¿Qué es Cytomic y cuál es su relación con WatchGuard?

Cytomic era la división enterprise de Panda Security, adquirida por WatchGuard en 2020. El producto principal es WatchGuard EPDR (Endpoint Protection Detection and Response), que combina EPP+EDR con el servicio Zero-Trust Application Service que clasifica el 100% de los procesos ejecutados.

¿Qué es el Zero-Trust Application Service?

Es el diferenciador clave de Cytomic/WatchGuard EPDR. Clasifica automáticamente CADA proceso que se ejecuta como goodware, malware o PUP usando machine learning y análisis en la nube. En modo Lock, solo permite ejecutar procesos clasificados como goodware. Esto bloquea malware desconocido por defecto.

¿Cytomic es adecuado para un SOC enterprise?

Sí. Cytomic/WatchGuard EPDR se usa en SOCs enterprise, especialmente en España y LATAM. Ofrece visibilidad completa de endpoints, servicio de Threat Hunting gestionado, y capacidad de investigación profunda. Su modelo de clasificación 100% le da ventaja en entornos con baja tolerancia al riesgo.

¿Cómo se compara Cytomic con CrowdStrike o Cortex?

Cytomic destaca en el modelo de zero-trust (clasifica todo, no solo lo sospechoso) y en el servicio gestionado de threat hunting. CrowdStrike y Cortex tienen ecosistemas más amplios (cloud security, identity) y mayor cobertura en evaluaciones MITRE ATT&CK. Cytomic es más fuerte en cumplimiento normativo europeo y soporte local.

¿Qué telemetría recolecta Cytomic?

Registra: creación/modificación/eliminación de ficheros, ejecución de procesos con línea de comandos, conexiones de red, modificaciones de registro, carga de DLLs, operaciones DNS y actividad de usuarios. Todo se envía a la nube de WatchGuard para análisis y correlación.

IntermedioCytomicWatchGuardEDREPDRzero-trustSOC

Guía para Analistas EDR con Cytomic (WatchGuard EPDR)

Guía práctica de Cytomic/WatchGuard EPDR para analistas SOC. Zero-Trust Application Service, Threat Hunting, investigación de incidentes, automatización y mejores prácticas.

MalwareIntel Research·22 de mayo de 2026·6 min lectura

Serie: Defensa y EDR/XDR — Parte 10

Cytomic / WatchGuard EPDR

WatchGuard EPDR (antes Cytomic EPDR, antes Panda Adaptive Defense 360) es una plataforma de protección y detección de endpoints que se distingue por su modelo Zero-Trust Application Service: clasifica el 100% de los procesos ejecutados en todos los endpoints, no solo los sospechosos.

Este enfoque invierte el paradigma tradicional: en vez de buscar malware entre lo desconocido, clasifica todo y solo permite ejecutar lo verificado como legítimo.

Arquitectura de la plataforma

WatchGuard EPDR Architecture:

  Cloud (WatchGuard)
  ├── Classification Service (ML + analistas)
  │   ├── Clasifica 100% de binarios ejecutados
  │   ├── Goodware / Malware / PUP / Desconocido
  │   └── Respuesta promedio: minutos para clasificar
  ├── Threat Hunting Service
  │   ├── Equipo de hunters WatchGuard
  │   ├── Monitorización proactiva
  │   └── Alertas contextualizadas al cliente
  └── Management Console (Aether)
      ├── Dashboard de estado
      ├── Políticas y configuración
      ├── Investigación de incidentes
      └── Reportes y compliance

  Endpoint Agent
  ├── EPP (protección tradicional: firmas, heurística)
  ├── EDR (monitorización de comportamiento)
  ├── Telemetría completa (procesos, red, ficheros, registro)
  └── Modo Lock / Hardening / Audit

Fuentes de telemetría

Fuente	Datos recolectados
Procesos	Ejecución, línea de comandos, padre-hijo, hashes
Ficheros	Creación, modificación, eliminación, renombrado
Red	Conexiones TCP/UDP, DNS, URLs
Registro	Claves creadas, modificadas, eliminadas
DLLs	Carga de bibliotecas, firma, ruta
Usuarios	Login, logout, escalada de privilegios

Flujo de investigación

1. Alertas

El dashboard Aether muestra alertas categorizadas:

Malware detectado: clasificado por el servicio en la nube
PUP: programas potencialmente no deseados
Exploits bloqueados: intentos de explotación interceptados
Comportamiento anómalo: actividad que no coincide con el perfil del endpoint

2. Investigación en la consola

Vistas clave para el analista:

Timeline de eventos:
  Secuencia cronologica de toda la actividad del endpoint
  Filtrable por tipo (proceso, fichero, red, registro)

Graph de relaciones:
  Visualizacion de relaciones entre procesos, ficheros y conexiones
  Similar al Causality View de Cortex o Process Tree de CrowdStrike

Detalle de proceso:
  Hash, ruta, linea de comandos, padre, firma digital
  Clasificacion del Zero-Trust Service
  Conexiones de red realizadas
  Ficheros creados/modificados

3. Clasificación de procesos

El corazón de Cytomic es la clasificación:

