¿Cómo promover la seguridad del EPP en su lugar de trabajo?

EPP y EDR: Defensas Clave en Ciberseguridad Moderna

31/05/2025

Valoración: 4.95 (2050 votos)

En el vertiginoso mundo digital actual, el panorama de las amenazas cibernéticas es más complejo y volátil que nunca. Nos enfrentamos a ataques sofisticados: aquellos que prescinden de malware tradicional, los que no requieren archivos, o incluso los que se ejecutan de manera física. Las vulnerabilidades de día cero son explotadas con nuevas herramientas y técnicas cada vez más ágiles, dejando a las tecnologías preventivas por sí solas incapaces de proteger completamente a las empresas. Lo más preocupante es que los ciberdelincuentes pueden orquestar un ataque dirigido con un coste mínimo, lo que explica el alarmante aumento de incidentes exitosos en todo el mundo.

¿Cuáles son los zapatos de seguridad para trabajadores con peligro de descarga eléctrica?
f.4) Para trabajos con agua, se utilizarán botas de agua. En casos concurrentes, los zapatos de seguridad cubrirán los requisitos máximos frente a los riesgos. Los trabajadores ocupados en trabajos con peligro de descarga eléctrica utilizarán calzado aislante, sin ningún elemento metálico.

Según un informe de Kaspersky Lab y B2B International, los ataques dirigidos se dispararon en 2017, aumentando un 6% en PYMES y un 11% en grandes empresas. Un inquietante 27% de las compañías admitió haber sufrido este tipo de ataques en su infraestructura, y el 33% se sintió vigilado por ciberdelincuentes. La resignación es palpable: el 57% de las empresas espera una brecha de seguridad tarde o temprano, y el 42% no sabe cómo responder eficazmente. En este contexto, la pregunta clave es: ¿cómo podemos protegernos?

Índice de Contenido

¿Qué son las Plataformas de Protección de Endpoints (EPP)?

Las Plataformas de Protección de Endpoints, o EPP por sus siglas en inglés (Endpoint Protection Platforms), son la primera línea de defensa en la infraestructura de seguridad de una organización. Tradicionalmente, estos sistemas se han encargado de controlar y proteger contra amenazas conocidas, como el malware convencional. Son excepcionalmente eficaces contra los peligros ya catalogados e incluso contra algunas amenazas desconocidas que siguen patrones ya identificados. Sin embargo, el cibercrimen ha evolucionado drásticamente, con atacantes cada vez más agresivos y sofisticados.

La combinación de amenazas comunes, patrones maliciosos únicos y actividades basadas en técnicas de infiltración complejas, convierte a las EPP tradicionales en una defensa insuficiente frente a las amenazas avanzadas y los ataques dirigidos. Las empresas ya no solo se enfrentan a virus; están en la mira de robos de datos contables, propiedad intelectual, información comercial sensible y datos personales específicos. Los incidentes relacionados con estas amenazas avanzadas tienen un impacto devastador: desde altos costes de respuesta y recuperación, inversión en nuevos sistemas, hasta daños irreparables a la reputación, la marca y pérdidas financieras.

Es imperativo que las organizaciones amplíen su protección más allá de la red, el correo electrónico y el tráfico web. Los endpoints —incluidos portátiles, estaciones de trabajo, servidores y smartphones— son los puntos de entrada más comunes en la infraestructura durante los ataques dirigidos. Esto hace que la visibilidad de estos puntos finales sea absolutamente crítica en el panorama de amenazas actual. De hecho, una encuesta de SANS de 2017 reveló que el 74% de las amenazas entraron por enlaces o archivos adjuntos de correo electrónico, y el 18% por descargas web involuntarias. Curiosamente, el 81% de las compañías encuestadas consideraron que las herramientas de seguridad de endpoints eran las más útiles para la detección de amenazas.

La Necesidad Urgente de Herramientas Especializadas: EDR

Evidentemente, bloquear amenazas sencillas en los endpoints ya no es suficiente. Las empresas de hoy necesitan herramientas que les permitan detectar y responder a las últimas y más complejas amenazas. Es aquí donde entran en juego las soluciones especializadas de Detección y Respuesta de Endpoints, conocidas como EDR (Endpoint Detection and Response).

