MDR vs SOC vs SIEM: guía definitiva para elegir la protección correcta
Respuesta directa
El SIEM es una herramienta de correlación de logs — sin equipo, no actúa por sí solo. El SOC es la operación humana que usa el SIEM y otras herramientas para detectar y responder a amenazas. El MDR es un servicio gestionado que entrega tecnología y equipo especializado en un único contrato, con respuesta activa incluida. El XDR unifica la telemetría de múltiples vectores en una plataforma. Las empresas sin equipo de seguridad propio deben empezar por el MDR; las que ya tienen SOC interno evalúan SIEM o XDR para ampliar su capacidad.
En resumen
- ›El SIEM es una herramienta, no un servicio: comprarlo sin equipo operativo es desperdiciar la inversión.
- ›Un SOC interno exige al menos 3–5 analistas en turnos continuos, lo que hace inviable una operación 24×7 para empresas de mediano porte.
- ›El MDR entrega detección, respuesta y tecnología en un único SLA, reduciendo el tiempo medio de contención (MTTC) sin montar un equipo interno.
- ›El XDR consolida endpoints, red, nube e identidad en una plataforma integrada — ideal cuando hay madurez para gestionar la herramienta.
- ›El costo real de un SOC interno supera R$ 1,5 millón al año cuando se suman salarios, licencias, capacitación e infraestructura.
- ›La decisión correcta depende de tres variables: madurez de seguridad, capacidad de retención de talento y tolerancia al riesgo residual.
Qué es cada uno — sin jerga de vendedor
El SIEM (Security Information and Event Management) es un software de recolección, normalización y correlación de logs. Agrega eventos de firewall, endpoints, aplicaciones e infraestructura en la nube, cruza esa información con reglas e inteligencia de amenazas, y genera alertas. Herramientas como Splunk, Microsoft Sentinel e IBM QRadar son ejemplos consolidados del mercado. El SIEM, por sí solo, no actúa: es el panel de instrumentos; alguien tiene que pilotar el avión.
El SOC (Security Operations Center) es la operación — el equipo de analistas que monitorea alertas, investiga incidentes, activa respuestas y mejora continuamente las reglas de detección. Un SOC puede ser interno (in-house), tercerizado (MSSP) o híbrido. La eficacia del SOC depende de la calidad de las herramientas que opera y de la madurez de sus procesos, documentados en playbooks e integrados con SOAR (Security Orchestration, Automation and Response).
El MDR (Managed Detection and Response) es un servicio completo: el proveedor entrega tecnología propia o licenciada, equipo de analistas 24×7, inteligencia de amenazas y capacidad de contención activa — todo en un único contrato. La diferencia fundamental respecto a un MSSP tradicional es la respuesta: el MDR actúa directamente en el entorno del cliente (aislando endpoints, bloqueando cuentas) sin depender de aprobación manual para cada acción rutinaria.
El XDR (Extended Detection and Response) es una evolución plataformizada: unifica telemetría de endpoint (EDR), red (NDR), nube e identidad en una única consola con correlación nativa. Reduce el tiempo de investigación al eliminar el pivoteo manual entre herramientas. Puede operarse internamente o contratarse como XDR gestionado (MXDR), que es, en la práctica, un MDR con plataforma XDR subyacente.
Tabla comparativa: MDR vs SOC vs SIEM vs XDR
La tabla a continuación compara los cuatro enfoques en los criterios que más pesan en la decisión de compra: | Criterio | SIEM | SOC Interno | MDR | XDR | |---|---|---|---|---| | **Qué es** | Herramienta de correlación | Equipo + procesos | Servicio gestionado | Plataforma unificada | | **¿Incluye equipo?** | No | Sí (propio) | Sí (del proveedor) | No (u opcional como MXDR) | | **Respuesta activa** | No | Sí | Sí | Depende de la operación | | **Cobertura 24×7** | N/A | Exige escala mínima | Incluida en el SLA | N/A | | **Tiempo hasta el valor** | 3–6 meses | 6–12 meses | 2–8 semanas | 4–10 semanas | | **Costo anual estimado (BR)** | R$ 150k–800k (licencia) | R$ 1,2M–3M+ (total) | R$ 180k–900k | R$ 200k–1,2M | | **Madurez requerida** | Alta | Alta | Baja a media | Media a alta | | **Mejor para** | SOC maduro que quiere telemetría | Empresas con presupuesto y retención | Empresas sin equipo propio | Equipos con brecha de visibilidad | *Rangos de costo estimados con base en benchmarks de mercado (Gartner, SANS 2024). Los valores varían según el número de activos, las fuentes de log y el SLA contratado.*
Descubre qué modelo de detección y respuesta tiene sentido para el porte y la madurez de tu empresa con un diagnóstico gratuito de Decripte.
