defensiva
EDR
Endpoint Detection and Response
antivirus

Qué es un EDR: definición, cómo funciona y diferencias con XDR y MDR

Qué es un EDR (Endpoint Detection and Response): cómo funciona, qué detecta, diferencia con antivirus tradicional, XDR y MDR, plataformas más usadas y cómo se integra con SIEM y SOC.

Secra5 de mayo de 202611 min de lectura

Un EDR (Endpoint Detection and Response) es el agente y la consola que vigilan en tiempo real lo que pasa en cada endpoint de la empresa (portátiles, sobremesas, servidores) para detectar comportamientos sospechosos, contener al atacante y dejar evidencia forense del incidente. Sustituye al antivirus tradicional cuando el ataque ya no se basa en ficheros maliciosos conocidos sino en abuso de herramientas legítimas, living off the land, scripts de PowerShell ofuscados y movimientos laterales que un AV de firmas no ve.

Esta guía explica qué es un EDR, cómo funciona internamente, qué detecta, en qué se diferencia del antivirus, del XDR y del MDR, y cómo encaja con SIEM y SOC en una arquitectura defensiva moderna.

Qué es un EDR: definición técnica

Un sistema EDR es una solución de seguridad que despliega un agente ligero en cada endpoint y reporta de forma continua a una consola central tres familias de información:

  • Telemetría. Procesos creados, conexiones de red, accesos a ficheros, modificaciones del registro, llamadas a APIs sensibles, comandos PowerShell ejecutados, drivers cargados.
  • Detecciones. Alertas generadas por motores de comportamiento, machine learning, reglas YARA y correspondencia con técnicas del MITRE ATT&CK.
  • Acciones de respuesta. Aislar el equipo de la red, matar procesos, bloquear binarios por hash, recuperar ficheros, ejecutar scripts forenses.

La diferencia esencial con el antivirus tradicional es de filosofía: un AV decide si un fichero es malicioso comparando su hash o su firma contra una base de datos. Un EDR observa el comportamiento del fichero (y de todos los procesos del sistema) en ejecución, lo correlaciona con telemetría histórica y decide si la cadena de eventos parece un ataque, aunque el binario sea totalmente legítimo.

Cómo funciona un EDR por dentro

El flujo operativo de cualquier EDR moderno (CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne, Bitdefender GravityZone, TrendMicro Vision One, Cortex XDR de Palo Alto) sigue siempre los mismos cuatro bloques:

  1. Captura de telemetría. El agente engancha kernel callbacks, ETW (Event Tracing for Windows), eBPF en Linux y APIs del sistema para registrar eventos de bajo nivel sin que el usuario note impacto significativo.
  2. Análisis local + cloud. El agente aplica detecciones ligeras en local (heurística, ML embebido, lista negra de IoC) y envía la telemetría a la nube del fabricante para correlación cruzada con otros tenants y modelos más pesados.
  3. Detección y priorización. La plataforma del fabricante mapea cada evento a técnicas MITRE ATT&CK, agrupa eventos relacionados en incidentes y los prioriza por severidad. Lo que llega al analista no es "evento 134", es "intento de credential dumping desde proceso firmado por Microsoft".
  4. Respuesta. El analista (o la automatización del SOAR) ejecuta acciones desde la consola: aislar el endpoint, matar procesos, recoger artefactos, restaurar ficheros, marcar IoC para bloqueo masivo.

Lo que diferencia un EDR de un AV es esta capa de correlación. Un AV ve "se ejecutó cmd.exe /c whoami" y lo ignora porque cmd.exe está firmado. Un EDR ve "se ejecutó cmd.exe /c whoami justo después de que un macro de Word abriera una conexión a una IP nunca vista, lanzara PowerShell ofuscado y modificara una clave de registro de persistencia" y lo bloquea como cadena de ataque.

Qué detecta realmente un EDR

Las cinco familias de comportamientos que justifican tener un EDR en una empresa real:

  1. Living off the land. Abuso de binarios legítimos del sistema (PowerShell, wmic, certutil, bitsadmin, mshta, regsvr32) para ejecutar payloads, descargar ficheros o pivotar. Un AV no ve nada raro porque los binarios están firmados; el EDR detecta el patrón de uso anómalo.
  2. Credential dumping. Acceso a la memoria del proceso lsass.exe para extraer credenciales (Mimikatz y derivados). Es la primera técnica que un atacante intenta tras tomar un endpoint y la firma de detección está en cualquier EDR maduro.
  3. Persistencia. Servicios nuevos, tareas programadas, claves Run del registro, DLL hijacking, image file execution options, abuso de scheduled tasks. El EDR mantiene un inventario de estos puntos y avisa cuando aparecen cambios sospechosos.
  4. Movimiento lateral. Uso de SMB, WinRM, RDP, PsExec o WMI para saltar entre máquinas. Combinado con telemetría de identidad (Active Directory, Entra ID), el EDR reconstruye el grafo de movimientos.
  5. Ransomware. Cifrado masivo de ficheros, eliminación de shadow copies, parada de servicios de backup, comunicación con C2 conocidos. Los EDR modernos paran el ransomware en los primeros segundos del cifrado y, los que tienen rollback, recuperan los ficheros tocados.

