EDR requiere agente en cada endpoint, lo que significa complejidad operativa: updatearlo, gestionarlo, solucionar problemas de compatibilidad. No es una solución que instalas y olvidas.
Qué es EDR
EDR (Endpoint Detection and Response) es una plataforma de agentes instalados en endpoints (PCs, servidores, móviles) que monitoriza el comportamiento de procesos, ficheros, conexiones de red y cambios del sistema en tiempo real. Detecta comportamiento malicioso, ejecuta respuestas automáticas (aislar dispositivo, matar procesos, bloquear ficheros) y preserva datos forenses para investigación posterior.
Por qué importa
La defensa perimetral ya no es suficiente. Los ataques se infiltran a través de email, vulnerabilidades zero-day, acceso remoto legítimo comprometido o cadena de suministro. Una vez dentro de tu red, si solo tienes firewall y antivirus antiguo, el atacante se mueve libremente. EDR coloca inteligencia de detección directamente en cada dispositivo. Ve lo que hace malware una vez que está ejecutándose, detecta anomalías en procesos del sistema (lsass.exe accediendo a memoria de otras aplicaciones, PowerShell descargando ficheros maliciosos), identifica intentos de escalada de privilegios o movimiento lateral. Es el último escalón defensivo antes de que el atacante acceda a datos sensibles. Para un CISO con requisitos DORA, NIS2 o ISO 27001, EDR es prácticamente obligatorio en infraestructura crítica.
Puntos clave
La detección de comportamiento requiere machine learning y baseline de comportamiento normal. Un EDR puede generar alarmas falsas en entornos con aplicaciones legítimas que hacen cosas poco comunes.
Respuesta automática versus manual: bloquear un fichero sospechoso inmediatamente es efectivo, pero aislar un dispositivo del que dependen 100 usuarios causa impacto. El balance entre automatización y validación manual es crítico.
EDR + SIEM + Inteligencia de amenazas = detección completa. EDR ve qué pasa en el endpoint, SIEM correlaciona eventos en red, inteligencia identifica si el IOC está siendo usado actualmente por grupos amenaza.
Ejemplo: detección de RAT (Remote Access Trojan) mediante EDR
Un usuario recibe email de suplantación (parece legítimo) con macro en Excel. Lo abre, la macro se ejecuta. EDR ve inmediatamente que Excel es iniciando procesos no estándar, descargando ficheros ejecutables a carpeta temporal, intentando persistencia (crear tareas programadas). Levanta alerta, el usuario revisa y confirma no esperaba eso. El dispositivo se aísla automáticamente (si está configurado así), se bloquea el fichero descargado. El equipo de seguridad extrae la muestra, la analiza, revisa qué más ficheros descargó, qué procesos iniciaba (tunnel SSH, RDP persistente). Valida que fue el único usuario afectado. Sin EDR, ese RAT habría estado semanas, creando backdoor para acceso del atacante.
Errores habituales
- Instalar EDR pero no tener gente que revise las alertas. Una plataforma generando 50 alertas diarias que nadie analiza es ruido que se ignora. Requiere SOC, SIEM tuneado o servicio gestionado.
- Confundir EDR con antivirus. Antivirus es firmas de malware conocido. EDR es detección de comportamiento anómalo incluso si no conoce exactamente qué malware es. Son complementarios.
- No segmentar basándose en alertas EDR. Detectar un compromiso en un endpoint que tiene acceso a base de datos crítica es inútil si no puedes aislarlo sin romper todo. EDR + segmentación de red = efectivo.
- Dejar EDR con configuración por defecto. Cada organización tiene procesos diferentes. Un EDR requiere tuning, lista blanca de aplicaciones legítimas y ajuste de umbrales para tu entorno.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿EDR y antivirus son lo mismo?
No. Antivirus detecta malware por firma (comparación con base de datos de hashes conocidos). EDR monitoriza comportamiento: qué procesos se crean, qué ficheros acceden, qué conexiones abren. EDR detecta malware nuevo que no existe en firmas, porque detecta el comportamiento malicioso.
¿Cuál es el impacto de EDR en el performance de un endpoint?
EDR bien optimizado consume 2-5% CPU y memoria. Mal configurado o en entorno muy exigente puede ralentizar. Requiere balance entre detección y usabilidad. Test en piloto antes de desplegar a toda la organización.
¿EDR reemplaza al pentesting?
No. EDR detecta amenazas externas y comportamiento malicioso. No descubre vulnerabilidades activas ni logra acceso que un pentester lograría. Son complementarios. EDR es detección; pentesting es evaluación proactiva.