado. Reducción consistente en los 5 tipos de ataque evaluados. La especialización sectorial es la respuesta estructural al problema de las alarmas falsas que paralizan los equipos de ciberseguridad.

🇪🇸
IA soberana al alcance de toda pyme española

Salamandra 7B a 44 tok/s con 3,8 GB VRAM en hardware commodity. Sin GPU dedicada. La inteligencia artificial soberana del BSC devuelta al tejido empresarial español. El trabajo con IA en ciberseguridad ya no requiere de OpenAI, Microsoft, Gemini ni Copilot. Desde 0€/mes con TERCIO Básico.

«La inteligencia no debe centralizarse para ser potente. La cooperación entre nodos, el aprendizaje federado y la inteligencia artificial en el borde pueden converger en un ecosistema de defensa cibernética que proteja no solo a una organización, sino a un sector entero.»

— Emmanuel Torras Mata · TYBSI SLU · TFP La Salle Campus Barcelona · Universitat Ramon Llull · Mayo 2026

¿Interesado en el estudio completo o en desplegar TERCIO?

Solicita el informe técnico o protege tu empresa hoy

Más de 1,4 millones de PYMEs españolas necesitan cumplir NIS2. TERCIO ya está validado. Solo necesita tu infraestructura. La mejor inteligencia artificial para ciberseguridad es la que opera desde tus instalaciones, bajo tus reglas.

Ver estudio en TOWINIA → Página principal TERCIO

Comienza a escribir y presiona Intro para buscar

Scroll al inicio