Cuarentena (Endpoint)
¿Qué es Cuarentena (Endpoint)?
Cuarentena (Endpoint)Accion de seguridad en endpoint que mueve un archivo sospechoso fuera de su ubicacion original a un almacen controlado y neutralizado para que no pueda ejecutarse pero si analizarse o restaurarse.
La cuarentena es la accion historica de respuesta de AV, NGAV y EDR cuando un archivo se considera malicioso. El agente lo retira del disco (o niega acceso), lo cifra con una clave que solo el conoce y lo guarda en un directorio protegido — por ejemplo, ProgramData\Microsoft\Windows Defender\Quarantine en Windows o /Library/Application Support/CrowdStrike en macOS — junto con metadatos de la deteccion. Defender, ESET, CrowdStrike, SentinelOne y Sophos exponen consolas centralizadas en las que el administrador puede revisar, liberar tras triage o enviar muestras al laboratorio en la nube. La cuarentena se diferencia del aislamiento de endpoint: neutraliza un fichero, mientras que el aislamiento desconecta toda la maquina. Ambas suelen orquestarse mediante playbooks SOAR durante la respuesta a incidentes.
● Ejemplos
- 01
Microsoft Defender pone en cuarentena un documento de Word con macros descargado y guarda la copia cifrada para revision posterior.
- 02
ESET Inspect libera un PDF en cuarentena marcado erroneamente como Bredolab tras el triage del analista.
● Preguntas frecuentes
¿Qué es Cuarentena (Endpoint)?
Accion de seguridad en endpoint que mueve un archivo sospechoso fuera de su ubicacion original a un almacen controlado y neutralizado para que no pueda ejecutarse pero si analizarse o restaurarse. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Cuarentena (Endpoint)?
Accion de seguridad en endpoint que mueve un archivo sospechoso fuera de su ubicacion original a un almacen controlado y neutralizado para que no pueda ejecutarse pero si analizarse o restaurarse.
¿Cómo funciona Cuarentena (Endpoint)?
La cuarentena es la accion historica de respuesta de AV, NGAV y EDR cuando un archivo se considera malicioso. El agente lo retira del disco (o niega acceso), lo cifra con una clave que solo el conoce y lo guarda en un directorio protegido — por ejemplo, ProgramData\Microsoft\Windows Defender\Quarantine en Windows o /Library/Application Support/CrowdStrike en macOS — junto con metadatos de la deteccion. Defender, ESET, CrowdStrike, SentinelOne y Sophos exponen consolas centralizadas en las que el administrador puede revisar, liberar tras triage o enviar muestras al laboratorio en la nube. La cuarentena se diferencia del aislamiento de endpoint: neutraliza un fichero, mientras que el aislamiento desconecta toda la maquina. Ambas suelen orquestarse mediante playbooks SOAR durante la respuesta a incidentes.
¿Cómo defenderse de Cuarentena (Endpoint)?
Las defensas contra Cuarentena (Endpoint) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Cuarentena (Endpoint)?
Nombres alternativos comunes: Cuarentena de archivo, Cuarentena de malware, Cuarentena de endpoint.
● Términos relacionados
- defense-ops№ 050
Antivirus (AV)
Software de endpoint que detecta y elimina archivos maliciosos mediante bases de firmas, analisis de ficheros y heuristicas basicas; es la base historica de la seguridad en endpoint.
- defense-ops№ 725
Antivirus de Nueva Generacion (NGAV)
Proteccion de endpoint que complementa el escaneo por firmas con modelos de machine learning, analitica conductual y prevencion de exploits para detener amenazas desconocidas y fileless.
- defense-ops№ 371
EDR (Detección y Respuesta en Endpoints)
Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.
- defense-ops№ 381
Aislamiento de Endpoint
Accion de respuesta de EDR que corta la conectividad de red de un host comprometido (salvo con la herramienta de seguridad) para evitar movimiento lateral durante la investigacion.
- forensics-ir№ 524
Respuesta a incidentes
Proceso organizado para preparar, detectar, analizar, contener, erradicar y recuperarse de incidentes de ciberseguridad, capturando además lecciones aprendidas.
- forensics-ir№ 650
Análisis de malware
Estudio estructurado de una muestra maliciosa para comprender su funcionamiento, origen, indicadores de compromiso e impacto sobre los sistemas afectados.