Estado	Significado	Acción
Goodware	Verificado como legítimo	Ejecución permitida
Malware	Clasificado como malicioso	Bloqueado y eliminado
PUP	Potencialmente no deseado	Según política (bloquear/permitir)
En clasificación	Pendiente de análisis en la nube	Según modo (Lock: bloqueado, Audit: permitido)

4. Respuesta y contención

Acciones disponibles desde la consola:

Aislar endpoint: cortar comunicación de red manteniendo conexión con la nube
Detener proceso: kill de proceso malicioso
Bloquear hash: añadir a lista negra corporativa
Reiniciar en modo seguro: para eliminación de malware persistente
Recopilar evidencia: volcado de memoria, ficheros, logs

Zero-Trust Application Service en detalle

Modos de operación

Modo AUDIT:
  Monitoriza y clasifica todo pero no bloquea
  Ideal para fase de despliegue inicial
  Genera inventario completo de software

Modo HARDENING:
  Bloquea malware conocido y desconocido
  Permite software ya instalado en el endpoint
  Bloquea nuevos ejecutables no clasificados como goodware
  Equilibrio entre seguridad y operatividad

Modo LOCK:
  Solo permite ejecutar goodware clasificado
  Maxima seguridad, minima superficie de ataque
  Requiere proceso de allowlisting maduro
  Ideal para servidores y endpoints criticos

Ventajas del modelo

Bloquea malware desconocido por defecto (en modo Lock/Hardening). No necesita firma ni heurística previa.
Inventario completo de software. Sabe exactamente qué se ejecuta en cada endpoint.
Reduce falsos negativos. Si no está clasificado como goodware, no se ejecuta.
Compliance. Demuestra control total sobre software ejecutado (útil para ENS, ISO 27001, NIS2).

Búsqueda de amenazas (Threat Hunting)

Servicio gestionado

WatchGuard incluye un servicio de Threat Hunting gestionado por su equipo de analistas:

Monitorización proactiva de indicadores de ataque (IOAs)
Búsqueda de TTPs en la telemetría de todos los clientes
Alertas contextualizadas con recomendaciones de acción
Informes periódicos de hallazgos

Hunting manual

El analista puede buscar en la telemetría usando la consola:

Queries utiles en Cytomic:

# Procesos ejecutados desde directorios temporales
path contains "%TEMP%" AND classification = "unknown"

# PowerShell con parametros sospechosos
process = "powershell.exe" AND commandline contains "-enc"

# Conexiones a paises inusuales
connection.country NOT IN ("ES", "US", "DE", "FR") AND connection.port = 443

# DLLs sin firma cargadas por procesos firmados
dll.signed = false AND process.signed = true

# Creacion de tareas programadas
action = "registry_write" AND key contains "CurrentVersion\Run"

Playbooks y automatización

Cytomic permite configurar respuestas automáticas:

Trigger	Acción automática
Malware detectado	Aislar + eliminar + notificar
Exploit bloqueado	Log + notificar + recopilar contexto
Proceso no clasificado (Lock)	Bloquear + enviar a clasificación + notificar
IOC conocido detectado	Aislar + bloquear hash en toda la organización

Indicadores clave de infección

Senales que Cytomic detecta automaticamente:

1. Ejecucion de scripts PowerShell codificados
2. Procesos hijos anomalos (ej: Excel lanzando cmd.exe)
3. Conexiones a dominios DGA o de baja reputacion
4. Carga lateral de DLLs (sideloading)
5. Modificaciones en MBR/VBR
6. Acceso a credenciales (LSASS dump)
7. Movimiento lateral (PsExec, WMI, WinRM)
8. Desactivacion de servicios de seguridad
9. Exfiltracion de datos (volumen anomalo de uploads)
10. Cifrado masivo de ficheros (ransomware)

Mejores prácticas para analistas

Empieza en modo Audit para inventariar software. Migra a Hardening y luego Lock progresivamente.
Usa Cytomic Threat Hunting para contexto. El equipo de WatchGuard tiene visibilidad global.
Integra con SIEM. Cytomic exporta telemetría via syslog y API. Correlaciona con otras fuentes.
Documenta excepciones. Cada proceso permitido manualmente en Lock debe estar documentado y justificado.
Revisa alertas de "en clasificación". Procesos pendientes de clasificar pueden ser amenazas nuevas.
Usa la API para automatización. Integra acciones de respuesta con tu SOAR.
Mantén el agente actualizado. Nuevas capacidades de telemetría y detección en cada versión.
Configura notificaciones granulares. No todas las alertas tienen la misma urgencia.

Recursos y formación

Recurso	Enlace
Cytomic Support Portal	support.cytomic.ai
WatchGuard EPDR Documentation	watchguard.com/help/docs
Cytomic Threat Library	Base de conocimiento integrada en consola
Partner Training	Programa de certificación WatchGuard

Fuentes y referencias

WatchGuard. "EPDR Documentation." https://www.watchguard.com/
Cytomic. "Zero-Trust Application Service." https://www.cytomic.ai/
MITRE ATT&CK. "Enterprise Matrix." https://attack.mitre.org/
SANS. "Blue Team Handbook." Don Murdoch, 2019.

Preguntas frecuentes

Libros recomendados

Blue Team Handbook

Amazon (enlace afiliado)