Microsoft Defender aísla solo los dispositivos atacados antes de que el daño se extienda

Microsoft prepara una actualización de Microsoft Defender para punto de conexión que aísla de forma automática y temporal los dispositivos comprometidos en cuanto detecta un ciberataque, con el objetivo de impedir que la amenaza se propague al resto de la infraestructura de la organización. La función forma parte de la interrupción automática de ataques y fue anunciada el 26 de mayo de 2026 en la actualización de mayo de funciones en vista previa.

Microsoft Defender para punto de conexión es la solución corporativa de Microsoft diseñada para proteger la infraestructura digital de empresas y organizaciones frente a amenazas avanzadas, incluido el 'ransomware'. Con esta actualización, la plataforma da un paso más allá de la detección y pasa a actuar de forma reactiva y autónoma ante un incidente en curso.

Cómo funciona el aislamiento automático

El mecanismo actúa en el momento en que Microsoft Defender identifica que un dispositivo ha sido comprometido. El sistema lo aísla de forma temporal bloqueando la mayor parte del tráfico de red, lo que impide que el atacante pueda moverse lateralmente hacia otros equipos del entorno corporativo. La compañía ha sido explícita sobre el alcance de esa restricción: "El aislamiento bloquea la mayor parte del tráfico de la red mientras mantiene el dispositivo conectado a los servicios de seguridad".

Ese matiz es clave. El dispositivo aislado no queda completamente incomunicado: mantiene la conexión con Microsoft Defender para punto de conexión, lo que permite que la plataforma siga monitorizándolo durante todo el periodo de aislamiento. No se trata de una desconexión ciega, sino de una contención quirúrgica que preserva la capacidad de análisis y respuesta.

El equipo de seguridad mantiene el control

El personal de seguridad de la organización puede hacer un seguimiento completo del dispositivo aislado a través del portal de Defender y tiene la potestad de liberar el equipo en cualquier momento si lo considera oportuno. Esto significa que la automatización no sustituye al criterio humano: lo asiste y le gana tiempo cuando cada segundo cuenta.

La posibilidad de liberar el dispositivo manualmente es relevante en entornos donde un equipo comprometido puede ser también crítico para la operativa del negocio. El equipo de seguridad no pierde visibilidad ni capacidad de intervención durante el proceso.

Contención frente a propagación: la lógica detrás del cambio

Uno de los vectores más destructivos de los ataques modernos, especialmente del 'ransomware', es la capacidad de moverse lateralmente por la red corporativa una vez que se ha comprometido un primer dispositivo. El tiempo entre la detección inicial y la contención manual puede ser suficiente para que el ataque cifre decenas o cientos de máquinas adicionales.

La interrupción automática de ataques —de la que forma parte esta nueva función de aislamiento— responde precisamente a ese problema: reducir a cero el tiempo de respuesta inicial sin depender de que un analista esté disponible en el momento exacto del incidente. La automatización actúa como primer perímetro de contención mientras el equipo humano evalúa y decide.

Disponibilidad y fase de lanzamiento

Microsoft ha presentado esta capacidad dentro de la actualización de mayo de 2026 de funciones en vista previa de Microsoft Defender para punto de conexión. No se ha detallado la fecha exacta de disponibilidad general ni los requisitos de licencia específicos necesarios para activar la función en entornos productivos.