Qué es y por qué es diferente a un antivirus
Un EDR (Endpoint Detection and Response) es una solución de detección y respuesta que monitoriza en tiempo real la actividad de los dispositivos (endpoints) como ordenadores, portátiles y servidores. Su objetivo no es solo “bloquear malware”, sino detectar comportamientos propios de un ataque: ejecución de procesos sospechosos, persistencia, escalada de privilegios o movimientos laterales dentro de la red.
Qué aporta en el día a día de la empresa
A diferencia del antivirus tradicional (más basado en firmas), el EDR aporta visibilidad y trazabilidad: qué proceso se ejecutó, desde dónde, con qué usuario y qué conexiones realizó. Esto es clave cuando hay señales de intrusión, porque permite entender si se trata de un incidente aislado o de un ataque en expansión.
Cómo ayuda en incidentes (contener, investigar y responder)
En un incidente, el EDR permite contener (aislar un equipo), investigar (línea de tiempo de acciones, procesos y conexiones) y responder (eliminar artefactos, bloquear técnicas y endurecer reglas) con rapidez. Es especialmente útil frente a ransomware, robo de credenciales y ataques “silenciosos” que buscan permanecer sin ser detectados.
Este tipo de control suele desplegarse dentro de un plan de soluciones técnicas para mejorar la capacidad de detección y reacción sin depender solo de medidas preventivas.
