Sophos ha presentado Fusion, una plataforma que reunirá protección de endpoints, red, correo, nube e identidades con SIEM, XDR y detección y respuesta gestionadas. La compañía la define como un sistema de ciberdefensa nativo de inteligencia artificial, aunque en la práctica supone también la evolución de Sophos Central y la integración tecnológica de Taegis tras la compra de Secureworks.
Las claves de Sophos Fusion en 20 segundos
- Fusion compartirá datos y contexto entre los principales controles de seguridad.
- Incorporará los análisis Taegis y más de 500 integraciones anunciadas con terceros.
- El nuevo SIEM y XDR llegarán el 15/08/2026.
- Sophos afirma que su IA ya resuelve el 52 % de los casos MDR en 89 segundos de media.
La propuesta responde a un problema habitual en los centros de operaciones de seguridad: las empresas han acumulado productos que generan alertas, pero no siempre comparten información ni pueden coordinar una respuesta. Un endpoint puede detectar una actividad sospechosa mientras el firewall, el correo, la identidad y la nube mantienen sus propias consolas y reglas.
Sophos quiere que todas estas señales lleguen a una capa común y que una detección pueda activar medidas en distintos puntos del entorno. Por ejemplo, una identidad comprometida podría provocar el aislamiento del equipo, el bloqueo de comunicaciones en el firewall y una investigación sobre la actividad realizada en aplicaciones cloud.
El fabricante asegura que Fusion dará servicio a las 625.000 organizaciones que utilizan su tecnología. Sus páginas corporativas anteriores todavía situaban esa base por encima de 600.000 clientes, por lo que la cifra más elevada debe entenderse como una actualización incluida en el nuevo anuncio.
Sophos Central absorbe la tecnología Taegis de Secureworks
Fusion no parte de cero. Su base es Sophos Central, la consola desde la que la compañía gestiona productos como Endpoint, Firewall, Email y MDR. La principal novedad técnica está en la incorporación de la analítica de Taegis, la plataforma desarrollada por Secureworks para XDR, SIEM y servicios gestionados.
Sophos completó la compra de Secureworks en febrero de 2025 mediante una operación en efectivo valorada en unos 859 millones de dólares. En aquel momento adelantó que combinaría los controles de prevención de Sophos con la telemetría, las integraciones y las operaciones de seguridad de Taegis. Fusion representa el siguiente paso de esa unión.
| Elemento de Fusion | Procedencia o función principal |
|---|---|
| Sophos Central | Gestión común de productos y políticas |
| Taegis Analytics | Correlación, detectores y análisis para XDR y SIEM |
| Sophos Endpoint | Prevención, telemetría y respuesta en dispositivos |
| Sophos Firewall | Control y respuesta sobre el tráfico de red |
| Sophos ITDR | Detección de amenazas relacionadas con identidades |
| Sophos MDR | Vigilancia y respuesta gestionadas durante las 24 horas |
| Sophos X-Ops | Investigación de amenazas e inteligencia |
| Integraciones externas | Incorporación de datos de herramientas de terceros |
La compañía denomina “lago de contexto compartido” a la capa donde confluirán los eventos. La idea es que cada señal conserve información sobre el usuario, el dispositivo, la identidad, la aplicación y las acciones anteriores, en vez de presentarse como una alerta aislada.
Este modelo puede facilitar la investigación de ataques que atraviesan varios sistemas. Un inicio de sesión anómalo quizá no sea suficiente para confirmar una intrusión. Pero adquiere otra relevancia si coincide con la ejecución de una herramienta desconocida, cambios en el directorio de identidades y una transferencia de datos hacia un destino nuevo.
