En el panorama de amenazas actual, los atacantes atacan cada vez más las mismas herramientas diseñadas para detenerlos. Como resultado, las organizaciones deben repensar la seguridad de los endpoints desde cero. Un reciente encuesta destaca que muchas organizaciones dependen de soluciones de seguridad puntuales dispares que, sin darse cuenta, amplían la superficie de ataque al introducir nuevas vulnerabilidades. También revela una creciente brecha de confianza: más de la mitad de los profesionales de seguridad informan estar insatisfechos con sus defensas de endpoints, incluso cuando el 61% de las organizaciones experimentaron una filtración de datos de terceros en los últimos 12 meses.
Esta desconexión está impulsando la demanda de un enfoque más cohesivo y resiliente. Los líderes de seguridad exigen soluciones integradas que reduzcan la complejidad en lugar de amplificarla. Lenovo, en asociación con SentinelOne y Absolute Security, está abordando este cambio con un modelo unificado que combina defensa contra amenazas impulsada por IA con persistencia integrada en firmware, garantizando que incluso cuando los agentes de seguridad sean atacados o deshabilitados, la protección se restablezca automáticamente y se aplique continuamente.
Los defensores se han convertido en objetivo.
Durante años, las estrategias de seguridad de endpoints se han centrado principalmente en la detección: implementar antivirus, mejorar la detección y respuesta de endpoints (EDR) y asumir que esas defensas permanecerían operativas una vez instaladas. Esa suposición ya no se sostiene.
Los adversarios de hoy no sólo intentan evadir la detección; están apuntando deliberadamente a la propia infraestructura de seguridad. Las campañas de ataque modernas incluyen cada vez más técnicas diseñadas para deshabilitar o eludir las plataformas de protección de terminales (EPP), como detener agentes, explotar debilidades de configuración y abusar de herramientas legítimas del sistema para integrarse en la actividad normal.
Esta evolución refleja una comprensión simple pero poderosa: a menudo es más fácil neutralizar la herramienta de seguridad que evadirla. Una vez que se desactiva un agente de punto final, la visibilidad colapsa, las alertas cesan y los atacantes obtienen libertad de movimiento.
Esta es la esencia de manipulación del agente de punto final—el esfuerzo deliberado para deshabilitar, corromper o eliminar el software responsable de detectar y responder a las amenazas. Y se ha convertido en uno de los puntos de entrada más eficaces para los ciberataques modernos.
Cómo se ven comprometidos los agentes de punto final
Las técnicas utilizadas para manipular los agentes de endpoint varían, pero comparten un objetivo común: cegar el sistema antes de ejecutar el ataque principal. En un mundo híbrido acelerado por la IA, el punto final es la superficie de ataque. Si los puntos finales se ven comprometidos, la gobernanza de la IA, la confianza cero y los controles de la nube se ven socavados.
La mayoría de los ataques comienzan con escalada de privilegiosa menudo logrado mediante phishing, robo de credenciales o explotación de vulnerabilidades no parcheadas. Con acceso administrativo, los atacantes pueden interactuar con herramientas de seguridad tal como lo harían los operadores de TI: deteniendo servicios, desinstalando agentes o alterando configuraciones.
Otra táctica común es “vivir de la tierra”donde los adversarios aprovechan herramientas legítimas como PowerShell, WMI o utilidades nativas del sistema para desactivar los controles de seguridad. Debido a que estas herramientas son confiables y ampliamente utilizadas, la actividad maliciosa puede parecer rutinaria, lo que complica la detección.
Las técnicas más avanzadas incluyen abuso del modo segurodonde los sistemas se reinician en estados que impiden que los agentes de seguridad se carguen y Ataques de tipo «traiga su propio controlador vulnerable» (BYOVD)que explotan controladores firmados pero vulnerables para obtener acceso a nivel de kernel y finalizar las protecciones.
El fracaso de la seguridad “Configurada y Asumida”
Atacar los sistemas defensivos expone una falla más profunda en los modelos de seguridad tradicionales: la suposición de que una vez que se implementa la protección, sigue siendo efectiva.
En entornos definidos por el trabajo remoto, puntos finales distribuidos y cambios constantes, esa suposición se rompe. Los dispositivos se desplazan a través de redes, se desconectan, se les cambia la imagen o no cumplen con los requisitos. Los agentes van a la deriva, fallan o desaparecen por completo.
Esto crea una brecha cada vez mayor entre la seguridad “configurada y asumida” y lo que requieren los entornos modernos: protección continuamente verificada y aplicada activamente.
El desafío ya no es solo detener las amenazas, sino garantizar que las herramientas diseñadas para detenerlas estén siempre presentes, siempre sean funcionales y capaces de recuperarse de un ataque.
