octubre 2025 - Consultora en Ciberseguridad y TI

31 octubre, 202531 octubre, 2025

Proteger los datos donde realmente viven: cómo Tanium ayuda a prevenir fugas desde el endpoint

Escucha este artículo aquí:

Los datos ya no “viven” en el data center… viven en los endpoints

En teoría, los datos importantes de la empresa están en sistemas controlados, cifrados y auditados. En la práctica, sabemos que no es así.

Tu información sensible —facturación, propiedad intelectual, datos personales de clientes, credenciales de acceso, reportes internos— está en las laptops del equipo directivo, en las estaciones de trabajo de ingeniería, en el endpoint del analista que hoy está trabajando desde su casa en otra ciudad. Ahí es donde se consulta, se copia, se descarga, se imprime, se comparte.

Y ahí es donde más se pierde.

El robo o fuga de información ya no es un incidente raro. A nivel global, casi una de cada tres organizaciones reportó pérdida de datos en el último año, frente a una de cada seis el año anterior. Eso significa algo muy claro: la ventana de exposición está creciendo, y rápido.

Por eso hoy hablar de prevención de fuga de datos en endpoints (endpoint DLP) ya no es opcional ni algo que “le toca a compliance”. Es parte directa de la continuidad del negocio.

En Nova lo vemos todos los días: si no tienes control en el endpoint, no tienes control real.

Qué es endpoint DLP (y por qué no es lo mismo que “poner más antivirus”)

Cuando hablamos de endpoint DLP nos referimos a la capacidad de evitar que información sensible salga de un dispositivo sin autorización, de forma accidental o maliciosa.

No se trata solo de bloquear USBs o marcar archivos como “confidenciales”. Endpoint DLP observa lo que pasa con los datos en tres momentos clave:

Datos en reposo: lo que está guardado en la máquina (archivos locales, descargas, bases de datos locales).
Datos en movimiento: lo que se está enviando a otro lado (correo personal, nube no autorizada, mensajería, copia a un USB).
Datos en uso: lo que el usuario está viendo / manipulando en ese momento (copiar/pegar, imprimir, hacer captura de pantalla, exportar reportes).

La lógica es simple: si entiendes qué dato es sensible, con qué usuario está interactuando y hacia dónde intenta llevarlo, puedes detener una fuga antes de que se convierta en un incidente grave.

Esto es clave porque el punto más débil no siempre es un atacante externo sofisticado. Muchas veces es un colaborador bien intencionado haciendo algo rápido “para avanzar”, o alguien que ya no debería tener acceso… pero aún lo tiene.

Lo que estamos tratando de evitar realmente: el escenario de riesgo actual

Un equipo que no tiene control sobre lo que ocurre en los endpoints está expuesto a varios tipos de pérdida de datos al mismo tiempo:

Primero, la exfiltración directa. Es el caso clásico de alguien que copia información sensible a un USB o la sube a un servicio personal en la nube. Es el típico “me llevo esto para trabajarlo en casa”. Ese “esto” puede ser código, listas de clientes o reportes financieros sin anonimizar.

Segundo, el abuso de privilegios internos. Hablamos de accesos que se usan para algo que no corresponde: descargar información de clientes que no te toca ver, consultar un repositorio que no es parte de tu rol, sacar datos de forma silenciosa antes de cambiar de trabajo. Aquí el atacante puede ser interno… o alguien externo que ya comprometió esas credenciales.

Tercero, las fugas accidentales. Enviar un archivo sensible en un correo equivocado. Compartir un documento interno en un canal público de colaboración. Subir información personal identificable (PII) a una herramienta que no está aprobada. Nadie lo hace con mala intención, pero el riesgo legal y reputacional es el mismo.

Y cuarto, lo que casi nunca se detecta a tiempo: comportamiento inusual. Transferencias fuera de horario. Descargas masivas desde una sola máquina. Exportes repetidos de información regulada. Cargas de datos hacia dominios “raros”. Todo eso son banderas amarillas… si las ves. Si no las ves, pasan como “actividad normal”.

Endpoint DLP existe para que esas banderas se vean y se actúe antes de que sea tarde.

