Si has hablado con proveedores de seguridad últimamente, probablemente te han mencionado el EDR. Las siglas se lanzan como si todo el mundo supiera qué significan. Pero muchos asienten sin entender realmente de qué se trata.

Vamos a arreglar eso.

Qué significa EDR

EDR es Endpoint Detection and Response (Detección y Respuesta en Endpoints). Un endpoint es cualquier dispositivo conectado a tu red: ordenadores, portátiles, servidores, a veces móviles.

El EDR monitorea lo que pasa en estos dispositivos, detecta comportamientos sospechosos y permite responder cuando algo va mal.

Cómo se diferencia del antivirus

El antivirus tradicional busca amenazas conocidas. Tiene una lista de “cosas malas” y las bloquea cuando las encuentra. Simple, pero limitado.

El EDR va más allá:

  • Monitoreo continuo: registra qué procesos se ejecutan, qué archivos se modifican, qué conexiones se establecen
  • Detección por comportamiento: identifica actividad sospechosa aunque no coincida con ninguna firma conocida
  • Visibilidad histórica: permite revisar qué pasó antes, durante y después de un incidente
  • Respuesta activa: puede aislar un equipo comprometido, detener procesos maliciosos, o bloquear conexiones

El antivirus pregunta “¿es esto malo?”. El EDR pregunta “¿es esto normal?”.

Un ejemplo práctico

Imagina que un empleado abre un archivo adjunto malicioso. El malware no está en ninguna base de datos de firmas porque es nuevo.

Sin EDR: el antivirus no detecta nada. El malware se ejecuta, roba credenciales, se mueve por la red.

Con EDR: el sistema nota que un documento de texto acaba de ejecutar un script que nunca antes se había visto, que este script está intentando conectarse a servidores externos sospechosos, y que está leyendo archivos de contraseñas. Alerta. Potencialmente, aísla el equipo automáticamente.

Los componentes típicos

Un sistema EDR generalmente incluye:

Agente en cada endpoint: software ligero que monitorea la actividad local y envía datos al servidor central.

Consola centralizada: donde los equipos de seguridad ven alertas, investigan incidentes y ejecutan respuestas.

Motor de detección: analiza los datos recibidos buscando patrones sospechosos, usa reglas predefinidas e inteligencia artificial.

Capacidad de respuesta: herramientas para contener amenazas: aislar equipos, matar procesos, eliminar archivos.

Para quién tiene sentido

El EDR no es exclusivo de grandes corporaciones, pero requiere cierta capacidad de gestión:

  • Empresas con equipos de TI que pueden revisar alertas y actuar
  • Organizaciones que manejan datos sensibles o regulados
  • Cualquier empresa que haya tenido incidentes de seguridad y quiera mejor visibilidad

Si no tienes capacidad interna, los servicios gestionados (MDR: Managed Detection and Response) ofrecen EDR con un equipo externo que monitorea y responde.

El costo de no ver

Muchas empresas descubren compromisos de seguridad meses después de que ocurrieron. Sin visibilidad de lo que pasa en los endpoints, los atacantes operan sin obstáculos.

El EDR no garantiza que nunca serás atacado. Garantiza que sabrás cuando lo seas y podrás actuar antes de que el daño sea irreversible.