Cada laptop de empresa es una puerta. Cada teléfono corporativo, otra. Cada tablet que el empleado lleva a casa los viernes, otra más. Y en la mayoría de las organizaciones latinoamericanas, esas puertas tienen la misma cerradura de hace diez años: un antivirus. Mientras tanto, los grupos de ransomware llevan años especializados en abrir exactamente ese tipo de cerraduras, a menudo sin que nadie lo note hasta que aparece el mensaje de rescate en la pantalla.

Más del 70% de los ataques exitosos comienzan con la explotación de un endpoint vulnerable, según el Ponemon Institute. No un servidor expuesto, no la nube, no el firewall perimetral. El portátil del asistente de dirección que abrió un correo desde la WiFi del aeropuerto. El teléfono del vendedor que instaló una app de terceros sin pedirle permiso a nadie. La estación de trabajo de producción que no se actualiza porque "hay que coordinarlo con operaciones". En LATAM, donde el trabajo remoto creció sin que la infraestructura de control de TI creciera a la misma velocidad, ese riesgo tiene una dimensión adicional: el endpoint es frecuentemente el único punto de acceso a la red corporativa para cientos de empleados dispersos, y la política de seguridad para esos dispositivos sigue siendo, en el mejor de los casos, migajas.

Protección de endpoints: la primera línea que más se ignora

La protección de endpoints es el conjunto de soluciones y prácticas diseñadas para asegurar todos los dispositivos conectados a la red corporativa contra amenazas activas. No se trata solo de instalar un antivirus. Es implementar un ecosistema de defensa que prevenga, detecte y responda ante amenazas avanzadas en tiempo real, antes de que el daño se propague.

El mercado fue construyendo tres capas de madurez que hoy conviven en las organizaciones con distintos niveles de adopción:

• EPP (Endpoint Protection Platform): la evolución del antivirus tradicional. Previene malware conocido, bloquea ejecuciones sospechosas y gestiona actualizaciones. Necesario, pero insuficiente contra amenazas que no coinciden con ninguna firma en la base de datos.
• EDR (Endpoint Detection and Response): monitoreo continuo del comportamiento del endpoint. Detecta anomalías, registra la telemetría del incidente y permite contención e investigación forense. El salto cualitativo respecto al EPP. La diferencia práctica entre los dos la explicamos en detalle en EDR vs XDR.
• XDR (Extended Detection and Response): amplía la visibilidad más allá del endpoint, integrando datos de red, correo, aplicaciones cloud y servidores en una sola plataforma de correlación. La diferencia entre ver el punto de entrada y ver toda la trayectoria del ataque.
• MDR (Managed Detection and Response): el mismo stack tecnológico, pero gestionado por un equipo externo de analistas 24/7. La opción para organizaciones que necesitan capacidades de SOC sin el costo de construirlo internamente.

Por qué el antivirus murió y nadie le avisó a las pymes

En 2022, el grupo Lapsus$ comprometió en pocas semanas los endpoints de empleados de Samsung, Nvidia, Microsoft y Uber, no con exploits de zero-day ni con malware sofisticado. Con ingeniería social, credenciales compradas en Telegram y acceso remoto a endpoints mal configurados. En el caso de Uber, un contratista cuyo teléfono recibió solicitudes de MFA repetidas hasta que, agotado, aprobó una. Desde ese endpoint, los atacantes escalaron hasta infraestructura crítica de la empresa.

El antivirus no habría detectado nada. No había malware en el sentido clásico. Había un humano cansado y un endpoint sin políticas de comportamiento que alertaran sobre el acceso anómalo.

Este es el patrón que convierte a los endpoints en el vector favorito de los grupos de amenazas avanzadas. Los atacantes no rompen la pared: llaman a la puerta correcta. En Latinoamérica, donde el phishing en español ha ganado una sofisticación alarmante y el spear phishing dirigido a ejecutivos de pymes es una industria por sí sola, el riesgo es directamente proporcional a la falta de defensa activa en cada dispositivo.