¿No basta con “ya tengo DLP”?

Depende qué entiendas por DLP.

Muchas empresas ya tienen controles en red (lo clásico: inspeccionar tráfico saliente, revisar adjuntos de correo, bloquear uploads hacia ciertos destinos). O tienen controles en nube (políticas en Microsoft 365, Google Workspace, etc.). Eso suma, pero no cubre todo.

¿Por qué? Porque hay tres realidades incómodas:

Mucha información nunca toca el perímetro de red. Vive localmente en la máquina y se mueve directo de endpoint a endpoint.
Mucha información sensible se genera en el endpoint, no en la nube. Reportes descargados, extractos exportados, capturas locales.
Los atacantes ya entendieron que el endpoint es el lugar más fácil para sacar datos sin hacer ruido.

Ahí es donde entra endpoint DLP: política aplicada en el dispositivo, en tiempo real, con contexto de usuario, archivo y acción.

Y aquí es donde hablamos de Tanium.

Dónde entra Tanium en todo esto

Importante decirlo sin rodeos: Tanium no es “una herramienta DLP pura”. Tanium no pretende reemplazar tu solución DLP dedicada. Lo que hace Tanium —y por eso lo usamos como pilar en muchas estrategias de riesgo— es habilitar algo que la mayoría de las herramientas DLP tradicionales no logran bien: visibilidad en tiempo real y capacidad de actuar al instante, a escala.

Te explico porque eso importa.

Para poder prevenir fuga de información necesitas tres cosas básicas:

Saber qué hay en cada endpoint.
Detectar cuando pasa algo que no debería pasar.
Corregirlo sin esperar una ventana de mantenimiento o un cambio manual.

La mayoría de las plataformas de protección de datos se rompen justo ahí. Ven algo raro, generan una alerta… y esa alerta se queda esperando a que alguien la lea.

Con Tanium, el flujo se acelera.

Visibilidad en vivo de cada endpoint

Tanium opera como una capa de gestión autónoma de endpoints (Autonomous Endpoint Management). Eso significa que la plataforma tiene inventario vivo de lo que hay en cada dispositivo: qué datos están ahí, qué software está corriendo, qué procesos están activos, qué puertos están abiertos, qué usuario está logueado.

No estamos hablando de un “reporte de ayer”. Estamos hablando de saber ahora mismo qué está pasando en miles de equipos, al mismo tiempo. Eso cambia completamente la conversación de riesgo.

Contexto de riesgo, no solo volumen de eventos

Cuando detectas que alguien está manipulando información sensible, lo que quieres no es solo “alertar”. Lo que quieres es saber qué tan crítico es ese endpoint, qué tan sensible es ese archivo y qué tan expuesto está ese usuario.

Tanium te da ese contexto de forma inmediata porque cruza postura de seguridad, nivel de criticidad del activo, software instalado, exposición conocida, vulnerabilidades abiertas, etc. Eso permite priorizar qué atender primero sin ahogarte en alertas.

Respuesta rápida (sin tickets eternos)

Aquí está la parte que más valoran los equipos de TI y seguridad: Tanium permite actuar. No solo ver.

Puedes aislar un endpoint, ajustar una política, bloquear una acción, deshabilitar temporalmente un proceso, revocar accesos… sin esperar a que alguien se conecte manualmente a ese equipo remoto. Eso le quita minutos (a veces horas) al tiempo de exposición.

Cuando hablamos de pérdida de datos, minutos importan.

Por qué esto le importa al CISO (y también al área legal)

Para seguridad: Tanium reduce el tiempo entre “alguien hizo algo que no debía” y “lo contuvimos”. Eso es oro cuando hablamos de fuga de datos sensibles o incidentes de cumplimiento.

Para cumplimiento: Tanium ayuda a demostrar control. Regulaciones de privacidad y marcos de referencia como NIST CSF 2.0 ya no te preguntan solo si tienes políticas. Te preguntan si puedes probar que estás monitoreando, que sabes qué endpoints están en riesgo, que puedes responder a incidentes de datos con rapidez y consistencia.

