EDR vs Antivirus: ¿cuál es la diferencia y cuál necesita tu empresa?
Respuesta directa
El antivirus tradicional (EPP) bloquea amenazas conocidas por firma; el EDR detecta y responde a comportamientos sospechosos en el endpoint, incluso sin archivo malicioso. Hoy el 79-81% de las intrusiones no usa malware (CrowdStrike 2025), así que el antivirus por sí solo no basta. Para la mayoría de las empresas brasileñas la respuesta es: EDR como base y MDR (EDR gestionado 24/7) si no tienes equipo para investigar alertas. Rangos reales: el EDR puro cuesta de R$ 18 a R$ 120 por endpoint/mes según el tier; el MDR gestionado, de R$ 35 a R$ 180 por endpoint/mes, con pisos de R$ 6 mil a R$ 30 mil/mes en paquetes para hasta 50-100 máquinas. El precio depende del número de endpoints, la retención de telemetría, el SLA y si hay SOC humano en el contrato.
En resumen
- ›El antivirus (EPP) es prevención por firma/reputación: excelente contra malware conocido, ciego ante ataques que usan herramientas legítimas del propio Windows (PowerShell, mshta, rundll32) y credenciales robadas.
- ›El EDR agrega telemetría continua, detección por comportamiento, aislamiento de la máquina y threat hunting: es lo que ve el ransomware moderno y los ataques fileless que el antivirus no ve.
- ›El 79-81% de las intrusiones en 2024-2025 fueron 'malware-free' (CrowdStrike): el atacante entra con una contraseña válida y usa herramientas nativas. Esto, por sí solo, ya justifica el EDR para cualquier empresa con datos sensibles.
- ›Tener EDR no basta: alguien tiene que leer e investigar las alertas. Si no tienes equipo de seguridad 24/7, el EDR se vuelve ruido. Ahí entra el MDR (EDR gestionado con SOC humano).
- ›Precio honesto: EDR puro ~R$ 18-120/endpoint/mes; MDR gestionado ~R$ 35-180/endpoint/mes. Lo que mueve el precio es el número de máquinas, la retención de logs, el SLA de respuesta y la presencia de un analista humano.
- ›Para pymes brasileñas con 20-200 endpoints y sin equipo de seguridad, el MDR suele salir más barato y más eficaz que montar un SOC interno, porque el costo real del EDR no es la licencia, es la operación.
Qué es el antivirus tradicional (EPP) y dónde acierta —y dónde queda ciego
El antivirus que conoces hoy es parte de una categoría que la industria llama EPP (Endpoint Protection Platform, Plataforma de Protección de Endpoint). La diferencia de nombre importa para comprar bien: 'antivirus' en el sentido clásico era un motor de firmas; 'EPP' es el paquete moderno de prevención que reúne ese motor de firmas, reputación de archivos, heurística, firewall de host, control de dispositivos y, en las versiones buenas, un módulo de machine learning que intenta clasificar un archivo como bueno o malo antes de que se ejecute. Cuando alguien dice 'tengo antivirus corporativo', casi siempre está hablando de un EPP. Entender esto evita que pagues dos veces por la misma capa.
El EPP es una tecnología de prevención, y prevención significa: intentar impedir que algo malo ocurra, con base en lo que ya se sabe que es malo. El modelo mental es el de un portero con una lista de buscados. Llega un archivo, el motor calcula un hash, lo compara con la base de firmas y la inteligencia de reputación en la nube, y decide bloquear o permitir. Esto funciona muy bien para una clase enorme de amenaza: el malware commodity, ese troyano que circula en masa, el adjunto malicioso reconocido, el ejecutable ya catalogado por millones de otros clientes. Para ese tipo de amenaza, el antivirus moderno es rápido, barato y eficaz. Nadie con buen sentido recomienda quitar el EPP de la empresa: detiene el ruido de fondo y deja que el equipo se enfoque en lo difícil.
El problema es estructural, no de marca: la prevención por firma/reputación ve archivos, y el ataque moderno cada vez depende menos de un archivo. El informe Global Threat Report 2025 de CrowdStrike midió que el 79% de las detecciones de intrusión en 2024 fueron 'malware-free' —es decir, sin ningún archivo malicioso que el antivirus pudiera atrapar— y ese número subió al 81% de las intrusiones en el primer semestre de 2025. El atacante no 'instala un virus'; inicia sesión con una credencial robada (comprada en un log de stealer, obtenida por phishing) y a partir de ahí usa las herramientas que ya existen en Windows. Para el EPP, un PowerShell ejecutándose es Windows funcionando con normalidad. No hay hash malo para bloquear. La puerta está ciega.