Los ataques a endpoints van mucho más allá del malware ejecutable. El LOTL (Living off the Land) usa herramientas legítimas del sistema operativo, como PowerShell o WMI, para ejecutar código malicioso sin dejar rastros en ninguna base de firmas. El ransomware moderno primero exfiltra datos, luego cifra. Y los dispositivos IoT conectados a la red corporativa, desde cámaras de seguridad hasta sensores industriales, amplían la superficie de ataque hacia endpoints que nunca fueron diseñados con seguridad en mente. La gestión de ese riesgo específico la cubrimos en nuestra guía de seguridad para entornos IoT y OT.

Construir la defensa sin convertir el endpoint en una jaula

La protección de endpoints efectiva equilibra una tensión que los equipos de TI conocen bien: seguridad máxima versus productividad real. Un endpoint tan restringido que el empleado no puede trabajar con fluidez genera su propio riesgo: los usuarios buscan la vuelta, instalan herramientas no autorizadas o trabajan desde dispositivos personales sin ningún control. Hay organizaciones que resuelven el problema de seguridad de los endpoints creando un problema de operación más difícil de medir.

El principio de mínimo privilegio es el punto de partida. Cada usuario accede solo a lo que necesita para su rol. Las cuentas de administrador local desaparecen de los endpoints de usuarios estándar. Los dispositivos extraíbles se controlan por política, no por confianza. Y la telemetría del comportamiento del endpoint permite detectar cuando un proceso legítimo empieza a actuar de una forma que no corresponde a su función normal, el indicador más temprano de un ataque LOTL en curso.

El cifrado de disco completo cierra la brecha del dispositivo físico perdido o robado. Un portátil cifrado que alguien olvidó en el taxi de regreso del aeropuerto es un inconveniente operativo. Sin cifrado, es una brecha de datos con consecuencias regulatorias.

Los parches automatizados cierran las puertas que los CVEs abren. El tiempo entre la publicación de una vulnerabilidad crítica y su explotación activa se ha comprimido a días, a veces horas. Las organizaciones que parchean en ciclos mensuales operan con una deuda de exposición que ningún seguro cibernético cubre adecuadamente.

Y el MFA en cada punto de acceso convierte una contraseña comprometida en un dato inútil para el atacante. Que un empleado use la misma contraseña en cuatro servicios distintos es casi una certeza estadística. Que esa contraseña esté a la venta en la dark web después de cualquier brecha de servicio de terceros, también.

Para las organizaciones que necesitan protección activa de endpoints con monitoreo 24/7 sin construir un SOC interno, las soluciones de ciberseguridad gestionada para endpoints consolidan EPP, EDR y respuesta gestionada en una plataforma unificada, con detección de ransomware, malware y phishing en tiempo real y sin la carga operativa de administrar el stack completo.

LATAM: el antivirus como última y única línea de defensa

El diagnóstico en América Latina es conocido y molesto de repetir porque no cambia: las pymes siguen viendo el antivirus como la solución completa de seguridad para sus endpoints. Los municipios, clínicas y escuelas, que manejan datos sensibles de miles de ciudadanos, operan con hardware sin parches y software sin licencia activa. Los grandes bancos tienen EDR corporativo. El proveedor externo que conecta su laptop a la red del banco para mantenimiento, quizás no tenga nada.

El ataque más costoso no siempre llega por el endpoint más obvio. Llega por el más descuidado. Y en ecosistemas donde los terceros, contratistas y proveedores tienen acceso directo a la red corporativa sin que nadie haya auditado la seguridad de sus dispositivos, la protección de endpoints deja de ser un problema interno para convertirse en un problema de cadena de suministro digital que ninguna política interna resuelve sola.

El próximo ransomware que paralice una empresa mediana en Colombia o México no va a necesitar un exploit sofisticado. Solo va a necesitar que el endpoint del proveedor de mantenimiento no tenga EDR activo y que la contraseña del acceso remoto no haya cambiado desde 2022.

¿Cuántos dispositivos con acceso a la red de tu empresa tienen un nivel de protección que tú hayas verificado personalmente, y cuántos simplemente asumes que están cubiertos?