Una alerta de seguridad llega. ¿Y luego qué?

Esa es la pregunta que muchos equipos de TI no tienen bien respondida. Saben que algo pasó, pero el flujo de respuesta es improvisado: revisar el equipo, preguntar al usuario, intentar algo, esperar a ver. Eso te roba tiempo y, en incidentes reales, el tiempo es exactamente lo que no sobra.

Este playbook cubre las alertas de seguridad disponibles en Lunixar RMM: qué significa cada una, qué contexto revisar primero y qué acciones tomar para cerrar el ciclo. Sin improvisar.

1) Antes de reaccionar: el contexto lo cambia todo

Cuando llega una alerta, el primer impulso es conectarse al equipo de inmediato. Pero antes de abrir una sesión remota, hay dos cosas que vale la pena revisar en el portal:

  • Inventario y snapshots: ¿qué software se instaló recientemente? ¿Cambió algo en el hardware o la configuración? Con hasta 5 snapshots históricos por dispositivo, muchas veces la causa está ahí antes de conectarte.
  • Historial de alertas del equipo: ¿es la primera vez que dispara esta alerta o es un patrón? Un AntivirusDisabled que aparece cada semana en el mismo equipo tiene una historia distinta a uno que aparece por primera vez.

Ese contexto previo reduce el tiempo de diagnóstico y evita acciones que no corresponden.

Tip práctico: antes de actuar sobre cualquier alerta de seguridad, abre el snapshot más reciente del dispositivo y compáralo con el anterior. Si algo cambió ahí, ya tienes el 80% del diagnóstico.

2) Alertas de antivirus: las tres que no puedes ignorar

AntivirusDisabled

El antivirus está desactivado. Puede ser un usuario que lo apagó "porque estaba lento", una aplicación que lo deshabilitó al instalarse, o algo más serio.

Flujo:

  1. Revisa el inventario: ¿se instaló software nuevo recientemente?
  2. Ejecuta UpdateSignatures para asegurarte de que las definiciones están al día.
  3. Ejecuta QuickScan para confirmar que no hay amenazas activas.
  4. Reactiva el antivirus si fue desactivado manualmente.
  5. Si el antivirus vuelve a desactivarse solo, escala: puede ser un indicador de infección activa.

MalwareDetected

Defender encontró algo. La alerta llega antes de que el usuario te lo cuente, si es que te lo cuenta.

Flujo:

  1. Revisa el snapshot de inventario: ¿hay software desconocido instalado?
  2. Ejecuta UpdateSignatures primero — las definiciones actuales pueden resolver lo que las anteriores no detectaron.
  3. Ejecuta FullScan para un análisis completo.
  4. Si Defender ya identificó la amenaza, usa RemoveThreats para eliminarla.
  5. Confirma que el estado de Defender quedó limpio después de la acción.

Los estados de las acciones siguen el ciclo: pending → processing → ready (o failed si algo salió mal). Monitorea ese estado antes de dar el incidente por cerrado.

DefenderExclusionAdded

Se agregó una exclusión a Windows Defender. Hay casos legítimos (software específico que genera falsos positivos), pero en entornos no controlados esto es señal de alerta.

Flujo:

  1. Identifica qué exclusión se agregó y cuándo.
  2. Revisa si coincide con alguna instalación de software reciente en el snapshot.
  3. Si la exclusión no tiene justificación clara, revísala con el usuario o el administrador del equipo.
  4. Ejecuta QuickScan para verificar que no haya actividad activa bajo esa exclusión.

Tip práctico: MalwareDetected y AntivirusDisabled en el mismo equipo en un período corto es combinación de alto riesgo. Trátala como incidente activo, no como dos alertas independientes.

3) Alertas de autenticación: volumen como señal

FailedLoginBurst

Múltiples intentos de inicio de sesión fallidos en un período corto. El umbral considera el volumen en el tiempo, no picos puntuales.

Puede ser un usuario que olvidó su contraseña. Puede ser un ataque de fuerza bruta desde dentro de la red o desde una cuenta comprometida.

Flujo:

  1. Identifica la cuenta afectada y el origen de los intentos.
  2. Si los intentos provienen de una cuenta de usuario conocida, confirma con el usuario.
  3. Si los intentos provienen de una cuenta de servicio o de un origen desconocido, bloquea la cuenta de inmediato y escala.
  4. Revisa si hay otras alertas en el mismo equipo o en equipos del mismo segmento de red.

