Cuando un RMM se usa correctamente, el instalador de agente debe ser claro: quién lo generó, para qué tenant sirve, cuándo vence y bajo qué reglas puede registrar dispositivos.
Pero en escenarios de abuso, el instalador también puede intentar disfrazarse. Cambiarle el nombre a un MSI para que parezca otra herramienta, un documento interno o un archivo genérico reduce la visibilidad del usuario y complica la investigación posterior.
Por eso Lunixar cambió el flujo: los instaladores de agente ya no se pueden renombrar desde la plataforma.
No es un detalle cosmético. Es una medida de seguridad operativa.
Qué cambia
Antes, el nombre visible del instalador podía convertirse en una fuente de ambigüedad: un archivo con token válido podía circular con un nombre poco claro, fuera del contexto original del despliegue.
Ahora, el instalador conserva un nombre controlado por Lunixar. Ese nombre mantiene relación con el flujo de generación, el tenant, la plataforma y el propósito del archivo.
Esto ayuda a que el despliegue sea más fácil de revisar:
- el técnico sabe que está usando un instalador legítimo de Lunixar;
- el cliente no recibe un archivo con nombre engañoso;
- soporte puede correlacionar el instalador con el registro esperado;
- seguridad tiene menos ambigüedad si necesita revisar evidencia.
Por qué esto reduce abuso RMM
El abuso de RMM rara vez depende de una sola falla. Normalmente combina varias fricciones pequeñas: una cuenta falsa, un instalador reenviado, un nombre genérico, ejecución remota agresiva y poca trazabilidad.
Bloquear el renombrado corta una de esas fricciones. El atacante pierde una forma simple de presentar un agente legítimo como si fuera otra cosa.
El control también encaja con otras defensas de Lunixar:
- tokens de enrolamiento con expiración;
- límite de usos por instalador;
- revocación independiente del token;
- instaladores firmados con EV;
- auditoría de cambios y eventos sensibles;
- política de ejecución remota para reducir patrones LOLRMM.
La idea no es depender del nombre del archivo como única defensa. La idea es que el nombre ya no sea un punto débil fácil.
Qué pasa si necesitas identificar un despliegue
En lugar de cambiar el nombre del archivo, el control debe vivir en el flujo correcto: descripción del token, tenant, organización, fecha de generación, límite de usos y revocación.
Si un despliegue es para una sede, un cliente o un lote específico, ese contexto debe quedar en Lunixar y en el runbook operativo, no escondido en un nombre de archivo que puede perderse, cambiarse o reenviarse.
Eso deja una línea de revisión más limpia:
1. generas el instalador desde Lunixar; 2. lo distribuyes por el canal autorizado; 3. confirmas cuántos endpoints se enrolaron; 4. revocas el token si el despliegue terminó o hubo sospecha.
Impacto para MSPs y equipos de TI
Para operación legítima, el cambio no debería aumentar la carga. El instalador sigue siendo descargable, ejecutable y compatible con despliegues controlados.
Lo que cambia es que el archivo ya no se puede disfrazar desde la plataforma. Para MSPs, eso ayuda a explicar el proceso al cliente. Para equipos internos de TI, reduce dudas durante revisiones de seguridad o aprobaciones de software.
En despliegues grandes, esta regla debe documentarse junto con la expiración, el límite de usos y la revocación. Si un instalador sale de control, el siguiente paso no es renombrarlo ni esconderlo: es revocar el token y generar uno nuevo con alcance claro.
Un control pequeño que ayuda al modelo completo
La prevención de abuso RMM se construye por capas. MFA protege la cuenta. RBAC limita el acceso. La política de ejecución remota bloquea cadenas riesgosas. Los tokens con expiración y usos limitados reducen el impacto de un archivo compartido de más.
El bloqueo de renombrado suma una capa más: menos posibilidad de disfrazar el agente y más consistencia para auditar el despliegue.
No reemplaza la verificación de identidad ni la política de ejecución. Las complementa.
Si quieres ver el modelo completo, revisa la página de prevención de abuso RMM y la guía de LOLRMM en Lunixar.
