Microsoft Defender, el software antivirus de Windows, se ha consolidado como una de las herramientas de seguridad más empleadas. A lo largo del tiempo, ha evolucionado con el fin de reforzar la seguridad del sistema operativo y prevenir una variedad de ataques. En este artículo, abordaremos una nueva característica: la capacidad de identificar y aislar un endpoint o dispositivo conectado que pueda estar en riesgo.
El propósito de esta nueva función es aislar automáticamente aquellos puntos finales que se detecten como comprometidos. De esta manera, se dificultan los intentos de los hackers por acceder a la red. Actualmente, esta función está en una fase preliminar, pero se anticipa que se lanzará de forma definitiva en breve.
Nueva característica de Microsoft Defender
Cuando se identifica que hay dispositivos en riesgo, esta nueva función los aísla automáticamente y los desconecta de la red. Esto minimiza considerablemente el riesgo de un impacto mayor. Sin embargo, mantiene la conexión con el servicio de Microsoft Defender para Endpoint, que continuará monitorizando el dispositivo.
Con este aislamiento, se busca reducir el riesgo de un impacto severo en una organización, evitar la fuga de información o la propagación de ransomware. Esta es una medida clave para fortalecer la protección contra algunas de las amenazas más serias que pueden surgir.
Desde Microsoft han indicado que los operadores de seguridad pueden liberar los dispositivos del aislamiento en cualquier momento, después de finalizar la investigación sobre el incidente potencial, lo que ayuda a mitigar los riesgos. Podrán seleccionarlo del inventario de dispositivos y optar por liberar del aislamiento.
El objetivo principal de esta función es impedir el movimiento lateral. Si un atacante consigue acceder a un ordenador, por ejemplo, y no se le detiene, podría desplazarse por toda la empresa y comprometer otros dispositivos. Esta función permite interrumpir ese movimiento lateral y prevenir que los atacantes accedan a otros equipos.
Un antivirus no es la única solución
Aunque es esencial contar con un buen antivirus, ya sea Microsoft Defender o cualquier otro, es importante recordar que no es la única medida de protección para estar seguro en la red y evitar contratiempos. Por ejemplo, es fundamental mantener tus dispositivos actualizados. Esto previene vulnerabilidades que los hackers podrían aprovechar para robar información personal, contraseñas o tomar control de los equipos.
Además, es crucial conservar siempre el sentido común. Asegúrate de no cometer errores, como hacer clic en enlaces sospechosos, descargar archivos peligrosos o instalar software no oficial. Todo esto puede facilitar el trabajo a los cibercriminales, comprometiendo tu seguridad y privacidad.
En resumen, Microsoft Defender ha incorporado una nueva función que permite aislar automáticamente un endpoint o dispositivo que pueda estar comprometido. Esto interrumpe el acceso a otros dispositivos en la misma red, evitando así que puedan ser infectados. En cualquier caso, es fundamental que siempre mantengas otras medidas de protección y no facilites el trabajo a los atacantes.
Preguntas frecuentes
¿En qué consiste exactamente la nueva función de Microsoft Defender?
Aísla automáticamente y sin intervención manual cualquier endpoint (dispositivo) que detecte como comprometido, desconectándolo de la red para evitar que el atacante se mueva lateralmente a otros equipos. El dispositivo sigue siendo monitoreado por Microsoft Defender para Endpoint.
¿Qué ventajas aporta el aislamiento automático frente a hacerlo manualmente?
La respuesta inmediata sin esperar la intervención de un administrador reduce drásticamente la ventana de oportunidad del atacante, evitando así la propagación de ransomware, la fuga de datos y el movimiento lateral antes de que se complete el ataque.
¿El aislamiento detiene por completo el trabajo del usuario afectado?
El dispositivo queda desconectado de la red empresarial, por lo que el usuario no puede acceder a recursos compartidos, pero mantiene la conectividad con el servicio de Defender para que el equipo de seguridad pueda analizar la amenaza. Una vez investigado, se puede liberar del aislamiento manualmente.
