3 Unidad : Seguridad en Endpoints (TI y OT)
3.1 Introducción de la Unidad
Los dispositivos de usuario —conocidos como endpoints— representan la primera línea de defensa en cualquier institución financiera. Se incluyen aquí las estaciones de trabajo, laptops, dispositivos móviles corporativos, consolas administrativas y, en el ámbito operativo, los cajeros automáticos (ATM), sistemas de control de accesos, SCADA y otros equipos OT.
El compromiso de un endpoint puede convertirse en la puerta de entrada para ciberataques que escalen hacia sistemas críticos, afectando tanto a la continuidad del negocio como a la confianza de clientes y reguladores. Los ataques más frecuentes —malware, ransomware, phishing y abuso de credenciales— suelen iniciarse en un equipo de usuario.
Normativas como ISO/IEC 27002 (controles de seguridad en activos tecnológicos), PCI DSS v4.0 (Req. 5 – protección contra malware), CIS Controls v8 (Control 10 – Malware Defenses) y la Ley Orgánica de Protección de Datos Personales (LOPDP, Ecuador) establecen requisitos claros para proteger los endpoints. Sin embargo, estas normas requieren traducirse en medidas concretas y verificables.
En esta unidad se establecen las medidas de seguridad para endpoints de TI y OT, las responsabilidades de los diferentes actores (usuarios, TI, seguridad, RRHH) y un checklist de revisión que facilita su auditoría.
3.2 Endpoints de Tecnologías de la Información (TI)
La seguridad en dispositivos de usuario conforme a ISO/IEC 27002, CIS Controls, PCI DSS Req. 5 y LOPDP establece que todo equipo que acceda a la red corporativa debe estar protegido mediante:
Gestión de cuentas y privilegios mínimos (usuarios estándar vs. administradores).
Hardening del sistema operativo (puertos, servicios, políticas de seguridad).
Soluciones de seguridad avanzada (antivirus, EDR, firewall local).
Monitoreo y control remoto (herramientas RMM como Kaseya 365 o similares).
Políticas de respaldo y cifrado (BitLocker, LUKS, FileVault).
Esto es importante porque los endpoints son la primera línea de ataque: un malware, ransomware o phishing entra generalmente por un equipo de usuario.
Riesgos Globales Asociados a Endpoints
Malware y ransomware propagados desde equipos de usuario a la red interna.
Exfiltración de datos personales y financieros por falta de cifrado.
Fraudes internos al permitir privilegios excesivos en endpoints de usuarios.
Interrupción de servicios OT, como cajeros automáticos, por fallas de actualización o explotación de vulnerabilidades no parcheadas.
Incumplimiento legal (LOPDP, PCI DSS) al no proteger adecuadamente datos sensibles almacenados en dispositivos.
Daños reputacionales en caso de que equipos comprometidos sean origen de fuga de datos de clientes.
3.2.1 Gestión de cuentas y privilegios
Separación estricta entre cuentas de administrador y cuentas de usuario estándar.
Aplicación del principio de mínimo privilegio, garantizando que los usuarios solo accedan a lo estrictamente necesario.
Deshabilitar o renombrar la cuenta “Administrador” predeterminada.
Habilitar MFA en cuentas privilegiadas.
3.2.2 Hardening del sistema operativo
Restricción de acceso a carpetas críticas (ej. System32).
Bloqueo de CMD, PowerShell y WMI en usuarios estándar.
Políticas de bloqueo automático de pantalla tras 5 minutos de inactividad.
Arranque desde USB o CD deshabilitado salvo autorización formal.
3.2.3 Soluciones de seguridad avanzada
Antivirus corporativo activo y actualizado.
EDR (Endpoint Detection and Response) desplegado en todas las estaciones de trabajo, reportando a un SIEM central.
Firewall local activo, con reglas predefinidas y puertos innecesarios bloqueados (ej. SMB, Telnet, RDP sin VPN).
3.2.3.1 Monitoreo y control
Gestión centralizada de endpoints mediante herramientas de RMM (ej. Kaseya 365, Intune).
Revisión periódica de logs enviados a SIEM.
Alertas de comportamiento anómalo habilitadas.
3.2.3.2 Cifrado y respaldo
Discos duros cifrados (BitLocker, LUKS, FileVault).
Respaldos automáticos y cifrados de archivos de usuario.
Control estricto del uso de USBs y dispositivos externos.
