Databricks lanzó Lakewatch el 24 de marzo de 2026, un SIEM agéntico y abierto que unifica datos de seguridad, IT y negocio en un solo entorno, con agentes de IA defensivos autónomos y un modelo de precios basado en compute — no en volumen de datos ingestados.
En 30 segundos
- Lakewatch es el nuevo SIEM de Databricks: abierto, basado en OCSF, con agentes de IA autónomos para detección y respuesta. Disponible en Private Preview desde el 24 de marzo de 2026.
- Cobra por compute, no por almacenamiento — Databricks promete reducción de costos de hasta 80% frente a SIEM tradicionales como Splunk.
- Integra Anthropic Claude para correlacionar señales entre seguridad, IT y datos de negocio mediante Agent Bricks y Genie.
- Adobe y Dropbox ya están entre los clientes iniciales de la preview privada.
- Databricks adquirió Antimatter (autenticación para agentes IA) y SiftD.ai (fundada por el creador del SPL de Splunk) para reforzar la propuesta.
Qué es Databricks Lakewatch: el SIEM agéntico y abierto
Lakewatch es la entrada de Databricks al mercado de ciberseguridad con un producto SIEM (Security Information and Event Management) construido sobre su arquitectura de Data Lakehouse. La idea central: en vez de mover los datos a una herramienta propietaria, el SIEM vive donde ya están tus datos.
Según el anuncio oficial de Databricks, Lakewatch unifica datos de seguridad, IT y negocio en un único entorno gobernado para detección y respuesta con IA. Usa formatos abiertos, lo que permite ingestar, retener y analizar volúmenes masivos de datos multimodales sin vendor lock-in.
¿Qué significa “agéntico”? Que Lakewatch despliega agentes de IA defensivos que automatizan la detección de amenazas y la respuesta a incidentes a escala. No es solo un dashboard con alertas — son procesos autónomos que investigan, correlacionan y actúan.
Por qué el mercado SIEM necesitaba un cambio radical
El contexto es bastante concreto. Los ciberataques dejaron de ser operaciones puramente humanas. Databricks cita en su anuncio que los LLM ya descubrieron más de 500 zero-days, que agentes de IA se posicionaron como hackers top-ranked en plataformas de bug bounty, y que grupos estatales están usando IA para automatizar intrusiones a escala de máquina, 24/7. Si te interesa, podés leer más sobre nuestra guía completa sobre ChatGPT.
Frente a eso, los SIEM tradicionales tienen un problema estructural: cobran por volumen de datos ingestados. Eso genera un incentivo perverso — los equipos de seguridad terminan filtrando logs para no reventar el presupuesto, justo cuando necesitarían más visibilidad, no menos. Ponele que tenés petabytes de telemetría entre endpoints, red, cloud y aplicaciones. Con un Splunk o un Sentinel, retener todo eso durante años te sale una fortuna.
Ahí entra el argumento de Databricks.
Arquitectura técnica: Data Lakehouse + formatos abiertos
Lakewatch está construido sobre el stack de Data Lakehouse de Databricks, con una decisión técnica clave: adoptar OCSF (Open Cybersecurity Schema Framework) como formato de normalización. OCSF es un estándar abierto que permite que los datos de seguridad de distintos vendors se hablen entre sí sin traducciones propietarias.
La arquitectura desacopla compute de storage. En la práctica, esto significa que podés retener petabytes de telemetría durante años en el data lake del cliente (S3, ADLS, GCS) sin que el costo escale linealmente con el volumen. El procesamiento se paga aparte, solo cuando hacés queries o corrés detecciones.
Soporte multimodal y Open Security Lakehouse Ecosystem
Acá viene lo interesante: Lakewatch no se limita a logs de texto. Según Databricks, soporta datos multimodales — video, audio, texto — lo que abre la puerta a detectar ataques de ingeniería social, deepfakes e insider threats que los SIEM tradicionales ni contemplan. Si te interesa, podés leer más sobre todo sobre los modelos GPT.
