EDR, XDR y MDR son tres enfoques distintos a detección y respuesta que comparten objetivo y vocabulario, pero resuelven problemas diferentes. EDR es un producto enfocado al endpoint que detecta y responde a comportamientos sospechosos sobre estaciones y servidores. XDR amplía el alcance a múltiples fuentes (red, identidad, cloud, correo) con correlación integrada del fabricante. MDR no es un producto sino un servicio gestionado: un SOC externo opera la tecnología 24x7. Confundir las tres categorías lleva a comprar mal, duplicar capacidades y expectativas que el contrato no cumple. Este artículo aclara qué hace cada una, cuándo elegirlas, cómo encajan en NIS2, DORA, ISO 27001 y ENS, y qué preguntas hacer antes de firmar.
Lo esencial: EDR es producto endpoint, XDR es plataforma integrada multi-fuente, MDR es servicio gestionado sobre una de las dos anteriores. La decisión real no es entre EDR, XDR y MDR, sino entre operar tú o externalizar y entre cubrir solo endpoint o ampliar a identidad, red y cloud. Madurez del equipo, alcance regulatorio y presupuesto operativo marcan el orden de la respuesta.
Las 3 categorías en una frase cada una
Antes de profundizar, una definición breve para anclar la conversación.
- EDR (Endpoint Detection and Response): producto que instrumenta endpoints (Windows, macOS, Linux, servidores) con un agente que captura telemetría profunda y aplica detección de comportamiento sobre procesos, ficheros, red y memoria. Responde aislando el endpoint, terminando procesos o ejecutando acciones remotas.
- XDR (Extended Detection and Response): plataforma del fabricante que extiende la lógica del EDR a varios vectores (red, identidad, cloud workloads, correo, SaaS), correlaciona los eventos en una única consola y permite respuesta integrada cross-fuente.
- MDR (Managed Detection and Response): servicio en el que un proveedor externo opera la tecnología (EDR o XDR, propia o del cliente), monitoriza 24x7, investiga las alertas y ejecuta la respuesta inicial. Es personas + procesos + tecnología vendido como servicio.
Las tres se solapan en el discurso de marketing, pero son decisiones distintas: EDR y XDR se compran como software, MDR se contrata como servicio. Puedes tener EDR sin MDR, MDR operando un XDR de terceros, o todas las combinaciones intermedias.
EDR: qué es y qué resuelve
El EDR sustituye al antivirus clásico añadiendo telemetría detallada y capacidad de respuesta. Un agente instalado en cada endpoint captura:
- Creación de procesos y línea de comandos completa.
- Modificaciones del registro (Windows) o ficheros de configuración (Linux).
- Conexiones de red salientes y entrantes con metadatos.
- Cargas de DLLs, módulos kernel y patrones de inyección.
- Eventos de autenticación local y acceso a credenciales.
- Comportamiento de memoria para detectar técnicas fileless.
Esa telemetría se evalúa contra modelos de comportamiento (no solo firmas) que reconocen patrones conocidos y desviaciones del baseline. Cuando el motor identifica actividad maliciosa, el EDR puede aislar el endpoint, terminar el proceso, eliminar el binario y ejecutar scripts de remediación remotos.
La mayoría de EDR modernos usan un driver de kernel o un módulo eBPF en Linux para capturar a bajo nivel sin pasar por APIs de usuario que el atacante puede manipular. Esa profundidad distingue al EDR del antivirus tradicional, pero introduce riesgo operativo: un fallo en el driver puede afectar la estabilidad del sistema, como recordó el incidente global de julio de 2024.
Motores EDR de referencia
Los principales motores del mercado son CrowdStrike Falcon, SentinelOne Singularity, Microsoft Defender for Endpoint, Bitdefender GravityZone, Sophos Intercept X, Trend Micro Apex One y Cybereason. Difieren en arquitectura del agente, calidad de detección, integración con identidad y cloud, modelo de coste por endpoint y madurez de la API para integraciones externas.
Detalle ampliado en qué es EDR.
