{"id":22006,"date":"2026-07-11T07:59:27","date_gmt":"2026-07-11T07:59:27","guid":{"rendered":"https:\/\/www.securitytoday.de\/?p=22006"},"modified":"2026-07-11T10:23:13","modified_gmt":"2026-07-11T10:23:13","slug":"un-control-de-punto-final-ciego-debido-a-un-controlador-firmado","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2026\/07\/11\/un-control-de-punto-final-ciego-debido-a-un-controlador-firmado\/","title":{"rendered":"Un control de punto final ciego debido a un controlador firmado"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">5 Min. de lectura<\/p>\n<p><strong>Un controlador con firma v\u00e1lida de Microsoft desactiva los procesos de protecci\u00f3n en el endpoint. La herramienta de seguridad sigue funcionando, pero deja de informar. Este mismo patr\u00f3n ha sido observado por el equipo de cazadores de amenazas de Symantec en el grupo detr\u00e1s del ransomware GodDamn. El caso muestra menos un nuevo malware que los l\u00edmites de la confianza en los controladores de Windows.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">Lo m\u00e1s importante en resumen<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li style=\"margin-bottom:12px;\"><strong style=\"color:#69d8ed;\">La firma no es protecci\u00f3n.<\/strong> Un controlador de kernel con firma v\u00e1lida llamado PoisonX finaliza los procesos de defensa del endpoint y elimina sus hooks. La consola permanece en silencio.<\/li>\n<li style=\"margin-bottom:12px;\"><strong style=\"color:#69d8ed;\">Bastan permisos de administrador.<\/strong> Windows carga autom\u00e1ticamente el controlador firmado en el kernel. No se necesita ning\u00fan exploit adicional ni CVE.<\/li>\n<li><strong style=\"color:#69d8ed;\">La detecci\u00f3n vence a la confianza.<\/strong> La telemetr\u00eda de carga de controladores, la lista de bloqueo de controladores vulnerables y la minimizaci\u00f3n consecuente de privilegios act\u00faan donde falla la verificaci\u00f3n de firmas.<\/li>\n<\/ul>\n<\/div>\n<p style=\"border-top:1px solid rgba(230,227,218,0.14);border-bottom:1px solid rgba(230,227,218,0.14);padding:14px 0;margin:28px 0;font-size:0.92em;color:#b8c5ce;\"><strong style=\"color:#69d8ed;\">Relacionado:<\/strong> <a href=\"https:\/\/www.securitytoday.de\/es\/2026\/07\/10\/que-son-edr-xdr-definicion-diferencias\/\">Qu\u00e9 diferencia realmente a EDR y XDR<\/a> &nbsp;\u00b7&nbsp; <a href=\"https:\/\/www.securitytoday.de\/es\/2026\/07\/08\/que-es-ransomware-definicion-proceso-proteccion\/\">C\u00f3mo se desarrolla un ataque de ransomware<\/a><\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Qu\u00e9 hay detr\u00e1s del controlador firmado<\/h2>\n<p><strong>\u00bfQu\u00e9 es un ataque BYOVD?<\/strong> \u00abBring Your Own Vulnerable Driver\u00bb (Trae tu propio controlador vulnerable) describe una t\u00e9cnica en la que un atacante con permisos de administrador introduce en el sistema un controlador con firma v\u00e1lida, pero defectuoso o malicioso. Windows verifica la firma, la considera correcta y carga el controlador en el kernel. No se necesita un exploit adicional.<\/p>\n<p>En el caso de GodDamn, el controlador se llama PoisonX y tiene una firma aut\u00e9ntica del Microsoft Windows Hardware Compatibility Publisher. Symantec destaca una particularidad: el BYOVD cl\u00e1sico abusa de un controlador leg\u00edtimo, pero vulnerable. En cambio, PoisonX es un controlador malicioso desde el principio, que sus desarrolladores han logrado hacer pasar por la verificaci\u00f3n de firmas. Una vez cargado, finaliza los procesos de la defensa del endpoint y elimina los hooks en modo usuario, a trav\u00e9s de los cuales el antivirus y el EDR monitorizan el sistema. El agente sigue formalmente activo, pero su visi\u00f3n de lo que ocurre ha desaparecido.<\/p>\n<p>GodDamn no es un desarrollo nuevo. Broadcom atribuye esta familia a un actor llamado Hyadina y la considera sucesora de Beast, que a su vez surgi\u00f3 de la l\u00ednea m\u00e1s antigua Monster. PoisonX no aparece solo en este grupo. El controlador ya est\u00e1 documentado en otras cajas de herramientas y, por tanto, es un componente com\u00fan, no un caso aislado.