Glosario
Qué es EDR: registrar el 'comportamiento' de los endpoints para detectar y responder a los ataques que se cuelan
EDR (Endpoint Detection and Response) registra el comportamiento de los dispositivos, detecta actividad sospechosa y apoya la respuesta: aislar, investigar, recuperar. Atrapa lo que el antivirus de firmas se pierde, como los ataques sin archivos.
"Ya tengo antivirus, ¿para qué EDR?" Cumplen papeles distintos. Aquí tienes qué protege EDR y cómo (sin pasos de ataque).
En qué se diferencia del antivirus tradicional
| Aspecto | Antivirus tradicional | EDR |
|---|---|---|
| Base de detección | Firmas conocidas / IOC (hashes) | Comportamiento / IOA (una cadena de actividad) |
| Resistencia a que se cuelen | Débil ante lo sin archivos / abuso de herramientas | Más fácil de atrapar por el comportamiento |
| Investigación a posteriori | Limitada | Una línea de tiempo para rastrear lo ocurrido |
| Respuesta | Sobre todo eliminación | Apoya aislar, investigar, recuperar |
Cómo protege (el mecanismo)
El cotejo de firmas (bloquear lo malo conocido) y la detección por comportamiento (notar vía IOA) no se oponen. Tener ambos es lo realista; EDR profundiza en el segundo.
Un enfoque realista para equipos pequeños
Refuerza primero la base
Usa la protección integrada del sistema operativo
Conserva registros y vigila con ojo IOA
Considera EDR a medida que creces
La opinión de este sitio: el estado de 'registrar/detectar/responder', no el nombre del producto
EDR es potente, pero en este sitio no tratamos "tenemos EDR" como "estamos a salvo". La detección va de después de que un incidente empieza; el verdadero objetivo es un diseño que no deje que empiece ni se propague (mínimo privilegio, parcheo, MFA, sin secretos en texto plano). Encima de eso, dado que algunos ataques siempre se cuelan, mantén un estado en el que puedas registrar, detectar y responder al comportamiento, dimensionado a tu escala. Para particulares, "Defender + registros + la mentalidad IOA" suele bastar; para organizaciones, un EDR gestionado es una opción. Lo que importa no es el nombre del producto: es si la prevención (que no ocurra) y la detección (notarlo) están ambas en marcha.
Sigue leyendo
FAQ
Q¿En qué se diferencia EDR del antivirus tradicional?
El antivirus tradicional coteja sobre todo 'archivos maliciosos conocidos' (firmas/hashes) y los bloquea. EDR añade el registro continuo del comportamiento en el dispositivo (lanzamiento de procesos, red, operaciones de archivos), detecta una cadena sospechosa de actividad y apoya la respuesta: aislar, investigar, recuperar. Piénsalo así: el AV bloquea lo malo conocido; EDR lo nota por el comportamiento y te ayuda a responder.
Q¿Por qué hace falta la detección basada en comportamiento?
Los atacantes cambian los hashes de archivos y abusan de herramientas legítimas del sistema operativo (sin archivos) para colarse ante el cotejo de firmas. Tales ataques apenas parecen un 'archivo malo': solo aparecen como 'una cadena de comportamiento extraña'. Por eso EDR, que vigila el comportamiento (IOA), cumple el papel de atrapar lo que se coló.
Q¿Los particulares o los equipos pequeños necesitan EDR?
Un EDR completo es sobre todo para organizaciones y a menudo es excesivo para particulares/equipos pequeños. Pero la idea es útil. Microsoft Defender de Windows incluye detección de comportamiento ligera, y combinar una base sólida (actualizaciones automáticas, mínimo privilegio, registros conservados) con la mentalidad IOA (notar por el comportamiento) aporta gran parte del valor. El estado —si puedes registrar, detectar y responder al comportamiento— importa más que el nombre del producto.