Trade-offs del EDR puro
El EDR resuelve el problema del endpoint y poco más. No correlaciona con identidad, no ve tráfico interno entre servidores, no detecta abuso de SaaS y no cubre cargas cloud nativas como contenedores efímeros. Si un atacante pivota desde un endpoint a Active Directory, accede a SharePoint y exfiltra desde un bucket S3, el EDR solo verá la parte inicial. Por eso casi ningún proveedor vende ya EDR puro: la mayoría empaqueta el EDR dentro de una propuesta XDR.
XDR: extensión natural del EDR
El XDR mantiene el agente endpoint del EDR y añade fuentes de telemetría adicionales integradas por el fabricante:
- Red: NDR (Network Detection and Response), tráfico este-oeste, análisis de DNS y proxy.
- Identidad: eventos de Active Directory, Entra ID, Okta, autenticaciones anómalas, escalada de privilegios.
- Cloud workloads: telemetría de cargas en AWS, Azure y GCP, contenedores, Kubernetes, funciones serverless.
- Correo: análisis de mensajes, adjuntos y enlaces, integración con el gateway de correo.
- SaaS: actividad en aplicaciones como Microsoft 365, Google Workspace, Salesforce, GitHub.
El valor diferencial es el correlation engine: una alerta no se evalúa aislada, se enriquece con todo lo que el XDR sabe del usuario, el endpoint, la sesión y el comportamiento histórico. Un mismo evento puede ser benigno solo en endpoint y crítico cuando se cruza con un acceso anómalo a identidad.
El XDR también empuja a la consolidación de proveedores: en lugar de comprar EDR a un fabricante, NDR a otro, gateway de correo a un tercero y CASB a un cuarto, el XDR oferta el paquete con integración nativa. Esa consolidación reduce overhead de integración, pero introduce dependencia fuerte del proveedor.
Players XDR de referencia
Los principales son Palo Alto Cortex XDR, Microsoft Defender XDR (combina Defender for Endpoint, Identity, Cloud Apps y Office 365), CrowdStrike Falcon XDR, SentinelOne Singularity XDR, Trend Micro Vision One y Trellix XDR. Diferencias clave: amplitud real de fuentes integradas, calidad del correlation engine, capacidad de ingesta de fuentes de terceros, modelo de licencia (por endpoint, por GB, por usuario) y madurez en cloud workloads.
Comparativa SIEM vs SOAR vs XDR en SIEM vs SOAR vs XDR.
Limitaciones del XDR
El XDR no sustituye al SIEM en organizaciones reguladas: retiene poco histórico (típicamente 30 a 90 días), no permite la personalización profunda que exige cada contexto y no cubre fuentes legacy ni aplicaciones internas. La cobertura "fuera de la caja" es alta para entornos estandarizados, baja para arquitecturas heterogéneas.
Además, el XDR sigue siendo una herramienta. Necesita alguien que la opere: revisar alertas, hacer tuning, escribir detecciones específicas, validar incidentes, ejecutar respuestas avanzadas. Si no tienes ese equipo, llegas al siguiente bloque.
MDR: servicio gestionado
El MDR (Managed Detection and Response) responde al problema "tengo tecnología pero no tengo equipo que la opere 24x7". Un proveedor externo:
- Monitoriza alertas 24x7 incluidos festivos.
- Investiga cada alerta con analistas tier 1, 2 y 3, descartando falsos positivos y validando incidentes reales.
- Hace threat hunting proactivo sobre la telemetría.
- Ejecuta respuesta inicial: aislar endpoints, deshabilitar cuentas, contener movimiento lateral según runbooks acordados.
- Mantiene retainer de respuesta a incidentes, con DFIR disponible si la cosa escala.
El MDR no es solo "un SOC externo": el contrato incluye integración de la tecnología, runbooks específicos, métricas operativas (MTTD, MTTR, número de incidentes), revisión periódica del tuning y reporting orientado a cumplimiento.
Cuándo MDR es para ti vs SOC propio
Un SOC propio bien dimensionado requiere mínimo 6 a 8 analistas para tres turnos con redundancia, más perfiles de threat hunting, ingeniería de detecciones y liderazgo. Para muchas organizaciones, el coste total (salarios, formación, retención, herramientas) supera al de un MDR equivalente.
