Guía desde cero. Pensada para entenderlo sin conocimientos previos y poder explicarlo a un cliente que está a punto de desplegarlo.
Si entiendes estas 7 palabras, el resto de la página se lee solo:
Analogía del cambio: antes tu empresa tenía un servidor de correo en la oficina. Hoy usa Microsoft 365 (SaaS). Antes los archivos vivían en un NAS interno. Hoy en Google Drive (SaaS). Ese salto es lo que ha hecho necesario un producto como Shield.
Falcon Shield es el módulo de CrowdStrike que vigila tus aplicaciones SaaS: Microsoft 365, Google Workspace, Salesforce, Slack, GitHub, Okta, ServiceNow, Jira, Zoom, etc.
Comprueba, de forma continua, si esas plataformas están mal configuradas, si hay cuentas peligrosas, si un tercero conectado tiene demasiados permisos, o si alguien está haciendo algo raro dentro de ellas.
En una frase: es el "antivirus de configuración" para tu ecosistema SaaS. La categoría técnica se llama SSPM (SaaS Security Posture Management).
Viene de la empresa Adaptive Shield, que CrowdStrike compró a finales de 2024 y reempaquetó como Falcon Shield dentro de la plataforma Falcon.
Hoy una empresa no tiene 5 aplicaciones. Tiene 100, 200, 500 SaaS distintas. Y cada una:
Nadie — ni el equipo de IT ni el de seguridad — puede entrar cada semana a 300 paneles distintos a revisar si todo está bien configurado. Los atacantes lo saben y por ahí entran: cuentas admin sin MFA, OAuth malicioso conectado, tokens viejos, permisos excesivos...
Falcon Shield hace ese trabajo por ti, de forma automática y continua, sobre todos los SaaS a la vez.
Imagina que tu empresa es un edificio de oficinas gigante con 200 despachos. Cada despacho tiene:
Antivirus clásico (Falcon Prevent): es el guardia en la puerta del edificio que revisa si alguien entra con un arma (malware en un PC).
Falcon Shield: es el inspector que entra a cada despacho, mira si la ventana está abierta, si las llaves están colgadas de la cerradura, si el becario tiene una llave maestra que no debería, y si alguien metió un duplicado por el ascensor. Y lo hace todos los días, en los 200 despachos a la vez.
Shield no es "una cosa" sino cinco capas de vigilancia simultáneas:
Revisa cada ajuste de seguridad del SaaS frente a las buenas prácticas. Ej.: "MFA obligatorio para admins", "sesión expira a las 8h".
Detecta cuentas inactivas, admins duplicados, ex-empleados que siguen dentro, o usuarios con más permisos de los que necesitan.
Cuando alguien dice "conectar con Google" a una app externa, Shield ve qué permisos pidió y si es peligrosa o abandonada.
Cruza datos con el sensor de Falcon para saber si el PC desde el que alguien accede a Salesforce está gestionado y sano.
ITDR = detectar ataques en vivo basados en identidad. Comportamientos raros dentro del SaaS: imposible travel (login desde Madrid y Brasil con minutos de diferencia), descarga masiva de archivos, cambios de configuración sospechosos.
Mapea los hallazgos a marcos como ISO 27001, SOC 2, NIST, GDPR. Te da el informe ya hecho para auditoría.
En la consola Falcon añades cada aplicación (M365, Google, Salesforce...) con una cuenta de servicio o una API key. Shield NO instala agentes. Solo lee vía API.
Shield recorre cada SaaS y saca un inventario completo: usuarios, roles, ajustes, apps conectadas, permisos. En horas, no semanas.
Cruza lo que encontró con cientos de reglas predefinidas (CIS Benchmark, mejores prácticas CrowdStrike, normativa). Cada desviación se convierte en un finding.
Cada finding lleva un nivel de riesgo (crítico, alto, medio, bajo), una explicación en texto plano y el paso exacto para arreglarlo en esa SaaS concreta.
A partir de ahí, monitoriza 24/7. Si mañana alguien desactiva MFA en un admin de Salesforce, salta una alerta al momento.
Así es como se ve esto en la práctica, con ejemplos que vas a encontrar en un cliente:
Shield detecta el cambio en minutos, lo marca como crítico, avisa en la consola y al SOC (Security Operations Center, el equipo humano de vigilancia 24/7). El admin tendría que haber encontrado esto él mismo en 6 meses; ahora sale en el acto.
Shield ve la nueva integración, puntúa la reputación de esa app (abandonada, pocos usuarios, permisos excesivos) y avisa. Puedes revocar el acceso desde la consola sin tocar Google.
Shield cruza datos de Okta / Entra ID con Salesforce y te muestra todas las cuentas huérfanas. Antes de Shield nadie lo habría visto hasta la auditoría.
Shield detecta el impossible travel (viaje físicamente imposible), correlaciona con otros SaaS (¿también pasó en M365?) y genera una detección. El SOC la investiga igual que una alerta de Falcon Insight (el módulo EDR de CrowdStrike).
Shield tiene ya un dashboard ISO 27001. Exporta el informe, marca los controles OK, los KO y la evidencia de cada uno. Trabajo de semanas → una tarde.
En el día a día, tu trabajo en Falcon Shield se reduce a 4 rutinas:
No se instala ningún agente nuevo. Todo se gestiona desde la misma consola Falcon que ya conoces.