Junto con el lanzamiento, Databricks presentó el “Open Security Lakehouse Ecosystem”, una red de partners de seguridad y delivery que ayudan a normalizar telemetría en formatos abiertos y a responder a amenazas con la escala que requiere la era de los agentes. Eso sí, la lista completa de partners no se publicó todavía — habrá que ver quiénes se suman en los próximos meses.
Agent Bricks y Genie: IA autónoma para detección y respuesta
Los dos componentes de IA de Lakewatch son Agent Bricks y Genie. Funcionan distinto y se complementan.
Agent Bricks
Agent Bricks es el framework para construir, optimizar y desplegar agentes de seguridad custom. La idea es que cada organización pueda crear workflows end-to-end adaptados a su infraestructura y sus casos de uso — desde detección de anomalías en red hasta respuesta automatizada ante ransomware. No es una caja negra: vos definís qué hace el agente, con qué datos trabaja, y qué acciones puede tomar.
Genie
Genie es el asistente de investigación. Automatiza el triage de alertas, planifica investigaciones multi-paso y reduce la fatiga de alertas que arruina la vida de cualquier analista SOC. Si alguna vez trabajaste en un SOC, sabés que el 90% de las alertas son ruido. Genie filtra, prioriza y arma el contexto para que el analista humano tome decisiones sobre lo que realmente importa. Si te interesa, podés leer más sobre guía sobre Gemini de Google.
Ambos componentes están powered by Anthropic Claude, que correlaciona señales entre datos de seguridad, IT y negocio. El dato no es menor: Anthropic usa Databricks como su propia security lakehouse, así que la integración no es cosmética. La promesa es reducir el MTTD (Mean Time to Detect) y el MTTR (Mean Time to Respond) de manera significativa, aunque Databricks no publicó benchmarks concretos todavía.
Modelo de precios: pagar por compute, no por almacenamiento
Esta es probablemente la diferencia más disruptiva a nivel comercial. Los SIEM tradicionales cobran por volumen de datos ingestados — cada gigabyte que mandás al sistema tiene un costo. Eso obliga a los equipos a elegir qué datos retener, lo cual es exactamente lo contrario de lo que necesitás para buena seguridad.
Lakewatch cobra por compute: pagás por el trabajo de procesamiento, no por cuántos datos guardás. Los datos se quedan en el data lake cloud del cliente. Databricks afirma que esto puede representar una reducción de costos de hasta 80% comparado con los modelos tradicionales.
Tomalo con pinzas. Ese 80% es el claim del vendor, y los números reales van a depender mucho de cada caso — volumen de datos, frecuencia de queries, complejidad de las detecciones. Pero el modelo en sí tiene sentido: desacoplar storage de compute es lo que hizo que el data warehousing moderno (Snowflake, el propio Databricks) le ganara terreno a los enfoques monolíticos.
Adquisiciones estratégicas: Antimatter y SiftD.ai
Databricks no lanzó Lakewatch solo con desarrollo interno. Hizo dos adquisiciones puntuales que refuerzan áreas específicas. Si te interesa, podés leer más sobre modelos de lenguaje y razonamiento.
Antimatter, fundada por investigadores de UC Berkeley, se especializa en autenticación y autorización segura para agentes de IA. En un mundo donde los agentes autónomos van a tener acceso a datos sensibles y capacidad de ejecutar acciones, resolver la identidad y los permisos de esos agentes es un problema real. Antimatter trae esa expertise.
SiftD.ai tiene un pedigree particular: fue fundada por el creador del SPL (Search Processing Language) de Splunk y arquitectos del search stack de Splunk. Es decir, Databricks se trajo a la gente que construyó el motor de búsqueda del SIEM dominante del mercado. El mensaje es claro.
El timing no es casual. Databricks viene preparando su IPO, y según CNBC, entrar al mercado de ciberseguridad — que mueve más de 200 mil millones de dólares — le suma una narrativa de crecimiento potente para los inversores.