¿Por qué las EPP tradicionales no son suficientes para las amenazas modernas?

La respuesta reside en dos factores principales:

  1. Las características de los ataques dirigidos modernos:
    • Estrategias para burlar sistemas de seguridad: Los atacantes investigan a fondo la infraestructura y los sistemas de seguridad de endpoint existentes.
    • Vulnerabilidades de día cero y cuentas comprometidas: Explotan fallos desconocidos y credenciales robadas.
    • Software malicioso único o especialmente diseñado: Programas personalizados para un objetivo específico.
    • Objetos comprometidos con apariencia normal: Archivos o procesos que parecen inofensivos, pero ocultan intenciones maliciosas.
    • Enfoque de varios vectores: Buscan penetrar en una gran cantidad de equipos (ordenadores de sobremesa, portátiles, servidores, etc.).
    • Ingeniería social e información de infiltrados: Manipulación humana y datos obtenidos internamente.
  2. Las limitaciones tecnológicas de los productos EPP tradicionales:
    • Se centran en detectar y bloquear amenazas comunes o vulnerabilidades ya conocidas, basándose en métodos previamente identificados.
    • Están diseñados para la visibilidad de cada endpoint de forma aislada, no para la supervisión centralizada en tiempo real de todos los equipos simultáneamente.
    • No proporcionan a los administradores de TI el contexto completo de las amenazas, careciendo de visibilidad sobre la actividad de equipos individuales, procesos, cronogramas y sus relaciones.
    • No ofrecen correlación integrada de múltiples veredictos de diferentes mecanismos de detección en un incidente unificado.
    • No admiten la detección de actividad anormal, trastornos en las actividades comunes o el análisis del trabajo de programas legítimos.
    • Carecen de la capacidad para analizar retrospectivamente el movimiento lateral del malware dentro de la red.
    • Tienen recursos limitados para la detección de ataques sin archivo, inyecciones de memoria o amenazas que no utilizan malware.

Si bien las EPP son excelentes para más del 90% de las amenazas simples (cuyo coste por incidente ronda los 10.000 dólares), el coste de los incidentes de ataques de amenazas persistentes avanzadas (APT) puede ascender a 926.000 dólares. Cuanto antes se detecte un ataque deliberado, menores serán los costes. Ante las amenazas complejas, la calidad y eficacia de la detección y la respuesta son de suma importancia. Las empresas deben considerar el uso de soluciones especializadas para contrarrestar los ataques dirigidos y las APT en sus endpoints.

EPP vs. EDR: Una Comparativa Esencial

Las deficiencias funcionales de las soluciones EPP tradicionales frente a las amenazas complejas evidencian la necesidad de invertir en productos especializados para la detección y respuesta de amenazas avanzadas. Los productos EPP requieren mayor flexibilidad y deben incluir funciones de detección y respuesta en endpoints (EDR) o integrarse con soluciones EDR independientes.

EDR es una tecnología de ciberseguridad que aborda la necesidad de supervisión en tiempo real, análisis de seguridad y respuesta a incidentes en los endpoints corporativos. Ofrece una visibilidad completa de extremo a extremo sobre la actividad de cada equipo en la infraestructura, administrada desde una única consola. Además, proporciona inteligencia de seguridad invaluable para que los expertos realicen investigaciones y respuestas profundas.

