Introducción
Las herramientas de AV y EDR marcan regularmente los agentes RMM como Aplicaciones Potencialmente No Deseadas (PUAs). Este es un comportamiento esperado — un RMM tiene privilegios significativos en el sistema, y los proveedores de seguridad tienen razón al tratar con suspicacia las herramientas de acceso remoto desconocidas. Dado que has implementado Level intencionalmente, la solución es agregar exclusiones para que tu pila de seguridad le permita ejecutarse.
Por Qué Ocurre Esto
Los EDR han comenzado a clasificar los RMMs como Programas Potencialmente No Deseados (PUPs) de forma predeterminada. Es una postura de seguridad razonable — los RMMs proporcionan acceso profundo al sistema, incluyendo control remoto, gestión en segundo plano, ejecución arbitraria de scripts y más. Cualquier RMM no autorizado que se ejecute en tu red debe marcarse inmediatamente.
La posición de Level: los EDR deben bloquear los RMMs no aprobados. Si has elegido usar Level, crear una excepción en tu software de seguridad es la respuesta adecuada.
Para un debate más profundo sobre esto, consulta: Los EDR desconfían de los RMMs, y eso está bien
Cómo el AV/EDR Interfiere Realmente con Level
Esto es importante de entender, porque la interferencia de AV/EDR no siempre es obvia. La mayoría de las personas esperan un evento de cuarentena o una alerta — pero la detección basada en comportamiento a menudo no produce ninguna de las dos.
La detección basada en comportamiento no es basada en firmas. Los productos AV/EDR no solo escanean archivos; observan lo que hacen los procesos en tiempo de ejecución. Si el comportamiento del agente en un momento específico activa una heurística — un patrón de llamada de red, una consulta WMI, un proceso hijo — el software de seguridad puede bloquear o terminar esa acción sin poner nada en cuarentena. Sin alerta, sin entrada en el registro, sin eliminación del binario.
Por eso puedes tener 50 dispositivos ejecutando el mismo AV/EDR y solo 2 muestran Level como desconectado. No es un comportamiento inconsistente de tu software de seguridad — es que la detección se activó en esos 2 dispositivos según lo que el agente estaba haciendo en ese momento.
El AV/EDR puede afectar a Level de maneras que van más allá de simplemente eliminar el binario:
Terminar el proceso del agente directamente (el dispositivo queda desconectado)
Bloquear conexiones salientes específicas (las comprobaciones de conectividad fallan, el websocket se cae)
Interferir con las llamadas WMI (las automatizaciones se agotan o fallan a mitad)
Limitar o suspender el proceso (el dispositivo parece estar en línea pero las sesiones remotas no se conectan)
Bloquear que el agente genere procesos hijo (los scripts no se ejecutan)
Si algo en Level se comporta de manera extraña — no solo dispositivos desconectados, sino fallos intermitentes de automatización, scripts que se cuelgan, sesiones remotas que no se establecen — la interferencia de AV/EDR es una causa probable aunque tu software de seguridad no muestre nada.
Rutas de Exclusión
Agrega estas rutas a la lista de exclusión o confianza de tu software de seguridad:
🖥️ NOTA DE PLATAFORMA:
Windows:
C:\Program Files\Level\level.exe
C:\Program Files\Level\level.update
C:\Program Files\Level\winpty-agent.exe
C:\Program Files\Level\.level.exe.new
C:\Program Files\Level\.level.exe.old
macOS:
/Applications/Level.app/Contents/MacOS/level
Linux:
/usr/local/bin/level
💡 CONSEJO: Usa exclusiones basadas en ruta sobre los ejecutables específicos, no en toda la Level carpeta. Excluir la carpeta también cubriría cualquier cosa que un atacante pudiera colocar allí.
Exclusiones Basadas en Certificado
Las exclusiones basadas en certificado son más resistentes que las basadas en ruta. Level envía actualizaciones semanales del agente — las exclusiones basadas en hash se rompen con cada versión, y las exclusiones basadas en ruta no verifican la autenticidad del binario. Las exclusiones por certificado sobreviven a las actualizaciones automáticamente y solo permiten que se ejecuten binarios de Level correctamente firmados.
ℹ️ NOTA: No todos los productos AV/EDR admiten completamente las exclusiones basadas en certificado. SentinelOne, por ejemplo, no las respeta para las exclusiones de interoperabilidad. Si no estás seguro de que tu producto respeta las reglas basadas en certificado, usa exclusiones basadas en ruta — tienen amplio soporte y son efectivas.
Información del editor:
Campo | Valor |
Editor | Level Software, Inc. |
Emisor | DigiCert, Inc. |
Serie |
|
SHA-1 |
|
SHA-256 |
|
Para verificar el certificado en el binario instalado (Windows):
Navega a
C:\Program Files\Level.Haz clic derecho en
level.exey selecciona Propiedades.Haz clic en la pestaña Firmas digitales pestaña.
Selecciona «Level Software, Inc.» y haz clic en Detalles → Ver certificado.
Confirma que la huella digital coincide con el valor SHA-256 indicado anteriormente.
ℹ️ NOTA: Verifica siempre los detalles del certificado con los valores extraídos directamente de tu binario instalado. Los detalles pueden variar ligeramente entre versiones.
Exclusiones de Windows Defender
Si estás usando Windows Defender, usa la automatización o el script a continuación para distribuir exclusiones en tus dispositivos. Ambos se pueden importar directamente en Level.