Tres módulos con nombres parecidos. Esta es la diferencia rápida:
| Módulo | Qué protege | Dónde vive | Ejemplo de ataque que para |
|---|---|---|---|
| Falcon Prevent | El PC / servidor | Endpoint (agente) | Un ransomware en un portátil |
| Falcon Identity Protection | Active Directory de la empresa (usuarios y contraseñas internos) | Sensor en los servidores de AD | Robo de contraseñas de admin en AD (ataques "Kerberoasting", "Pass-the-Hash") |
| Falcon Shield | Las apps SaaS en la nube (M365, Google, Salesforce...) | API, sin agente | OAuth malicioso, admin sin MFA en Salesforce |
Regla mnemotécnica: Prevent mira el dispositivo, Identity mira las identidades en AD, Shield mira las aplicaciones SaaS. Los tres juntos cubren los tres caminos típicos de un ataque moderno.
Si mañana entras a reunión con el cliente que va a desplegarlo, lleva estos 5 puntos en la cabeza. Responden al 90% de sus dudas:
Tip: evita acrónimos en la primera reunión. Si te preguntan "¿qué es SSPM?", di "es la categoría de Gartner; el nombre comercial es Falcon Shield y ya está".
Soporte de CrowdStrike publica 20 videos cortos "Getting Started" + "Feature Focus" sobre Shield. En vez de mirarlos en cualquier orden, esta es la secuencia ideal agrupada en 6 niveles que van de lo básico a lo estratégico.
Si tu tiempo es limitado, estos 5 videos te dejan operativo:
Antes de tocar nada, entiende las 5 vistas principales de la consola: apps, permisos, checks, anatomía de un check y qué es una integración.
Shield mantiene un catálogo automático de todas las SaaS conectadas y también detecta shadow IT (apps que usan empleados sin que IT lo sepa). Esta es tu lista maestra de "qué SaaS tenemos".
Inventario por usuario y por app de qué permisos tiene cada uno en cada SaaS. Te permite responder "¿quién puede borrar datos en Salesforce?" en 2 clics.
Tour de la sección más importante: la lista de findings. Filtros por severidad, por SaaS, por control. Aquí vivirás el 80% del tiempo.
Cada check tiene nombre, severidad, descripción, impacto y pasos de remediación. Aprende a leer la ficha y sabrás actuar sobre cualquier finding.
"Integración" = una SaaS conectada a Shield vía API. Aquí se explica el concepto y cómo las integraciones son el combustible de todo el producto.
Ahora que sabes leer un check, aprende qué hacer con él: descartarlo, convertirlo en ticket, o usarlo para encontrar problemas de permisos.
Cuando un check no aplica a tu empresa, lo marcas como accepted risk con justificación. Queda registrado para auditoría. Evita que tu lista se llene de ruido.
Convierte un finding en ticket de Jira / ServiceNow automáticamente para que lo arregle el equipo propietario del SaaS. Así Shield se integra con tu flujo existente.
Ejemplos reales: encontrar admins inactivos, cuentas de ex-empleados con permisos, usuarios con roles excesivos... El uso más potente del inventario.
Sin integraciones, Shield no ve nada. Estos 4 videos te enseñan a conectar, diagnosticar y elegir el método de autenticación correcto.
El catálogo de +150 SaaS integrables: M365, Google, Salesforce, GitHub, Okta, ServiceNow, Slack, Jira, Zoom, AWS... Busca aquí antes de asumir que algo no se integra.
Estados posibles: conectado, error de credenciales, permisos insuficientes, desactualizado. Saber diagnosticar evita que un SaaS se quede "ciego" sin que nadie lo note.
OAuth, API key, cuenta de servicio, certificado. Cuándo usar cada uno y los permisos mínimos que pide cada método. Clave para pasar revisiones de seguridad internas.
Ejemplo paso a paso integrando Google Workspace. Sirve como plantilla mental para otras SaaS: el flujo es muy parecido en todas.
Shield no solo audita configuración: también detecta ataques en vivo. Esta es la parte "SOC" del producto.
El panel de detecciones en tiempo real dentro de tus SaaS: login sospechoso, exfiltración, cambios peligrosos. Funciona como el "Activity" de Falcon EDR pero para aplicaciones.
Cómo investigar una alerta: usuario, evento, contexto, impacto y recomendación. Cierre típico: contener cuenta, revocar sesión o escalar a Fusion.
Puedes crear reglas propias para amenazas específicas de tu negocio: ej. "alerta si alguien de finanzas descarga >500 archivos en 1 hora". Aquí está la flexibilidad avanzada.
Las detecciones de Shield se envían al Next-Gen SIEM de CrowdStrike para correlar con el resto (endpoints, identidades, red). Así una alerta de SaaS no queda aislada.
La parte que enseñas a dirección, auditoría y cliente. Aquí se demuestra que Shield aporta valor.
Mapa general: qué tipos de informe existen y cuándo usar cada uno (ejecutivo, técnico, auditoría, incidente).
Los 3 dashboards centrales: Dashboard (salud general), Landscape (panorama de todas las SaaS) y Compliance (ISO 27001, SOC 2, NIST, GDPR ya mapeados).
Evolución de la postura de seguridad a lo largo del tiempo. Imprescindible para mostrar progreso a dirección: "empezamos en 42, hoy estamos en 78".
Para cuando ya tienes el producto rodando y quieres madurar el programa.
Shield se conecta con Okta / Entra ID / Ping (son IdP: Identity Providers, el sistema central donde viven los usuarios de la empresa). Correla identidades entre SaaS y el IdP, y te permite ver cuentas que existen en una SaaS pero no en el IdP (cuentas huérfanas).
El playbook oficial de CrowdStrike para arrancar un programa completo de seguridad SaaS. Roadmap típico a 90 días: inventario → checks críticos → remediación → automatización → métricas.
Complementa estos videos con el curso formal CLOUD 151: Implementing SaaS Security with Falcon Shield en CrowdStrike University. Aparece como "related content" en casi todos los videos y es la ruta larga oficial (~4-6h). Los 20 videos de arriba son el resumen ejecutivo de ese curso.