La sofisticación de las ciberamenazas modernas exige un cambio de paradigma en la seguridad informática. Ya no basta con detectar y bloquear malware; la nueva batalla se libra en el terreno de las herramientas legítimas, mal utilizadas por actores maliciosos. Imaginen un ladrón que entra a una casa no forzando la cerradura, sino usando una copia de la llave. Eso es precisamente lo que hacen los grupos APT al emplear software de administración remota (RMM), utilidades de red y scripts del sistema para infiltrarse en las organizaciones. Herramientas como AnyDesk, TeamViewer o ConnectWise, diseñadas para facilitar la gestión de TI, se convierten en armas peligrosas en manos de cibercriminales.

El Reporte de Inteligencia de Red Canary 2024 lo confirma: las plataformas RMM son el nuevo caballo de Troya de los atacantes, permitiéndoles moverse lateralmente dentro de la red, exfiltrar datos sensibles y mantener una persistencia sigilosa, todo ello bajo el radar de los sistemas de seguridad tradicionales. Antivirus y EDRs, enfocados en la detección de firmas de malware conocidas, se vuelven ineficaces ante esta nueva táctica.

La clave para contrarrestar esta amenaza reside en la visibilidad y el control granular del software que se ejecuta en nuestros sistemas. Debemos ser capaces de identificar no solo qué aplicaciones están presentes, sino también cómo se utilizan. Para ello, es crucial implementar políticas proactivas de gestión de endpoints que clasifiquen las herramientas según su nivel de riesgo y funcionalidad.

Pensemos en un sistema de etiquetado nutricional para software: de un vistazo, podemos identificar las herramientas que representan un alto riesgo (como Mimikatz para el robo de credenciales o Cobalt Strike para ataques ofensivos), aquellas que pueden ser utilizadas para evadir las defensas (como utilitarios que desactivan el antivirus) y las que permiten el descubrimiento de vulnerabilidades (como Nmap para el escaneo de red).

Este enfoque, basado en la categorización y el control, permite a las organizaciones construir una defensa en profundidad. El primer paso es el escaneo continuo del inventario de software, para identificar la presencia de herramientas no autorizadas o potencialmente peligrosas. A continuación, se requiere un proceso de validación en el que los equipos técnicos y operativos determinan qué software es legítimo y cuál debe ser eliminado o restringido.

Una vez establecidas las políticas, se pueden implementar medidas correctivas automatizadas, como la desinstalación remota de software no autorizado, la ejecución de scripts personalizados para bloquear comportamientos sospechosos y la integración con soluciones EDR para reforzar la detección de anomalías.

Este ciclo iterativo de escaneo, validación y corrección es fundamental para reducir la superficie de ataque, mantener la visibilidad sobre el entorno y garantizar el cumplimiento de las políticas de seguridad. En definitiva, se trata de transformar la información en acción, anticipándonos a las amenazas y protegiendo nuestras infraestructuras desde el núcleo. La seguridad proactiva, basada en el conocimiento y la automatización, es la única respuesta eficaz ante el panorama actual de ciberamenazas. No esperemos a que el ladrón entre en casa; cambiemos la cerradura antes de que sea demasiado tarde.