Blog de WatchGuard

Qué es la protección anti-tampering y cómo puede ayudar en la ciberseguridad de las compañías

Los cibercriminales están utilizando cada vez más nuevas estrategias de evasión en sus ataques con el fin de desactivar o modificar los controles de seguridad de las empresas. 

Este año, se ha detectado un aumento significativo en el uso de malware "Hunter-killer" que busca identificar y eliminar las defensas empresariales, como firewalls, antivirus y tecnologías EDR de última generación. De hecho, un informe reciente revela un incremento del 333% en este tipo de malware. Esta tendencia demuestra la necesidad de contar con soluciones de ciberseguridad más robustas que incorporen capacidades "anti-tampering" (anti-manipulación).

¿En qué consiste la protección anti-tampering?

Los intrusos, tras conseguir acceder a un sistema o dispositivo objetivo, buscan deshabilitar o desinstalar las medidas de seguridad y así poder avanzar a la siguiente etapa de su ataque sin ser detectados. Para ello, se pueden utilizar diferentes métodos como el malware “Hunter-killer”, anteriormente citado. Este tipo de malware es difícil de detectar si el ataque ha modificado los controles de seguridad, ya que no todas las herramientas de seguridad monitorizan constantemente la actividad en el endpoint o están configuradas para alertar ante cualquier alteración en la protección. 

Aquí es donde la protección anti-tampering juega un papel clave, al habilitar una serie de tecnologías que impiden que el atacante modifique la seguridad del endpoint y tome el control del equipo. Disponer de funcionalidades anti-tampering evita cambios en la configuración no autorizados en la solución de seguridad, impidiendo la caída o desinstalación de la protección. Los principales beneficios de este conjunto de tecnologías son: 

  • Mayor seguridad: reduce el riesgo de que los atacantes puedan inhabilitar o alterar las medidas de seguridad, permitiendo así el acceso no autorizado al dispositivo.
  • Respuesta más rápida a las amenazas: acorta el tiempo de detección y aumenta la eficiencia en la respuesta a los ataques, mejorando la seguridad general.
  • Menor tiempo de inactividad: disminuye el tiempo de inactividad del dispositivo tras un ataque o infección de malware.

¿Cómo fortalecer la seguridad de tus dispositivos con tecnologías anti-tampering?

Para evitar que se produzcan ataques que no se detectarían de otra manera y hacer frente a la creciente tendencia en el uso de este tipo de ataques, es necesario implementar una estrategia de seguridad integral que combine diferentes medidas de control. Entre ellas, contar con una solución de seguridad endpoint realmente eficaz que incluya capacidades anti-tampering. Todas las soluciones WatchGuard Endpoint Security están basadas en una arquitectura robusta que incluyen tecnologías a prueba de manipulación propias para proteger tus dispositivos, datos e infraestructura. Así, utiliza la autenticación de dos factores (2FA) para proteger el acceso a la consola y el inicio en modo seguro de Windows, limitando el acceso físico a usuarios autorizados. De esta forma, se evitan modificaciones no deseadas. Además, los sistemas basados en versiones Windows 10 o posteriores, incluyen la tecnología ELAM (Early Launch Anti-Malware) que añade una capa de protección adicional contra el malware desde el arranque del sistema. En este sentido, ofrece: 

  • Seguridad anti-tampering: 

    Muchos ataques de ransomware intentarán congelar la protección instalada en endpoint antes de intentar propagarse por la red y cifrar archivos en toda la organización. Por ello, es fundamental incluir protección anti-manipulaciones contra ciberdelincuentes que intentan detener o suspender servicios y procesos que puedan afectar al estado de la seguridad de los sistemas. 

  • Protección mediante 2FA para la consola local y la desinstalación en el dispositivo: 

    Esto limita el acceso únicamente a determinados usuarios, garantizando que solo aquellos con las credenciales adecuadas puedan acceder a la consola local, o realizar acciones como cambios en la configuración o desinstalación de la protección.

  • Seguridad en el modo de arranque seguro para Windows con acceso a la red: 

    El modo de arranque seguro de Windows ofrece un entorno limitado para ejecutar tareas administrativas y de diagnóstico en el sistema operativo. Para prevenir el uso de este entorno por parte de cibercriminales y que puedan avanzar en sus ataques, nuestra protección se encuentra activa al iniciar sistemas Windows en modo seguro.

Si quieres saber más sobre cómo proteger tus dispositivos contra los principales tipos de malware, no dejes de leer los siguientes artículos de nuestro blog: