¿Qué es la seguridad de endpoints?

La seguridad de endpoints es el enfoque de ciberseguridad por el que se protegen los endpoints (ordenadores de escritorio, portátiles y dispositivos móviles) contra actividades maliciosas.

Una plataforma de protección de endpoints (EPP, Endpoint Protection Platform) es una solución que sirve para detectar y prevenir amenazas de seguridad, como los ataques de malware mediante archivos, entre otras actividades maliciosas. También ofrece las capacidades de investigación y corrección necesarias para dar respuesta a los incidentes y las alertas de seguridad dinámicos.

¿Qué se considera un endpoint?

Un endpoint es cualquier tipo de dispositivo que se conecte a la red corporativa desde fuera del firewall. Ejemplos de endpoints:

• Portátiles
• Tablets
• Dispositivos móviles
• Dispositivos del Internet de las cosas (IoT, Internet of Things)
• Sistemas puntos de venta (PDV)
• Conmutadores
• Impresoras digitales
• Otros dispositivos que se comunican con la red central

Importancia de la seguridad de los endpoints

Disponer de una estrategia de seguridad de endpoints es vital, puesto que cada endpoint remoto puede ser el punto de entrada de algún ataque. Además, el número de endpoints crece sin cesar con la rápida adopción del trabajo en remoto. Según un artículo de Forbes de 2023, el 12,7 % de los empleados estadounidenses trabajan en remoto y el 28,2 % han adoptado un modelo de trabajo híbrido. Aunque hoy en día la mayoría de los empleados trabajan en oficinas, se prevé que en 2025 sean 32,6 millones de estadounidenses los que trabajen en remoto, lo que supone un nada desdeñable 22 % de la mano de obra de EE. UU. Los riesgos que presentan los endpoints y los datos confidenciales que contienen son un desafío que no desaparecerá.

El panorama de endpoints cambia constantemente, y las empresas de cualquier tamaño son objetivos atractivos para los ciberdelincuentes. Esto lo saben todas las empresas, incluso las pequeñas. Según el 2023 Business Impact Report de ITRC, el 73 % de los propietarios de pequeñas y medianas empresas (pymes) experimentaron un ciberataque en 2022 o 2023. Según el Internet Crime Report (Informe sobre el crimen en Internet) del FBI, esta organización recibió un total de 800 944 denuncias en 2022 en relación con ataques que conllevaron pérdidas de más de 10 300 millones de dólares. Según el Informe Global sobre Amenazas 2023 de CrowdStrike, los ataques de ingeniería social han aumentado, y CrowdStrike ha rastreado a más de 200 adversarios.

Según el informe Cost of a Data Breach 2024 (Coste de una brecha de datos 2024) de IBM, el coste medio de una brecha asciende a 4,45 millones de dólares, lo que supone un aumento del 15 % a lo largo de los tres últimos años. Este estudio identificó que el mayor impacto de una brecha en las finanzas es que la actividad comercial se interrumpe, lo que representa casi el 40 % del coste medio de una brecha de datos.

Protegerse frente a los ataques contra los endpoints es difícil porque estos son el punto de conexión entre las personas y las máquinas. Las empresas se esfuerzan por proteger sus sistemas sin interferir en la actividad legítima de sus empleados. Aunque las soluciones tecnológicas pueden ser muy eficaces, las posibilidades de que un empleado sucumba a un ataque de ingeniería social se pueden mitigar, pero nunca se pueden prevenir por completo.

Cómo funciona la protección de endpoints

Los términos "protección de endpoints", "plataformas de protección de endpoints" y "seguridad de endpoints" se usan indistintamente para hacer referencia a las soluciones de seguridad gestionadas de forma centralizada que usan las organizaciones para proteger endpoints como servidores, estaciones de trabajo, dispositivos móviles, así como sus cargas de trabajo, frente a las amenazas de ciberseguridad. Las soluciones de protección de endpoints examinan los archivos, los procesos y la actividad del sistema para identificar indicadores sospechosos o maliciosos.

Dichas soluciones ofrecen una consola de gestión centralizada que los administradores pueden conectar a la red de su empresa para monitorizar, proteger, investigar y responder a los incidentes. Esto se consigue aplicando un enfoque local, de nube o híbrido.