El segundo punto ciego es el ataque fileless (sin archivo) y el living-off-the-land (LOTL, vivir de la tierra, usar lo que ya está en la máquina). Aquí el código malicioso se ejecuta directamente en la memoria, o es cargado por un binario legítimo y firmado por la propia Microsoft: los llamados LOLBins (Living-Off-the-Land Binaries), como powershell.exe, mshta.exe, rundll32.exe, certutil.exe, wmic.exe. Como nada sospechoso toca el disco, no hay qué escanear. La propia CrowdStrike define LOTL como el uso de herramientas nativas y legítimas para conducir actividad maliciosa, justamente para escapar de defensas basadas en firma. El Ponemon Institute estimó que los ataques fileless tienen una probabilidad de éxito cerca de diez veces mayor que los ataques basados en archivo. No es que tu antivirus sea malo: es que fue diseñado para un juego que el adversario dejó de jugar.
Hay todavía un tercer problema, más sutil y más peligroso para quien decide la compra: el antivirus tradicional no cuenta la historia. Incluso cuando bloquea algo, te da un evento aislado —'archivo X bloqueado a las 14:32'—. No te dice cómo llegó ahí, qué más hizo ese proceso, si se movió a otra máquina, si exfiltró datos. Sin esa narrativa, no sabes si fue un susto o el comienzo de un incidente de ransomware. Es exactamente esa brecha —visibilidad, contexto y capacidad de responder— la que dio origen a la categoría EDR.
Qué es el EDR y por qué ve lo que el antivirus no ve
EDR significa Endpoint Detection and Response (Detección y Respuesta en el Endpoint). El término (originalmente ETDR) fue acuñado en 2013 por el analista Anton Chuvakin, de Gartner, para nombrar una categoría nueva de herramientas enfocadas en detectar e investigar actividades sospechosas en los hosts, y se abrevió a EDR en 2015. La motivación fue precisamente la limitación del antivirus ante amenazas avanzadas. Fíjate en el orden de las palabras: detección y respuesta. El antivirus es prevención; el EDR asume que algo va a pasar la prevención, y se prepara para verlo y actuar cuando pase. Ambos no compiten: el EDR presupone que ya tienes prevención y cubre lo que ella deja escapar.
Mecánicamente, un EDR instala un agente en cada endpoint que hace algo que el antivirus no hace: registra continuamente el comportamiento de la máquina. Creación de procesos, conexiones de red, escritura en claves de registro, carga de DLLs, relaciones padre-hijo entre procesos, inicios de sesión. Ese flujo de telemetría se envía a una plataforma central, donde se correlaciona en tiempo real contra reglas de detección por comportamiento. La pregunta que hace el EDR no es '¿este archivo es conocidamente malo?', sino '¿esta secuencia de acciones es lo que haría un atacante?'. Cuando Word abre PowerShell, que descarga algo de internet, que desactiva el Volume Shadow Copy (los respaldos de Windows) y empieza a cifrar archivos en lote, cada paso puede ser 'legítimo' de forma aislada, pero la cadena entera es inconfundiblemente un ataque de ransomware. El EDR ve la cadena. El antivirus veía cada eslabón, y cada eslabón parecía inofensivo.
Es aquí donde entra MITRE ATT&CK, el framework que se volvió la lengua franca de la detección moderna. ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) es una base de conocimiento pública, mantenida por MITRE, que cataloga cómo operan los adversarios reales. En la versión Enterprise (v18, 2025) hay 14 tácticas —los 'porqués', del Reconocimiento al Impacto— y 216 técnicas con 475 subtécnicas —los 'cómos'—. Un EDR serio mapea sus detecciones a esas técnicas: cuando alerta 'T1059.001 — PowerShell' o 'T1490 — Inhibit System Recovery' (borrar respaldos), no recibes una alarma genérica, recibes el nombre exacto de la jugada del adversario y dónde está en la línea del ataque. Eso cambia todo en la investigación: sabes si estás al comienzo (acceso inicial) o al final (impacto/exfiltración), y cuán urgente es.
La parte 'Response' del EDR es lo que lo transforma de un detector en una defensa. Ante una alerta, el EDR permite acciones que el antivirus nunca tuvo: aislar la máquina de la red con un clic (sigue hablando solo con la plataforma, y el atacante pierde el terreno), matar un proceso malicioso de forma remota, revertir cambios, recolectar artefactos forenses y bloquear el indicador en toda la flota de una vez. En un incidente real, la diferencia entre aislar al paciente cero en cinco minutos y descubrir el problema tres días después es, literalmente, la diferencia entre un susto y la empresa detenida con todo cifrado. El informe IBM Cost of a Data Breach 2025 midió el tiempo medio para identificar y contener una violación en 241 días —el menor en nueve años, pero aún ocho meses—. El EDR existe para bajar ese número de meses a minutos.
