La mayoría de los sistemas de acceso corporativo recopilan información sobre el dispositivo solo en el momento en que se establece la conexión: IP, nombre del OS, quizá huella TLS, quizá token MDM. Después, ese dato no se vuelve a tocar. Durante una sesión que dura horas se asume que el estado del dispositivo no ha cambiado — que no se han aplicado parches, que el agente de Protección frente a Amenazas en el Dispositivo (EDR) no se ha apagado, que no se ha instalado un nuevo software, que no se ha conectado una unidad USB.
Esta suposición no se ajusta al modelo de ataque moderno. Un dispositivo puede comprometerse después de abrir la sesión, el agente de Protección frente a Amenazas en el Dispositivo (EDR) puede detenerse, puede cargarse malware, puede modificarse la configuración. El sistema clásico no lo ve porque nunca mira.
La telemetría continua rompe este modelo. Se recopila telemetría del dispositivo de forma periódica — del orden de segundos o minutos —; el cambio de estado se registra y, cuando se supera un umbral, se dispara la política.
El agente TR7 ETM mide de forma continua el estado interno del dispositivo y lo comparte en vivo con el resto del stack de TR7.
Se ofrece un agente de ETM con la misma capacidad para Windows, macOS y Linux. El equipo de operaciones no tiene que gestionar diferentes cadenas de herramientas para diferentes sistemas operativos; todo el inventario de dispositivos se monitorea desde una única plataforma.
El agente recopila telemetría en los intervalos configurados — del orden de segundos o minutos según el sector y el nivel de riesgo. Los datos se relacionan con el tiempo; un cambio de estado se interpreta como un 'evento', no como una fotografía instantánea.
Inventario de software, procesos en ejecución, puertos abiertos, archivos de configuración, almacenes de certificados, cuentas de usuario locales, inventario de hardware, cifrado de disco, interfaces de red, estado del agente de seguridad, claves de registro, eventos del registro del sistema — decenas de categorías de datos bajo un único agente.
Cuando se superan los umbrales definidos, cuando cambia una configuración crítica o cuando se inicia un proceso inesperado, ETM genera un evento. AAM puede vincular este evento a la decisión de acceso, enviarlo al SIEM o generar una alerta para el operador.
La telemetría continua no es solo recopilar datos; es una capa de visibilidad viva que vincula los datos a las decisiones de acceso y de operación.
La lista de software instalado en el dispositivo, la información de versión, el proveedor y la fecha de instalación se monitorean de forma continua. La instalación de software no autorizado, el uso de versiones antiguas y las aplicaciones fuera del inventario de software aprobado se hacen visibles mediante ETM. El cumplimiento de licencias y el cumplimiento de la política de seguridad se alimentan del mismo dato.
Los pasos de configuración que cambian después de que el dispositivo se ajusta a la política de seguridad — reglas del firewall local, archivos de autorización, políticas de auditoría, cambios de registry/plist — se siguen de forma continua. La desviación respecto al baseline puede convertirse en una decisión de acceso o en una alerta para el operador.
Los datos SMART del disco, los recuentos de errores de memoria, la temperatura de la CPU y los errores de las interfaces de red se miden de forma continua. Los problemas de hardware se señalan al equipo de operaciones antes de la decisión de acceso; se abre un margen de intervención antes de que se produzca una mala experiencia de usuario por avería.
El estado de los agentes de Protección frente a Amenazas en el Dispositivo (EDR), antivirus, host firewall y DLP que operan en el dispositivo se controla de forma continua. El apagado, la deshabilitación o el bloqueo de estos agentes llega a ETM como un evento instantáneo. Esta señal se convierte en una entrada de primera clase para la decisión de acceso de AAM.
Además del disco del sistema, también se hace visible el estado de cifrado de los discos secundarios. El estado proveniente de las soluciones de cifrado de disco nativas de la plataforma (para Windows, macOS, Linux) se normaliza mediante ETM y se convierte en una única entrada de política. El apagado del cifrado se captura al instante.