Para el negocio: menos improvisación. Menos sustos de “alguien subió la base de clientes a su drive personal”. Menos pánico de último minuto antes de una auditoría. Menos riesgo de impacto reputacional.

Dicho de otra forma: Tanium hace que tu estrategia de protección de datos deje de ser reactiva y empiece a verse como un control operativo continuo.

¿Necesito cambiar todo lo que ya tengo?

No. Este punto es importante.

Endpoint DLP sigue siendo necesario. Las políticas que bloquean copia no autorizada, que impiden mandar cierto tipo de archivo hacia afuera, que limitan qué aplicación puede tocar qué información… todo eso sigue siendo fundamental.

Lo que nosotros proponemos como Nova —y lo que vemos que funciona mejor— no es “elige una u otra”, sino integrar.

Tu endpoint DLP aplica las reglas.
Tu SIEM / SOC recibe las alertas.
Tanium da el estado real del endpoint y ejecuta la acción correctiva en caliente.

Eso es lo que reduce riesgo de verdad.

En resumen: proteger la información ya no es solo detener al atacante

Proteger la información hoy significa monitorear el endpoint como si fuera una sucursal crítica del negocio. Porque lo es.

Con una estrategia moderna de prevención de fuga de datos en endpoints puedes:

Saber dónde está tu información sensible en cada momento.
Detectar usos indebidos —accidentales o malintencionados— antes de que se conviertan en incidente legal.
Frenar movimientos de datos en el punto donde ocurren, no después.
Responder rápido, con evidencia, y con trazabilidad.

Y con Tanium puedes sumar algo que pocas organizaciones tienen hoy: visibilidad en vivo y capacidad de actuar en el endpoint sin esperar a que “alguien más” lo atienda.

Eso es control operativo real. Eso es gestión de riesgo en serio.

Para mantenerte informado y protegido, sigue las redes sociales de Nova en: Instagram, Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

#NovaInforma

22 octubre, 202528 octubre, 2025

Cuando el código fuente se va: lo que el caso F5 nos recuerda sobre seguridad de aplicaciones

Escucha este artículo aquí:

Qué pasó en el incidente de F5 (y por qué importa, aunque ya haya parches)

Un actor avanzado mantuvo acceso prolongado a entornos internos de F5 y extrajo archivos sensibles, incluidos componentes de código fuente de BIG-IP y detalles de vulnerabilidades aún no divulgadas. No hay evidencia de cadena de suministro comprometida ni backdoors en versiones liberadas, y F5 liberó actualizaciones de seguridad. Aun así, cuando un atacante obtiene código y conocimiento previo de fallas, la distancia entre exposición y explotación se acorta dramáticamente.

El riesgo silencioso: vulnerabilidades “adelantadas” al parche

Estos casos no sólo afectan a la empresa comprometida. Cualquier organización con superficie de aplicaciones expuesta WAF, balanceadores, gateways de API, controladores de entrega hereda un riesgo sistémico: intentos de día-cero o casi-cero contra componentes masivos en producción. Aunque no exista explotación confirmada, la filtración acelera el reloj para los defensores.

Aplicar parches es obligatorio… pero producción no siempre puede esperar

El parcheo inmediato es prioridad, pero no siempre hay ventanas de mantenimiento. Ahí entran tres factores decisivos: controles compensatorios en tiempo real, telemetría accionable para enfocar esfuerzos donde duele y visibilidad que evite que señales críticas se pierdan entre el ruido.

Cómo ayuda Radware: protección unificada de Apps y APIs (WAAP)

Radware combina WAF de capa 7, protección de APIs y mitigación DDoS para frenar inyección, abuso de credenciales, deserialización (proceso inverso a la serialización, que convierte datos estructurados en un objeto) y anomalías, incluso en tráfico cifrado. La protección de API descubre endpoints expuestos (incluidos los “sombra”), valida esquemas y corta llamadas anómalas antes de tocar backend. Cuando la ofensiva escala, DefensePro/Cloud DDoS mantiene disponibilidad sin castigar a usuarios legítimos.

