trueNetLab ⚡️
Sophos Actualizaciones Septiembre 2025 – Firewall, Endpoint, E-Mail

Sophos Actualizaciones Septiembre 2025 – Firewall, Endpoint, E-Mail


En septiembre de 2025 Sophos presentó de nuevo numerosas novedades. En lugar de resumirlo todo en una lista larga, esta entrada está estructurada por áreas de producto. Así, cada administrador encuentra rápidamente los puntos relevantes para su entorno. Al fin y al cabo, no todos usan necesariamente los switches o access points de Sophos – y si lo hacen, entonces mis más sinceras condolencias.

Resumen de los puntos más importantes

El robo de credenciales sigue siendo el principal riesgo – Sophos apuesta por Passkeys e ITDR. Las actualizaciones de Endpoint reducen notablemente el consumo de recursos y habilitan nuevas opciones forenses. También en Firewall, Switches y Access Points hay adiciones relevantes. La seguridad del correo electrónico gana protagonismo con una herramienta DMARC gratuita y con informes TLS. Además, hay promociones para firewalls, nuevos contenidos en vídeo y eventos como la ITSA y los Partner Business Breakfasts.

Sophos Endpoint Security

Mejoras de rendimiento

Ya era hora: con la versión 2025.2.x Sophos ha optimizado notablemente el rendimiento de Endpoint. El consumo de CPU y RAM se ha reducido – según Sophos hasta 40 % menos RAM y 30 % menos carga de CPU, dependiendo del caso de uso (Sophos News - Sophos Endpoint: Major performance enhancements). Esto se nota sobre todo en entornos VDI o en sistemas antiguos. Muchos clientes se habían quejado en los últimos años de que los endpoints de Sophos consumían demasiados recursos. Algunos se pasaron por ello a Microsoft Defender – y esos clientes no volverán. Sophos no solo tiene que ponerse al día técnicamente, sino también recuperar la confianza perdida.

Mejoras de rendimiento de Sophos Endpoint

Mejoras de rendimiento de Sophos Endpoint

El despliegue se realiza de forma escalonada; en entornos mixtos conviene definir bien el grupo Canary y realizar mediciones antes de un despliegue general. Sophos posiciona las nuevas versiones de forma ofensiva frente a la competencia, que hasta ahora había marcado puntos con reclamos como “somos más ligeros/rápidos”.

Soporte Legacy

Para empresas que aún utilizan plataformas antiguas, existe el recién nombrado Sophos Endpoint for Legacy Platforms. Cubre oficialmente sistemas descontinuados como Windows 7 o Windows 10 tras el fin del soporte de octubre. No es bonito, pero sí práctico: en licitaciones donde las cargas heredadas son una realidad, Sophos no queda descartado de inmediato.

API forense

Un verdadero avance es la nueva API forense. Permite extraer imágenes completas de memoria de forma remota y escribirlas directamente en un bucket de Amazon S3 – incluido un volcado de RAM. Esto ahorra tiempo en procesos de respuesta a incidentes, ya que no es necesaria una intervención in situ. A través de la plataforma XDR/MDR estos volcados pueden analizarse. Las herramientas de análisis forense de memoria siguen siendo obligatorias, pero la obtención de datos pasa de ser un viaje a un script.

Domain Controller & telemetría de identidad

Además, se amplió la telemetría para Domain Controller. Ataques como PetitPotam pueden detectarse ahora directamente desde Central. A partir de la versión 2025.1 de Endpoint, la opción “Monitor Domain Controller Events” está incluida por defecto en la Server Policy y lista para usar.

También se integra más estrechamente la telemetría relacionada con la identidad: mediante Microsoft Graph Security (integrable en XDR/MDR sin coste adicional) se pueden correlacionar eventos de inicio de sesión, patrones de viajes imposibles y usos anómalos de tokens. A partir de ahí, se pueden definir acciones de respuesta en Central – hasta invalidación de sesiones y bloqueo de usuarios.

Sophos Firewall & Network Security

En el área de red hay varias novedades interesantes. A través de la plataforma TAGIS ahora también se puede controlar Sophos Firewall mediante Active Threat Response (ATR). Esto significa: IOCs, IPs o FQDNs detectados en operaciones XDR o MDR pueden transmitirse automáticamente al firewall. De esta manera, la integración entre endpoint y perímetro es más estrecha y los eventos IOC pueden bloquearse directamente – sin que un analista tenga que saltar apresuradamente entre consolas.

Importante también: los clientes que ya utilizan TAGIS/XDR pueden pasarse a Sophos Endpoint sin costes adicionales. Esto reduce fricciones a la hora de consolidar la telemetría de la plataforma.

Aviso de promoción: para nuevos acuerdos de firewall, Sophos ofrece hasta 25 licencias de Endpoint. Es marketing, sí – pero operativo, ya que permite integrar señales de Endpoint en decisiones ATR y evita que el perímetro quede ciego. Más detalles sobre las funciones de Firewall en mi entrada Sophos Firewall v21.5 .

Sophos Switches

Los switches también recibieron una mejora: desde MR 2.1 el Spanning Tree Protocol (STP/RSTP) puede configurarse directamente en Sophos Central. Antes había que iniciar sesión localmente en los switches y configurar STP manualmente – una clara desventaja frente a otros fabricantes. Ahora se gestiona de forma centralizada, con políticas consistentes por sitio y root-bridge documentado. Para los despliegues esto significa: menos errores de tipeo, menos configuraciones aisladas y un comportamiento reproducible en caso de fallo.