A esto se suma la capacidad de threat hunting retrospectivo: el analista lanza queries sobre semanas o meses de telemetría buscando patrones que no estaban en las reglas cuando ocurrieron. Es lo que hace que el EDR sea útil después de un incidente, no sólo durante.

EDR vs antivirus tradicional

Tres diferencias que cambian todo:

  • Detección. AV detecta ficheros maliciosos por firma o hash; EDR detecta cadenas de comportamiento, aunque los binarios sean legítimos.
  • Telemetría. AV genera alertas; EDR genera telemetría continua que permite reconstruir cualquier evento posterior. Sin EDR, después de un incidente sólo tienes los logs que la víctima conservaba.
  • Respuesta. AV cuarentena el fichero; EDR aísla el equipo, mata procesos, recoge artefactos forenses y bloquea IoC en toda la flota.

El AV moderno (NGAV o next-gen antivirus) ha incorporado capacidades de comportamiento, pero el EDR sigue siendo la categoría que añade telemetría continua y respuesta orquestada. En la práctica los grandes fabricantes integran AV + EDR en el mismo agente: instalas un único producto que cubre las dos capas.

EDR vs XDR vs MDR: aclarando la sopa de siglas

Tres acrónimos que suelen mezclarse:

  • EDR (Endpoint Detection and Response). La capa de detección y respuesta sobre endpoints. Telemetría profunda sobre PCs y servidores.
  • XDR (Extended Detection and Response). La extensión del EDR a otras telemetrías: red, identidad, correo, cloud. Integra datos de varios productos del mismo fabricante (o de terceros) en una vista única. Microsoft Defender XDR es el ejemplo más claro: combina Defender for Endpoint, for Identity, for Office 365 y for Cloud Apps en una consola.
  • MDR (Managed Detection and Response). El servicio gestionado sobre EDR (o XDR). Un proveedor opera la plataforma 24/7 con analistas propios, te entrega alertas triadas y, en muchos casos, ejecuta la contención inicial. Es lo que contratan las empresas que no tienen SOC interno.

Regla rápida: EDR es el producto, XDR es la plataforma extendida, MDR es el servicio.

Plataformas EDR más habituales en el mercado español

Las cinco familias que aparecen en cualquier evaluación seria:

  • CrowdStrike Falcon. Considerado el líder técnico del mercado. Detecciones muy maduras, telemetría rica, threat graph en cloud. Modelo de licencia caro pero plantilla.
  • Microsoft Defender for Endpoint. Atractivo cuando la empresa ya está en Microsoft 365 E5 (incluido) o E3 + addon. Integración nativa con Entra ID, Defender XDR y Sentinel.
  • SentinelOne Singularity. Diferenciador histórico: rollback de ransomware. Menor footprint operativo en empresas medianas.
  • Bitdefender GravityZone. Fuerte en mid-market y en partners europeos. Modelo MDR maduro.
  • TrendMicro Vision One. Cobertura amplia, fuerte en Latinoamérica y España, integración XDR potente.
  • Cortex XDR (Palo Alto). Atractivo cuando la empresa ya tiene firewall Palo Alto. Buen análisis de red.
  • Sophos Intercept X. Mid-market y MSP, ratio precio/cobertura competitivo.
  • ESET Inspect, Cybereason, Elastic Endpoint Security. Otras opciones que aparecen en pliegos según contexto.

La elección no se hace por marca, se hace por integración con tu stack actual, capacidad de operación interna y modelo de licencia frente al volumen real de endpoints.

EDR, SIEM y SOC: cómo encajan

El error frecuente es entender el EDR como sustituto del SIEM o del SOC. No lo es. Cada pieza tiene un papel:

  • El EDR es la capa profunda de telemetría y respuesta sobre endpoints. Es el ojo más fino sobre lo que pasa dentro de cada máquina.
  • El SIEM es la capa de correlación amplia que une EDR, firewall, identidad, cloud, aplicaciones y más. Da visión transversal cuando el ataque cruza dominios.
  • El SOC es el equipo que opera ambos: triagea alertas del EDR, lanza queries en el SIEM, decide cuándo escalar y ejecuta la respuesta.

La arquitectura que funciona en una empresa moderna combina las tres: EDR como detector profundo, SIEM como correlador, SOC como cerebro humano. Saltarse el SIEM funciona en empresas pequeñas; saltarse el SOC nunca funciona, las alertas del EDR sin nadie que las atienda son ruido caro.

Errores comunes al desplegar un EDR

Tres formas habituales de tirar el presupuesto:

  1. Instalar el agente y nada más. Sin reglas de detección adaptadas, sin tuning, sin respuesta. El EDR se convierte en otra consola que nadie mira.
  2. Excluir demasiado por miedo a falsos positivos. Cada exclusión es una zona ciega. Las exclusiones razonables se documentan, se justifican y se revisan; las que se hacen "porque sí" terminan siendo donde el atacante esconde su persistencia.
  3. No conectar el EDR al SIEM ni al SOC. La telemetría rica que captura el EDR pierde 70% de su valor sin correlación cruzada con identidad, red y cloud. Sin alguien que opere las alertas, el EDR es un registro forense post-mortem, no un sistema de detección.