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">La larga fase previa al cifrado<\/h2>\n<p>El cifrado est\u00e1 al final de una cadena, no al principio. En la campa\u00f1a descrita por Symantec, los atacantes obtuvieron acceso a trav\u00e9s de la herramienta de mantenimiento remoto AnyDesk y la colocaron en un lugar discreto dentro del perfil de usuario. Despu\u00e9s, utilizaron un conjunto de herramientas NirSoft de libre acceso para recopilar credenciales.<\/p>\n<p>Solo entonces los atacantes se movieron lateralmente por la red, desactivaron Defender mediante sus propios comandos de administraci\u00f3n y configuraron servicios para la persistencia. Hasta el despliegue del ransomware, se vieron afectados unos diez sistemas. Esta fase previa dura horas o incluso d\u00edas. Es la verdadera ventana de detecci\u00f3n.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Por qu\u00e9 la confianza en las firmas llega a sus l\u00edmites<\/h2>\n<p>La suposici\u00f3n generalizada es: lo que est\u00e1 firmado es de confianza. El caso PoisonX lo desmiente. Una firma v\u00e1lida acredita el origen de un c\u00f3digo, pero no dice nada sobre su intenci\u00f3n. En cuanto un atacante obtiene derechos de administrador, la firma se convierte en el pase de entrada al kernel.<\/p>\n<p>Microsoft aborda esto con una lista de bloqueo de controladores problem\u00e1ticos conocidos y con integridad de c\u00f3digo protegida por hipervisor. Ambos mecanismos ayudan, pero act\u00faan de forma reactiva. Entre el descubrimiento de un controlador malicioso y su inclusi\u00f3n en la lista de bloqueo existe una ventana. No todos los sistemas tienen activada la aislamiento del n\u00facleo. La compatibilidad con software antiguo retrasa adem\u00e1s su implementaci\u00f3n.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Qu\u00e9 aporta concretamente el Detection Engineering<\/h2>\n<p>La clave est\u00e1 en el comportamiento, no en la firma. La carga de un controlador del kernel es un evento raro y f\u00e1cilmente observable. Sysmon lo registra con hash, estado de la firma y ruta. Un controlador que se carga desde una carpeta de usuario en lugar del directorio del sistema es una se\u00f1al clara.<\/p>\n<p>Igualmente revelador es la creaci\u00f3n de un servicio del kernel desde una fuente inusual, as\u00ed como la finalizaci\u00f3n repentina de procesos de seguridad. Quien correlacione estos tres eventos ver\u00e1 el ataque antes de que comience el cifrado.<\/p>\n<div data-element=\"checklist\" style=\"background:#23261f;border:1px solid rgba(105,216,237,0.22);border-radius:10px;padding:22px 24px;margin:32px 0;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 2px 10px rgba(0,0,0,0.22);\">\n<p style=\"margin:0 0 12px;font-family:'IBM Plex Mono',ui-monospace,SFMono-Regular,monospace;font-size:0.72em;letter-spacing:0.12em;text-transform:uppercase;color:#69d8ed;\">Revisar de inmediato<\/p>\n<ul style=\"margin:0;padding-left:0;list-style:none;\">\n<li style=\"margin:0 0 10px;padding-left:26px;position:relative;color:#e6e3da;line-height:1.5;\"><span style=\"position:absolute;left:0;color:#69d8ed;\">&#10003;<\/span>Activar el aislamiento del n\u00facleo y la integridad de la memoria (HVCI) en los endpoints donde el hardware y los controladores lo permitan.<\/li>\n<li style=\"margin:0 0 10px;padding-left:26px;position:relative;color:#e6e3da;line-height:1.5;\"><span style=\"position:absolute;left:0;color:#69d8ed;\">&#10003;<\/span>Aplicar la lista de bloqueo de controladores vulnerables de Microsoft y complementarla con reglas WDAC propias contra controladores de abuso conocidos de LOLDrivers.<\/li>\n<li style=\"margin:0 0 10px;padding-left:26px;position:relative;color:#e6e3da;line-height:1.5;\"><span style=\"position:absolute;left:0;color:#69d8ed;\">&#10003;<\/span>Alertar sobre eventos de carga de controladores (Sysmon Evento 6) en rutas inusuales, as\u00ed como sobre la instalaci\u00f3n de servicios del kernel (Registro del sistema 7045).