¿Qué es la seguridad de puntos finales?

Descubra cómo las soluciones de seguridad de puntos finales protegen los dispositivos, los usuarios y las organizaciones contra ciberataques cada vez más sofisticados

Ilustración isométrica de un escudo de seguridad y los puntos finales empresariales
¿Qué es la seguridad de puntos finales?

La seguridad de puntos finales, la primera línea crítica de defensa de ciberseguridad una red, protege a los usuarios finales y los dispositivos de punto final: ordenadores de escritorio, portátiles, móviles, servidores , frente a ciberataques. La seguridad de puntos finales también protege la red contra adversarios que intentan utilizar los dispositivos de punto final para lanzar ciberataques sobre datos confidenciales y otro activos en la red.

Los puntos finales siguen siendo el principal punto de entrada de red para los ciberataques en empresas. Varios estudios estiman que hasta el 90 % de los ciberataques y el 70 % de las brechas de datos que prosperan se originan en dispositivos de punto final. De acuerdo con el informe sobre el coste de una brecha de seguridad en los datos de IBM Security® de 2021, el coste medio de una brecha de datos para las empresas asciende a 4,24 millones de dólares.

Actualmente, las empresas deben proteger más puntos finales, y más tipos de puntos finales. Las políticas de traiga su propio dispositivo (BYOD), el aumento del teletrabajo y el número creciente de dispositivos de IoT, dispositivos orientados al cliente y productos conectados a la red han multiplicado el número de puntos finales que los piratas informáticos pueden explotar y las vulnerabilidades que los equipos de seguridad deben proteger.


Software antivirus

El software original de seguridad de puntos finales, el software antivirus, protege los puntos finales contra formas conocidas de malware: troyanos, gusanos, adware y más.

El software antivirus tradicional escaneaba los archivos en un dispositivo de punto final en busca de firmas de malware: cadenas de bytes características de virus conocidos o malware.  El software alertaba al usuario o administrador cuando se encontraba un virus y proporcionaba herramientas para aislar y eliminar el virus y reparar cualquier archivo infectado.

El software antivirus actual, a menudo llamado antivirus de nueva generación (NGAV), puede identificar y combatir tipos más nuevos de malware, incluido el que no deja rastro. Por ejemplo, NGAV puede detectar malware sin archivos, un malware que reside en la memoria e inyecta scripts maliciosos en el código de aplicaciones legítimas. NGAV también puede identificar actividad sospechosa usando heurística, que compara patrones de comportamiento sospechosos con los de virus conocidos, y escaneo de integridad, que escanea archivos en busca de indicios de virus o infección de malware.


Plataformas de protección de puntos finales (EPP)

El software antivirus por sí solo puede ser adecuado para proteger un conjunto de puntos finales. Cualquier cosa más allá de eso normalmente requiere una plataforma de protección empresarial, o EPP. Una EPP combina NGAV con otras soluciones de seguridad de puntos finales, incluyendo:

  • Control web: a veces llamado filtro web, este software protege a los usuarios y su organización del código malicioso oculto en los sitios web, o dentro de los archivos que los usuarios descargan. El software de control web también incluye la elaboración de listas blancas y listas negras que permiten a un equipo de seguridad controlar qué sitios pueden visitar los usuarios.
  • Clasificación de datos y prevención de pérdida de datos: estas tecnologías documentan dónde se almacenan datos confidenciales, ya sea en cloud o en local, e impide el acceso sin autorización o la divulgación de dichos datos.
  • Cortafuegos integrados: estos cortafuegos son hardware o software que aplica seguridad de red impidiendo el tráfico no autorizado dentro y fuera de la red.
  • Pasarelas de correo electrónico: estas pasarelas son software que filtran el correo electrónico entrante para bloquear ataques de phishing e ingeniería social.
  • Control de aplicaciones: esta tecnología permite a los equipos de seguridad supervisar y controlar la instalación y el uso de aplicaciones en dispositivos y puede bloquear el uso y la ejecución de aplicaciones no seguras o no autorizadas.

Una EPP integra estas soluciones de punto final en una consola de gestión central, donde los equipos de seguridad o los administradores del sistema pueden supervisar y gestionar la seguridad de todos los puntos finales. Por ejemplo, una EPP puede asignar las herramientas de seguridad adecuadas a cada punto final, actualizar o aplicar parques a estas herramientas según sea necesario y administrar políticas de seguridad corporativas.

Las EPP pueden ser en local o basadas en cloud. Pero el analista del sector Gartner  (enlace externo a ibm.com), que fue el primero en definir la categoría EPP, señala que "las soluciones EPP idealmente se gestionan en cloud, lo que permite la supervisión continua y la recopilación de datos de actividad, junto con la capacidad de tomar medidas correctivas de forma remota, tanto si el punto final está en el red corporativa o fuera de la oficina".

 


Detección y respuesta de puntos finales (EDR)

Las EPP se centran en prevenir amenazas conocidas o amenazas que se comportan de formas conocidas. Otra clase de solución de seguridad de puntos finales, llamada detección y respuesta de puntos finales (EDR), permite a los equipos de seguridad responder a las amenazas que burlan las herramientas preventivas de seguridad de puntos finales. 

Las soluciones de EDR supervisan de forma continua los archivos y las aplicaciones que entran en cada dispositivo, en busca de actividad maliciosa que indique malware, ransomware o amenazas avanzadas. EDR también recopila continuamente datos de seguridad detallados y telemetría, que almacena en un data lake donde se pueden usar para análisis en tiempo real, investigación de causa raíz, detección de amenazas y más.

EDR normalmente incluye análisis avanzados, análisis de comportamiento, inteligencia artificial (IA) y machine learning, prestaciones de seguridad, alertas inteligentes y funcionalidad de investigación y remediación, que permite a los equipos de seguridad:

  • Correlacionar indicadores de compromiso (IOC) y otros datos de seguridad de puntos finales con canales de información sobre amenazas para detectar amenazas avanzadas en tiempo real
  • Recibir notificaciones de actividad sospechosa o amenazas en tiempo real, junto con datos contextuales que pueden ayudar a aislar las causas raíz y acelerar la investigación de amenazas 
  • Realizar análisis estático (análisis de código infectado o malicioso sospechoso) o análisis dinámico (ejecución de código sospechoso en aislamiento)
  • Establecer umbrales para comportamientos de punto final y alertas para cuando se excedan esos umbrales
  • Automatizar las respuestas, como desconectar y poner en cuarentena dispositivos individuales o bloquear procesos, para mitigar los daños hasta que se pueda resolver la amenaza
  • Determinar si los otros dispositivos finales de punto final se ven afectados por el mismo ciberataque.

Muchas EPP más nuevas o más avanzadas incluyen algunas prestaciones de EDR, pero para completar la protección de puntos finales integrando prevención y respuesta, la mayoría de las empresas deberían emplear ambas tecnologías.


Detección y respuesta ampliadas (XDR)

Detección y respuesta ampliada, o XDR, extiende el modelo de detección y respuesta de amenazas a todas las áreas o capas de la infraestructura, protegiendo no solo los dispositivos de punto final sino también las aplicaciones, bases de datos y almacenamiento, redes y cargas de trabajo de cloud. XDR, una oferta de software como servicio (SaaS), protege los recursos en local y en cloud. Algunas plataformas de XDR integran productos de seguridad desde un único proveedor o proveedor de servicios de cloud, pero las mejores organizaciones también permiten añadir e integrar las soluciones de seguridad que prefieran.


Soluciones relacionadas

Temas de seguridad