Guía comparativa · Detección y respuesta · Decisión de compra
EDR vs XDR vs MDR: qué cubre cada uno y cómo elegir sin pagar de más
Comparativa pensada para comités de compra: EDR y XDR son productos; MDR es servicio gestionado. Aquí explicamos qué problema resuelve cada uno, dónde se solapan, qué decisión es razonable según madurez, sector y presupuesto, y cómo encajan con NIS2, DORA e ISO 27001:2022.
Resumen en una página
La conversación EDR vs XDR vs MDR se trampea con frecuencia porque mezcla dos preguntas distintas: qué tecnología necesito y quién la opera. Cuando se separan las dos preguntas, la decisión se simplifica.
Producto
EDR
Telemetría profunda del endpoint y capacidad de respuesta sobre él: aislamiento, kill process, rollback. Es la pieza obligatoria si quieres detectar movimientos reales del atacante en la flota.
Ver glosario EDR →Producto
XDR
EDR ampliado con identidad, correo, red, SaaS y cloud. Una sola consola correlaciona señales entre superficies. Útil cuando el ataque relevante ya no vive solo en el endpoint.
Ver glosario XDR →Servicio gestionado
MDR
Quien opera el EDR o XDR. Analistas humanos 24×7, casos de uso afinados, contención asistida y SLA contractual de respuesta. Resuelve el hueco entre comprar tecnología y operarla bien.
Ver glosario MDR →Tabla comparativa
Las tres opciones no compiten en el mismo eje. EDR y XDR responden a qué tecnología, MDR responde a quién la opera. Se combinan, no se excluyen.
| Dimensión | EDR | XDR | MDR |
|---|---|---|---|
| Naturaleza | Producto tecnológico | Producto tecnológico (suite) | Servicio gestionado con personas |
| Superficie cubierta | Endpoint (Windows, macOS, Linux, servidor) | Endpoint + identidad + correo + red + cloud + SaaS | La que ofrezca la tecnología subyacente |
| Capacidad de respuesta | Acciones automatizadas y manuales sobre endpoint | Acciones cross-superficie (revocar sesión, aislar, bloquear) | Contención asistida con analista humano hasta cierre |
| Quién opera la consola | Equipo interno (TI/seguridad) | Equipo interno | Proveedor MDR (analistas L1-L3 24×7) |
| Personalización al sector | Reglas y exclusiones que mantienes tú | Casos de uso de proveedor + ajustes propios | Casos de uso afinados al sector y al cliente |
| Tiempo a operación productiva | 4-8 semanas de despliegue + meses de tuning | 8-16 semanas de despliegue completo + tuning continuo | 4-8 semanas hasta operación con SLA en vigor |
| Coste anual orientativo (500-2.000 endpoints) | 30-90 k€ en licencias | 70-200 k€ en licencias | 80-250 k€ todo incluido (con o sin EDR del proveedor) |
| Riesgo principal | Comprarlo y no operarlo | Activar consolas y dejar la mitad sin tuning | Proveedor que solo alerta y no contiene |
| Evidencia NIS2/DORA | Telemetría sí; evidencia operativa no | Telemetría rica; operativa depende de quién la use | Evidencia continua de detección, respuesta y mejora |
Cifras orientativas
Los rangos económicos son para flota mediana y configuración media. Tu caso puede salirse arriba o abajo.
Operar > comprar
Una tecnología media bien operada bate a la tecnología premium mal operada todos los días del año.
Evidencia auditable
Para NIS2/DORA lo que se mira es el flujo: alerta → investigación → contención → notificación → mejora.
Qué tiene sentido según tu situación
No hay una respuesta única. Estos cuatro escenarios cubren la mayoría de comités de compra que hemos visto en sectores regulados.
Escenario 1
Tienes equipo de TI fuerte pero ningún SOC
Encaja EDR + servicio L1 externo. Tu equipo conoce la flota y los procesos, pero el monitoreo 24×7 es inviable. Un EDR bien afinado más un servicio L1 que filtra ruido y escala los casos serios deja la respuesta final en tu equipo. Es la combinación más coste-eficaz cuando hay madurez interna.
Escenario 2
Identidad y M365 son tu negocio crítico
Encaja XDR + MDR. Los ataques relevantes ya no viven en el endpoint: vienen por phishing, MFA fatigue, OAuth abusivo o tokens robados. XDR correlaciona identidad, correo y cloud; un MDR enterprise convierte esa correlación en acción. Aquí la diferencia entre detectar en 12 minutos o en 12 horas son días de impacto.