El MDR encaja cuando no tienes equipo operativo o está saturado, necesitas cobertura 24x7 que no puedes sostener internamente, estás en un marco regulatorio (DORA TLPT, NIS2 esencial) con tiempos cortos de detección y notificación, o quieres velocidad de despliegue (un MDR maduro está operativo en semanas; un SOC interno tarda meses o años).
Un SOC propio sigue siendo mejor cuando la organización tiene datos extremadamente sensibles que no pueden salir, requiere personalización profunda imposible de subcontratar o cuenta ya con un equipo experto consolidado.
Pure-play MDR vs vendor-led MDR
Dos modelos coexisten:
- Pure-play MDR: el proveedor es independiente del fabricante de la tecnología y suele soportar varios EDR/XDR. Ejemplos: Arctic Wolf, Red Canary, eSentire, ReliaQuest. Ventaja: flexibilidad y neutralidad. Trade-off: integración menos profunda que el vendor-led.
- Vendor-led MDR: el fabricante del EDR/XDR opera el servicio sobre su propia plataforma. Ejemplos: CrowdStrike Falcon Complete, SentinelOne Vigilance, Microsoft Defender Experts, Sophos MDR. Ventaja: integración nativa, acceso a investigación interna del fabricante. Trade-off: lock-in tecnológico fuerte, cambiar de EDR implica cambiar de MDR.
Detalle ampliado en qué es MDR.
Tabla comparativa 8 dimensiones
Para fijar las diferencias sin entrar en el detalle de cada producto.
| Dimensión | EDR | XDR | MDR |
|---|---|---|---|
| Coverage | Endpoint únicamente | Endpoint + red + identidad + cloud + correo | Lo que cubra la plataforma operada |
| Telemetry sources | Agente endpoint | Múltiples conectores del fabricante | Las que integre el contrato |
| Automation | Respuesta automática endpoint | Respuesta integrada cross-fuente | Decisión humana + automatización del proveedor |
| Customization | Media (reglas y exclusiones) | Media-baja (modelos del fabricante) | Baja en plataforma, alta en runbooks |
| SLA | No aplica (es software) | No aplica | Definido en contrato (MTTD, MTTR, escalado) |
| Cost model | Por endpoint/año | Por endpoint o usuario, módulos adicionales | Tarifa fija o variable + retainer |
| Expertise required | Alto (operación interna) | Medio-alto | Bajo (lo aporta el proveedor) |
| Integration overhead | Bajo (solo endpoint) | Medio (conectores múltiples) | Bajo (lo asume el proveedor) |
La tabla muestra el patrón: cuanto más se externaliza, menos expertise se exige internamente, pero menos control y personalización se conservan.
Cuándo elegir cada uno
La decisión depende de tres variables: madurez del equipo de seguridad, alcance regulatorio y presupuesto operativo.
EDR puro
Encaja en organizaciones con SOC propio maduro, equipo experto en detección y respuesta, capacidad de operar la herramienta y presupuesto limitado para módulos adicionales. Es típico en empresas tecnológicas con perfiles de seguridad internos fuertes, donde el resto de fuentes (identidad, red, cloud) ya se cubre con otras herramientas best-of-breed. El EDR puro reduce coste por endpoint y mantiene la flexibilidad de integrar con otras piezas.
No encaja si el equipo es pequeño o si las amenazas relevantes pasan más por identidad y cloud que por endpoint.
XDR
Encaja en organizaciones con SOC en evolución que buscan consolidar herramientas, simplificar integraciones y reducir el número de consolas. Típico en empresas medianas y grandes con entornos multi-cloud, fuerte adopción de Microsoft 365 o Google Workspace y presupuesto para una plataforma unificada.
El XDR brilla cuando la organización quiere reducir overhead operativo aceptando lock-in con un proveedor. No encaja si los requisitos de personalización son muy altos o si ya existe un stack heterogéneo difícil de migrar.
MDR
Encaja cuando no hay SOC propio o el existente está saturado, cuando el marco regulatorio exige cobertura 24x7 (DORA art. 17, NIS2 art. 23 sobre notificación 24 horas) o cuando la organización necesita time-to-value rápido sin invertir años en construir el equipo.