Pero: no es un salto innovador, sino una función básica atrasada. Mientras Sophos se pone al día aquí, otros proveedores ya ofrecen funciones avanzadas como BPDU-Guards, FlexLink o prevención de bucles automatizada. Para entornos Enterprise o Campus, la comparación con fabricantes establecidos sigue siendo obligatoria.

Sophos Access Points

Para los Access Points AP6 se cerró la última brecha de uso/visibilidad respecto a los modelos antiguos APX: visibilidad de aplicaciones/clientes, principales APs/SSIDs, horas pico – las métricas ahora están disponibles. El problema: estas funciones deberían haber estado desde el lanzamiento.

La serie AP6 salió al mercado a finales de 2023 y necesitó casi un año para funcionar de forma estable. Después pasaron otros seis meses hasta que los dispositivos tuvieron el mismo alcance funcional que sus predecesores. En ese tiempo, otros fabricantes desarrollaron nuevas funciones – mejor QoS automático, optimizaciones RF, comodidad con WPA3-Enterprise, RRM en la nube con heatmap-backtesting. Sophos, en cambio, cerró retrasos. Quien apueste por AP6 obtiene hoy por fin lo que ya tenía con APX desde hace tiempo – pero ha perdido un tiempo valioso en el proceso.

Para entornos productivos es una clara señal de advertencia: mejor alejarse de los Access Points mientras Sophos no demuestre que puede hacer más que ponerse al día. Para entornos exclusivamente Central, que requieren pocos ajustes de funciones, AP6 es ahora estable. Para todos los demás, la competencia sigue siendo la primera elección. Más sobre esto también en mi entrada Sophos Access Points AP6 – Desde el infierno .

Sophos Identity & ITDR

En septiembre el foco está en el tema de robo de credenciales. Ataques mediante proxies adversarios en el medio como “evilginx” demuestran que incluso MFA ya no es garantía. Sophos recomienda el cambio a Passkeys, que a diferencia de los métodos MFA clásicos no pueden ser interceptados. Está claro: MFA sigue siendo obligatorio, pero solo Passkeys cierran realmente la brecha AitM.

Complementariamente, Sophos Central ofrece nuevas posibilidades para detectar automáticamente inicios de sesión sospechosos – viajes imposibles, logins paralelos desde varios países/tokens de navegador, reglas sospechosas en buzones como precursora de BEC – y reaccionar de inmediato. Se pueden invalidar sesiones comprometidas, bloquear usuarios, eliminar reglas manipuladoras de correo. Para octubre Sophos anuncia además Identity Threat Detection and Response (ITDR). Proveniente de la adquisición de SecureWorks, ITDR se integrará en Central como detección de situación enfocada en identidad y complementará XDR/MDR exactamente en esta brecha.

Sophos E-Mail Security

La seguridad del correo electrónico sigue siendo un tema central. En 2025 la BSI proclamó el “Año de la Seguridad del Correo Electrónico” – Sophos está en el Hall of Fame. Acorde con ello, hay una herramienta de análisis gratuita: en https://tools.sophosdmarc.com/ se pueden comprobar los registros DMARC de un dominio. Es útil para comprobaciones rápidas en preventa y para auditorías de clientes existentes.

Además, el DMARC Manager está disponible como complemento (también para MSP). Es razonable un endurecimiento escalonado: de p=none a p=quarantine hasta p=reject – pero solo cuando SPF y DKIM estén correctamente configurados. TLS-Reporting completa el panorama mostrando qué parte de la comunicación está realmente cifrada y qué socios aún necesitan mejorar.

Importante para equipos XDR/MDR: incluso si los correos electrónicos se ejecutan en un proveedor externo, se puede activar el Email Monitoring Service (EMS). Así la telemetría y los eventos llegan igualmente a Central – justo donde los playbooks de respuesta ya os esperan.

Contenido, Eventos & Compliance

Fin de la calma veraniega: en el canal de YouTube en alemán y en el canal técnico internacional se anuncia de nuevo actividad – lo más reciente es un vídeo sobre el despliegue de Sophos Firewall en Microsoft Azure. También se relanzan formatos en directo: especialmente relevante un webinar de compliance (motores: Ransomware, Insurance, Compliance – “R I C”). En paralelo avanzan los preparativos para la it-sa en octubre; las entradas están disponibles en la web/boletín de Sophos. En noviembre siguen los Partner Business Breakfasts en al menos once ubicaciones en DACH, separados en Business-Track y Technical-Update-Track. Quien quiera ver ambos: por supuesto puede.

Últimas palabras

Las actualizaciones de septiembre de 2025 muestran que Sophos refuerza sobre todo las áreas de protección de identidad, eficiencia e higiene del correo electrónico. Con Passkeys e ITDR se aborda de forma específica el robo de credenciales. Endpoint 2025.2.x alivia notablemente los sistemas, mientras que las APIs forenses abren nuevos caminos en la respuesta a incidentes. En el área de red, ATR refuerza el acoplamiento entre firewall y endpoint, mientras que switches y access points destacan más bien por funciones atrasadas. Para la seguridad del correo hay herramientas sencillas que aportan valor inmediato. Al mismo tiempo, el webinar muestra que Sophos también impulsa compliance, eventos y marketing – en parte útil, en parte con retraso.

Personalmente, espero sobre todo SFOS v22, que saldrá a principios de diciembre. Allí espero novedades bastante más interesantes que podrían eclipsar las actualizaciones actuales.

hasta pronto
Joe

© 2025 trueNetLab