Escenario 3
Te aplica NIS2 o DORA y no quieres improvisar evidencia
Encaja MDR documentado. La cuestión no es solo detectar, es producir evidencia continua y notificar en plazo. Un MDR con SLAs contractuales y registro trazable de cada paso genera el material que el supervisor o auditor espera ver, sin tener que reconstruirlo cada vez. Combina bien con un vCISO que mantenga la disciplina.
Escenario 4
Quieres montar SOC interno a 18-24 meses
Encaja XDR + MDR como puente. Mientras formas el equipo, contratas plataforma y defines casos de uso, el MDR opera con SLAs y entrega evidencia. La ventaja real es que el plan de salida queda recogido en el contrato: casos de uso, playbooks, integraciones y lecciones aprendidas son tuyos cuando termina el servicio. Si no negocias esa salida, el coste de cambio te atrapa.
EDR · qué cubre realmente
Un EDR moderno es bastante más que un antivirus avanzado. Recoge cientos de eventos por endpoint (procesos, conexiones, accesos a disco, módulos cargados, scripts), aplica detecciones basadas en comportamiento y permite acciones de respuesta (aislar el equipo, matar procesos, deshacer cambios). Lo que no hace un EDR puro es ver lo que pasa fuera del endpoint: si el atacante entra por Entra ID con un token robado y nunca pisa una máquina, el EDR no se va a enterar.
Qué hace bien
- Detección por comportamiento con telemetría granular
- Aislamiento de endpoint en segundos
- Hunting retrospectivo con consultas tipo KQL
- Bloqueo de ejecución y reversión
Dónde queda corto
- Compromiso de identidad sin actividad en endpoint
- OAuth abusivo, MFA fatigue, tokens robados
- Movimiento lateral en SaaS (M365, Google Workspace)
- Ataques que viven en infra cloud (IAM, contenedores)
XDR · cuándo aporta valor real
XDR amplía el campo de visión: ingiere telemetría de identidad (Entra ID, AD), correo, red, cloud y SaaS, y correlaciona señales que un EDR vería sueltas. La cadena clásica —phishing → token robado → OAuth abusivo → exfiltración por M365— solo se ve completa con XDR. La parte incómoda es que XDR fácil de comprar y difícil de operar: muchas empresas activan tres consolas y dejan dos sin afinar.
Tiene sentido cuando
- Tu superficie crítica vive en identidad y SaaS
- Operas en cloud con varias cuentas y servicios
- Quieres una sola consola de detección end-to-end
- Tu EDR no cubre identidad por diseño
Tiene menos sentido cuando
- Tu operación crítica vive en entornos OT/industriales
- Necesitas retención larga ya cubierta por SIEM
- No tienes equipo para afinar los casos de uso
- El presupuesto exige decisiones por capas
MDR · lo que debe traer un contrato serio
Un MDR enterprise se reconoce por el contrato, no por el discurso comercial. Hay cinco elementos que tienen que aparecer escritos para que el servicio sea exigible.
SLAs medibles
MTTD, MTTC, notificación y aislamiento con definiciones precisas y consecuencias si se incumplen.
Contención asistida
Aislar endpoint, revocar sesión, bloquear C2 dentro del SLA. Si solo alertan, no es MDR.
Casos de uso afinados
Adaptados al sector y al cliente; revisados con falsos positivos controlados antes de poner SLAs en vigor.
Plan de salida
Casos de uso, playbooks, integraciones y lecciones se entregan al cliente al fin del contrato.
Reporting ejecutivo
Tendencias, KPIs, cobertura ATT&CK y propuesta de mejora con frecuencia mensual.
Forense puente
Cuando un incidente grave excede el alcance MDR, transición ordenada a DFIR sin perder evidencia.
Errores habituales en el comité de compra
- Comparar EDR de un fabricante con MDR de otro como si fueran la misma cosa. No lo son: uno es producto, el otro es operación. Se complementan.
- Decidir por la consola más bonita de la demo. La consola se mira los tres primeros meses; los SLAs y el equipo humano viven contigo durante años.
- Pedir descuentos sobre licencias sin negociar los SLAs operativos. Un 20% de descuento en licencia con SLA débil sale más caro que el precio de lista con SLA firme.
- Asumir que un MDR de plantilla genérica vale para tu sector. Un SOC bancario y un SOC industrial no comparten ni amenazas ni horarios ni casos de uso.
- No medir cobertura ATT&CK antes y después. Si no sabes qué técnicas detectas hoy, no puedes saber cuánto ganas con la inversión.
- Confundir MDR con MSSP. El MSSP es paraguas amplio; MDR es contrato específico de respuesta gestionada con SLA. Pide el alcance por escrito.