CaracterísticaEPP TradicionalEDR (Detección y Respuesta de Endpoints)
Enfoque PrincipalProtección contra amenazas conocidas (malware, virus)Detección proactiva y respuesta a amenazas avanzadas, desconocidas y dirigidas (APTs)
VisibilidadLimitada al endpoint individualCompleta de extremo a extremo en toda la infraestructura de endpoints
DetecciónBasada en firmas y métodos conocidosTecnologías avanzadas: ML, IA, análisis de comportamiento, reglas YARA, sandboxing, IoC
RespuestaBloqueo automático de amenazas conocidasInvestigación detallada, contención de incidentes, remediación, análisis retrospectivo
Tipos de AtaquesAmenazas comunes, masivasAtaques sin archivo, día cero, APTs, ingeniería social, movimientos laterales
Contexto de AmenazaPoca o nula información contextualProporciona contexto completo: procesos, cronogramas, relaciones entre eventos
Habilidades RequeridasGestión de TI generalAnalistas de seguridad, ingenieros de amenazas, SOC
Costo de IncidenteMenor (aprox. $10,000)Potencialmente muy alto si no se detecta (aprox. $926,000)

Mientras que la mayoría de las plataformas EPP dependen de patrones y archivos de firmas para detener amenazas conocidas (incluso las de última generación con aprendizaje automático se centran en la protección antimalware), el objetivo principal de EDR es la detección proactiva de amenazas nuevas o desconocidas, y de infecciones no identificadas que penetran directamente a través de endpoints y servidores. Esto se logra analizando eventos en la 'zona gris', donde se encuentran objetos o procesos que no son ni confiables ni definitivamente maliciosos.

Sin la funcionalidad EDR, las EPP tradicionales carecen de visibilidad total del endpoint, análisis retrospectivo de ataques y correlación de eventos entre diferentes endpoints. No todas las soluciones EPP del mercado ofrecen acceso a la inteligencia de amenazas necesaria para comprender las tácticas, procesos y técnicas principales de los ataques. Todas estas funciones son cruciales para defenderse contra las amenazas modernas y los ataques dirigidos. Las empresas deben comprender que la seguridad de los endpoints ya no puede depender de una única solución EPP. EDR, con sus tecnologías avanzadas como reglas YARA, sandboxing, escaneo de IoC (indicadores de compromiso), descubrimiento y validación de actividad sospechosa, análisis retrospectivo con aprendizaje automático dinámico, investigación y contención de incidentes, y automatización de respuesta, tiene muchas más posibilidades de detectar cepas desconocidas de malware en ataques de día cero y APT.

El Enfoque Integrado: EPP y EDR Colaborando

Para una protección efectiva y confiable contra las amenazas avanzadas, EPP y EDR deben colaborar. Las EPP controlan las amenazas conocidas, mientras que EDR se ocupa de las amenazas complejas y desconocidas. Las plataformas EDR potentes permiten a los analistas investigar y mejorar su defensa, en lugar de simplemente reaccionar al daño ya causado por una amenaza avanzada que una protección endpoint tradicional podría haber pasado por alto. Además, una EPP no solo brinda protección, sino también controles de aplicación, dispositivo y web, evaluación de vulnerabilidades, gestión de parches, filtro de URL, cifrado de datos y cortafuegos, entre otras funciones.

Todos estos sistemas se complementan mutuamente, lo que significa que las soluciones deben integrarse e interactuar. EPP y EDR comparten el objetivo de encontrar amenazas, pero difieren en sus métodos y herramientas. Según Gartner, se espera que para 2021, el 81% de las grandes empresas, el 25% de las medianas y el 10% de las pequeñas ya hayan invertido en tecnología EDR.

La presencia de tecnologías preventivas como EPP, que detectan y bloquean automáticamente amenazas y objetos maliciosos obvios, reduce la necesidad de analizar un gran número de amenazas menores, aumentando la eficiencia de las plataformas EDR especializadas que buscan detectar amenazas a nivel de APT. A su vez, EDR, al identificar amenazas complejas, puede enviar veredictos a la plataforma de protección endpoint. De esta forma, ambas cooperan, proporcionando un enfoque totalmente integrado para contrarrestar las amenazas avanzadas.

Maximizando el Valor de la Tecnología EDR

Aunque la mayoría de las organizaciones ya necesitan funciones EDR, un alto porcentaje carece de las habilidades y recursos para un despliegue y uso avanzados. Esto se debe a la transición de un simple rastreo EPP por parte de un departamento de TI a la necesidad de involucrar a un equipo de seguridad informática al utilizar EDR. Para maximizar los beneficios de EDR, las empresas requieren ingenieros de seguridad y analistas de amenazas con conocimientos y experiencia. Estos profesionales deben saber cómo extraer valor de la plataforma EDR y organizar un proceso eficiente de respuesta a incidentes.

