Allowlisting de Aplicaciones
¿Qué es Allowlisting de Aplicaciones?
Allowlisting de AplicacionesControl defensivo que solo permite ejecutar ejecutables, scripts y librerias aprobados explicitamente, bloqueando todo lo demas por defecto.
El allowlisting de aplicaciones (antes whitelisting) invierte el modelo permisivo del antivirus: solo se ejecutan ejecutables, DLL, scripts e instaladores que coinciden con una politica aprobada — por hash, firma del editor o ruta — y todo lo demas se bloquea. Microsoft AppLocker y Windows Defender Application Control (WDAC), fapolicyd en Linux, las puertas de notarizacion de macOS y productos como Airlock Digital o ThreatLocker implementan el patron. NIST SP 800-167 (Guide to Application Whitelisting) documenta la arquitectura y los Essential Eight de CISA/NSA/FBI lo destacan como la mitigacion mas eficaz frente a intrusiones dirigidas. Es muy efectivo contra ataques fileless y ransomware sin firmar, pero exige gestion del cambio rigurosa porque cada nueva herramienta necesita aprobacion.
● Ejemplos
- 01
Servidor Windows que con WDAC solo permite binarios firmados por Microsoft y un conjunto pequeno de herramientas internas aprobadas.
- 02
Airlock Digital bloqueando un script PowerShell sin firmar que descarga un beacon Cobalt Strike.
● Preguntas frecuentes
¿Qué es Allowlisting de Aplicaciones?
Control defensivo que solo permite ejecutar ejecutables, scripts y librerias aprobados explicitamente, bloqueando todo lo demas por defecto. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Allowlisting de Aplicaciones?
Control defensivo que solo permite ejecutar ejecutables, scripts y librerias aprobados explicitamente, bloqueando todo lo demas por defecto.
¿Cómo funciona Allowlisting de Aplicaciones?
El allowlisting de aplicaciones (antes whitelisting) invierte el modelo permisivo del antivirus: solo se ejecutan ejecutables, DLL, scripts e instaladores que coinciden con una politica aprobada — por hash, firma del editor o ruta — y todo lo demas se bloquea. Microsoft AppLocker y Windows Defender Application Control (WDAC), fapolicyd en Linux, las puertas de notarizacion de macOS y productos como Airlock Digital o ThreatLocker implementan el patron. NIST SP 800-167 (Guide to Application Whitelisting) documenta la arquitectura y los Essential Eight de CISA/NSA/FBI lo destacan como la mitigacion mas eficaz frente a intrusiones dirigidas. Es muy efectivo contra ataques fileless y ransomware sin firmar, pero exige gestion del cambio rigurosa porque cada nueva herramienta necesita aprobacion.
¿Cómo defenderse de Allowlisting de Aplicaciones?
Las defensas contra Allowlisting de Aplicaciones combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Allowlisting de Aplicaciones?
Nombres alternativos comunes: Lista de permitidos, Whitelisting de software.
● Términos relacionados
- defense-ops№ 050
Antivirus (AV)
Software de endpoint que detecta y elimina archivos maliciosos mediante bases de firmas, analisis de ficheros y heuristicas basicas; es la base historica de la seguridad en endpoint.
- defense-ops№ 725
Antivirus de Nueva Generacion (NGAV)
Proteccion de endpoint que complementa el escaneo por firmas con modelos de machine learning, analitica conductual y prevencion de exploits para detener amenazas desconocidas y fileless.
- defense-ops№ 371
EDR (Detección y Respuesta en Endpoints)
Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.
- malware№ 417
Malware sin archivos
Malware que se ejecuta principalmente en memoria y abusa de herramientas legítimas del sistema, evitando el uso de ejecutables tradicionales en disco.
- defense-ops№ 298
Evasión de Defensas
Táctica MITRE ATT&CK (TA0005) que cubre las técnicas con las que un atacante evita detección, desactiva herramientas de seguridad y oculta su actividad.
- malware№ 900
Ransomware
Malware que cifra los datos de la víctima o bloquea sus sistemas y exige un pago a cambio de restaurar el acceso.