Caso 1 – Protección de Endpoints

Escenario

Una cooperativa de transporte con 25 empleados administrativos que trabajan en laptops con información sensible de socios: datos personales, registros financieros, contratos. Algunos empleados trabajan desde casa conectándose a la red corporativa. Como muchas ESAL, no tienen un equipo de seguridad que vigile estas máquinas las 24 horas.

Problema que Resuelve

Los endpoints (laptops, computadores de escritorio) son la puerta de entrada más común para ciberataques: malware, ransomware, accesos no autorizados, USB maliciosos, o incluso un empleado instalando software no aprobado que compromete la seguridad. Sin monitoreo, estos incidentes pasan desapercibidos hasta que es demasiado tarde, pudiendo resultar en:

  • Robo de información de 500+ asociados
  • Pérdida de datos financieros críticos
  • Multas por incumplimiento de Ley 1581 (hasta $200 millones COP)
  • Interrupción de operaciones por ransomware

Demostración Técnica

Configuración:

  • Laptops Windows 10/11 o Ubuntu con agente Wazuh instalado
  • Servidor Wazuh centralizado recibiendo logs
  • Dashboard en tiempo real en español

Componentes Monitoreados:

  • Autenticación y accesos (intentos fallidos, horarios sospechosos)
  • Integridad del sistema (archivos críticos, registro de Windows)
  • Actividad de red (IPs sospechosas, descargas no confiables)
  • Dispositivos USB (inserción, transferencia masiva)
  • Malware y amenazas (procesos maliciosos, scripts no autorizados)

Lo que se ve en el dashboard:

Panel Principal:
- Total de endpoints monitoreados: 25
- Alertas críticas: 2
- Alertas medias: 8
- Eventos totales hoy: 15,432
- Mapa de salud: Verde/Amarillo/Rojo por laptop

Alertas en Tiempo Real – Ejemplos:

🔴 CRÍTICO - 10:23 AM
Laptop: ADMIN-PC-07 | Usuario: jmartinez
Evento: 15 intentos de inicio de sesión fallidos en 5 minutos
Acción sugerida: Posible ataque de fuerza bruta. Bloquear temporalmente.
🟡 ADVERTENCIA - 09:45 AM
Laptop: CONT-LAPTOP-03 | Usuario: mmendez
Evento: USB desconocido conectado (Kingston, 64GB)
Acción sugerida: Verificar autorización. Escanear contenido.
🟠 MEDIO - 08:15 AM
Laptop: GERENCIA-PC-01 | Usuario: arojas
Evento: Software instalado: TeamViewer 15.0
Acción sugerida: Software de acceso remoto. Verificar autorización.

Escenarios Demostrados:

  1. Detección de Malware:
    • Usuario descarga archivo .exe malicioso de phishing
    • Wazuh detecta: hash MD5 coincide con base de malware
    • Detecta ejecución del proceso sospechoso
    • Identifica intentos de modificar el registro
    • Detecta comunicación con servidor de comando y control
    • Alerta generada en < 30 segundos
  2. Fuga de Información:
    • Empleado conecta USB a las 11:35 PM (fuera de horario)
    • Copia 500 archivos de carpeta “Confidencial”
    • Transferencia: 2.3 GB en 5 minutos
    • Alerta de exfiltración de datos inmediata
  3. Acceso No Autorizado:
    • Laptop reportada como robada sigue enviando datos
    • Nueva IP detectada, ubicación geográfica diferente
    • Intentos de acceso a carpetas sensibles
    • Posibilidad de bloqueo remoto del equipo

Información Consolidada:

  • Reportes Semanales: Top 10 eventos, empleados con mayor actividad de riesgo
  • Reportes Mensuales: Cumplimiento de políticas, tendencias de incidentes
  • Análisis Forense: Timeline completo, archivos modificados, comandos ejecutados

Valor para ESAL

Económico:

  • Prevención de pérdidas: Evita costos de $50-200 millones COP por incidentes de ransomware
  • Multas evitadas: Previene sanciones de hasta $80 millones COP por violación Ley 1581
  • Reducción de tiempo de respuesta: De 30 días a 30 segundos
  • Sin personal dedicado: No requiere equipo de seguridad 24/7 ($4-6 millones/mes ahorrados)

Operativo:

  • Instalación de agente en laptops: < 10 minutos
  • Interfaz visual simple para personal no técnico
  • Alertas en español con recomendaciones claras
  • Reduce tiempo de investigación de 2 días a 15 minutos

Legal/Normativo:

  • Evidencia auditable para Supersolidaria
  • Registro de acceso a datos personales (cumplimiento Habeas Data)
  • Trazabilidad completa para investigaciones internas
  • Demostración de diligencia debida ante incidentes

Confianza:

  • Protección robusta de datos de asociados
  • Transparencia en manejo de información sensible
  • Posicionamiento como organización tecnológicamente responsable