Dependiendo de la madurez y experiencia en seguridad de cada organización, y de la disponibilidad de recursos, algunas empresas pueden optar por desarrollar experiencia interna mediante formación, acceso a portales de inteligencia de amenazas e informes de APTs, y el uso de fuentes de datos de amenazas. Otras pueden recurrir a servicios profesionales de terceros desde el principio, una opción atractiva para departamentos de seguridad con exceso de trabajo o falta de personal. Estos servicios incluyen:

  • Servicios de evaluación de seguridad.
  • Búsqueda de amenazas (Threat Hunting).
  • Respuesta a incidentes.
  • Análisis forense digital.
  • Análisis de malware e ingeniería inversa.
  • Soporte premium 24 horas.

Un Ejemplo de Solución Integrada: Kaspersky Lab

El enfoque de Kaspersky Lab para la protección de endpoints incluye Kaspersky Endpoint Security, Kaspersky Endpoint Detection and Response y Kaspersky Cybersecurity Services. Para organizaciones con requisitos de cumplimiento normativo o aislamiento completo de la infraestructura, Kaspersky Private Security Network ofrece los beneficios de la inteligencia de amenazas global basada en la nube de Kaspersky Security Network (KSN), sin filtrar información fuera de su perímetro controlado.

Estos componentes se adaptan a la naturaleza y procesos específicos de cada organización:

  • Una combinación única de tecnologías preventivas para bloquear la mayoría de los ataques comunes.
  • Mecanismos y técnicas avanzadas para detectar y responder rápidamente a amenazas únicas y avanzadas.
  • Capacidad de predecir futuras amenazas y desarrollar protección proactiva mediante servicios profesionales.
  • Beneficios de la inteligencia de amenazas basada en la nube sin comprometer el perímetro controlado.

Kaspersky Endpoint Security es una plataforma de protección endpoint multicapa que utiliza inteligencia HuMachine para una defensa automatizada y flexible contra una amplia gama de amenazas conocidas y desconocidas, como ransomware, malware y botnets.

Kaspersky Endpoint Detection and Response utiliza el mismo agente que Kaspersky Endpoint Security, proporcionando un enfoque multicapa para revelar y reconocer amenazas complejas mediante tecnologías avanzadas (aprendizaje automático, aislamiento de procesos, escaneo de IoC e inteligencia de amenazas). Responde para prevenir futuras acciones maliciosas, detectando oportunamente amenazas avanzadas y enviando veredictos a Kaspersky Endpoint Security para el bloqueo de seguimiento.

Kaspersky Cybersecurity Services ofrece asistencia rápida y profesional durante y después de un incidente, ayudando a reducir el riesgo de datos comprometidos y minimizando el daño a la reputación y económico. Su cartera incluye estudios de seguridad, inteligencia de amenazas actualizada, respuesta rápida a incidentes, evaluación de seguridad proactiva, servicios de búsqueda de amenazas subcontratada y soporte premium 24 horas.

Conclusión: Amenazas Avanzadas Requieren Herramientas Avanzadas

Para resistir las amenazas avanzadas y los ataques dirigidos, las empresas necesitan herramientas automatizadas y servicios diseñados para complementarse entre sí. Estos sistemas, junto con los centros de operaciones de seguridad (SOC), deben prevenir la mayoría de los ataques, detectar rápidamente nuevas amenazas, gestionar ataques en vivo, responder a tiempo y predecir futuros peligros. Con la combinación adecuada de tecnologías y servicios, las empresas pueden establecer y seguir una estrategia de seguridad adaptativa y comprensiva, preparándose para afrontar un panorama de ciberamenazas en constante cambio, mejorando su protección y mitigando el riesgo en futuros ataques.

Si quieres conocer otros artículos parecidos a EPP y EDR: Defensas Clave en Ciberseguridad Moderna puedes visitar la categoría Calzado.

Subir