AccountLockoutBurst

Varias cuentas bloqueadas en un período corto. Más grave que los intentos fallidos: significa que los intentos llegaron al límite de bloqueo, lo que implica volumen y persistencia.

Flujo:

  1. Identifica cuántas cuentas están bloqueadas y si el patrón es en un solo equipo o en varios.
  2. Si es un solo equipo, revisa los procesos activos y el historial de eventos de seguridad.
  3. Si es en múltiples equipos al mismo tiempo, trátalo como posible movimiento lateral o ataque coordinado.
  4. No desbloquees cuentas sin investigar primero el origen.

Tip práctico: FailedLoginBurst seguido de AccountLockoutBurst en el mismo equipo en minutos es el patrón de ataque de fuerza bruta más claro. El orden importa.

4) Alertas de auditoría: lo que cambia sin que nadie te avise

Estas alertas son las más fáciles de ignorar y las más importantes de tener documentadas.

SecurityLogCleared

El registro de eventos de seguridad fue borrado. Hay muy pocas razones legítimas para hacer esto. En la mayoría de los casos, alguien intentó eliminar evidencia de actividad.

Flujo:

  1. Identifica quién realizó la acción (si los logs previos lo permiten).
  2. Revisa si hay otras alertas en ese equipo en las horas previas.
  3. Trata este evento como indicador de compromiso hasta que se demuestre lo contrario.
  4. Ejecuta FullScan en el equipo afectado.

PrivilegedGroupMembershipChange

Alguien fue agregado a un grupo privilegiado (Administradores, por ejemplo).

Flujo:

  1. Confirma si el cambio fue autorizado (por TI o por un proceso de gestión de accesos).
  2. Si no hay registro de autorización, investiga quién realizó el cambio y cuándo.
  3. Si la cuenta agregada no debería tener privilegios, revoca el acceso de inmediato.

AuditPolicyChanged

La política de auditoría del sistema fue modificada. Esto puede reducir qué eventos se registran, haciendo que actividad maliciosa quede sin log.

Flujo:

  1. Compara la política actual con la configuración esperada.
  2. Restaura la política si fue modificada sin autorización.
  3. Revisa si el cambio coincide con actividad sospechosa en snapshots o alertas recientes.

Tip práctico: SecurityLogCleared + AuditPolicyChanged en el mismo equipo en poco tiempo es uno de los patrones de cobertura de rastros más comunes. Si los ves juntos, escala sin esperar.

5) Las acciones de Defender: cómo funciona el ciclo completo

Las cuatro acciones disponibles sobre Windows Defender desde el portal son:

  • QuickScan: escaneo de las áreas de mayor riesgo. Más rápido, ideal como primer paso.
  • FullScan: escaneo completo del sistema. Más lento, pero cubre todo.
  • UpdateSignatures: actualiza las definiciones de virus. Siempre conviene ejecutarlo antes de un escaneo.
  • RemoveThreats: elimina las amenazas que Defender ya identificó.

El ciclo de una acción sigue estos estados: pending (en cola) → processing (ejecutándose en el dispositivo) → ready (completada) o failed (algo falló en la ejecución).

No des un incidente por cerrado hasta ver el estado ready. Si el estado queda en failed, revisa la conectividad del agente y si el servicio de Defender está activo en el equipo.

Estas acciones aplican también en masa: si un incidente afecta múltiples equipos, puedes lanzar UpdateSignatures + FullScan en toda la flota afectada desde el portal sin conectarte a cada dispositivo.

Tip práctico: el orden recomendado siempre es UpdateSignatures primero, luego el escaneo. Definiciones desactualizadas pueden dejar pasar amenazas que versiones recientes ya detectan.

Cierre

Las alertas de seguridad no tienen valor si no hay un flujo claro de respuesta. La diferencia entre un equipo que contiene un incidente en 20 minutos y uno que lo descubre tres días después no es suerte: es proceso.

Con un playbook claro por tipo de alerta, contexto de inventario antes de actuar, y acciones de Defender disponibles desde el portal, el ciclo alerta → diagnóstico → acción → verificación se vuelve rutina.

Lunixar RMM te da las herramientas para ese ciclo: alertas event-driven, snapshots de inventario históricos, y acciones remotas sobre Defender sin necesidad de conexión remota. Si todavía no lo tienes corriendo en tu flota, la prueba de 3 semanas no requiere tarjeta de crédito.