Sin tarjeta, sin compromiso. Descubre en minutos qué ya se filtró de tu empresa y cuál es tu riesgo real.
Por madurez y porte: quién debe contratar qué
Las empresas con hasta 500 empleados y sin equipo de seguridad dedicado rara vez logran operar un SIEM de forma eficaz. El costo de un analista sénior de SOC en Brasil varía entre R$ 8.000 y R$ 18.000 al mes, y una operación 24×7 requiere al menos cuatro turnos superpuestos. Para ese perfil, el MDR es la elección racional: externaliza la complejidad operativa y entrega un SLA de respuesta desde el primer mes.
Las empresas de mediano porte (500–5.000 empleados) con equipo de TI estructurado, pero sin analistas de seguridad especializados, encuentran en el MDR la forma más rápida de elevar la postura defensiva mientras desarrollan capacidad interna. Algunos proveedores de MDR ofrecen modelos cogestionados, donde el equipo interno mantiene visibilidad total y puede actuar junto al SOC tercerizado.
Las empresas grandes o reguladas (bancos, healthtechs, fintechs sujetas a la LGPD con alto volumen de datos sensibles) con equipos de seguridad establecidos se benefician de combinar un SIEM o XDR propio con un SOC interno maduro. En ese caso, el MDR puede contratarse para cobertura de fines de semana y feriados, o para nichos específicos como la detección en OT/ICS.
Las startups y empresas en etapa temprana deben priorizar controles básicos (MFA, EDR, backup) antes de invertir en un SIEM o MDR completo. Una solución de MDR con foco en endpoint y nube, dimensionada para la etapa de la empresa, entrega protección sin comprometer el runway.
Rangos de costo reales y qué está incluido
El costo de un SIEM varía ampliamente según el volumen de ingesta de datos (normalmente cobrado por GB/día o por número de eventos por segundo). Soluciones enterprise como Splunk y QRadar parten de R$ 200 mil anuales para implementaciones menores, y pueden superar R$ 1 millón en entornos complejos. Microsoft Sentinel, por ser cloud-native y basado en la ingesta en Azure, puede ser más accesible para quien ya está en el ecosistema Microsoft.
El costo total de propiedad de un SOC interno se subestima sistemáticamente. Además de los salarios (4–6 analistas + 1 ingeniero de detección + 1 coordinador), hay costos de licencias de SIEM, feeds de threat intelligence, SOAR, capacitación continua y certificaciones (GCIH, GCIA, CEH). Los benchmarks del SANS Institute indican que el costo total anual de un SOC interno de mediano porte en Brasil gira entre R$ 1,5 millón y R$ 3 millones.
El MDR se cotiza por número de endpoints monitoreados, por volumen de eventos o por activo crítico cubierto. En el mercado brasileño, los servicios de MDR de proveedores globales (CrowdStrike, SentinelOne, Arctic Wolf, Rapid7) varían entre R$ 150 y R$ 600 por endpoint/año, con contratos mínimos que generalmente exigen al menos 100–200 endpoints. Los proveedores regionales pueden ofrecer rangos más competitivos para medianas empresas.
El XDR, cuando se licencia de forma autónoma (sin el componente gestionado), se cotiza por usuario o por endpoint, con valores que compiten con suites avanzadas de endpoint protection. El valor real emerge en la correlación: un entorno con EDR + firewall + CASB + IdP gestionados por separado puede consolidar costos en el XDR. Como MXDR, los costos se aproximan a los del MDR.
Sin tarjeta, sin compromiso — entiende tu riesgo real antes de invertir.
Sin tarjeta, sin compromiso. Descubre en minutos qué ya se filtró de tu empresa y cuál es tu riesgo real.
Errores más comunes — y cómo evitarlos
El error más frecuente y más caro es comprar un SIEM sin planificar quién va a operarlo. Las organizaciones adquieren licencias de Splunk o Sentinel atraídas por el dashboard impresionante de las demos, implementan las integraciones y, meses después, descubren que las alertas se acumulan sin tratamiento. Un SIEM sin operar es peor que no tener SIEM: genera una falsa sensación de seguridad y datos que no se analizan.
Otro error recurrente es contratar MDR por el precio más bajo sin evaluar la cobertura real de respuesta. Hay proveedores que comercializan 'MDR' pero entregan, en la práctica, un MSSP con monitoreo y generación de tickets — sin respuesta activa. Al evaluar propuestas, exija claridad sobre lo que el proveedor puede hacer de forma autónoma en su entorno (aislamiento de endpoint, bloqueo de cuenta, contención de red) y lo que depende de aprobación manual.