Servicios relacionados en Hard2bit
SOC gestionado y MDR
Operación 24×7 con SLAs y contención asistida sobre tu EDR o el nuestro.
Ver →
MSSP enterprise
Paraguas amplio: SOC, vulnerabilidades, CTI, respuesta y reporting.
Ver →
Threat hunting
Hipótesis ofensivas mapeadas a MITRE ATT&CK con cadencia regular.
Ver →
Respuesta a incidentes
Cuando el alcance excede MDR: forense, contención profunda y comunicación regulatoria.
Ver →
vCISO
Disciplina de gobierno encima de la operación para que la inversión se traduzca en resultados.
Ver →
Catálogo completo
Explora servicios por sector e intención.
Ver →
Preguntas frecuentes
¿Cuál es la diferencia esencial entre EDR, XDR y MDR?
EDR es la tecnología que vigila el endpoint y permite contener acciones en él. XDR amplía esa visibilidad con telemetría de identidad, correo, red, cloud y SaaS, correlacionándolo todo. MDR es el servicio gestionado: el proveedor opera EDR o XDR 24×7 con analistas humanos y SLAs de respuesta. EDR y XDR son productos; MDR es operación.
¿Necesito XDR si ya tengo EDR de gama alta?
Depende del alcance. Un EDR moderno cubre bien el endpoint, pero deja fuera ataques que viven en identidad (Entra ID, AD), correo, SaaS o cloud. Si tu superficie crítica está fuera del endpoint —o si quieres unificar consola de detección—, XDR aporta valor real. Si lo único que necesitas es endurecer la flota Windows, un buen EDR puede ser suficiente.
¿Puedo contratar MDR sin tener EDR previo?
Sí. Muchos proveedores de MDR enterprise incluyen su propio EDR como parte del contrato y se encargan del despliegue y el ajuste fino. Otros operan en modo BYO-EDR: tú mantienes tu licencia (CrowdStrike, Defender for Endpoint, SentinelOne…) y el MDR opera encima. Ambos modelos son legítimos; lo que cambia es el TCO y la portabilidad.
¿Qué encaja mejor con NIS2 y DORA?
NIS2 (artículo 21.2) y DORA (artículos 9-10) exigen capacidad demostrable de detección, respuesta y notificación en plazo. EDR/XDR aportan la detección técnica, pero la evidencia operativa la genera el servicio que opera la herramienta: si tienes equipo interno, un SOC propio; si no, MDR documentado. Para sectores regulados sin equipo dedicado 24×7, MDR es habitualmente la opción más rentable y trazable.
¿Cuánto cuesta MDR comparado con montar un SOC interno?
Un SOC interno mínimo (turnos 24×7, L1-L3, herramientas, casos de uso) parte de unos 600-900 mil euros/año en una organización mediana, sin contar tiempo de maduración (9-18 meses). Un MDR enterprise sobre 500-2.000 endpoints suele moverse entre 80 y 250 mil euros/año, con operación productiva en 4-8 semanas. El SOC interno gana en personalización; el MDR gana en velocidad, predictibilidad y disciplina operativa.
¿Qué hace que un MDR sea realmente bueno y no marketing?
Tres cosas. Primero, SLAs concretos en el contrato (MTTD, MTTC y notificación) con consecuencias claras si se incumplen. Segundo, contención asistida real, no solo correos de alerta. Tercero, casos de uso afinados al sector y al cliente, no plantilla genérica. Si el proveedor no firma SLAs o pretende operar igual para banca y para manufactura, no es MDR enterprise.
¿XDR sustituye al SIEM?
No siempre. XDR cubre muy bien la detección operativa con telemetría propia y de partners. SIEM sigue siendo necesario cuando hay obligación regulatoria de retención prolongada (PCI DSS, banca, sector público) o cuando se necesita ingerir fuentes no soportadas por XDR (ICS/OT, aplicaciones a medida, logs de negocio). En la práctica, XDR + SIEM conviven y se complementan.
¿Cómo arranca un proyecto de comparación y elección en Hard2bit?
Empezamos con un diagnóstico de superficie y telemetría existente: qué fuentes hay, qué cobertura ATT&CK ofrece tu stack actual, qué falsos positivos generas y qué tiempo de respuesta tienes hoy. Sobre ese punto de partida proponemos un objetivo razonable (EDR + servicio L1, XDR + servicio L2-L3, MDR completo) y un plan de transición sin reset.
¿Quieres salir del comité de compra con una decisión firmable?
Te proponemos una sesión de 30 minutos para revisar tu superficie actual, qué cobertura tiene tu stack y qué combinación EDR/XDR/MDR encaja con tu sector, presupuesto y obligaciones regulatorias.