El enfoque "tradicional" se suele usar para describir una posición de seguridad local que depende de un datacenter local que ofrece protección. El datacenter es la pieza central que conecta la consola de gestión con los endpoints mediante un agente para protegerlos. Este modelo radial puede generar silos de seguridad, puesto que normalmente los administradores solo pueden gestionar los endpoints que se encuentran dentro del perímetro.

Con el cambio al trabajo en remoto que trajo consigo la pandemia, muchas organizaciones han optado por usar portátiles y permitir que los usuarios trabajen con dispositivos personales (directivas BYOD) en sustitución de los ordenadores de escritorio. Esto y la globalización de la fuerza laboral ponen de relieve las limitaciones del enfoque local. Algunos proveedores de soluciones de protección de endpoints han adoptado hace poco un enfoque "híbrido", por el que adaptan a la nube un diseño de arquitectura tradicional para incorporar algunas capacidades de la nube.

El tercer enfoque es adoptar una solución "nativa de la nube" creada en y para la nube. Los administradores pueden monitorizar y gestionar en remoto los endpoints mediante una consola centralizada que reside en la nube y se conecta a los dispositivos a distancia mediante un agente ubicado en el endpoint. Dicho agente puede coordinarse con la consola de gestión o funcionar de forma independiente para proteger el endpoint si no tuviera conexión a Internet. Estas soluciones aplican controles y directivas de la nube para maximizar la seguridad y extenderla más allá del perímetro tradicional, con lo que se eliminan los silos y se amplía el alcance de los administradores.

Ventajas de la seguridad de los endpoints

Las siguientes son algunas de las ventajas clave que ofrece la seguridad de endpoints:

1. Protección de endpoints: a medida que la transformación digital provoca que más empleados trabajen en remoto, proteger todos los endpoints se ha vuelto esencial para evitar brechas.
2.  Protección de identidades: este es un beneficio importante de la seguridad de los endpoints, puesto protege los datos confidenciales de los empleados y otras partes interesadas permitiendo únicamente a los usuarios autorizados que accedan a ellos según corresponda.
3. Detección y respuesta a amenazas: dado que cada vez hay más adversarios que tratan de acceder a las organizaciones mediante sofisticados ciberataques, la detección rápida de las posibles amenazas ayudaría a acelerar el proceso de aplicación de correcciones y a proteger los datos.

Software de protección de endpoints frente a software antivirus

El software de protección de endpoints trata de impedir que se vulneren los endpoints, ya sean físicos o virtuales, ya se encuentren en una ubicación local o externa, o ya residan en datacenters o en la nube. Se puede instalar en portátiles, ordenadores de escritorio, servidores, máquinas virtuales y endpoints remotos.

El antivirus suele formar parte de una solución de seguridad de endpoints y suele considerarse uno de los métodos más básicos de protección de los endpoints. En lugar de aplicar técnicas y prácticas avanzadas, como el Threat Hunting y la detección y respuesta para endpoints (EDR), el antivirus simplemente detecta y elimina virus conocidos y otros tipos de malware. Los antivirus tradicionales se ejecutan en segundo plano y analizan periódicamente el contenido del dispositivo en busca de patrones que coincidan con una base de datos de firmas de virus. Los antivirus se instalan en dispositivos concretos de dentro y de fuera del firewall.

Funciones básicas de las soluciones de protección de endpoints

Las herramientas de seguridad de endpoints que previenen las brechas de forma continua deben incorporar los siguientes elementos fundamentales:

1. Prevención: NGAV

Las soluciones antivirus tradicionales detectan menos de la mitad de la totalidad de los ataques. Su funcionamiento consiste en cotejar firmas o fragmentos de código maliciosos con una base de datos cuyos colaboradores alimentan con las firmas de malware nuevas que se van identificando. El problema es que el malware que aún no se ha identificado ("desconocido") no se encuentra en la base de datos. Entre el momento en el que un tipo de malware aparece en el panorama y el momento en el que las soluciones antivirus tradicionales son capaces de identificarlo se da un lapso.

Los antivirus de nueva generación (NGAV, Next-Generation AntiVirus) eliminan este lapso aplicando tecnologías de protección avanzada de endpoints, como la inteligencia artificial (IA) y el aprendizaje automático (ML, Machine learning), para identificar malware nuevo analizando más elementos, como el cifrado hash de los archivos, las URL y las direcciones IP.