“Virtual patching”: cerrar la brecha entre el aviso y el mantenimiento

La diferencia durante una crisis está en aplicar contramedidas en caliente: políticas y firmas dinámicas que bloquean vectores conocidos y variantes sin reiniciar componentes críticos. Radware automatiza esa respuesta con aprendizaje de patrones, recomendaciones guiadas y correlación de señales entre WAF, API y DDoS para cortar la kill chain con menos intervención manual.

Plan práctico: reduce exposición hoy y gana tiempo mañana

Aplica los boletines del fabricante en cuanto sea posible; endurece rutas y parámetros sensibles; valida estrictamente APIs; restringe el acceso de administración a redes de salto confiables y ten playbooks listos para activar bloqueos en caliente. Con la consola unificada de Radware, esa orquestación es más rápida y medible.

Las filtraciones de código seguirán ocurriendo. Lo que cambia el desenlace es tu tiempo efectivo de protección. Parchea rápido cuando se pueda, protege ya cuando producción no puede detenerse y mantén a la vista tus aplicaciones y APIs críticas. Esa combinación visibilidad, virtual patching y automatización marca la diferencia entre leer la noticia… o protagonizarla.

#NovaInforma

15 octubre, 202515 octubre, 2025

SOC + CROC: cómo Nova y Trend Micro ponen el riesgo al centro

Escucha este artículo aquí:

La ciberseguridad dejó de ser un “detecta y responde”. El ritmo de los ataques, la adopción acelerada de IA y la expansión de superficies en nube, endpoint y terceros volvieron insuficiente un SOC que espera a que algo suene. La referencia es clara: marcos como NIST CSF 2.0 colocan la gestión continua del riesgo como disciplina central. Ahí es donde entra el CROC: un modelo operativo que no sólo ve eventos, sino que mide, prioriza y reduce riesgo de manera sostenida.

¿Qué es un CROC y por qué cambia el juego?

Un Cyber Risk Operations Center (CROC) integra lo mejor del SOC con funciones de exposición y riesgo: descubre activos, contextualiza su valor, proyecta escenarios, calcula impacto y alinea controles con objetivos del negocio. No reemplaza al SOC; lo complementa con una capa de inteligencia que responde a la pregunta que importa en comité: ¿cuánto riesgo tenemos hoy y cómo lo reducimos esta semana?

CROC by Nova, con la plataforma de Trend Micro

En Nova operamos el CROC sobre Trend Micro Vision One™, con capacidades nativas para gestión de exposición, XDR, inteligencia de amenazas y automatización. El flujo es simple de entender y potente en resultados: primero logramos visibilidad real (activos, identidades, aplicaciones, nube); después cuantificamos riesgo con contexto de negocio; luego priorizamos remediaciones y orquestamos acciones (parches, contención, endurecimiento, ajustes de identidad) desde un mismo plano. Todo queda trazable, con métricas ejecutivas que muestran avance y retorno en reducción de riesgo.

La diferencia no está en “tener más alertas”, sino en tomar mejores decisiones: menos tiempo persiguiendo ruido y más foco en lo que sí te puede detener la operación, afectar clientes o incumplir regulaciones. Cuando aparece un incidente, el CROC ya conoce la criticidad del activo, la exposición real y los controles disponibles, por lo que la respuesta es más rápida y con menor impacto.

Del tablero técnico al idioma del negocio

El CROC traduce señales técnicas en riesgo cuantificado. En lugar de hablar de CVEs o firmas, hablamos de probabilidad, impacto y tendencia, con escenarios que el CFO y el Comité de Riesgos pueden leer sin “traductor”. Esa misma vista guía al equipo técnico con acciones concretas y calendarizadas, priorizadas por impacto en riesgo y esfuerzo de implementación.

Proactividad de verdad, no de discurso

Ser proactivo es llegar antes: identificar identidades con privilegios de más, cerrar rutas de ataque entre nubes, eliminar software huérfano, ajustar configuraciones críticas y automatizar respuestas ante comportamientos anómalos. Con Trend Micro, esa proactividad se apoya en telemetría unificada y modelos de riesgo que se actualizan conforme cambia tu entorno. El resultado es menos exposición, menos tiempo de atención a incidentes y más continuidad del negocio.

¿Qué se lleva tu organización?