Lakewatch vs Splunk, Microsoft Sentinel y Palo Alto
La pregunta obvia: ¿cómo se posiciona Lakewatch frente a los jugadores establecidos? Armé esta comparativa con los datos disponibles al momento del lanzamiento.
| Característica | Databricks Lakewatch | Splunk (Cisco) | Microsoft Sentinel | Palo Alto XSIAM | Google SecOps |
|---|---|---|---|---|---|
| Modelo de precios | Por compute | Por volumen ingestado | Por volumen ingestado + retención | Por endpoint + datos | Por volumen ingestado |
| Formato de datos | OCSF (abierto) | Propietario (SPL) | KQL / propietario | Propietario | UDM / propietario |
| Vendor lock-in | Bajo (datos en lake del cliente) | Alto | Alto (Azure) | Alto | Alto (Google Cloud) |
| IA agéntica nativa | Sí (Agent Bricks + Genie) | Parcial (Splunk AI Assistant) | Copilot for Security | Sí (XSIAM Cortex) | Gemini integrado |
| Datos multimodales | Sí (video, audio, texto) | Limitado | Limitado | No | Limitado |
| Retención masiva | Petabytes a bajo costo | Costoso a escala | Costoso a escala | Limitada | Costoso a escala |
| Motor de IA | Anthropic Claude | Propio + OpenAI | GPT-4 / Copilot | Propio | Gemini |
Ojo: Lakewatch recién está en Private Preview. Splunk tiene miles de integraciones maduras, Sentinel se beneficia de la base instalada de Microsoft, y XSIAM tiene la ventaja de los datos de endpoint de Palo Alto. La propuesta de Lakewatch es sólida en el papel, pero la prueba va a estar en la adopción real y la madurez del ecosistema de integraciones. Si te interesa, podés leer más sobre las capacidades de Claude en detalle.
Qué significa Lakewatch para los equipos de seguridad en 2026
La tendencia es clara: el SOC del futuro va a tener agentes de IA asistiendo a los analistas humanos. Lakewatch no es el único que apunta en esa dirección, pero es el primero que combina data lakehouse abierto con agentes autónomos y un modelo de precios que no penaliza por retener datos.
Para los equipos de seguridad en Latinoamérica, donde los presupuestos suelen ser más ajustados y el talento especializado escasea, un SIEM que reduce costos de retención y automatiza el triage podría ser relevante. Eso sí, Databricks no tiene la misma penetración en la región que Microsoft o Google, así que la disponibilidad real y el soporte local van a ser factores decisivos. Si tu infraestructura de seguridad corre sobre servicios cloud y necesitás un proveedor de hosting sólido para la capa de aplicaciones, opciones como donweb.com complementan bien ese stack.
El tema del human-in-the-loop sigue siendo central. Ni Databricks ni nadie propone sacar al analista humano del loop — los agentes investigan, priorizan y sugieren, pero las decisiones críticas (bloquear un usuario, aislar un servidor, escalar un incidente) requieren validación humana. Al menos por ahora.
Qué está confirmado y qué no
Confirmado
- Lakewatch lanzado en Private Preview el 24 de marzo de 2026.
- Clientes iniciales: Adobe y Dropbox.
- Formato abierto basado en OCSF.
- Modelo de precios por compute, no por volumen.
- Integración con Anthropic Claude para Agent Bricks y Genie.
- Adquisiciones de Antimatter (UC Berkeley) y SiftD.ai (ex-Splunk).
- Soporte para datos multimodales (video, audio, texto).
- Open Security Lakehouse Ecosystem con partners de seguridad.
Pendiente o sin confirmar
- Fecha de disponibilidad general (GA) — no se anunció.
- Benchmarks concretos de reducción de MTTD/MTTR — prometidos pero sin datos publicados.
- Lista completa de partners del ecosistema abierto.
- Precios específicos por DBU (Databricks Unit) para workloads de seguridad.
- Disponibilidad en regiones de Latinoamérica.
- Integraciones con herramientas de seguridad específicas (EDR, firewalls, identity providers).
