Estimados amigos de Inseguros !!!
Cerramos el Tema 9 de los Controles CIS con el 9.7, que va de algo muy concreto: antimalware en el correo. Después del 9.6 (control de tipos de adjunto y extensiones), aquí ya no se habla solo del “fichero permitido o no”, sino de detectar malware por comportamiento, que es donde hoy se esconde lo peligroso.
En la práctica, muchos ataques no te entran por un .exe directo. Entran por formatos que “parecen normales” y que luego ejecutan lógica: HTA, scripts embebidos, HTML con JavaScript, ficheros que se montan en varias partes, o adjuntos que activan acciones en cadena. Ahí la firma clásica ayuda, pero no es suficiente. Por eso el antimalware serio combina firmas, heurística, reputación, y sobre todo análisis dinámico.
El análisis dinámico es la idea de siempre, pero aplicada bien: el adjunto o el contenido se mete en una sandbox, se ejecuta y se observa. No interesa tanto “qué dice que es” el fichero, sino qué hace cuando corre: llamadas a red, procesos hijos, escritura en disco, intentos de persistencia, inyección, o comportamiento de descarga y ensamblado. Esa parte del “merge/join” de varios ficheros y la reconstrucción en endpoint es exactamente el tipo de patrón que aparece una y otra vez en campañas avanzadas.
En paralelo, el correo moderno también juega con protección de URLs: reescritura, verificación en el momento del click, reputación dinámica y análisis cuando el enlace se activa. Muchas campañas usan URLs “buenas” que luego redirigen o cambian de contenido, así que el antimalware del correo no es solo “adjuntos”, también es cadena completa: enlace → navegación → descarga → ejecución.
Este control 9.7 también se entiende mejor cuando se mira en capas. El antimalware en correo reduce muchísimo la entrada, pero cuando algo se cuela, el siguiente muro es el endpoint: EDR, reglas de comportamiento, bloqueo de técnicas y telemetría. La mayoría de EDR modernos ya traen mucha “chicha” precisamente para estas cadenas: detección por comportamiento, bloqueo de acciones anómalas y trazabilidad. La diferencia real está en tenerlo bien configurado y en operarlo.
En entornos corporativos, esto conecta directamente con dos frentes que se trabajan continuamente en proyectos de seguridad: seguridad del correo corporativo (protección de adjuntos y enlaces, sandboxing, anti-phishing) y monitorización y respuesta (porque cada bloqueo, cuarentena o detonación en sandbox deja señales que se tienen que explotar). Cuando se quiere bajar esto a tierra de forma profesional, se complementa con formación práctica de SOC y SIEM, por ejemplo en Microsoft Sentinel y operación de incidentes en empresas: www.seguridadsi.com.
Y como cierre del Tema 9: el objetivo no es “tener un antimalware instalado”, el objetivo es tener una cadena completa que funcione en el mundo real. Correo con análisis estático y dinámico, URLs con verificación, endpoint con EDR bien afinado y, si se quiere madurez, telemetría que alimente detección y respuesta.
En www.seguridadsi.com están los cursos de ciberseguridad online para profesionales, orientados a entornos reales: seguridad Microsoft, protección de correo corporativo, EDR, SOC y respuesta ante incidentes.
Gracias por leerme !!!