Los cambios en los almacenes de certificados del dispositivo — la adición de un nuevo certificado raíz de confianza, los eventos de firma que muestran indicios de manipulación — se registran de forma continua. Esta telemetría es una señal especialmente valiosa para la detección de TLS interception y proxy oculto.
Eventos como la creación de un nuevo usuario local, la adición de una cuenta existente al grupo de administradores o el cambio de la política de contraseñas se incluyen en la telemetría. Los cambios en la superficie de autorización del dispositivo no escapan a la capa de control corporativo.
Las interfaces de red activas, las configuraciones de IP, la asignación de servidores DNS, la ruta predeterminada y el estado del túnel VPN se miden de forma continua. Un túnel inesperado, una asignación de DNS inusual o el acceso simultáneo desde dos redes se hacen visibles mediante ETM.
El árbol de procesos en ejecución en el dispositivo, el tiempo de inicio, las relaciones de proceso padre y los puertos de red abiertos se registran. El inicio de un servicio anómalo o el comienzo de la escucha en un puerto inesperado se refleja como un evento.
Los datos provenientes de tres sistemas operativos diferentes se normalizan en un único modelo de datos. El operador no tiene que escribir consultas separadas para Windows y Linux; la misma política puede aplicarse a todo el inventario de dispositivos.
La telemetría continua no es solo una capacidad técnica; es todo un modelo operativo para la retención, el consumo y la integración de las decisiones de los datos.
Puede definirse un intervalo de recopilación separado para cada categoría de datos. Las categorías críticas — estado del agente de seguridad, cifrado de disco — pueden ser del orden de segundos; las categorías de baja intensidad — inventario de software — pueden ser horarias o diarias. El equipo de operaciones determina el equilibrio según la carga del dispositivo y de la red.
La telemetría no solo se almacena; pueden definirse umbrales para los cambios de estado. Cuando el agente de Protección frente a Amenazas en el Dispositivo (EDR) deja de funcionar, cuando un nuevo usuario se añade al grupo de administradores o cuando se apaga el cifrado de disco, ETM genera un evento.
Cuando la telemetría se transfiere al lado de AAM, el nivel de confianza de un dispositivo se actualiza de forma continua. Para un dispositivo cuyo estado se deteriora después del login, AAM puede solicitar MFA adicional o finalizar la sesión.
La telemetría puede transferirse al SIEM en su forma cruda o a nivel de evento. Se proporciona un flujo hacia las plataformas SIEM corporativas para el registro de largo plazo. La correlación de eventos puede realizarse junto con la capa de acceso a la aplicación.
Las categorías de datos a recopilar y el nivel de detalle se gestionan mediante política. Pueden configurarse la no recopilación de datos excesivos, el enmascaramiento de los campos que contienen información personal y la limitación del periodo de retención. Puede realizarse una configuración adecuada para el GDPR y los reguladores sectoriales.
La capa de recopilación y evaluación de telemetría escala para gestionar decenas de miles de endpoints desde un único clúster TR7. La retención, la consulta y la investigación retrospectiva se planifican según la intensidad de los datos.
Si en un dispositivo seguro en el momento del login el atacante detiene el agente de Protección frente a Amenazas en el Dispositivo (EDR), ETM captura esta situación en segundos. AAM puede disparar automáticamente MFA adicional, suspender la sesión o aplicar un bloqueo total.
Cuando un usuario que accede a datos financieros o sanitarios conecta una nueva unidad USB durante la sesión, ETM lo refleja como un evento. Según la política, pueden activarse controles adicionales de prevención de copia de datos o generarse una alerta para el operador.
La adición de un nuevo certificado a los certificados raíz de confianza de un dispositivo puede ser un indicio de TLS interception. ETM registra este cambio como un evento instantáneo; el equipo de seguridad puede iniciar una investigación o el dispositivo pasa a la clase at-risk.
Las aplicaciones fuera del inventario de software aprobado, sin licencia o en versión antigua se reportan de forma continua. El equipo de operaciones realiza los planes de parcheo según el inventario real; la cadena de evidencias queda lista para los procesos de auditoría.
Veamos ETM Telemetría Continua en su propio entorno — planifiquemos un recorrido de instalación en vivo adaptado a su inventario de dispositivos.