EDR y compliance

El EDR aparece como evidencia técnica en varios marcos que aplican a empresa española:

  • NIS2 (artículo 21.2.h). Las medidas de gestión de riesgos exigen capacidades de detección y respuesta a incidentes proporcionales al riesgo. EDR + SOC es la implementación canónica.
  • ENS (Real Decreto 311/2022). Las medidas op.mon.1 (detección de intrusiones) y op.exp.10 (registro de la actividad) presuponen telemetría operativa de endpoints.
  • ISO 27001:2022 (controles A.8.7 Protection against malware y A.8.16 Monitoring activities). Exigen mecanismos de detección sobre endpoints con revisión sistemática.
  • PCI DSS v4.0 (req. 5 y 11). Mantenimiento de capacidades anti-malware actualizadas y monitorización de eventos de seguridad sobre los sistemas que procesan datos de tarjeta.

Preguntas frecuentes sobre EDR

¿Qué diferencia hay entre EDR y antivirus?

El antivirus tradicional detecta ficheros maliciosos por firma; el EDR detecta cadenas de comportamiento sospechoso, captura telemetría continua y permite respuesta orquestada (aislar, matar procesos, recoger artefactos). En la práctica los EDR modernos incluyen las funciones de antivirus dentro del mismo agente.

¿El EDR sustituye al firewall, al SIEM o al backup?

No. El EDR cubre detección y respuesta sobre endpoints. El firewall protege la red, el SIEM correlaciona eventos de toda la organización, el backup permite recuperarse de un incidente. Son piezas complementarias en una arquitectura defensiva.

¿Cuánto cuesta un EDR?

El precio se calcula por endpoint y mes, y varía mucho según fabricante, volumen y addons (XDR, MDR, threat intel, managed threat hunting). Las opciones razonables para mid-market suelen estar en el rango bajo de unidades de euro por endpoint y mes; las opciones top tier multiplican esa cifra. La elección sensata se hace tras un POC sobre tu propio entorno, no sobre tablas comparativas genéricas.

¿Hace falta SOC para tener un EDR?

Sí, en alguna forma. Un EDR sin nadie que atienda las alertas se convierte en una consola que nadie mira. Si no hay SOC interno, la opción habitual es contratar MDR (servicio gestionado sobre el EDR) o un proveedor de ciberseguridad gestionada que opere la plataforma 24/7.

¿El EDR detecta ransomware?

Sí, los EDR modernos detectan y bloquean los patrones típicos de ransomware (cifrado masivo, eliminación de shadow copies, comunicación con C2). Los que tienen rollback (SentinelOne, algunas configuraciones de CrowdStrike) recuperan ficheros cifrados durante los segundos previos al bloqueo. Combinado con backup offline y un SOC que vigile, reduce significativamente el impacto de un incidente.

¿El EDR funciona en macOS y Linux?

Los EDR enterprise (CrowdStrike, SentinelOne, Defender, Bitdefender, TrendMicro) cubren Windows, macOS y las distros principales de Linux. La cobertura técnica varía: Windows tiene la telemetría más rica; Linux y macOS suelen tener menos detecciones predefinidas pero capturan los eventos críticos (procesos, red, file integrity, audit log en Linux). En entornos donde el grueso de los servidores es Linux, conviene validar la cobertura del EDR específico antes de comprometer compra.

¿Cómo se mide si un EDR está siendo útil?

Tres métricas operativas: MTTD (tiempo medio de detección desde el primer evento sospechoso), MTTR (tiempo medio de respuesta hasta contención), y cobertura MITRE ATT&CK (qué porcentaje de las técnicas relevantes para tu sector están cubiertas por reglas activas). Un EDR sin estas métricas medidas es un EDR que nadie está operando.

Recursos relacionados

El EDR en Secra

En Secra integramos el EDR dentro del servicio de servicios gestionados de ciberseguridad, con plataforma operada por nuestro equipo, reglas adaptadas al sector del cliente y detection engineering continuo para que la cobertura crezca con la organización. Si quieres una propuesta concreta para tu volumen de endpoints y stack actual, escríbenos a través de contacto.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

defensiva

Qué es un SIEM: definición, cómo funciona y casos de uso

Qué es un SIEM (Security Information and Event Management): cómo funciona, diferencia con SOAR y XDR, casos de uso y cómo encaja en NIS2 y ENS.

2026-05-0410 min
defensiva

Qué es un SOC: definición, cómo funciona y ejemplos

Qué es un SOC (Security Operations Center): funciones, niveles L1 L2 L3, métricas MTTD y MTTR, modelos interno vs gestionado y cuándo lo necesitas.

2026-05-048 min

👋¡Hola! ¿Tienes alguna duda? Escríbenos, respondemos en minutos.

Abrir WhatsApp →