NDR funciona con tráfico copiado vía SPAN/TAP o con metadatos de red (NetFlow, Zeek/Suricata). El enfoque de metadatos escala mejor que la captura full packet pero pierde profundidad de inspección.
Qué es NDR
NDR (Network Detection and Response) es una categoría de plataforma de seguridad que analiza el tráfico de red este-oeste y norte-sur en tiempo real para detectar comportamiento anómalo, comunicación con infraestructura de control y respuesta (C2), movimiento lateral entre activos internos y exfiltración de datos. A diferencia de un IDS clásico, no se limita a comparar tráfico contra firmas: combina inspección profunda, modelos de comportamiento basados en machine learning y enriquecimiento con inteligencia de amenazas.
Por qué importa
Muchos ataques modernos sortean la defensa del endpoint con técnicas de "living off the land", uso legítimo de herramientas administrativas y abuso de credenciales válidas, escenarios donde el EDR tiene puntos ciegos. NDR aporta la visión que falta: observa la red completa, ve qué activos hablan con cuáles, detecta tráfico hacia dominios sospechosos, beacons periódicos de C2, túneles DNS o exfiltración disfrazada de tráfico normal. En entornos cloud y OT/IoT, donde no siempre es posible desplegar agentes en cada activo, NDR es una de las pocas formas viables de cobertura defensiva. Para cumplimiento NIS2, DORA o ISO 27001, NDR aporta la evidencia técnica de monitorización continua que un auditor espera ver.
Puntos clave
La diferencia clave frente a IDS/IPS clásico es la capa de comportamiento: NDR aprende baseline de tráfico normal de la organización y detecta desviaciones, no solo firmas conocidas.
Detecta indicadores ofensivos difíciles de ver en endpoints: beacons de C2 con patrones temporales sutiles, transferencias incrementales grandes hacia un destino concreto, escaneo interno desde un activo que normalmente no escanea.
NDR + EDR + SIEM es el triángulo que muchos analistas consideran la base operativa de un SOC moderno. XDR es una arquitectura que intenta unirlos.
Ejemplo: detección de C2 oculto sobre HTTPS
Un servidor interno comienza a establecer conexiones HTTPS cortas y muy regulares (cada 60 segundos) hacia un dominio recién registrado en una región sin negocio del cliente. El EDR no detecta nada porque la conexión la inicia un proceso legítimo (un binario firmado y conocido), pero NDR identifica el patrón de beacon: regularidad temporal, dominio con baja reputación, JA3 fingerprint poco común y tamaño de payload pequeño y constante. Levanta una alerta de "posible C2 sobre HTTPS", el SOC valida con captura de tráfico y confirma que es un implante. El activo se segmenta, se bloquea el dominio en el WAF y firewall, y arranca respuesta a incidentes.
Errores habituales
- Instalar NDR sin baseline real. Necesita al menos 2-4 semanas observando tráfico para distinguir comportamiento normal del anómalo. Activarlo en modo bloqueo desde el día uno genera ruido y bloqueos legítimos.
- Ignorar el cifrado. Mucho tráfico moderno es TLS 1.3, y el NDR ve metadatos (JA3, SNI, longitud, timing) pero no el contenido. Si se espera que vea payloads, hay que combinar con descifrado controlado en proxy.
- No integrar NDR con inteligencia de amenazas. La capacidad de cruzar IPs y dominios contra feeds de campañas activas multiplica la precisión.
- Aplicar NDR solo a tráfico norte-sur. El movimiento lateral este-oeste es donde más valor aporta. Hay que cubrir VLANs internas, segmentos cloud y enlaces inter-DC.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿NDR sustituye al IDS/IPS tradicional?
No lo sustituye, lo complementa y, en muchos diseños modernos, lo reemplaza operativamente. IDS/IPS opera por firmas y bloqueo inline; NDR añade comportamiento, machine learning y respuesta orquestada. En arquitecturas nuevas se prioriza NDR; en entornos legacy ambos suelen convivir.
¿Qué diferencia hay entre NDR y XDR?
NDR cubre la capa de red. XDR es una arquitectura que correlaciona telemetría de varias fuentes (endpoint, red, cloud, identidad, correo) en una sola plataforma. Un buen XDR suele incluir o integrar capacidades de NDR.
¿Puede NDR ver tráfico cifrado?
Ve metadatos del tráfico cifrado (JA3 fingerprint, SNI, patrones temporales, volúmenes) pero no el contenido. Con esos metadatos puede detectar mucho comportamiento anómalo. Si se necesita inspección de payload, hay que combinar con descifrado controlado en un proxy o firewall.