← Volver al inicio

Antivirus, EDR y Hardening: El Cadenero vs El Detective

Objetivo del Módulo

Aprender la diferencia tecnológica entre el software que instalas en la computadora de tu casa (Antivirus de 20 dólares) y el software que instala un Banco Internacional en sus computadoras (EDR de 500 dólares).

Si una corporación gigante sufre un ataque de Ransomware devastador, la primera pregunta del público siempre es: "¿Acaso no tenían un Antivirus instalado?". La respuesta es: Sí, sí lo tenían. Y no sirvió absolutamente de nada.

1. El Antivirus Tradicional: El Cadenero del Antro

El Antivirus que conoces desde los años 90 (McAfee, Norton, Avast) funciona bajo una tecnología llamada Detección por Firmas.

  • La Analogía: Es un cadenero parado en la puerta de una discoteca.
  • El cadenero tiene una hoja de papel en la mano con las fotos de los "10 criminales más buscados del país" (La base de datos de firmas YARA o Hashes de virus conocidos).
  • Si tú llegas a la puerta, el cadenero mira tu cara, mira su hoja de papel, y si coinciden, no te deja entrar (Borra el archivo .exe).

La Debilidad Fatal (Zero-Day)

¿Qué hace el hacker ruso? Entra a Photoshop, le pinta un bigote falso a la foto del criminal, y lo manda de nuevo a la discoteca. (A esto se le llama ofuscar el malware, cambiar su Hash). El cadenero mira la cara con bigote, mira su hoja de papel... y como la cara con bigote no está en su lista, el cadenero lo deja entrar.

A esto se le llama un ataque de Día Cero (Zero-Day). Una variante nueva de un virus que la lista de firmas del Antivirus aún no conoce. Contra el Fileless Malware (Visto en el módulo Forense), el Antivirus clásico es completamente inútil.

2. EDR (Endpoint Detection and Response): El Detective Infiltrado

Para arreglar el error del cadenero, la industria inventó el EDR (Ej. CrowdStrike, SentinelOne, Microsoft Defender for Endpoint).

  • La Analogía: El EDR es un detective vestido de civil caminando adentro de la discoteca.
  • Al detective no le importa tu cara ni le importa cómo te llamas. No usa listas de invitados. El detective observa tu Comportamiento.

El EDR monitorea matemáticamente qué está haciendo cada programa en la Memoria RAM. Si entraste a la discoteca vestido de traje (Pasaste al Cadenero), pero una vez adentro sacas un cuchillo e intentas apuñalar al cantinero... El detective te neutraliza al instante.

El Caso Técnico: Si un usuario de contabilidad abre Microsoft Excel (Un programa legal y confiable), el EDR no hace nada. Pero si ese mismo Microsoft Excel de repente intenta ejecutar una consola de PowerShell oculta y descargar un archivo desde Rusia... El EDR detecta el comportamiento anómalo de Excel, bloquea a PowerShell y aísla la computadora de la red de la empresa instantáneamente.

3. Hardening: Cerrar las Ventanas

Incluso con el mejor EDR del mundo, dejar que los usuarios hagan lo que quieran es un suicidio. Aquí entra el Hardening (Endurecimiento de Sistemas).

Hardening es aplicar la teoría militar del Principio del Menor Privilegio. No puedes confiar en el sentido común de tus empleados. Tienes que usar la fuerza del Sistema Operativo para prohibirles el error.

  • Quitar Permisos de Administrador: El 90% de los virus fallan catastróficamente si el usuario que le dio doble clic no tiene permisos de Administrador en su propia computadora.
  • Deshabilitar Puertos USB: Poner pegamento lógico a los puertos USB para que si un empleado encuentra una memoria tirada en el estacionamiento (Un ataque clásico del Red Team) y la conecta, la computadora la rechace.
  • Desinstalar Bloatware: Si el empleado es de Ventas, desinstala Python, desinstala PowerShell y borra todos los juegos que vienen con Windows. Menos software instalado = Menos agujeros posibles para el Hacker (Reducir la Superficie de Ataque).

4. Criterio de Dominio (Autoevaluación)

Revisa si podrías asegurar las laptops de tu empresa:

  1. El CEO de la empresa compró una licencia premium de un "Antivirus Tradicional" (Basado en Firmas) para todas las laptops corporativas. Si un Hacker envía un correo con un archivo de Excel malicioso totalmente nuevo, creado esa misma mañana (Zero-Day), ¿Por qué el Antivirus Tradicional dejará pasar el archivo sin lanzar ninguna alerta?
  2. Explica la diferencia arquitectónica de enfoque entre un "Antivirus Tradicional" (Cadenero) y una plataforma "EDR" (Detective). ¿Qué observa uno y qué observa el otro?
  3. Sabiendo que el EDR monitorea el "comportamiento" de los procesos del sistema, ¿Cómo utilizaría la industria las reglas SIGMA (Vistas en la Fase 8) en combinación con el EDR de una computadora?
  4. El proceso de Hardening corporativo exige quitarle los privilegios de Administrador local a todos los empleados sobre sus propias laptops. El equipo de Ventas se queja de que "ahora tienen que llamar a Sistemas para poder instalar Spotify". ¿Cómo justificas matemáticamente que esta medida drástica previene un ataque de Ransomware masivo?
← Anterior

VPN, Proxy y Segmentación: El Submarino y el Túnel

Siguiente →

Telemetría del Endpoint: Las Cámaras Corporales

En esta página