Errores comunes al evaluar un SIEM agéntico
Creer que “agéntico” significa “sin supervisión humana”
Los agentes de Lakewatch automatizan detección, triage e investigación. No toman acciones de remediación sin aprobación humana. Si tu equipo piensa que puede reemplazar analistas SOC con esto, va a tener problemas serios. La IA reduce la carga, no elimina la necesidad de expertise.
Asumir que “abierto” significa migración gratis
OCSF facilita la normalización de datos, pero migrar desde un Splunk o Sentinel que tenés configurado hace años — con dashboards, reglas de correlación, playbooks — no es trivial. El costo real de migración está en las reglas de detección y los procesos, no en los datos. Si te interesa, podés leer más sobre el ecosistema de inteligencia artificial de Google.
Comparar solo por precio sin considerar madurez del ecosistema
El modelo de pricing de Lakewatch es atractivo, pero Splunk tiene más de 2.400 integraciones en su marketplace. Sentinel se integra nativamente con todo el stack de Microsoft. Si tu evaluación se reduce a “cuesta menos”, estás simplificando demasiado. Fijate cuántas de tus fuentes de datos tienen integración nativa antes de decidir.
Preguntas Frecuentes
¿Qué es Databricks Lakewatch y en qué se diferencia de un SIEM tradicional?
Lakewatch es un SIEM construido sobre la arquitectura de Data Lakehouse de Databricks, con formato abierto OCSF y agentes de IA autónomos. La diferencia principal con los SIEM tradicionales es que desacopla compute de storage, cobra por procesamiento en vez de por volumen de datos, y despliega agentes que automatizan la investigación de amenazas en vez de solo generar alertas.
¿Cuánto cuesta Databricks Lakewatch comparado con Splunk?
Databricks afirma que su modelo basado en compute puede reducir costos hasta un 80% frente a los modelos por volumen de Splunk. Los precios específicos por DBU para workloads de seguridad no se publicaron todavía — el producto está en Private Preview. El ahorro real va a depender del volumen de datos, la frecuencia de queries y la complejidad de las detecciones de cada organización.
¿Qué empresas ya están usando Databricks Lakewatch?
Adobe y Dropbox son los clientes confirmados de la Private Preview lanzada el 24 de marzo de 2026. Anthropic también usa Databricks como su security lakehouse interna. La disponibilidad general todavía no tiene fecha anunciada.
¿Cómo funcionan los agentes de IA en Lakewatch para detectar amenazas?
Lakewatch usa dos sistemas complementarios. Agent Bricks permite construir agentes de seguridad custom para workflows específicos de cada organización. Genie actúa como asistente de investigación, automatizando el triage y planificando investigaciones multi-paso. Ambos están potenciados por Anthropic Claude y pueden correlacionar datos de seguridad, IT y negocio para reducir falsos positivos y acelerar la respuesta.
Conclusión
Databricks entró al mercado de ciberseguridad con una propuesta que ataca los tres problemas históricos de los SIEM: el costo de retención, el vendor lock-in y la sobrecarga de alertas sin contexto. Lakewatch combina la escala del Data Lakehouse con agentes de IA autónomos y un modelo de precios que, al menos en teoría, elimina la penalización por retener más datos.
¿Va a reemplazar a Splunk mañana? No. Splunk tiene una base instalada enorme y un ecosistema de integraciones que Lakewatch va a tardar años en igualar. Pero la dirección es la correcta: formatos abiertos, IA agéntica, y pricing que no castiga la visibilidad. Si tu organización ya usa Databricks para analytics o data engineering, Lakewatch es una extensión natural. Si no, vale la pena seguirle el rastro cuando salga de Private Preview.
Fuentes
- Databricks – Anuncio oficial de Lakewatch: nuevo SIEM agéntico y abierto
- Databricks Newsroom – Comunicado de prensa del lanzamiento de Lakewatch
- CNBC – Databricks entra al mercado de ciberseguridad con Lakewatch antes de su IPO
- Techzine – Databricks lanza Lakewatch, SIEM agéntico sobre el Lakehouse
- Constellation Research – Databricks entra a ciberseguridad con asistencia de Anthropic