Por último, el EDR habilita el threat hunting (caza de amenazas): como guarda la telemetría histórica, un analista puede hacer preguntas retroactivas —'¿algún endpoint ejecutó este comando sospechoso en los últimos 30 días?', '¿esta credencial inició sesión desde un lugar desde donde nunca lo había hecho?'—. Es proactividad: buscar al atacante que ya está dentro y todavía no ha disparado ninguna alarma automática. Ningún antivirus hace esto, porque no guarda la historia: solo reacciona a archivos en el momento en que aparecen. Esa retención de telemetría, por cierto, es uno de los principales factores de precio del EDR, como veremos.
¿Quieres dejar de adivinar si tu antivirus da abasto? Decripte implementa EDR/MDR gestionado dimensionado a tu riesgo real, con un SOC operando cuando el atacante de hecho ataca. Empieza por la Seguridad Preventiva (/plano/seguranca-preventiva), conoce la detección y respuesta gestionada (/solucoes/mdr) o el monitoreo 24/7 (/plano/soc-247). Ciberseguridad para todos los tamaños, del MEI al enterprise.
Sin tarjeta, sin compromiso. Descubre en minutos qué ya se filtró de tu empresa y cuál es tu riesgo real.
Antivirus vs EDR vs MDR: la comparación que decide la compra
Hay un tercer término que necesitas entender antes de firmar cualquier contrato, porque es donde la mayoría de las empresas se equivoca: MDR — Managed Detection and Response (Detección y Respuesta Gestionada). El EDR es una herramienta; el MDR es un servicio. En el EDR puro, la plataforma genera las alertas, y alguien de tu empresa tiene que leerlas, investigarlas, separar el falso positivo del ataque real y apretar el botón de respuesta, 24 horas al día, 7 días a la semana, incluso a las 3 de la mañana de un domingo (que es exactamente cuando los grupos de ransomware prefieren atacar, justamente porque nadie está mirando). En el MDR, un SOC (Security Operations Center) humano de un proveedor hace eso por ti: monitorea, hace triaje, investiga, responde y te llama cuando es grave.
Esa distinción es la fuente del mayor error de presupuesto en seguridad de endpoint: comprar EDR creyendo que compraste protección, cuando en realidad compraste una herramienta que necesita un operador. Un EDR de punta generando 200 alertas por día para un equipo de TI de tres personas que ya se ocupa de la impresora, el correo y el ERP no es seguridad: es una alarma sonando en una casa vacía. El valor del EDR solo se realiza cuando hay capacidad humana calificada para operarlo. Por eso la pregunta de compra no es '¿EDR o antivirus?', sino, en secuencia: (1) ¿tengo EPP? (sí, mantenlo); (2) ¿necesito EDR? (casi con certeza sí); (3) ¿tengo gente para operar el EDR 24/7? — si no, necesitas MDR.
La tabla a continuación resume las tres capas desde la óptica de quien decide. Léela como escalones que se suman, no como opciones excluyentes: el MDR normalmente ya incluye el EDR (la herramienta) integrado en el servicio, y el EDR presupone un EPP por debajo. No 'cambias' antivirus por EDR; apilas capacidades según tu riesgo y tu madurez operativa.
En la práctica brasileña, el punto de inflexión suele ser este: si tu empresa maneja datos personales sensibles (y casi todas lo hacen, por fuerza de la LGPD —Ley 13.709/2018, cuyo art. 46 exige medidas de seguridad técnicas y administrativas, y cuyo art. 48 obliga a comunicar incidentes a la ANPD y a los titulares—), y si una parada de un día por ransomware sería un problema serio de caja o reputación, entonces el EDR dejó de ser un lujo y se volvió línea de base. La pregunta siguiente —operar internamente o contratar MDR— es una decisión de costo total y de honestidad sobre tu capacidad real de respuesta en medio de la madrugada.
Cuánto cuesta: rangos honestos del mercado brasileño y qué mueve el precio
Primero, la honestidad que le falta a la mayoría de los sitios: no existe un precio único de EDR ni de MDR, y quien te da un número cerrado sin preguntar nada sobre tu entorno está adivinando o atándote. El precio es por endpoint (cada notebook, escritorio y servidor cuenta como un endpoint), y varía por tier de capacidad, por volumen y por una lista de factores que detallo abajo. Lo que sí se puede hacer con responsabilidad es dar rangos reales y enseñarte a posicionarte dentro de ellos.