2. Detección: EDR

La prevención no basta. Ningún sistema de defensa es inexpugnable, así que siempre habrá algún ataque que consiga eludirlo y acceder a la red. Las soluciones convencionales de seguridad no detectan estos casos, con lo que los ciberdelincuentes campan a sus anchas por el entorno durante días, semanas o meses. Las empresas deben detectar y neutralizar a estos ciberdelincuentes rápidamente para evitar a toda costa estos "fallos silenciosos".

Para evitar los fallos silenciosos, una solución de EDR debe proporcionar una visibilidad continua e integral de lo que ocurre en los endpoints en tiempo real. Las empresas deben buscar soluciones que ofrezcan funciones avanzadas de detección de amenazas, investigación y respuesta, que incluyen la búsqueda de datos de incidentes y su investigación, la clasificación de alertas, la comprobación de actividad sospechosa, Threat Hunting, y la detección y contención de actividades maliciosas.

3. Threat Hunting gestionado

La automatización por sí sola no puede detectar todos los ataques. La experiencia de los profesionales de seguridad es esencial para detectar los sofisticados ataques actuales.

El Threat Hunting gestionado corre a cargo de equipos de élite que aprenden de los incidentes que ya se han producido, agregan datos de seguridad recopilados de forma colaborativa y proporcionan orientación sobre qué respuesta dar cuando se detecta actividad maliciosa.

4. Integración de inteligencia sobre amenazas

Para ir por delante de los ciberdelincuentes, las empresas deben estar al tanto de las amenazas y su evolución. Los adversarios más sofisticados y las amenazas persistentes avanzadas (APT, Advanced Persistent Threats) pueden penetrar rápida y sigilosamente en la red, así que los equipos de seguridad deben contar con inteligencia precisa y actualizada para que las defensas se ajusten de forma automática y al milímetro.

Una solución de integración de inteligencia sobre amenazas debe incorporar automatización para investigar todos los incidentes y recabar información en cuestión de minutos, no de horas. Debe generar indicadores de compromiso (IOC, Indicators Of Compromise) directamente a partir de los endpoints para posibilitar una defensa proactiva contra futuros ataques. También se necesita el componente humano, como expertos en investigaciones de seguridad, analistas de amenazas, expertos en cultura y lingüistas, quienes pueden descifrar las amenazas emergentes en diversos contextos.

La importancia de la arquitectura basada en la nube

La arquitectura basada en la nube ofrece los siguientes beneficios en lo que respecta a la seguridad de endpoints:

Protección avanzada de endpoints de CrowdStrike

Las organizaciones quieren que la detección, la prevención y la respuesta sean rápidas y continuas. Para ello, deben tener una visibilidad sin obstáculos de todos los endpoints, así como la capacidad de prevenir ataques sofisticados en tiempo real y frustrar los intentos de los insistentes ciberdelincuentes por comprometer los entornos y robar datos.

CrowdStrike ofrece un nuevo enfoque de seguridad de endpoints. A diferencia de las soluciones de seguridad de red o de seguridad tradicionales, la solución de seguridad de endpoints de CrowdStrike unifica las tecnologías necesarias para evitar las brechas (como EDR y antivirus de nueva generación, Threat Hunting gestionado y automatización de la inteligencia sobre amenazas), todas ellas proporcionadas por un único agente ligero. CrowdStrike Falcon^® Endpoint Protection Enterprise incluye los siguientes módulos:

• La solución de NGAV CrowdStrike^® Falcon Prevent™ detecta el 100 % de las muestras de malware conocido y desconocido y su tasa de falsos positivos es del 0 %. Falcon Prevent es la primera solución de endpoints de la industria con la aprobación de NGAV según Gartner, Forrester y otros analistas.
• CrowdStrike Falcon^® Adversary Intelligence integra la inteligencia sobre amenazas y la protección de endpoints para ofrecer una seguridad predictiva real. Falcon Intelligence, que se adapta a empresas de cualquier tamaño, analiza al instante cualquier amenaza que alcance los endpoints de una organización. Con Counter Adversary Operations, las empresas por fin pueden ir siempre por delante de la actividad de los adversarios.