Saltar al contenido principal
passtsuku.com

Seguridad de endpoints - Protegiendo dispositivos

Lectura de 2 min aprox.

La seguridad de endpoints es un término colectivo para las medidas de seguridad utilizadas para proteger los dispositivos (endpoints) que se conectan a una red, como PC, teléfonos inteligentes, tabletas y servidores. En su momento se consideró suficiente instalar software antivirus, pero con la creciente sofisticación del malware y la diversificación de las técnicas de ataque, ha evolucionado hacia un marco de defensa integrado dotado de capacidades avanzadas como la detección de comportamientos, la recopilación de telemetría y el aislamiento automático. Con la difusión de la arquitectura zero trust, el endpoint ha pasado a posicionarse en el núcleo de la estrategia de seguridad como un «punto de verificación de la confianza».

La evolución del antivirus al XDR

La historia de la protección de endpoints es también la historia de cómo los defensores se han adaptado a la evolución de las amenazas. Cada generación de tecnología surgió para superar las limitaciones de la anterior, pero las generaciones más antiguas no quedaron del todo obsoletas; en su lugar, se integran bajo el concepto por capas de la defensa en profundidad.

AV
Cotejo de firmas
NGAV
Aprendizaje automático + heurística
EDR
Detección de comportamientos + respuesta
XDR
Telemetría unificada + respuesta automatizada

El antivirus tradicional (AV) funcionaba cotejando los archivos con las firmas (patrones) del malware conocido, lo que lo dejaba impotente ante amenazas desconocidas. El antivirus de nueva generación (NGAV) introdujo el aprendizaje automático y el análisis heurístico, logrando una detección que no depende de firmas. No obstante, persistió el reto de no poder abordar plenamente el movimiento lateral posterior a la intrusión ni los ataques sin archivos.

Cómo funciona el EDR

El EDR (Endpoint Detection and Response, detección y respuesta en endpoints) es una plataforma que registra y analiza en tiempo real toda actividad en un endpoint, detectando comportamientos sospechosos y respondiendo a ellos. Recopila de forma continua datos de telemetría como el inicio de procesos, las operaciones con archivos, los cambios en el registro y las comunicaciones de red, y los envía a un SIEM o a una plataforma de análisis en la nube.

Recopilación de telemetríaRegistra todas las operaciones de procesos, archivos, red y registroDetección de comportamientosDetecta mediante aprendizaje automático las desviaciones de los patrones de operación normalesCaza de amenazasLos analistas investigan retrospectivamente la telemetría para descubrir amenazas latentesAislamiento automáticoDesconecta de inmediato los dispositivos infectados de la red para evitar que el daño se propagueAnálisis forenseReconstruye toda la cronología del ataque para identificar la ruta de intrusión y el alcance del impacto

El XDR (Extended Detection and Response, detección y respuesta ampliadas) extiende aún más el concepto del EDR, analizando de forma integrada la telemetría de múltiples capas de seguridad, no solo los endpoints, sino también el firewall, las pasarelas de correo, las cargas de trabajo en la nube y los IDS/IPS.

Retos en los entornos BYOD

El uso laboral de dispositivos de propiedad personal (BYOD: Bring Your Own Device) plantea retos propios de la seguridad de endpoints. A diferencia de los dispositivos gestionados por la empresa, no es posible imponer la gestión de versiones del sistema operativo ni la aplicación de parches de seguridad, y también resulta difícil separar el uso laboral de las aplicaciones y los datos personales. Como también se señala en Medidas de seguridad para el teletrabajo, implantar MDM (Mobile Device Management) y MAM (Mobile Application Management) para contenerizar los datos corporativos y garantizar la función de borrado remoto constituye el mínimo práctico imprescindible.

Lecciones del incidente de CrowdStrike

El fallo de actualización de CrowdStrike Falcon que se produjo en julio de 2024 demostró a escala mundial que un producto de seguridad de endpoints puede convertirse, él mismo, en la causa de una interrupción del sistema. Un defecto en un sensor que se ejecuta a nivel de kernel dejó inutilizables, sin poder arrancar, equipos Windows de todo el mundo, causando un grave impacto en infraestructuras sociales como aerolíneas, bancos y hospitales.

La lección de este caso es clara: dado que los productos de seguridad de endpoints están profundamente integrados en el kernel del sistema operativo, sus fallos pueden causar un daño igual o mayor que una infección de malware. Los despliegues por fases (despliegues canary), la elaboración previa de procedimientos de reversión y la consideración de una estrategia multiproveedor para evitar una dependencia excesiva de un único proveedor han pasado a reconocerse como retos operativos tan importantes como las medidas contra el ransomware.libros técnicos sobre EDR (Amazon) también resultan útiles para aprender los patrones de implementación más recientes.

Zero trust y el endpoint

En el modelo zero trust, todo acceso se verifica con independencia de que se origine dentro o fuera de la red. El endpoint es la primera línea de esta verificación, y el estado de salud del dispositivo (versión del sistema operativo, estado de los parches y estado operativo del EDR) se convierte en la base para la decisión de acceso. Un mecanismo que haga visibles todos los dispositivos conectados a la red y evalúe de forma continua su fiabilidad, incluida la seguridad de los dispositivos IoT, es la culminación de la seguridad de endpoints moderna.

Artículos relacionados

Términos relacionados

¿Te resultó útil este artículo?

Volver al glosario
XHatena