Para el EDR puro (la herramienta, sin SOC humano), los precios de tabla internacional de los líderes en 2025 quedan, en valores anuales por endpoint: tiers de entrada en torno a US$ 36 a 96 (ej.: CrowdStrike Falcon Go ~US$ 60, SentinelOne Core ~US$ 70); tiers medios de US$ 96 a 216 (CrowdStrike Pro ~US$ 100); y tiers enterprise con EDR completo de US$ 184 a 420+ (CrowdStrike Enterprise ~US$ 185, SentinelOne Complete ~US$ 160). Microsoft Defender for Endpoint Plan 2 sale standalone por ~US$ 5,20/usuario/mes (~US$ 62/año) y viene 'gratis' (costo marginal cero) para quien ya paga Microsoft 365 E5. Convirtiendo y ajustando a la realidad de reventa en Brasil (impuestos, soporte local, tipo de cambio), un rango honesto de EDR puro queda en torno a R$ 18 a R$ 120 por endpoint/mes según el tier: entrada en la base, enterprise en el tope.
Para el MDR (EDR gestionado con SOC humano 24/7), el mercado internacional verificado en 2025-2026 trabaja entre US$ 10 y US$ 30 por endpoint/mes en promedio, con proveedores que van de ~US$ 3-9 (Huntress) a ~US$ 25-45 (CrowdStrike gestionado). Para empresas pequeñas, es común el modelo de piso mensual: paquetes de US$ 1.500 a US$ 5.000/mes para entornos de hasta 50-100 endpoints, porque el costo del servicio humano no escala linealmente hacia abajo. En Brasil, un rango honesto de MDR queda en torno a R$ 35 a R$ 180 por endpoint/mes, frecuentemente con un piso de contrato entre R$ 6 mil y R$ 30 mil/mes para entornos pequeños y medianos. El MDR parece más caro por endpoint que el EDR puro, y lo es, porque incluye personas. La comparación justa no es EDR-licencia vs MDR-servicio; es MDR vs (licencia de EDR + salario de analistas 24/7 + herramientas + guardia).
Lo que mueve el precio, y lo que debes preguntar a cualquier proveedor para no comprar mal: (1) Número de endpoints — casi todo precio baja por rango de volumen; pide la tabla de escalones. (2) Servidores vs estaciones — los servidores suelen costar más por ser un objetivo crítico. (3) Retención de telemetría — guardar 7, 30, 90 o 365 días de logs cambia mucho el precio (es almacenamiento y procesamiento); para LGPD e investigación seria, menos de 30 días es arriesgado. (4) SLA de respuesta — 'respondemos en 15 minutos' cuesta distinto que 'en 4 horas hábiles'; exige el SLA por escrito. (5) Respuesta activa incluida o solo notificación — algunos MDRs baratos solo te avisan ('vimos algo'), sin aislar la máquina; eso es medio-MDR. (6) Onboarding y tuning — hay tarifas de implantación única (afuera US$ 5-25 mil) y el ajuste fino de reglas en las primeras semanas define si vas a vivir ahogado en falsos positivos. (7) Reajuste anual — pide la cláusula; 3-7% al año es común y suma en el presupuesto de 3 años.
Un aviso anti-trampa: desconfía del 'EDR' sospechosamente barato. Hay productos vendidos como EDR que son antivirus con un dashboard bonito: tienen la etiqueta, no tienen la telemetría por comportamiento continua ni la capacidad de respuesta real. Pregunta explícitamente: ¿el agente registra procesos/red/registro continuamente? ¿Mapea detecciones a MITRE ATT&CK? ¿Permite aislar la máquina de forma remota? ¿Guarda telemetría histórica para hunting? Si la respuesta es vaga, es un EPP disfrazado. Y desconfía también del MDR que no te entrega un informe de incidente ni te dice, en español claro, en qué sitio debes cambiar la contraseña filtrada, porque la entrega del MDR no es la alerta, es la resolución que puedes entender y sobre la que puedes actuar.
Sin tarjeta, sin compromiso — entiende tu riesgo real antes de invertir.
Sin tarjeta, sin compromiso. Descubre en minutos qué ya se filtró de tu empresa y cuál es tu riesgo real.