<\/li>\n<li style=\"margin:0 0 10px;padding-left:26px;position:relative;color:#e6e3da;line-height:1.5;\"><span style=\"position:absolute;left:0;color:#69d8ed;\">&#10003;<\/span>Activar la protecci\u00f3n contra manipulaciones del EDR para que el agente no pueda desactivarse f\u00e1cilmente.<\/li>\n<li style=\"margin:0 0 10px;padding-left:26px;position:relative;color:#e6e3da;line-height:1.5;\"><span style=\"position:absolute;left:0;color:#69d8ed;\">&#10003;<\/span>Eliminar los derechos de administrador local en el uso cotidiano, aplicar LAPS y un modelo de estratificaci\u00f3n.<\/li>\n<\/ul>\n<\/div>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">La minimizaci\u00f3n de privilegios como requisito<\/h2>\n<p>Todas las medidas mencionadas comparten un requisito. Sin derechos de administrador, ning\u00fan atacante carga un controlador en el kernel. Precisamente por eso, la minimizaci\u00f3n de privilegios est\u00e1 al inicio de cualquier respuesta efectiva, no al final.<\/p>\n<p>En concreto, esto significa: no otorgar derechos de administrador local permanentes, acceso Just-in-Time para tareas privilegiadas, LAPS para las cuentas locales y una estratificaci\u00f3n que mantenga a los administradores de dominio alejados de los endpoints. Las listas de bloqueo, HVCI y la telemetr\u00eda despliegan su efecto solo cuando los derechos de administrador ampliamente distribuidos no hacen ya la mitad del trabajo a los atacantes.<\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Preguntas frecuentes<\/h2>\n<p class=\"st-faq-hint\">Cada pregunta est\u00e1 bloqueada. Un toque desbloquea la respuesta.<\/p>\n<details>\n<summary><strong>\u00bfQu\u00e9 es un ataque BYOVD?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Bring Your Own Vulnerable Driver (Trae tu propio controlador vulnerable) se refiere a la introducci\u00f3n de un controlador firmado v\u00e1lidamente, pero defectuoso o malicioso, por parte de un atacante con derechos de administrador. Windows conf\u00eda en la firma y carga el controlador en el kernel, donde se ejecuta con los m\u00e1ximos privilegios.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfEs suficiente un EDR actualizado contra esta t\u00e9cnica?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">No por s\u00ed solo. El controlador firmado ataca directamente al sistema de defensa y le resta visibilidad. La detecci\u00f3n solo resulta efectiva en combinaci\u00f3n con protecci\u00f3n contra manipulaci\u00f3n, telemetr\u00eda de controladores y la retirada de derechos de administrador.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfProtege de forma fiable la Microsoft Vulnerable Driver Blocklist?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Ayuda, pero act\u00faa de forma reactiva. Entre el descubrimiento de un controlador y su inclusi\u00f3n en la lista, queda una ventana de exposici\u00f3n. Las propias reglas WDAC contra controladores conocidos por su mal uso cierran parcialmente esta brecha.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfC\u00f3mo se detecta el ataque en el registro?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Tres eventos son reveladores: la carga de un controlador de kernel desde una carpeta de usuario, la creaci\u00f3n de un servicio de kernel desde una fuente inusual y el cierre repentino de procesos de seguridad. Correlacionados, ofrecen una imagen clara.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfCu\u00e1l es el primer paso m\u00e1s importante?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">La reducci\u00f3n de los derechos de administrador distribuidos de forma generalizada. Sin estos derechos, no es posible cargar un controlador en el kernel. Todas las dem\u00e1s medidas de control se basan en esto.