Para las seguridades en endpoint OT se debería tener las siguientes consideraciones:
3.2.3.3 Gestión de cuentas
Diferenciación clara entre cuentas de administrador OT y operador estándar.
Principio de mínimo privilegio aplicado a consolas SCADA y PLCs.
MFA para accesos de operadores en consolas críticas.
3.2.3.4 Controles de permisos
Prohibición a operadores estándar de modificar configuraciones críticas.
Bloqueo de shells OT en consolas SCADA para usuarios no autorizados.
3.2.3.5 Seguridad técnica
Antivirus/EDR compatibles con entornos OT, sin afectar la operación.
Firmware actualizado en PLCs y dispositivos de control.
Justificación documentada en caso de mantener sistemas legacy sin actualizar.
3.2.3.6 Monitoreo y respaldo
Logs de OT enviados al SIEM corporativo (Wazuh, Splunk u otro).
Respaldos periódicos de configuraciones OT y sistemas físicos.
Registro cifrado de accesos biométricos y sistemas de control de accesos.
3.2.3.7 Red y segmentación
VLAN exclusiva para OT, separada de la red de usuarios y servidores.
Bloqueo de puertos inseguros (Telnet, SMB, RDP directo).
Implementación de firewalls industriales y segmentación en DMZ OT.
3.2.3.8 Capacitación y Conciencia
La capacitación en endpoints no se limita a los usuarios finales, sino que debe abarcar a TI, Seguridad y RRHH:
Usuarios finales:
Reconocimiento de intentos de phishing y malware.
Políticas internas sobre contraseñas, MFA y uso de USBs.
Responsabilidades legales en el manejo de datos personales.
TI y Seguridad:
Configuración de hardening, antivirus, EDR y firewalls.
Uso correcto de herramientas de monitoreo y RMM (ej. Kaseya 365).
Procedimientos legales al acceder a información de usuarios.
RRHH y Cumplimiento:
Políticas de inducción y capacitaciones periódicas documentadas.
Inclusión de cláusulas de seguridad y uso aceptable en contratos laborales.
Manejo de incidentes relacionados con usuarios y dispositivos.
3.2.4 Checklist de Seguridad y Hardening de Endpoints TI
| Elemento a Revisar | Detalle / Revisión | Área / Rol | Información almacenada | Cifrado (Sí/No) | Tipo de Riesgo | Cumple (✔/✘) | Observaciones |
|---|---|---|---|---|---|---|---|
| Gestión de Cuentas | Existe cuenta Admin separada de usuario. | TI / Todos | Configuración del sistema | No aplica | Medio | ||
| Usuarios trabajan con mínimo privilegio. | Todos | Apps de negocio | No aplica | Alto | |||
| MFA en cuentas privilegiadas. | TI / Seguridad | Configuración | No aplica | Crítico | |||
| Cuenta “Administrador” deshabilitada/renombrada. | TI | SO | No aplica | Alto | |||
| Permisos de Usuario | Configuración de permisos correcta (no acceso a System32, carpetas críticas). | Todos | OS | No aplica | Crítico | ||
| Bloqueo de CMD y PowerShell en usuarios estándar. | Todos | SO | No aplica | Crítico | |||
| Instalación de software restringida. | Todos | OS / Apps | No aplica | Alto | |||
| Antivirus / EDR | Antivirus activo y actualizado. | Todos | Endpoint | No | Crítico | ||
| EDR activo y reportando. | Áreas críticas | Datos sensibles | Sí | Crítico | |||
| Último escaneo registrado. | Todos | Archivos usuario | No | Alto | |||
| Sistema Operativo | SO soportado y actualizado. | Todos | Sistema | No aplica | Crítico | ||
| Fecha de último parche aplicado. | Todos | Sistema OS | No aplica | Alto | |||
| Justificación si no está actualizado. | TI | Sistema | No aplica | Alto | |||
| Actualizaciones / Parches | Windows Update / apt update habilitado. | Todos | Sistema | No aplica | Alto | ||
| Aplicaciones críticas actualizadas. | Todos | ERP, Office, CRM | No aplica | Alto | |||
| Cifrado y Respaldo | Disco cifrado (BitLocker, LUKS, FileVault). | Finanzas, RRHH, Gerencia | Datos financieros/personales | Sí | Crítico | ||