Cuándo la empresa necesita EDR, y cuándo necesita MDR gestionado
Empieza por el riesgo, no por la herramienta. Hazte tres preguntas honestas. Primera: si tu mayor endpoint (el notebook de finanzas, el servidor del ERP) fuera cifrado por ransomware esta noche, ¿de qué tamaño sería el destrozo —en reales detenidos, en datos de clientes expuestos, en reputación—? Si la respuesta es 'serio' o 'catastrófico', necesitas EDR. Segunda: ¿manejas datos personales, financieros, de salud o cripto? Si sí, la LGPD ya te pone en la obligación de adoptar medidas técnicas adecuadas (art. 46) y de notificar incidentes (art. 48), y 'tenía solo antivirus' es una defensa débil ante la ANPD tras una filtración. El EDR se vuelve parte de la diligencia mínima. Tercera: tu antivirus actual, ¿te cuenta la historia de un ataque, o solo bloquea archivos sueltos? Si no te da contexto ni capacidad de aislar una máquina, tienes prevención, no tienes detección y respuesta.
Necesitas EDR (y no solo antivirus) cuando: tienes activos cuya parada duele; tienes datos sensibles bajo LGPD; ya sufriste un susto o un incidente; creciste más allá del punto en que 'se podía mirar todo a mano'; o tienes cualquier exposición a acceso remoto, VPN y colaboradores que hacen clic en el correo (es decir, todas las empresas). El disparador más subestimado es el trabajo con credenciales: como el 79-81% de las intrusiones hoy usan un inicio de sesión válido robado, cualquier empresa cuyos empleados tengan contraseñas que valen dinero —y eso es cualquier empresa— está expuesta exactamente al tipo de ataque que el antivirus no ve y el EDR sí.
Necesitas MDR (EDR gestionado) —y no solo comprar la licencia de EDR— cuando alguna de estas sea verdad: no tienes un equipo de seguridad dedicado que cubra 24/7; tu TI ya está sobrecargada y no va a investigar 50 alertas por día con método; no tienes un analista que sepa leer una cadena MITRE ATT&CK y decidir en minutos si aísla la máquina; o hiciste la cuenta y notaste que montar un SOC interno (mínimo de 3 a 5 analistas para cubrir turnos, más herramientas, más guardia) cuesta mucho más que contratar el servicio. Para la abrumadora mayoría de las pymes brasileñas con 20 a 200 endpoints, la matemática apunta al MDR: tercerizas la operación 24/7 a quien ya tiene el SOC montado y diluyes el costo entre muchos clientes.
El caso en que tiene sentido el EDR puro (sin MDR) es específico: empresas que ya tienen un equipo de seguridad maduro, con guardia real, procesos de respuesta y analistas que viven de la plataforma —típicamente organizaciones más grandes, o de sectores regulados, que quieren control total y tienen gente para ejercerlo—. Incluso esas, con frecuencia, contratan MDR para cubrir madrugadas y feriados, o MDR híbrido (cogestionado), donde el proveedor cubre fuera del horario comercial y el equipo interno se ocupa del día. No hay vergüenza en tercerizar la operación: hay imprudencia en comprar la herramienta y dejarla sin operador.
Una prueba práctica de decisión, en una frase: si nadie en tu empresa va a levantarse a las 3 de la mañana de un domingo para aislar una máquina comprometida, no necesitas una herramienta más, necesitas a alguien de guardia. Eso es MDR. Si tienes a ese alguien y quieres darle la mejor herramienta, eso es EDR. Y en ambos casos, por debajo, se mantiene el antivirus/EPP haciendo la limpieza del ruido conocido. Las tres capas conviven; lo que cambia es cuánto de la operación operas tú y cuánto delegas.
Cómo contratar bien: criterios, preguntas y trampas de proveedor
Contratar EDR o MDR es menos sobre la marca del producto y más sobre la calidad de la operación detrás de él, porque, como vimos, la herramienta sin operación no protege. El primer criterio es la transparencia de la entrega: un buen proveedor te muestra, antes de la firma, cómo es el informe de incidente que vas a recibir, cuál es el SLA de detección y de respuesta por escrito, y qué exactamente está incluido ('solo aviso' vs 'aislamiento activo de la máquina'). Si el comercial se enreda en esas tres cosas, esa es tu señal de salida.
El segundo criterio es la claridad para legos. La buena seguridad no es la que llena el informe de siglas; es la que te dice, en español, 'qué pasó, qué ya contuvimos y qué necesitas hacer ahora'. Si el hallazgo es una credencial filtrada, el informe tiene que decir en qué sistema debes cambiar la contraseña, no entregarte un JSON de IoCs y desearte suerte. Estás comprando capacidad de decidir y actuar, no una consola que nadie en tu empresa sabe usar. Pide ver un informe-ejemplo real (anonimizado) antes de cerrar.