El MDR es la opción mayoritaria para PYMEs reguladas, sector financiero mediano y organizaciones donde el coste de oportunidad de no operar 24x7 supera al coste del servicio. No encaja en contextos con sensibilidad de datos extrema, requisitos de soberanía estrictos o equipos internos ya maduros y consolidados.
Encaje normativo
Las tres categorías intersectan con los principales marcos europeos y nacionales.
- NIS2 artículo 21 letra b: las medidas técnicas para gestión de incidentes son obligatorias. EDR, XDR o MDR cubren la parte de detección; la respuesta y la notificación dependen además de procesos organizativos.
- NIS2 artículo 23: notificación temprana en 24 horas, notificación de incidente en 72 horas. Sin capacidad 24x7, cumplirlo de forma sistemática es complicado, lo que empuja muchos casos a MDR.
- DORA capítulo IV: gestión, clasificación y notificación de incidentes ICT. Exige capacidades de detección, registro y respuesta. Los TLPT del capítulo V también suponen validar que la detección funciona contra adversarios reales.
- ISO 27001 control A.5.24 (gestión de incidentes): no exige tecnología específica, pero los auditores piden evidencia de capacidad de detección y respuesta. EDR/XDR/MDR aportan la evidencia técnica más directa.
- ENS: el esquema requiere capacidades de detección y monitorización proporcionadas a la categoría (básica, media, alta). Para categoría alta, la cobertura 24x7 es prácticamente obligatoria.
Auditoría NIS2 completa en auditoría NIS2 paso a paso.
Errores comunes
Patrones que aparecen en proyectos que decepcionan o que terminan en sobrecoste.
- Comprar XDR sin las integraciones reales necesarias. Muchos contratos facturan módulos por separado (identidad, cloud, correo). Si la organización solo usa el de endpoint, paga por valor que no aprovecha. Antes de firmar conviene listar qué fuentes se integrarán realmente en los próximos 12 meses.
- Elegir MDR barato sin clarificar responsabilidades. Hay servicios que cuestan menos porque dejan en el cliente la respuesta avanzada, las decisiones críticas y el tuning. Si el contrato no especifica qué hace el proveedor y qué se queda dentro, en un incidente real el reparto será doloroso.
- No testear la capacidad real con purple team antes de firmar. Pedir al proveedor MDR un escenario controlado (purple team o tabletop técnico) antes del contrato anual evita sorpresas. Si no detecta una técnica común de MITRE ATT&CK en laboratorio, no la detectará en producción.
- Solapar EDR + XDR + MDR sin claridad. Algunas organizaciones acaban con tres capas que duplican capacidades. El mapa de qué hace cada una debería caber en una página.
- Olvidar el alcance del agente. Servidores Linux antiguos, OT, IoT y dispositivos no estándar suelen quedar fuera. Si el EDR no soporta una versión de kernel, esa parte del parque queda sin telemetría.
Cómo evaluar un proveedor
El RFP es el momento de fijar criterios objetivos. Recomendaciones operativas:
- Escenarios reales. Incluir 3 o 4 escenarios concretos (ransomware desde phishing, abuso de credenciales válidas, exfiltración cloud) y pedir al proveedor cómo los detectaría y respondería.
- Métricas MTTD y MTTR. No aceptar valores genéricos del marketing. Pedir métricas reales de clientes comparables, con definición clara de qué se mide.
- Runbooks por tipo de incidente. Pedir muestras de los que aplicarán al cliente. Si no existen o son genéricos, es señal de servicio inmaduro.
- Jurisdicción de los datos. Dónde se almacenan los logs, dónde están los analistas, qué normativa aplica. En contextos NIS2 y DORA es relevante.
- SLAs reales con penalización. Tiempo de respuesta inicial, escalado, disponibilidad. Un SLA sin penalización es marketing.
- Pruebas piloto. Un PoC de 30 a 60 días con un subset de endpoints muestra cómo se comporta el servicio antes de comprometer 3 años.
- Plan de salida. Cómo se devuelven datos, runbooks y conocimiento operativo si la relación termina. La fricción de salida es coste oculto.
Guía complementaria en SOC as a Service: cómo externalizar.
Preguntas frecuentes
¿XDR sustituye SIEM?
