Databricks ha decidido entrar de lleno en el mercado de la ciberseguridad con el lanzamiento de Lakewatch, una nueva plataforma que la compañía define como un SIEM abierto y agéntico pensado para responder a una realidad que ya preocupa a muchas empresas: los atacantes también están empezando a usar agentes de Inteligencia Artificial para escanear sistemas, detectar vulnerabilidades y automatizar campañas ofensivas a velocidad de máquina. El producto fue anunciado el 24 de marzo de 2026 y, por ahora, se encuentra en Private Preview.
La propuesta de Databricks parte de una crítica directa al SIEM tradicional. Según la compañía, muchos equipos de seguridad siguen trabajando con arquitecturas fragmentadas, costes de ingesta elevados y una visibilidad incompleta sobre sus propios datos. Databricks sostiene que esos límites llevan a algunas organizaciones a descartar hasta el 75 % de su telemetría por una cuestión de coste, justo en un momento en que los atacantes pueden operar con más automatización, más persistencia y más velocidad.
Un SIEM construido sobre la idea de “security lakehouse”
Lakewatch no se presenta solo como una nueva consola de seguridad, sino como una extensión del enfoque lakehouse que Databricks lleva años defendiendo en analítica e IA. La idea es unificar en un mismo entorno gobernado los datos de seguridad, IT y negocio, sin obligar a moverlos o duplicarlos continuamente, y mantenerlos en formatos abiertos para evitar dependencia del proveedor. Databricks afirma que eso permite retener y analizar volúmenes inéditos de información, incluso durante años, y hacerlo con un TCO hasta un 80 % inferior al de los SIEM heredados. Ese dato, no obstante, forma parte de la promesa comercial del fabricante y no viene acompañado en el anuncio de una metodología pública detallada.
La compañía también insiste en que Lakewatch está pensado para datos multimodales, no solo logs y eventos clásicos. En su comunicación menciona explícitamente la posibilidad de analizar audio y vídeo para detectar ingeniería social, amenazas internas o anomalías. Esa es una de las piezas más llamativas del anuncio, porque amplía el concepto de SIEM más allá del registro de eventos de infraestructura y lo acerca a una plataforma de seguridad que quiere ingerir prácticamente cualquier señal disponible dentro de la empresa.
Agentes para defenderse de agentes
El elemento central del discurso de Lakewatch es su carácter agéntico. Databricks plantea que, si los atacantes empiezan a operar con agentes autónomos, los defensores necesitarán responder con otro tipo de automatización. Por eso Lakewatch se apoya en Agent Bricks para construir, optimizar y desplegar agentes de seguridad capaces de gestionar flujos complejos de detección, triage e investigación de extremo a extremo. Además, integra Genie para automatizar parte del análisis, reducir la fatiga por alertas y ayudar a planificar respuestas de varios pasos.
Este enfoque es coherente con la estrategia general de Databricks, que en las últimas semanas también ha presentado Genie Code y ha reforzado su narrativa alrededor de agentes empresariales y automatización avanzada. En seguridad, sin embargo, la promesa tiene una exigencia mayor: cualquier automatización debe convivir con gobierno, trazabilidad y control de daños, porque un error operativo no afecta solo a productividad, sino a la capacidad de respuesta de un SOC real. Databricks intenta cubrir esa preocupación con su énfasis en la gobernanza y en el hecho de que los agentes operen dentro de un entorno ya gobernado.
Ecosistema abierto, detección como código y cumplimiento
Otro punto importante del anuncio es la creación de un Open Security Lakehouse Ecosystem, una red de socios y fabricantes que incluye nombres como Akamai, Arctic Wolf, Cribl, Okta, Palo Alto Networks, 1Password, Panther, Proofpoint, Slack, Wiz —ahora parte de Google Cloud— y Zscaler, entre otros. Databricks quiere proyectar aquí la idea de que Lakewatch no se cierra sobre sí mismo, sino que puede integrarse con herramientas existentes y trabajar sobre una arquitectura cloud-agnostic y basada en estándares abiertos.