Menos incertidumbre y más control. Una línea base de riesgo que mejora mes a mes, planes de reducción ejecutados desde operaciones y evidencia para auditoría y dirección. Y, sobre todo, una ciberseguridad que deja de reaccionar para anticiparse.

En Nova operamos CROC para que tu estrategia pase de “apagar fuegos” a administrar riesgo con datos, contexto y acción. Si quieres ver cómo se vería tu puntaje de riesgo y qué podrías reducir en 30, 60 y 90 días, hablemos.

#NovaInforma

10 octubre, 202510 octubre, 2025

Mesa de Ayuda IT con Proactivanet: de “levantar tickets” a generar valor con ITIL

Escucha este artículo aquí:

La Mesa de Ayuda IT ya no es un “centro de quejas”. Es el frente de atención donde se refleja —para bien o para mal— la calidad de tus servicios de TI. Si ahí hay retrasos, reprocesos o poca visibilidad, la percepción del área completa se resiente. La buena noticia: con ITIL como marco y Proactivanet como plataforma, el Service Desk puede pasar de reactivo a proactivo y orientado a valor.

¿Qué es una Mesa de Ayuda?

Es el punto único de contacto entre usuarios y TI. Atiende incidencias y solicitudes, comunica cambios, coordina con equipos técnicos y mide la experiencia. Cuando está bien diseñada, reduce tiempos fuera de servicio, sube la satisfacción y profesionaliza la operación. Cuando no, se vuelve un embudo.

ITIL como base: procesos claros, métricas que importan

ITIL aporta estructura y lenguaje común. No se trata de “llenar plantillas”, sino de ordenar el flujo: cómo se registra, prioriza, asigna y resuelve; qué se promete (SLA/OLA) y cómo se mide; qué se aprende para mejorar. Con esa base, la Mesa de Ayuda deja de apagar fuegos y previene.

Proactivanet: la herramienta que aterriza ITIL

El valor aparece cuando el marco se convierte en operación diaria. Ahí entra Proactivanet:

Catálogo y portal de autoservicio
Los usuarios saben qué pedir, cómo pedirlo y en cuánto tiempo se atiende. Menos correos, menos ambigüedad y mejor expectativa desde el inicio.

Gestión de incidencias y solicitudes con enrutamiento inteligente
Priorización por impacto/urgencia, asignación automática por habilidades y visibilidad de principio a fin. Menos vueltas, más FCR (resolución al primer contacto).

Base de conocimiento integrada
Soluciones reutilizables para agentes y artículos de autoservicio para usuarios. Baja la carga del equipo y sube la velocidad de atención.

SLAs visibles y medibles
Compromisos claros, alertas antes de incumplir y tableros ejecutivos. Lo que se promete, se cumple (o se corrige a tiempo).

CMDB y relacionamiento
Entender el servicio detrás del ticket: qué equipos, apps y dependencias toca. Con contexto real, se prioriza mejor y se evita el “rompí otra cosa”.

Automatización y orquestación
Tareas repetitivas (altas/bajas, reseteo de contraseñas, despliegue de software) pasan a flujos automatizados. El equipo se enfoca en lo no rutinario.

Métricas accionables
MTTA/MTTR, FCR, backlog, satisfacción, tendencias por categoría y horario. No son números por cumplir, son señales para mejorar.

Experiencia del usuario primero (sin saturar al Service Desk)

Con Proactivanet, el autoservicio deja de ser un “FAQ bonito”. El portal guía, sugiere soluciones y, si no se resuelve, abre el ticket con toda la información necesaria. El usuario siente proximidad y claridad; el equipo evita retrabajos.

¿Y la mejora continua?

ITIL propone medir–aprender–ajustar. Proactivanet cierra el ciclo: reportes y tableros muestran dónde se atora el flujo, qué categorías explotan, qué KB funciona y qué no. Con ese insight, TI corrige procesos, actualiza plantillas y ajusta capacidades. El resultado es menos ruido y más valor.

Señales de que vas por buen camino

Los usuarios saben dónde pedir y entienden sus tiempos.
El equipo resuelve más en primer contacto y con menos escalaciones.
Cumples SLAs sin “correr al final”.
Hay menos tickets repetidos gracias a KB efectiva.
Los reportes cuentan una historia clara para la dirección.