En organizaciones medianas y grandes, no. El XDR retiene poco histórico, no permite la personalización profunda que exige el contexto de cada empresa y no cubre fuentes legacy ni aplicaciones internas. Lo habitual es que el XDR alimente al SIEM o que convivan. En PYMEs estandarizadas sobre un único proveedor cloud, un XDR puede cubrir gran parte del trabajo, aunque las exigencias de retención de NIS2, DORA o ISO 27001 acaban empujando a añadir un SIEM ligero. Comparativa completa en SIEM vs SOAR vs XDR.
¿MDR cubre toda mi NIS2?
No por sí solo. El MDR cubre la parte operativa de detección, respuesta y notificación inicial, que es relevante para los artículos 21 y 23 de la directiva. Pero NIS2 incluye también gobierno, gestión de riesgos, seguridad de cadena de suministro, continuidad, formación y reporting al organismo competente. El MDR es una pieza importante, no el cumplimiento entero.
¿EDR es suficiente para una PYME?
Depende del nivel de riesgo y del marco regulatorio. Para una PYME pequeña sin obligaciones específicas y con un parque estandarizado, un EDR maduro bien operado cubre el riesgo dominante (ransomware desde endpoint). Para una PYME en NIS2, sector financiero o con datos sensibles, el EDR puro se queda corto y conviene combinarlo con cobertura de identidad y servicio gestionado.
¿XDR de un solo vendor o multi?
Single-vendor da integración más profunda, despliegue más rápido y consola unificada, a cambio de lock-in fuerte. Multi-vendor da flexibilidad y mejor cobertura "best of breed" en cada categoría, a cambio de mayor overhead de integración y operación. La decisión depende de la madurez del equipo: organizaciones con SOC pequeño suelen ganar con single-vendor; organizaciones con SOC grande pueden permitirse multi-vendor.
¿Qué pasa si MDR falla?
Es la pregunta crítica que pocos contratos responden bien. Posibles escenarios: el MDR no detecta a tiempo, detecta pero no escala, escala pero la respuesta es insuficiente. El contrato debe definir penalizaciones por incumplimiento de SLA, proceso de revisión post-incidente y responsabilidad sobre daños derivados. La realidad jurídica es que la responsabilidad final del incidente sigue siendo del titular del dato; el MDR responde por incumplimiento contractual, no por el daño completo.
¿Cuánto cuesta orientativo?
Los rangos relativos del mercado: EDR se factura por endpoint y año, según motor y tier; XDR añade un multiplicador por módulos adicionales (identidad, cloud, correo); MDR se cobra como servicio recurrente, normalmente más caro que la suma de licencias del XDR que opera, pero sustituye al coste de un SOC propio. Regla práctica: comparar coste total (tecnología + operación + formación), no solo licencia.
¿Pueden coexistir EDR + MDR?
Sí, es un patrón muy frecuente. El cliente compra el EDR (a veces el mismo fabricante, a veces uno preferido) y contrata el MDR para operarlo 24x7. Esto da flexibilidad: si el cliente quiere cambiar de proveedor MDR sin cambiar la tecnología subyacente, puede hacerlo. Es habitual en organizaciones que han invertido años en un EDR concreto y no quieren migrar la plataforma para externalizar la operación.
Recursos relacionados
- Qué es EDR
- Qué es MDR
- SIEM vs SOAR vs XDR
- Qué es SIEM
- SOC as a Service: cómo externalizar
- Qué es threat hunting
- Auditoría NIS2 paso a paso
Selección y validación EDR/XDR/MDR con Secra
La elección entre EDR, XDR y MDR no es técnica únicamente: es una decisión que combina madurez del equipo, alcance regulatorio, presupuesto operativo y arquitectura existente. En Secra acompañamos a clientes en tres frentes complementarios: evaluación de RFP (definición de requisitos, redacción de pliego, comparativa de propuestas), validación purple team (probar la capacidad real del EDR/XDR/MDR contra escenarios de ataque relevantes antes y después de la contratación) e integración (conectar la solución elegida con el resto del stack defensivo, definir runbooks y métricas operativas).
Si tu organización está evaluando comprar, cambiar o validar una solución de detección y respuesta, cuéntanos el contexto y diseñamos un plan que tenga sentido por capacidad real, no por marketing del fabricante.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.