Tercero: cuidado con los medios términos disfrazados. Las trampas más comunes en el mercado brasileño son (a) el 'EDR' que es antivirus repintado —sin telemetría por comportamiento continua, sin mapeo MITRE, sin aislamiento remoto—; (b) el 'MDR' que solo notifica y no responde —te manda un correo a las 3h y la máquina sigue infectada porque nadie apretó el botón—; (c) el contrato con retención de log corta (7 días) que te deja ciego para investigar un ataque que empezó semanas antes; y (d) el piso de precio escondido que solo aparece en la propuesta final. Pregunta todo esto por escrito y exígelo en el contrato.
Cuarto: dimensiona tú mismo antes de pedir la propuesta, para negociar de igual a igual. Cuenta tus endpoints reales (estaciones + notebooks + servidores). Define tu retención mínima (recomendación: 30 a 90 días para poder investigar y cumplir con la LGPD). Define el SLA que tu riesgo exige (una fintech necesita respuesta en minutos; una oficina puede tolerar horas). Suma el costo total de 3 años con el reajuste anual incluido. Con esos números en la mano, comparas propuestas por lo que importa —el costo total de la capacidad que necesitas— y no por el precio de etiqueta por endpoint, que es lo que usan los proveedores para parecer baratos.
Por último, el quinto criterio es el encaje con el resto de tu seguridad. EDR/MDR es la capa de endpoint; se vuelve más fuerte conectado a monitoreo de filtración de credenciales (porque el ataque moderno empieza con una contraseña robada), a un plan de respuesta a incidentes (para cuando el EDR detecte algo grande), y a un SOC 24/7 si tu operación es crítica. En Decripte, la seguridad preventiva (EDR/MDR gestionado) es la base —en /plano/seguranca-preventiva—, con la detección y respuesta gestionada detallada en /solucoes/mdr y el monitoreo continuo 24/7 en /plano/soc-247. El punto no es apilar producto: es diseñar la capa de endpoint del tamaño de tu riesgo y operarla de verdad, con gente, en el horario en que el atacante de hecho ataca.
Antivirus (EPP) vs EDR vs MDR: qué hace cada capa
| Criterio | Antivirus / EPP | EDR | MDR (EDR gestionado) |
|---|---|---|---|
| Qué es | Tecnología de prevención | Herramienta de detección y respuesta | Servicio con SOC humano 24/7 |
| Cómo detecta | Firma, reputación, heurística (mira archivos) | Comportamiento continuo (procesos, red, registro) | EDR + analistas investigando las alertas |
| ¿Atrapa el ransomware moderno? | Solo el conocido; falla ante lo nuevo/empaquetado | Sí — ve la cadena de acciones del ataque | Sí — y lo contiene activamente en minutos |
| ¿Atrapa ataque fileless / por credencial robada (79-81% hoy) | No — no hay archivo para escanear | Sí — detecta el comportamiento anómalo | Sí — con validación y respuesta humana |
| Respuesta a incidente | Bloquea archivo aislado, sin contexto | Aísla la máquina, mata el proceso, hace hunting (tú operas) | El proveedor aísla, investiga y te contacta |
| Mapea MITRE ATT&CK | No | Sí (en los productos maduros) | Sí, con analista interpretando la cadena |
| Quién opera 24/7 | Automático, sin operador | Tu equipo tiene que investigar las alertas | SOC del proveedor, incluso a las 3h de un domingo |
| Rango de precio (Brasil, estimado) | R$ 5-30/endpoint/mes | R$ 18-120/endpoint/mes | R$ 35-180/endpoint/mes (piso R$ 6-30 mil/mes) |
| Para quién | Base mínima de toda empresa | Quien tiene equipo de seguridad para operar | Quien no tiene guardia de seguridad propia (mayoría de las pymes) |
Términos clave
- Antivirus / EPP (Endpoint Protection Platform)
- Tecnología de prevención en el endpoint. Bloquea amenazas por firma, reputación y heurística: eficaz contra malware conocido, ciega ante ataques sin archivo y por credencial robada.
- EDR (Endpoint Detection and Response)
- Detección y respuesta en el endpoint. Registra continuamente el comportamiento de la máquina (procesos, red, registro), detecta cadenas de ataque por comportamiento, permite aislar la máquina y hacer threat hunting. Término acuñado por Anton Chuvakin (Gartner) en 2013.
- MDR (Managed Detection and Response)
- EDR gestionado: un SOC humano del proveedor monitorea, investiga y responde 24/7 por tu empresa. Resuelve el problema de tener la herramienta sin tener quien la opere en la madrugada.
