Microsoft ha comenzado a integrar de manera nativa la funcionalidad de Sysmon en algunas instalaciones de Windows 11 dentro del programa Windows Insider. Se trata de un cambio relevante: en lugar de depender únicamente de la versión independiente que los administradores instalan manualmente desde Sysinternals, ahora parte de esa telemetría avanzada puede activarse directamente desde el propio sistema operativo.
Para quienes no lo conozcan, Sysmon —abreviatura de System Monitor— forma parte de la suite Sysinternals y es una herramienta ampliamente utilizada por equipos de seguridad y por administradores para registrar y detectar comportamientos sospechosos en máquinas Windows. Cuando está configurado, captura eventos que van más allá de los registros básicos del sistema: creación y terminación de procesos, cambios en archivos ejecutables, manipulaciones de procesos, modificaciones del portapapeles y otras señales que ayudan a investigar incidentes o a hacer caza de amenazas. Esos eventos quedan escritos en el registro de eventos de Windows, lo que permite integrarlos con soluciones de SIEM y otras herramientas de análisis. Más información sobre la herramienta original está disponible en la página oficial de Sysinternals: Sysmon en Microsoft Learn.
Hasta ahora, una de las fricciones principales era su despliegue a gran escala: Sysmon se instala por separado en cada equipo, y gestionar su configuración en cientos o miles de dispositivos exige políticas y procesos adicionales. Al ofrecer una capacidad similar integrada en Windows 11, Microsoft pretende facilitar que las organizaciones habiliten ese tipo de telemetría sin instalaciones manuales, aunque por ahora la función llega en forma de característica opcional para evaluadores.
Microsoft comunicó la disponibilidad inicial de esta funcionalidad a participantes del programa Windows Insider, indicando que las capacidades de Sysmon estarán disponibles como una característica opcional en determinadas compilaciones previas. Los insiders en los canales Beta y Dev que hayan actualizado a las Builds de vista previa especificadas pueden ya ver la opción. Los anuncios oficiales con los detalles de esas compilaciones se publicaron en el blog del programa Windows Insider: anuncio para Beta y anuncio para Dev.
Es importante subrayar que la funcionalidad integrada no se activa por defecto. Los usuarios o administradores deben habilitarla explícitamente. Microsoft recomienda, además, eliminar cualquier instalación previa de Sysmon obtenida desde la web antes de activar la versión que viene con Windows, para evitar conflictos. Una vez activada, la característica permite utilizar archivos de configuración personalizados para filtrar los eventos que interesa recopilar, lo que es esencial para reducir el ruido y centrarse en señales relevantes para la detección de amenazas.
El proceso de activación puede realizarse desde la interfaz de configuración de Windows, buscando la sección de características opcionales del sistema, o mediante herramientas de línea de comandos como DISM. Tras habilitar la característica, la instalación se completa con el mismo comando que Sysmon tradicionalmente utiliza para inicializarse. Si prefieres consultar la documentación técnica sobre herramientas de administración de imágenes y funciones de Windows, la documentación de DISM en Microsoft Learn es un buen punto de partida: documentación de DISM.
Además de facilitar el despliegue, la integración nativa tiene implicaciones prácticas. Para los equipos de seguridad representa una oportunidad para homogeneizar la captura de eventos en entornos gestionados, reducir la dependencia de instalaciones manuales y, potencialmente, bajar la barrera de entrada para pequeñas y medianas organizaciones que no cuentan con ingeniería dedicada para desplegar herramientas Sysinternals. No obstante, también plantea preguntas sobre control, privacidad y lifecycle management: las organizaciones deben revisar cómo se administrarán las configuraciones de Sysmon integrado a través de políticas de grupo, MDM u otras plataformas de gestión.
Varios medios especializados ya han cubierto la novedad y ofrecen contexto adicional sobre la llegada de Sysmon integrado y su impacto: por ejemplo, un repaso de la noticia y recomendaciones prácticas en BleepingComputer y análisis técnicos en sitios de seguridad TI. Para equipos que planeen adoptar la funcionalidad, conviene probar primero en entornos controlados, definir plantillas de configuración y validar que los registros se envían correctamente a las herramientas de análisis centralizadas.
En paralelo a esta integración, Microsoft sigue probando cambios en políticas de gestión de dispositivos: el mes pasado comenzó a testear una nueva política que permitiría a los administradores desinstalar Copilot de equipos gestionados, lo que muestra que la compañía continúa afinando las opciones de control para entornos corporativos. Mantenerse al día con los anuncios oficiales y las notas de versión del programa Insider es recomendable para quien gestione infraestructura Windows: además del blog del programa, las páginas de documentación y las notas de lanzamiento son las fuentes más fiables para planificar cambios en producción.
En resumen, la incorporación de la funcionalidad de Sysmon directamente en Windows 11 representa una evolución lógica para facilitar la captura de telemetría avanzada en dispositivos Windows. Es una buena noticia para equipos de seguridad y adminsistema que buscan simplificar despliegues, pero requiere planificación: validar configuraciones, asegurar compatibilidad con procesos de gestión y entender las implicaciones operativas antes de adoptar la característica a escala.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...