¿Qué es EDR (Endpoint Detection and Response)?
EDR (Endpoint Detection and Response, o detección y respuesta en endpoints) es una tecnología de seguridad que monitorea de forma continua los dispositivos de una empresa (computadoras, servidores y teléfonos) para detectar, investigar y contener amenazas por su comportamiento, no solo por firmas ya conocidas. Es la evolución del antivirus tradicional: ve el ataque que nunca antes se vio y responde en tiempo real.
Cómo funciona el EDR
En lugar de esperar a reconocer un virus ya catalogado, el EDR observa lo que ocurre en cada dispositivo y actúa apenas aparece un comportamiento sospechoso. El ciclo tiene cuatro etapas.
Monitoreo continuo
Un agente liviano registra lo que ocurre en el dispositivo las 24 horas: procesos que se abren, archivos que cambian, conexiones de red y accesos.
Detección por comportamiento
Con análisis y aprendizaje automático, el EDR identifica patrones de ataque incluso sin una firma conocida, incluidas amenazas de día cero y ataques sin archivo.
Investigación y contexto
Al señalar algo, reconstruye el origen: por dónde entró, qué tocó y hacia dónde iba. Es el análisis de causa raíz que el antivirus no hace.
Contención y respuesta
Aísla el dispositivo de la red, detiene el proceso malicioso y, cuando es posible, revierte el daño, antes de que el ataque se propague.
Fuente: Cyber Encyclopedia de N-able.
Lo que el EDR detecta y el antivirus deja pasar
- Ataques sin archivo (fileless) Código malicioso que se ejecuta directo en la memoria, sin instalar un archivo que el antivirus pueda reconocer.
- Amenazas de día cero Ataques nuevos, aún sin firma publicada. El antivirus solo reacciona después de que la amenaza entra al catálogo.
- Una cuenta legítima en manos equivocadas Una credencial robada que actúa como usuario real: el antivirus ve un acceso válido, el EDR percibe el patrón anormal.
- Movimiento lateral El intruso que salta de un dispositivo a otro dentro de la red, algo que el antivirus, atado a cada máquina, no acompaña.
- Ransomware en acción El EDR interrumpe el cifrado en curso y, en muchos casos, revierte lo que ya fue cifrado.
Por qué el antivirus solo ya no basta
El problema no es que el antivirus falle siempre, es que solo reconoce lo que ya conoce. Las amenazas modernas cambian de forma, se ejecutan sin archivo y usan credenciales legítimas, y pasan por la firma. Mientras tanto, el intruso permanece, típicamente, 11 días dentro de la red antes de ser notado (Mandiant, M-Trends 2025), tiempo de sobra para robar datos y preparar el golpe. Súmese el costo: una filtración de datos cuesta, en promedio, $ 4,44 millones (IBM, Cost of a Data Breach 2025), y el ransomware, que el EDR fue hecho para contener, ya aparece en el 44% de todas las filtraciones (Verizon, DBIR 2025). Zamak recomienda el EDR en el 100% de los endpoints justamente porque la ventana entre la infección y la detección es donde se forma el perjuicio.
Cómo elegir y adoptar el EDR
Tener EDR ayuda poco si nadie acompaña las alertas. En la práctica, lo que separa a una buena defensa de endpoint es:
- EDR en el 100% de los dispositivosServidores, computadoras y teléfonos. Un solo endpoint sin cobertura es la puerta que el ataque busca.
- Respuesta gestionada, no solo alertasDe nada sirve detectar a las 3 de la mañana si nadie actúa. La detección necesita un equipo que responda.
- Contención automáticaAislar el dispositivo y detener el proceso en segundos, sin esperar a que un humano escriba el comando.
- Reversión del daño y causa raízDeshacer el estrago y entender cómo entró, para cerrar la brecha, no solo apagar el incendio.
- Integración con correo e identidadLa mayoría de los ataques empieza por phishing o una credencial. El EDR es una capa, no la única.
En la práctica
EDR sin alguien que responda es media defensa. La tecnología detecta; la respuesta la entrega un equipo de guardia.
Cómo trata Zamak el EDR
Zamak Technologies implementa la defensa avanzada de endpoint en todos los dispositivos y la mantiene bajo monitoreo con respuesta gestionada, para que la detección se vuelva contención antes de que el ataque se propague. Un buen punto de partida es el diagnóstico de ciberseguridad, que muestra dónde su empresa todavía depende solo del antivirus. Forma parte de la Ciberseguridad del Método Zamak.