- Ataque fileless / Living-off-the-Land (LOTL)
- Ataque que no deja archivo en el disco: se ejecuta en la memoria o usa binarios legítimos del propio sistema (LOLBins, como PowerShell, mshta, rundll32). Invisible para el antivirus por firma; cerca de 10x más probable de tener éxito (Ponemon).
- Malware-free intrusion
- Intrusión sin ningún malware: el atacante usa credenciales válidas robadas y herramientas nativas. Representó el 79% de las detecciones en 2024 y el 81% de las intrusiones en el 1.er semestre de 2025 (CrowdStrike).
- MITRE ATT&CK
- Base de conocimiento pública (MITRE) que cataloga tácticas y técnicas reales de adversarios. La versión Enterprise v18 (2025) tiene 14 tácticas, 216 técnicas y 475 subtécnicas. Los EDR maduros mapean detecciones a esas técnicas.
- Threat hunting
- Caza proactiva de amenazas: usar la telemetría histórica del EDR para buscar atacantes que ya están dentro y todavía no han disparado una alarma automática.
- Retención de telemetría
- Por cuánto tiempo se guardan los logs de comportamiento del endpoint (7, 30, 90, 365 días). Factor clave de precio y de capacidad para investigar incidentes que empezaron semanas antes.
Cómo decidir y contratar bien
- Mapea el riesgo antes que la herramienta: enumera tus endpoints críticos y calcula el destrozo real (caja, datos, reputación) si el peor de ellos fuera cifrado por ransomware esta noche.
- Confirma la base: ¿ya tienes antivirus/EPP en todas las máquinas? Mantenlo — el EDR y el MDR se suman a él, no lo sustituyen.
- Decide si necesitas EDR: si hay activos cuya parada duele, datos bajo LGPD (arts. 46 y 48) o exposición a credenciales robadas, la respuesta es sí — el antivirus solo no cubre el 79-81% de ataques malware-free.
- Haz la prueba de la guardia: ¿alguien en tu empresa va a levantarse a las 3h de un domingo para aislar una máquina comprometida? Si no, necesitas MDR (EDR gestionado), no una herramienta más sin operador.
- Dimensiona tú mismo: cuenta endpoints reales (estaciones + servidores), define la retención mínima de telemetría (30-90 días) y el SLA de respuesta que tu riesgo exige. Lleva esos números a la negociación.
- Exige por escrito de cada proveedor: el SLA de detección y respuesta, si la respuesta es activa (aislamiento) o solo notificación, la retención de log, la tarifa de onboarding y el reajuste anual.
- Pide un informe-ejemplo real (anonimizado): la buena entrega dice en español qué pasó, qué se contuvo y qué contraseña cambiar, no un JSON de IoCs.
- Compara por el costo total de 3 años de la capacidad que necesitas (incluyendo el reajuste), no por el precio de etiqueta por endpoint, que hace que los proveedores parezcan baratos.
- Conecta al resto: encaja el EDR/MDR con monitoreo de filtración de credenciales, plan de respuesta a incidentes y SOC 24/7 si tu operación es crítica.
Preguntas frecuentes
¿Cuál es la diferencia entre EDR y antivirus, en una frase?
El antivirus (EPP) previene amenazas conocidas bloqueando archivos por firma; el EDR detecta y responde a comportamientos de ataque en el endpoint, incluso cuando no hay ningún archivo malicioso, que es el caso del 79-81% de las intrusiones modernas. El antivirus es el portero con lista de buscados; el EDR es la cámara que ve la escena entera y puede trancar la puerta.
¿El antivirus solo ya no basta? ¿Por qué?
No basta para la amenaza actual. El antivirus ve archivos, y el ataque moderno cada vez usa menos archivos: el atacante entra con una credencial robada y usa herramientas legítimas del propio Windows (PowerShell, mshta, rundll32). Para el antivirus, eso es el sistema funcionando con normalidad: no hay hash malo para bloquear. Por eso los ataques fileless tienen cerca de 10x más probabilidad de éxito (Ponemon). Mantén el antivirus, pero agrega EDR.
¿Vale la pena el EDR para mi empresa, aunque sea pequeña?
Si tienes activos cuya parada duele, datos personales bajo LGPD, o empleados con contraseñas que valen dinero (es decir, prácticamente toda empresa), vale la pena. El ransomware moderno no elige tamaño: elige a quien está desprotegido y ciego. Para empresas pequeñas, el camino con mejor relación costo-beneficio suele ser el MDR (EDR gestionado), porque tercerizas la operación 24/7 en vez de montar un SOC interno caro.
¿Cuál es la diferencia entre EDR y MDR?