Importar la automatización (recomendado para múltiples dispositivos): https://app.level.io/import/automation/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xNzM
Importar el script (para dispositivos individuales): https://app.level.io/import/script/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xOTU
Script de PowerShell - Exclusión de Windows Defender (manual):
<#
This resource is provided as a convenience for Level users. We cannot
guarantee it will work in all environments. Please test before deploying
to your production environment. We welcome contributions to our community
library
Level Library
https://level.io/library
#>
# Define paths to exclude
$paths = @(
"C:\Program Files\Level\level.exe",
"C:\Program Files\Level\level.update",
"C:\Program Files\Level\winpty-agent.exe",
"C:\Program Files\Level\.level.exe.new",
"C:\Program Files\Level\.level.exe.old"
)
# Add temporary file paths
$tempInstallPath = Join-Path ([System.IO.Path]::GetTempPath()) "install_level.exe"
$tempWindowsAmd64Path = Join-Path ([System.IO.Path]::GetTempPath()) "level-windows-amd64.exe"
$paths += $tempInstallPath
$paths += $tempWindowsAmd64Path
# Add path exclusions
foreach ($path in $paths) {
Add-MpPreference -ExclusionPath $path -ErrorAction SilentlyContinue
}
# Add process name exclusion
Add-MpPreference -ExclusionProcess "level.exe" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "level.msi" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "install_level.exe" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "level-windows-amd64.exe" -ErrorAction SilentlyContinue
# Display confirmation
Write-Output "Current Exclusion Paths:"
(Get-MpPreference).ExclusionPath
Write-Output "`nCurrent Exclusion Processes:"
(Get-MpPreference).ExclusionProcess
⚠️ ADVERTENCIA: Si un dispositivo ya está desconectado porque el agente fue puesto en cuarentena o eliminado, no puedes enviar este script a través de Level. Necesitarás acceso local o fuera de banda para agregar exclusiones primero. Consulta Si los Dispositivos Ya Están Desconectados a continuación.
Si los Dispositivos Ya Están Desconectados
Cuando el AV/EDR bloquea Level sin generar una alerta, el dispositivo queda oscuro sin ninguna indicación obvia. Señales de que esta es la causa:
El dispositivo está en línea y es accesible por otras herramientas, pero aparece desconectado en Level
Solo algunos dispositivos se ven afectados, aunque el mismo AV/EDR está implementado en todos (esto es normal — la detección basada en comportamiento es inconsistente por naturaleza)
Las automatizaciones están fallando o agotando el tiempo en dispositivos que por lo demás parecen saludables
El
level.exeel binario no está enC:\Program Files\Level\— Level no tiene ningún mecanismo para eliminar su propio binario, por lo que su ausencia significa que el AV/EDR lo eliminó o puso en cuarentena
Para resolver: obtén acceso fuera de banda al dispositivo, agrega las exclusiones usando la consola de administración de tu software de seguridad o el script de PowerShell anterior, luego verifica que el binario esté presente. Si fue eliminado, reinstala el agente después de agregar las exclusiones.
⚠️ ADVERTENCIA: No reinstales el agente antes de agregar las exclusiones. El AV/EDR eliminará el binario nuevamente de inmediato.
Preguntas Frecuentes
Agregué exclusiones pero el dispositivo sigue desconectado. ¿Qué hago ahora? Las exclusiones evitan interferencias futuras pero no deshacen lo que ya ocurrió. Verifica si el
level.exeel binario todavía está presente enC:\Program Files\Level\— si fue eliminado por el AV/EDR, necesitarás reinstalar el agente. Ejecuta--checkdespués de reinstalar para confirmar que la conectividad se ha restaurado. Consulta Solución de Problemas de Desconexión.Todos mis dispositivos tienen el mismo AV/EDR. ¿Por qué Level está desconectado solo en algunos de ellos? Detección basada en comportamiento. Tu software de seguridad no está comparando Level con una firma conocida como maliciosa — está observando lo que hacen los procesos en tiempo de ejecución y bloqueando según patrones de comportamiento. Si se activa una detección depende de lo que el agente estuviera haciendo en el momento en que se ejecutó la heurística. Es común ver solo 1–3 dispositivos afectados de una flota mucho más grande con una configuración de AV/EDR idéntica.
Mi EDR no muestra detecciones ni eventos de cuarentena, pero Level se comporta de manera extraña. Eso es consistente con una interferencia basada en comportamiento. Algunos productos bloquean o limitan operaciones específicas sin generar un evento de detección — sin alerta, sin registro de cuarentena, nada. El AV/EDR puede terminar websockets, bloquear llamadas de red, causar tiempos de espera en WMI o impedir que el agente genere procesos hijo, todo sin tocar el binario. Agrega exclusiones y monitorea si los problemas se resuelven.
¿Debo usar exclusiones basadas en ruta o basadas en certificado? Las basadas en certificado son más seguras y requieren menos mantenimiento en teoría, pero no todos los productos las respetan completamente. SentinelOne, por ejemplo, no admite exclusiones basadas en certificado para exclusiones de interoperabilidad — la opción existe pero no tendrá el efecto deseado. Si no estás seguro de que tu AV/EDR respeta completamente las exclusiones basadas en certificado, comienza con las basadas en ruta. Las basadas en ruta tienen amplio soporte en todos los productos y son la opción predeterminada más segura. Evita las basadas en hash — Level envía actualizaciones semanales y el hash cambia con cada versión.
¿Con quién debo contactar si mi proveedor de EDR sigue marcando Level? Contacta al Soporte de Level. El equipo trabaja directamente con los proveedores de seguridad en los problemas de clasificación.