Fusion se apoyará en cuatro principios definidos por Sophos:
| Principio | Aplicación prevista |
|---|---|
| Contexto compartido | Reunir las señales en una misma capa de datos |
| Seguridad sincronizada | Coordinar medidas entre controles distintos |
| Autonomía con supervisión | Permitir que los agentes actúen dentro de límites definidos |
| Inteligencia acumulativa | Utilizar las amenazas observadas para mejorar detecciones posteriores |
La expresión “sistema de ciberdefensa” es una categoría que Sophos intenta consolidar para diferenciar Fusion de una colección de productos. Que termine aceptándose como una categoría propia dependerá de su adopción y de que otros proveedores utilicen una definición comparable.
Tampoco puede darse por hecho que una consola única elimine toda la complejidad. Las organizaciones seguirán necesitando ajustar reglas, clasificar activos, administrar permisos y decidir qué acciones puede ejecutar automáticamente el sistema.
La IA podrá investigar y responder, pero dentro de límites definidos
Sophos presenta Fusion como una plataforma preparada para flujos conjuntos entre personas y agentes de IA. Estos agentes podrán analizar alertas, relacionar señales y ejecutar determinadas respuestas cuando los analistas hayan autorizado previamente ese tipo de intervención.
La compañía ya utiliza este modelo en Sophos Managed Detection and Response (MDR). Según sus datos operativos, la IA resuelve de principio a fin el 52 % de los casos gestionados sin intervención humana directa. El tiempo medio desde la creación de la alerta hasta una respuesta totalmente automatizada es de 89 segundos en los casos autorizados para ello.
| Indicador comunicado por Sophos MDR | Resultado |
|---|---|
| Clientes bajo el modelo agéntico | 40.000 |
| Crecimiento interanual del servicio | 39 % |
| Casos resueltos íntegramente por IA | 52 % |
| Tiempo medio hasta la respuesta automatizada | 89 segundos |
| Cobertura | Operación continua 24/7 |
Estos datos proceden de Sophos y reflejan el funcionamiento de su propio servicio MDR. No significan que el 52 % de cualquier incidente pueda resolverse automáticamente ni que todas las amenazas se contengan en 89 segundos. La medición cubre los casos para los que la IA dispone de autorización y límites operativos establecidos por los analistas.
La supervisión humana seguirá siendo necesaria en investigaciones ambiguas, incidentes que afectan a activos críticos o acciones con posibles consecuencias empresariales. Desactivar una cuenta, aislar un servidor o bloquear una aplicación puede detener un ataque, pero también interrumpir una operación legítima si el diagnóstico es incorrecto.
Fusion deberá permitir que cada organización defina qué decisiones puede tomar un agente y cuáles requieren aprobación. Esa separación será especialmente importante en hospitales, administraciones, industrias y empresas financieras, donde una medida automatizada puede afectar a procesos esenciales.
El fabricante habla de más de 500 integraciones externas dentro de la nueva plataforma. La documentación pública de Sophos MDR todavía menciona más de 350 tecnologías de terceros. La diferencia puede responder a que Fusion cuenta conectores adicionales o utiliza un criterio más amplio, pero Sophos tendrá que concretar qué integraciones estarán disponibles en cada producto y fecha.
Un nuevo SIEM sin facturación por volumen de datos
Sophos Next-Gen SIEM será una de las primeras capacidades de Fusion en llegar al mercado. Su disponibilidad general está prevista para el 15/08/2026 e incorporará retención prolongada, informes de cumplimiento y análisis sobre la capa de datos común.
La diferencia comercial estará en la forma de calcular el precio. Sophos afirma que cobrará en función de los usuarios y servidores protegidos, en lugar de utilizar principalmente el volumen de datos ingeridos.
| Modelo de precio | Posible efecto |
|---|---|
| Por volumen de telemetría | El coste aumenta al enviar más registros |
| Por usuarios y servidores | Facilita estimar el gasto a partir del entorno protegido |
| Retención prolongada | Permite investigar incidentes antiguos y preparar auditorías |
| Datos compartidos con XDR y MDR | Evita mantener repositorios completamente separados |
La facturación por ingesta puede llevar a algunas empresas a filtrar registros para controlar el presupuesto. Esto reduce el coste inmediato, pero también puede eliminar información necesaria durante una investigación.
