Microsoft Defender, el antivirus de Windows, es una de las herramientas de seguridad más utilizadas. Con el paso del tiempo, ha ido mejorando con el objetivo de que el sistema operativo sea más seguro y evitar así ataques muy variados. En este artículo vamos a hablar de una nueva funcionalidad. Se trata de la capacidad de detectar y aislar un endpoint o punto final conectado que pueda estar comprometido.
El objetivo de esta nueva función es aislar automáticamente estos puntos finales que detecte que están comprometidos. Esto frustraría intentos de los piratas informáticos por acceder a la red. Por el momento es una función que está disponible en versión preliminar, pero se espera que llegue pronto de forma definitiva.
Nueva función de Microsoft Defender
Cuando detecta que hay puntos finales comprometidos, esta nueva función los aísla automáticamente y los desconecta de la red. Esto reduce en gran medida el riesgo de que haya un mayor impacto. No obstante, mantiene la conectividad con el servicio de Microsoft Defender para Endpoint, que continuará supervisando el dispositivo.
Con este aislamiento se busca reducir el riesgo de un mayor impacto en una organización, prevenir la filtración de información o la propagación de ransomware. Es una medida importante para mejorar la protección frente a algunas de las amenazas más graves que pueden afectar.
Desde Microsoft han explicado que los operadores de seguridad pueden liberar los dispositivos del aislamiento en cualquier momento, una vez se complete la investigación sobre ese posible incidente y mitigar, así, los riesgos. Podrán seleccionarlo, dentro del inventario de dispositivos, y seleccionar la opción de liberar del aislamiento.
El objetivo principal de esta función es evitar el movimiento lateral. En caso de que un atacante lograra entrar en un ordenador, por ejemplo, y nadie lo detuviera, podría moverse por toda la empresa y llegar a comprometer otros dispositivos. Lo que permite esta función es romper ese movimiento lateral y evitar que los atacantes puedan acceder a otros equipos.
Un antivirus no es la única solución
Aunque es fundamental tener un buen antivirus instalado, ya sea Microsoft Defender o cualquier otro, hay que tener en cuenta que no es la única solución para estar protegido en la red y evitar problemas. Por ejemplo, es clave que tengas tus dispositivos correctamente actualizados. Esto evitará que haya vulnerabilidades y que los piratas informáticos puedan explotarlas para robar datos personales, contraseñas o tomar el control de los equipos.
También es imprescindible que siempre mantengas el sentido común. Asegúrate de no cometer errores, como podría ser hacer clic en un enlace fraudulento, descargar un archivo peligroso o instalar programas no oficiales. Todo esto puede dar facilidades a los cibercriminales y podrían llegar a comprometer tu seguridad y privacidad.
En definitiva, Microsoft Defender tiene una nueva función que permite aislar automáticamente un endpoint o punto final que pueda estar comprometido. Esto permite romper el acceso a otros dispositivos de la misma red y evitar así que puedan infectarlos. En cualquier caso, es clave que siempre mantengas otras medidas de protección y no des facilidades.
Preguntas frecuentes
¿En qué consiste exactamente la nueva función de Microsoft Defender?
Aísla de forma automática y sin intervención manual cualquier endpoint (dispositivo) que detecte como comprometido, desconectándolo de la red para impedir que el atacante se mueva lateralmente a otros equipos. El dispositivo sigue siendo supervisado por Microsoft Defender para Endpoint.
¿Qué ventajas aporta el aislamiento automático frente a hacerlo manualmente?
La respuesta inmediata sin esperar a que un administrador intervenga reduce drásticamente la ventana de oportunidad del atacante. Así se evita la propagación de ransomware, la filtración de datos y el movimiento lateral antes de que se complete el ataque.
¿El aislamiento detiene por completo el trabajo del usuario afectado?
El dispositivo queda desconectado de la red corporativa, por lo que el usuario no puede acceder a recursos compartidos, pero mantiene la conectividad con el servicio de Defender para que el equipo de seguridad pueda analizar la amenaza. Una vez investigado, se puede liberar del aislamiento manualmente.