| Respaldos configurados. | Todos | Archivos usuario | Sí | Alto | |||
| USB controlados/restringidos. | Todos | SO | No | Alto | |||
| Firewall Local | Firewall activo con reglas. | Todos | Red | No aplica | Alto | ||
| Puertos innecesarios bloqueados (SMB, Telnet, RDP sin VPN). | Todos | Red | No aplica | Alto | |||
| Monitoreo y Control | Endpoint gestionado por RMM (Kaseya 365, Intune). | TI | Logs SO | No aplica | Crítico | ||
| Logs enviados al SIEM. | Seguridad | Eventos | No aplica | Crítico | |||
| Alertas de comportamiento anómalo habilitadas. | Todos | Eventos | No aplica | Alto | |||
| Políticas de Seguridad | Bloqueo de pantalla automática. | Todos | Sesiones | No aplica | Medio | ||
| Arranque USB/CD bloqueado. | Todos | SO | No aplica | Al | |||
| Listas blancas de aplicaciones (AppLocker, ACLs). | Todos | Apps | No aplica | Crítico | |||
| Registro de último mantenimiento. | Todos | Todo el equipo | No aplica | Medio | |||
| Capacitación de Usuarios | Capacitación en políticas internas y LOPDP. | Todos | Datos personales/biométricos | No aplica | Alto | ||
| Registro de fecha de última capacitación. | RRHH / Cumplimiento | Evidencias | No aplica | Medio |
3.2.5 Checklist de Seguridad y Hardening de Endpoints OT
| Elemento a Revisar | Detalle / Revisión | Área / Rol | Información procesada | Cifrado (Sí/No) | Tipo de Riesgo | Cumple (✔/✘) | Observaciones |
|---|---|---|---|---|---|---|---|
| Gestión de Cuentas OT | Cuentas diferenciadas Admin / Usuario. | OT / Seguridad Física | Configuración de SCADA/PLC | No aplica | Alto | ||
| Principio de mínimo privilegio aplicado en consolas OT. | OT | Alarmas, accesos físicos | No aplica | Crítico | |||
| MFA en accesos de operadores críticos. | OT / Seguridad | SCADA, CCTV | No aplica | Crítico | |||
| Permisos de Usuario | Usuarios no modifican configuraciones críticas. | OT | PLCs / SCADA | No aplica | Crítico | ||
| Bloqueo de shells OT para usuarios estándar. | OT | Consolas SCADA | No aplica | Crítico | |||
| Antivirus / EDR en OT | Compatibles con SCADA/PLC (sin interferir procesos). | OT | Consolas de control | Sí | Crítico | ||
| Monitoreo de logs en SIEM. | OT / Seguridad | Eventos OT | No aplica | Crítico | |||
| Sistema / Firmware OT | Firmware actualizado y soportado. | OT | PLCs, controladores | No aplica | Crítico | ||
| Justificación si no se actualiza (sistemas legacy). | OT | SCADA antiguos | No aplica | Alto | |||
| Controles OT / Físicos | Endpoint controla alarmas, CCTV, accesos. | Seguridad Física | Datos de seguridad física | Sí | Crítico | ||
| Registro de accesos biométricos cifrado. | Seguridad Física | Datos biométricos | Sí | Crítico | |||
| Logs de OT enviados a SIEM. | Seguridad OT | Eventos físicos | No aplica | Crítico | |||
| Cifrado y Respaldo OT | Respaldos de sistemas OT y logs físicos. | OT / Seguridad Física | Accesos / Alarmas | Sí | Crítico | ||
| Red y Segmentación OT | Segmentación de red OT en VLAN/DMZ. | TI/OT | Red OT | No aplica | Crítico | ||
| Bloqueo de puertos innecesarios (Telnet, SMB, RDP directo). | OT | Consolas | No aplica | Alto | |||
| Monitoreo y Control OT | Consola central de OT (SCADA Manager, Kaseya 365 OT). | OT | Logs OT | No aplica | Crítico | ||
| Integración con SIEM corporativo (Wazuh, Splunk). | Seguridad OT | Eventos | No aplica | Crítico | |||
| Capacitación de Usuarios | Capacitación en políticas internas y LOPDP. | Todos | Datos personales/biométricos | No aplica | Alto | ||
| Capacitación en uso seguro de OT (SCADA, accesos físicos). | Seguridad Física | Sistemas OT | No aplica | Alto | |||
| Registro de fecha de última capacitación. | RRHH / Cumplimiento | Evidencias | No aplica | Medio |