La plataforma también incorpora una capa de Detection-as-Code, con gestión versionada de reglas y despliegues automatizados, y se apoya en Unity Catalog para la parte de gobierno y cumplimiento. Databricks menciona expresamente marcos regulatorios como NIS2 y DORA, dos referencias cada vez más habituales cuando los proveedores quieren vender seguridad a grandes organizaciones europeas o muy reguladas. De nuevo, la idea es clara: no competir solo por capacidad analítica, sino también por control, retención a largo plazo y trazabilidad en entornos de cumplimiento exigente.
Anthropic y dos adquisiciones para reforzar la ofensiva
El lanzamiento de Lakewatch llega además acompañado de tres movimientos estratégicos. El primero es una profundización de la alianza con Anthropic: Databricks confirma que los modelos Claude ayudan a impulsar Lakewatch, utilizando sus capacidades de razonamiento para correlacionar señales entre datos de seguridad, IT y negocio. La compañía añade además que la propia Anthropic usa Databricks para su security lakehouse interno. Esa colaboración se apoya en una alianza previa anunciada en marzo de 2025 para llevar Claude a la plataforma de Databricks.
El segundo y el tercero son las adquisiciones de Antimatter y SiftD.ai. Según Databricks, Antimatter aporta experiencia en autenticación y autorización verificablemente seguras para agentes de IA, mientras que SiftD.ai incorpora conocimiento profundo en analítica de amenazas a gran escala y en motores de búsqueda inspirados en el legado técnico de Splunk, ya que fue fundada por el creador de SPL y arquitectos del stack de búsqueda de Splunk. No se han detallado públicamente los importes de estas operaciones en el material oficial consultado.
Un movimiento ambicioso que apunta al corazón del SOC moderno
La entrada de Databricks en SIEM tiene lógica estratégica. La empresa llevaba tiempo creciendo como plataforma de datos, IA y agentes empresariales, y la seguridad aparece como una extensión natural de esa tesis: si el dato y la IA ya viven en el lakehouse, el siguiente paso es llevar allí también la detección y la respuesta. La compañía asegura que clientes como Adobe y Dropbox ya usan Lakewatch para unificar datos y detectar amenazas con mayor rapidez, aunque por ahora la disponibilidad sigue limitada a vista previa privada.
El reto, ahora, será demostrar que esa ambición puede traducirse en operaciones reales de seguridad. El mercado de SIEM no está precisamente vacío, y competir en él exige algo más que buenos mensajes sobre IA agéntica. Harán falta integraciones sólidas, precisión analítica, costes realmente inferiores y confianza operativa suficiente como para que un SOC delegue parte de su triage en agentes automatizados. Databricks ya ha lanzado su mensaje: la seguridad también quiere ser lakehouse, abierta y nativa para la era de los agentes. Ahora le toca probar que esa visión funciona fuera del escenario del anuncio.
Preguntas frecuentes
¿Qué es Lakewatch de Databricks?
Lakewatch es un nuevo SIEM abierto y agéntico anunciado por Databricks para unificar datos de seguridad, IT y negocio en un entorno gobernado y potenciar la detección y respuesta con IA.
¿Lakewatch ya está disponible para todos los clientes?
No. Databricks ha indicado que Lakewatch está disponible en Private Preview, por lo que todavía no se trata de una disponibilidad general.
¿Qué papel juegan Anthropic y Claude en Lakewatch?
Databricks afirma que los modelos Claude de Anthropic ayudan a correlacionar señales de seguridad, IT y negocio para acelerar la detección de amenazas.
¿Qué compras ha anunciado Databricks junto a Lakewatch?
La compañía ha anunciado las adquisiciones de Antimatter y SiftD.ai para reforzar su enfoque de SIEM agéntico y abierto.
vía: databricks