El modelo alternativo de Sophos pretende que los clientes envíen toda su telemetría sin temer una factura imprevisible. Su atractivo real dependerá de los precios por usuario y servidor, los periodos de retención incluidos y los suplementos aplicados a entornos de gran tamaño. Estos detalles no aparecen en el anuncio.
El XDR de Sophos también estará disponible el 15 de agosto. La nueva versión utilizará los análisis de Taegis, añadirá miles de detectores y ofrecerá automatización mediante playbooks de orquestación y respuesta, conocida como SOAR.
Sophos MDR recibirá ese mismo día una ampliación de la búsqueda continua de amenazas y de las capacidades de respuesta sobre endpoint, firewall, nube, correo e identidad.
Calendario de las novedades de Sophos Fusion
| Capacidad | Disponibilidad anunciada |
|---|---|
| Sophos Next-Gen SIEM | 15/08/2026 |
| Nuevo Sophos XDR basado en Taegis | 15/08/2026 |
| Ampliación de Sophos MDR | 15/08/2026 |
| Sophos AI Defense | Acceso anticipado en agosto de 2026 |
| Sophos AI Defense | Disponibilidad general en octubre de 2026 |
| Sophos CISO Advantage | A partir de octubre de 2026 |
Sophos AI Defense se centrará en las herramientas de inteligencia artificial utilizadas dentro de las empresas. Permitirá descubrir servicios aprobados y aplicaciones no controladas, aplicar políticas y vigilar qué datos pueden consultar.
La compañía ya había avanzado parte de esta estrategia con Workspace Protection, una solución para supervisar aplicaciones web, herramientas de IA no autorizadas y entornos de trabajo híbridos. Fusion llevará ese contexto al resto de los controles de seguridad.
CISO Advantage llegará a partir de octubre y combinará validación de controles, evaluación del riesgo, comparación con organizaciones similares y correspondencia con marcos de cumplimiento. El servicio se apoya en la tecnología y el equipo de Arco Cyber, empresa adquirida por Sophos en febrero de 2026.
La intención es ofrecer orientación equivalente a la de un responsable de seguridad de la información a empresas que no cuentan con ese puesto. En organizaciones que ya tienen CISO, la plataforma podrá preparar datos para justificar inversiones, mostrar el estado de los controles y comunicar riesgos al consejo.
Fusion refuerza además el modelo de canal de Sophos. Los proveedores de servicios gestionados podrán administrar protección, detección, respuesta y asesoramiento desde una plataforma común. Esto puede simplificar sus operaciones, pero también concentra más funciones críticas en la tecnología de un solo fabricante.
La promesa principal de Sophos no es añadir otra herramienta, sino reducir la separación entre las existentes. Su éxito dependerá de que la capa común mantenga la calidad de Taegis, conecte productos externos sin limitar sus funciones y permita automatizar respuestas sin retirar a los analistas el control sobre las decisiones sensibles.
Preguntas frecuentes
¿Qué es Sophos Fusion?
Es la evolución de Sophos Central hacia una arquitectura que comparte datos, análisis y respuestas entre endpoint, red, correo, identidad, nube, SIEM, XDR y MDR.
¿Fusion sustituirá las herramientas de otros fabricantes?
No necesariamente. Sophos afirma que la plataforma admitirá más de 500 integraciones para incorporar productos externos a su capa de datos y respuesta.
¿La IA podrá bloquear amenazas sin intervención humana?
Sí, cuando la organización haya autorizado ese tipo de respuesta y definido sus límites. Los casos ambiguos o sensibles podrán mantenerse bajo aprobación de analistas.
¿Cuándo estará disponible Sophos Fusion?
La plataforma se desplegará por fases. SIEM, XDR y las mejoras de MDR llegarán el 15/08/2026, mientras AI Defense y CISO Advantage se completarán durante octubre.