El EDR es la herramienta; el MDR es el servicio. En el EDR puro, la plataforma genera las alertas y alguien de tu empresa tiene que leerlas, investigarlas y responder 24/7. En el MDR, un SOC humano del proveedor hace todo eso por ti y te contacta cuando es grave. Si no tienes equipo de seguridad de guardia, comprar EDR sin MDR es comprar una alarma sonando en una casa vacía.
¿Cuánto cuestan el EDR y el MDR en Brasil?
Rangos honestos: el EDR puro queda en torno a R$ 18 a R$ 120 por endpoint/mes (entrada a enterprise); el MDR gestionado, R$ 35 a R$ 180 por endpoint/mes, con pisos comunes de R$ 6 mil a R$ 30 mil/mes para entornos de hasta 50-100 máquinas. El precio varía por número de endpoints, retención de telemetría, SLA de respuesta y si hay un analista humano en el contrato. Desconfía de un número único fijado sin que te pregunten nada sobre tu entorno.
El MDR parece más caro que el EDR. ¿Por qué elegir MDR?
El MDR es más caro por endpoint porque incluye personas: un SOC operando 24/7. La comparación justa no es 'licencia de EDR vs servicio de MDR', sino 'MDR vs licencia de EDR + salario de 3 a 5 analistas para cubrir turnos + herramientas + guardia'. Para la mayoría de las pymes, tercerizar la operación sale más barato y más eficaz que montar y mantener un SOC interno.
¿Cómo elegir el proveedor de EDR/MDR sin caer en una trampa?
Exige por escrito: el SLA de detección y respuesta, si la respuesta es activa (aísla la máquina) o solo notifica, la retención de logs (mínimo 30-90 días) y el reajuste anual. Pide un informe-ejemplo real y verifica si explica en español qué hacer. Desconfía del 'EDR' barato que es antivirus repintado (sin telemetría por comportamiento ni aislamiento remoto) y del 'MDR' que solo te manda un correo sin responder.
¿El EDR o el MDR sustituyen al antivirus?
No. Las tres capas conviven y se suman. El antivirus/EPP sigue haciendo la limpieza del malware conocido (barato y eficaz para eso); el EDR cubre lo que la prevención deja escapar, con detección por comportamiento y respuesta; el MDR agrega la operación humana 24/7. No cambias una por la otra: apilas según tu riesgo y tu capacidad real de operar.
Referencias
- ›IBM Cost of a Data Breach Report 2025 — costo global US$ 4,44 mi, Brasil R$ 7,19 mi, 241 días para identificar y contener — https://www.ibm.com/reports/data-breach
- ›CrowdStrike 2025 Global Threat Report — 79% de las detecciones malware-free en 2024, 81% de las intrusiones en el 1.er sem. 2025; concepto de Living-off-the-Land — https://www.crowdstrike.com/en-us/cybersecurity-101/cyberattacks/living-off-the-land-attack/
- ›MITRE ATT&CK — Matriz Enterprise (v18, 2025): 14 tácticas, 216 técnicas, 475 subtécnicas — https://attack.mitre.org/matrices/enterprise/
- ›Origen del término EDR/ETDR — Anton Chuvakin (Gartner), 2013→2015 (Wikipedia: Endpoint detection and response) — https://en.wikipedia.org/wiki/Endpoint_detection_and_response
- ›LGPD — Ley n.º 13.709/2018, art. 46 (medidas de seguridad) y art. 48 (comunicación de incidentes a la ANPD) — https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
- ›Software Pricing Guide 2025 — rangos de precio de EDR (CrowdStrike, SentinelOne, Microsoft Defender) y de MDR por endpoint — https://softwarepricingguide.com/cybersecurity-software-pricing-2025-what-crowdstrike-sentinelone-and-microsoft-defender-actually-cost-at-enterprise-scale/
Cómo lo resuelve Decripte
Del diagnóstico gratuito al servicio gestionado — elige el punto de entrada correcto.
¿Quieres dejar de adivinar si tu antivirus da abasto? Decripte implementa EDR/MDR gestionado dimensionado a tu riesgo real, con un SOC operando cuando el atacante de hecho ataca. Empieza por la Seguridad Preventiva (/plano/seguranca-preventiva), conoce la detección y respuesta gestionada (/solucoes/mdr) o el monitoreo 24/7 (/plano/soc-247). Ciberseguridad para todos los tamaños, del MEI al enterprise.
Empieza gratis con la Gestión de Amenazas y descubre qué ya está expuesto. Evoluciona a los planes gestionados cuando tenga sentido — sin montar un equipo interno.
