Blog de WatchGuard

Go to 

¿Qué ve tu firewall que tu EDR no detecta? Lecciones de ciberataques recientes

img_blog_Webinar_SOC_MDR_AI.webp

El grupo APT conocido como Librarian Ghouls ha conseguido infiltrarse en redes de universidades técnicas y empresas industriales en Rusia, Bielorrusia y Kazajistán sin levantar sospechas. ¿Cómo lo hicieron? Aprovechando accesos legítimos y moviéndose lateralmente por redes internas, aprovechando las credenciales legítimas de acceso, sin generar alertas.

El suceso, descubierto por una investigación reciente, pone en relieve una amenaza silenciosa pero eficaz. Y es que, a diferencia de otros grupos de amenazas persistentes avanzadas, Librarian Ghouls no utiliza malware personalizado, sino software legítimo de terceros. Al combinar herramientas de acceso remoto, archivadores o utilidades SMTP, crean campañas de phishing, con un lenguaje casi perfecto incluyendo archivos protegidos por contraseña, hasta la implementación de malware polimórfico que cambia sobre la marcha. De esta manera, consiguen evitar los controles tradicionales y dificultar la detección.

Este caso no es aislado. Refleja un problema cada vez más común, donde si las soluciones de ciberseguridad, como EDR, firewalls o herramientas de autenticación, trabajan de forma aislada, las amenazas pueden desplazarse por el entorno sin ser vistas. Por ejemplo, una tecnología EDR puede no detectar el uso de herramientas legítimas si no presentan comportamientos abiertamente maliciosos. De la misma forma, el firewall puede registrar conexiones anómalas, pero no tiene contexto sobre quién las origina ni desde qué dispositivo; y los sistemas de autenticación pueden registrar múltiples accesos válidos sin identificar si son parte de una actividad lateral sospechosa. 

Para muchas empresas, esto se traduce en una falsa sensación de seguridad donde tienen múltiples soluciones desplegadas, cada una generando alertas, pero sin una correlación efectiva que permita entender cuándo esas señales, juntas, indican una intrusión activa. Como consecuencia, se ven afectada por ataques complejos que pueden mantenerse invisibles durante semanas o meses, causando daños o filtrando información sin ser detectados.

¿Cómo protegerse frente a amenazas que evitan ser detectadas? 

Las empresas necesitan una visión unificada del entorno y la capacidad de responder en tiempo real. Aquí es donde un servicio de detección y respuesta gestionadas (MDR) marca la diferencia, al correlacionar señales dispersas y activar respuestas automatizadas y coordinadas. Un enfoque MDR permite:

  • Encontrar amenazas reales antes de que escalen: cuando un firewall bloquea una conexión inusual o un EDR detecta un comportamiento anómalo, cada uno por separado puede generar alertas, pero no siempre se relacionan entre sí. Un servicio MDR combina IA y automatización para conectar esas señales y detectar verdaderas amenazas en minutos.
  • Responder con rapidez y precisión: una vez que se identifica una amenaza real, el tiempo de respuesta es crítico. MDR acelera las investigaciones gracias a su visión global de los eventos a través de capas de seguridad desplegadas en red, endpoint e identidad. De esta manera, se reduce el tiempo de investigación, lo que se traduce en menos interrupciones, continuidad del negocio y menor impacto reputacional.
  • Reducir el ruido y mejorar el enfoque: la IA filtra falsos positivos, prioriza las alertas relevantes y añade el contexto necesario para tomar decisiones informadas. Esto permite a los equipos de seguridad centrarse en lo que realmente importa, reduciendo la fatiga por exceso de alertas y aumentando la eficacia operativa. Una ventaja especialmente valiosa en entornos con recursos limitados, donde cada segundo cuenta y no hay margen para distracciones.

El caso de Librarian Ghouls demuestra que los atacantes pueden burlar las defensas tradicionales si estas no están coordinadas. Mientras el firewall bloquea conexiones externas, el EDR detecta actividad sospechosa en el endpoint y la herramienta de autenticación bloquea inicios de sesión anómalos, la clave está en unir esas piezas para ver el panorama completo.

Es como encontrar una aguja en un pajar y, al integrar capacidades de detección y respuesta inteligentes, el servicio MDR aborda este tipo de amenazas desde una perspectiva integrada, combinando visibilidad, análisis y acción en tiempo real.   Al correlacionar ataques dispersos, filtrar falsos positivos y ofrecer una visión unificada de toda la infraestructura, aporta el contexto necesario para que el EDR identifique anomalías, incluso con herramientas legítimas, permite que el firewall interprete mejor las conexiones, y ayuda a las soluciones de identidad con accesos sospechosos, potenciando así el valor de cada tecnología, mientras que el equipo se centra en lo que realmente importa.

Si quieres conocer más sobre cómo mejorar tu seguridad con un servicio de detección y respuesta gestionada (MDR) inteligente, visita los siguientes artículos del blog:

Archivado bajo: Detección y respuesta, Dispositivos Endpoint, MSP, Security Operations Center (SOC), WatchGuard MDR
Blog Inicio

Posts relacionados

summer- MSP- challenges- AI and Data
Artículo

Verano, IA y Amenazas Basadas en Identidad: Una Llamada Estratégica de Atención para los MSPs

Artículo

Verano, IA y Amenazas Basadas en Identidad: Una Llamada Estratégica de Atención para los MSPs

Como CSOs, sabemos que los cibercriminales no se toman vacaciones en verano. Al contrario, la disminución estacional de personal y vigilancia crea las condiciones ideales para ataques basados en identidad, especialmente para los MSP que gestionan múltiples entornos de clientes. Ahora más que nunca…

Leer Artículo
Blog Inicio