<\/p>\n<\/details>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Lecturas recomendadas por la redacci\u00f3n<\/h3>\n<p><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/07\/10\/que-son-edr-xdr-definicion-diferencias\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/was-ist-edr-xdr-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Lectura recomendada<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Qu\u00e9 diferencia realmente a EDR y XDR<\/span><\/span><\/a><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/07\/08\/que-es-ransomware-definicion-proceso-proteccion\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/was-ist-ransomware-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Lectura recomendada<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">C\u00f3mo se desarrolla un ataque de ransomware<\/span><\/span><\/a><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/07\/02\/cuando-los-atacantes-son-mas-rapidos-que-los-parches\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/06\/sov-report-2026-schwachstellen-tempo-cover-hero-250x141.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Lectura recomendada<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Cuando los atacantes son m\u00e1s r\u00e1pidos que el parche<\/span><\/span><\/a><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">M\u00e1s del MBF Media Netzwerk<\/h3>\n<p><a href=\"https:\/\/www.cloudmagazin.com\/2026\/07\/08\/ki-modell-denken-anthropic-j-space\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-ki-modell-denken-anthropic-j-space-86585047.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#0bb7fd;margin-bottom:5px;\">cloudmagazin<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Por primera vez se puede observar a una IA pensando<\/span><\/span><\/a><a href=\"https:\/\/mybusinessfuture.com\/ki-mittelstand-pilot-skalierung-roi-roadmap\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/mybusinessfuture.com\/wp-content\/uploads\/2026\/07\/ki-mittelstand-pilot-skalierung-roi-roadmap-cover-hero-760x434.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#aa8ac2;margin-bottom:5px;\">MyBusinessFuture<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">IA en las pymes: del piloto a la escalabilidad<\/span><\/span><\/a><a href=\"https:\/\/www.digital-chiefs.de\/konglomerat-holding-aumovio-tkms-siemens-it-carve-out-2026\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-konglomerat-holding-aumovio-tkms-siemens-42852037-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#e8828d;margin-bottom:5px;\">Digital Chiefs<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">La TI decide si la escisi\u00f3n vale la pena<\/span><\/span><\/a><\/p>\n<p style=\"text-align:right;color:#868e96;font-size:0.85em;margin-top:48px;\"><em>Fuente de la imagen: generada por IA (julio de 2026)<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"Ciberseguridad: Un controlador de kernel firmado por Microsoft desactiva la protecci\u00f3n EDR.","protected":false},"author":10,"featured_media":21989,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"with a maximum of 1 to 4 words. Let me start by breaking down the terms. First, \"BYOVD\" \u2013 I'm not immediately familiar with this acronym. It might","_yoast_wpseo_title":"Un control de punto final ciego debido a un controlador firmado","_yoast_wpseo_metadesc":"Ciberseguridad: Un controlador de kernel firmado por Microsoft desactiva la protecci\u00f3n EDR.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"evm_cvss":0,"evm_risk":0,"evm_casefile":"","evm_primary_cve":"","_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[254],"tags":[74],"class_list":["post-22006","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-praxis-umsetzung","tag-ransomware"],"evm_reading_time_minutes":8,"wpml_language":"es","wpml_translation_of":21988,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/22006","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=22006"}],"version-history":[{"count":1,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/22006\/revisions"}],"predecessor-version":[{"id":22007,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/22006\/revisions\/22007"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/21989"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=22006"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=22006"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=22006"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}