Una Mesa de Ayuda IT optimizada con ITIL y operada en Proactivanet no sólo atiende, gestiona y mejora. Conecta TI con el negocio, mejora la experiencia y libera al equipo para enfocarse en lo estratégico. Ese es el salto: de “levantar tickets” a entregar valor todos los días.

#NovaInforma

3 octubre, 20253 octubre, 2025

Prisma AIRS: seguridad de IA de punta a punta sin frenar la innovación

Escucha este artículo aquí:

La inteligencia artificial dejó de ser un experimento de laboratorio. Hoy vive en los flujos de trabajo, en la atención al cliente y en decisiones críticas del negocio. Copilotos que escriben código, agentes que orquestan tareas, modelos que consumen datos sensibles en tiempo real. Ese mismo impulso que multiplica la productividad también abre una superficie de ataque nueva, dinámica y—si no se atiende—costosa. Inyección de prompts, envenenamiento de datos, abuso de herramientas, fugas por integraciones… ataques que antes tomaban días ahora ocurren en minutos.

La respuesta no puede ser parchar con herramientas aisladas. Se necesita una seguridad de IA empresarial que cubra todo el ciclo de vida: cómo se desarrollan los modelos, con qué datos se entrenan, dónde corren, qué agentes invocan, qué exponen y cómo se defienden cuando algo sale de lo normal. Ahí entra Prisma AIRS™ de Palo Alto Networks: seguridad nativa para modelos, agentes, aplicaciones y datos que permite desplegar IA con confianza, a escala y sin frenar la innovación.

Seguridad diseñada para la era de agentes y MCP

En la práctica, proteger IA ya no es sólo “blindar un modelo”. Los entornos modernos conectan LLMs con fuentes internas, APIs, plugins y herramientas que ejecutan acciones. Prisma AIRS parte de esa realidad y la traduce en controles concretos: verifica la salud y configuración de modelos antes de salir a producción, aplica gobierno continuo sobre entornos y dependencias, somete los sistemas a pruebas adversarias (red teaming) y vigila el tiempo de ejecución para detectar señales de inyección, uso indebido de herramientas o intentos de exfiltración. Si hay agentes low-code/no-code en juego, también impone límites, validaciones y confirmaciones para que no actúen fuera de contexto.

El valor para el negocio es directo: menos sorpresas, menos riesgo regulatorio y más velocidad para lanzar capacidades de IA con criterios de seguridad consistentes entre nubes, equipos y pipelines de MLOps/DevOps.

Operación simple, defensa fuerte

Uno de los grandes problemas al asegurar IA es la fragmentación. Prisma AIRS concentra lo necesario en una plataforma: visibilidad de activos de IA, evaluación de riesgos, pruebas continuas y protección en vivo con respuestas guiadas. Eso se traduce en menos fricción operativa (una consola, un flujo), mejor priorización (qué corregir primero y por qué) y resolución más rápida cuando aparece una anomalía. Además, compartir inteligencia dentro del ecosistema Cortex y Prisma acelera la contención y mejora la calidad de las decisiones.

¿Qué cambia en tu día a día?

Menos tiempo de puesta en marcha: gobierno y controles listos para integrarse a tus pipelines y herramientas existentes.
Menos costo oculto: control unificado en lugar de colecciones de scripts y soluciones puntuales.
Más claridad ejecutiva: métricas y hallazgos accionables que explican riesgo y avance sin lenguaje críptico.
Más confianza para escalar: modelos, agentes y datos protegidos desde el diseño y en operación.

Nova + Palo Alto Networks: innovar sí, a ciegas no

En Nova ayudamos a que la IA sume valor sin agregar vulnerabilidades. Acompañamos a tus equipos para aterrizar controles de Prisma AIRS en tus casos de uso reales: desde revisar datasets y dependencias, hasta endurecer agentes, monitorear en runtime e integrar alertas a tu SOC.

¿Quieres ver cómo se vería esto con tus modelos y agentes actuales? Hablemos y te mostramos Prisma AIRS aplicado a tu entorno.