Todos los casos
Seguridad

Software cliente para un dispositivo hardware de desinfección de malware USB

El agente de endpoint y el servidor de gestión que permiten que un dispositivo hardware de desinfección USB se imponga en toda una flota — ningún medio sin verificar se abre.

100%de los medios USB verificados antes de montarse

De un vistazo

  • Sector: Seguridad — control de medios extraíbles (USB)
  • Nuestro papel: Construimos el agente de endpoint y el servidor central de gestión para un dispositivo hardware de desinfección USB
  • Tecnología: Servicio de Windows + servidor de gestión ASP.NET Core (gRPC, TLS), basado en X.509 — totalmente auditable y propiedad del cliente

El desafío

El puerto USB es una de las vías más antiguas por las que el malware entra en una red segura: una sola unidad sin comprobar, conectada a un equipo, puede colar una infección sorteando todos los cortafuegos. Un hardware especializado puede analizar y limpiar una unidad en un quiosco, pero eso solo sirve si la gente lo usa de verdad. Nada impide que alguien se salte el quiosco y conecte una memoria sin comprobar directamente en una estación de trabajo.

Para cerrar esa brecha, la limpieza no puede ser opcional. Tiene que imponerse en cada endpoint y gestionarse en toda la flota de equipos, no configurarse de uno en uno.

El enfoque

RaulWalter construyó el software que convierte un dispositivo de desinfección independiente en una imposición a escala de toda la flota:

  • un agente de endpoint — un servicio de Windows en cada PC protegido que intercepta cualquier dispositivo de almacenamiento USB en el momento de conectarse, lo monta primero en privado y no lo expone al usuario hasta haber verificado la firma separada del dispositivo y comprobado cada archivo de la unidad contra un manifiesto SHA-512 firmado — nada añadido, cambiado ni borrado. Todo lo no firmado, desconocido o manipulado se desmonta al instante;
  • un servidor central de gestión — un servicio ASP.NET Core con una consola web y una interfaz gRPC que gestiona la flota de agentes y recoge sus registros por TLS, vinculado al certificado X.509 propio de cada dispositivo;
  • construido según las condiciones del cliente: el código es totalmente auditable, propiedad del cliente y no depende de nada propietario más allá de Windows.

El resultado

En un PC protegido, una unidad USB sencillamente no se abre a menos que el dispositivo la haya limpiado y firmado — y siga siendo exactamente como se firmó.

  • 100% de los medios USB conectados verificados antes de permitir su montaje
  • Medios no firmados, desconocidos o manipulados bloqueados en el puerto, de forma automática
  • Integridad por archivo — cada archivo comprobado contra un manifiesto SHA-512 firmado, con montaje primero privado y luego público, de modo que el usuario nunca toca medios sin verificar
  • Gestionado y registrado de forma centralizada en toda la flota desde un único servidor
  • Código auditable y propiedad del cliente, sin dependencias propietarias más allá de Windows
Siguiente proyecto

Hacer que la confianza digital cruce fronteras en los Balcanes Occidentales

Guiar a seis economías de los Balcanes Occidentales hacia el reconocimiento mutuo de servicios de confianza — sobre el modelo eIDAS, como una región, hacia la UE.

Ver