Respuesta de Lenovo: seguridad y resiliencia unificadas para endpoints
Para enfrentar este desafío, Lenovo ha desarrollado un enfoque de punto final unificado que combina dos capacidades complementarias: ThinkShield XDR, impulsado por SentinelOne y Absolute Security.
Juntos forman un bucle continuo de detección-protección-recuperacióndiseñado para detener ataques y garantizar que la protección en sí no pueda desactivarse permanentemente.
Defensa impulsada por IA con SentinelOne
El núcleo de la solución de Lenovo es ThinkShield XDR, impulsado por SentinelOne. Esta plataforma unifica la prevención, detección, respuesta y recuperación en un único agente impulsado por IA que opera directamente en el endpoint.
A diferencia de las herramientas tradicionales que dependen de la conectividad en la nube o de la intervención humana, el agente de SentinelOne toma decisiones localmente, a la velocidad de la máquina. Puede detectar comportamientos maliciosos, bloquear ransomware en tiempo real y puede hacer que los sistemas vuelvan automáticamente a un estado correcto después de un ataque.
Este modelo autónomo reduce los tiempos de respuesta y alivia la presión sobre los equipos de seguridad sobrecargados. También garantiza que la protección siga siendo efectiva incluso cuando los dispositivos están fuera de línea o funcionando en entornos restringidos u hostiles.
Sin embargo, a pesar de lo poderosa que es esta capacidad, todavía opera en la capa del sistema operativo, lo que la convierte en un objetivo potencial para la manipulación.
Seguridad absoluta: resiliencia por debajo del sistema operativo
Aquí es donde Absolute Security añade una capa crítica de resiliencia. A diferencia de los agentes de software tradicionales, Absolute se integra directamente en el firmware del dispositivo en el punto de fabricación. Esto crea un plano de control anclado al hardware que persiste incluso si se borra el sistema operativo o se vuelve a crear una imagen del dispositivo.
Si un atacante desactiva o elimina el agente SentinelOne, Absolute detecta el cambio y lo reinstala automáticamente, sin intervención humana. Esta capacidad de autorreparación garantiza que los controles de seguridad se restablezcan continuamente, cerrando la ventana de exposición. Al hacerlo, transforma la derivación del EPP de una falla catastrófica a una evento no persistente y autocorregible.
Una arquitectura de seguridad autorreparable
Juntos, SentinelOne y Absolute, ofrecidos a través del portafolio ThinkShield de Lenovo, crean una arquitectura en capas en la que cada componente refuerza al otro.
- SentinelOne ofrece detección de amenazas, respuesta y recuperación automatizada en tiempo real.
- Absolute garantiza que esas capacidades permanezcan presentes y operativas, incluso bajo ataque directo.
Combinados, entregan:
- Protección del firmware a la nubeanclando la seguridad debajo del sistema operativo y al mismo tiempo ampliando la visibilidad entre endpoints y entornos de nube.
- Controles de autorreparaciónreparando o reinstalando automáticamente aplicaciones de seguridad críticas
- Validación continuaasegurando que las protecciones estén siempre presentes y funcionando
- Recuperación más rápidarestaurando los dispositivos a un estado confiable con una interrupción mínima
El resultado es una mayor resiliencia de los endpoints, menos brechas de seguridad y una protección siempre activa.
De la detección a la durabilidad
La implicación más amplia es un cambio fundamental en la forma en que las organizaciones deben pensar sobre la seguridad.
La detección por sí sola ya no es suficiente. Los controles de seguridad deben ser durable—capaces de resistir ataques, recuperarse automáticamente y demostrar continuamente su eficacia.
El marco ThinkShield de Lenovo refleja esta evolución, incorporando seguridad en todo el ciclo de vida del dispositivo, desde la integridad de la cadena de suministro hasta la persistencia a nivel de firmware y la protección de terminales basada en IA.
El futuro de la seguridad de los terminales
A medida que los atacantes continúan evolucionando, apuntando tanto a los sistemas como a las propias defensas, la resiliencia se está convirtiendo en el requisito definitorio de la seguridad de los endpoints modernos.
La pregunta ya no es si los agentes endpoint serán atacados. Se trata de si sobrevivirán.
Al combinar la defensa autónoma impulsada por IA de SentinelOne con la persistencia incorporada en el firmware de Absolute, Lenovo presenta un caso convincente para un nuevo modelo, uno en el que la seguridad se implementa, se verifica continuamente, se repara automáticamente y es fundamentalmente más difícil de romper.
En un panorama donde el defensor se ha convertido en el objetivo, ese cambio puede marcar la diferencia entre visibilidad y silencio, entre contención y compromiso.
Fuente