Subestimar el MTTD (Mean Time to Detect) y el MTTC (Mean Time to Contain) es un error de evaluación de riesgo. Un SIEM sin operación 24×7 puede tardar días en que una alerta sea investigada. El costo medio de un incidente de ransomware en Brasil, según datos del CERT.br y benchmarks del Ponemon Institute, supera R$ 1 millón cuando se consideran downtime, recuperación e impacto regulatorio. Ese número debe entrar en el cálculo de ROI de la solución.
Por último, tratar la decisión como permanente es un error estratégico. La mayoría de las empresas que empiezan con MDR migra, parcial o totalmente, hacia un modelo híbrido a medida que construyen su equipo interno. Un buen proveedor de MDR ofrece visibilidad total de las investigaciones, promoviendo el aprendizaje interno — no creando dependencia.
Cómo evaluar proveedores: los criterios que importan
Al evaluar a un proveedor de MDR, solicite la metodología de detección: si se basa exclusivamente en reglas estáticas, la cobertura contra amenazas nuevas es limitada. Los proveedores maduros combinan detección basada en comportamiento (UEBA), inteligencia de amenazas propia y modelos de machine learning para identificar TTP (Tácticas, Técnicas y Procedimientos) de MITRE ATT&CK que no tienen firma conocida.
Verifique la transparencia operativa. ¿El proveedor entrega visibilidad de las investigaciones en tiempo real? ¿Puede ver las alertas, las hipótesis planteadas y las evidencias recolectadas? Un MDR de calidad no es una caja negra: es un servicio que acelera la madurez del equipo interno al exponer el razonamiento de los analistas.
Evalúe la cobertura de entorno. ¿Su entorno incluye workloads en la nube (AWS, Azure, GCP), SaaS críticos (Microsoft 365, Google Workspace, Salesforce), OT o dispositivos IoT? Asegúrese de que el proveedor tenga conectores nativos y experiencia documentada en esos entornos antes de firmar.
Por último, exija SLA mensurables: MTTD máximo por severidad de alerta, MTTC para incidentes críticos y disponibilidad del portal de investigación. Un SLA de 'mejor esfuerzo' no es un SLA — es una promesa sin penalidad contractual.
Términos clave
- SIEM
- Security Information and Event Management — software de recolección, normalización y correlación de logs que genera alertas a partir de eventos de seguridad. No actúa por su cuenta; exige un equipo operativo para dar valor.
- MDR
- Managed Detection and Response — servicio gestionado que combina tecnología de detección (EDR, NDR, telemetría de nube) con equipo de analistas 24×7 y capacidad de respuesta activa en un único contrato con SLA definido.
- MTTC
- Mean Time to Contain — tiempo medio entre la detección de un incidente y el momento en que la amenaza es contenida o neutralizada. Es el KPI más relevante para evaluar la eficacia operativa de un SOC o MDR.
- XDR
- Extended Detection and Response — plataforma que unifica telemetría de múltiples vectores (endpoint, red, nube, identidad) con correlación nativa, reduciendo el tiempo de investigación. Puede ser autónoma o gestionada (MXDR).
Cómo decidir y contratar bien
- Mapea tu equipo de seguridad actual. Contabiliza cuántos profesionales dedicados a la seguridad tienes, sus niveles de senioridad y disponibilidad. Si la respuesta es cero o menos de dos, descarta SIEM y SOC interno como primeras opciones.
- Estima tu presupuesto total — no solo la licencia. Suma licencia, implementación, capacitación, soporte y costo de personal. Usa el rango de R$ 1,5M–3M para un SOC interno como benchmark de comparación con un MDR equivalente.
- Evalúa tu superficie de ataque. Identifica dónde están tus activos críticos: endpoints Windows/Mac, servidores Linux, workloads en la nube, aplicaciones SaaS, OT. Un proveedor de MDR debe tener cobertura nativa para los entornos que necesitas proteger.
- Define tu SLA de respuesta aceptable. ¿Cuál es el tiempo máximo tolerable entre la detección de un ataque de ransomware y el inicio de la contención? Si la respuesta es menos de 1 hora, el MDR con respuesta autónoma es prácticamente obligatorio. Un SOC interno sin guardia nocturna no alcanza ese SLA.
- Solicita pruebas de concepto y referencias del sector. Exige una PoC con tus datos reales (o un entorno de laboratorio representativo) de al menos dos proveedores. Pide referencias de clientes del mismo segmento y porte. Evalúa el tiempo de respuesta del equipo comercial como indicador de la calidad del equipo técnico.
- Evalúa los SLA contractuales con criterio. Lee las cláusulas de MTTD y MTTC. Verifica si hay penalidades financieras por incumplimiento o solo 'mejores esfuerzos'. Exige informes mensuales de KPI operativos como parte del contrato.
- Planifica la evolución — no compres para siempre. Decide si el MDR o SOC externo es un punto de partida mientras construyes capacidad interna, o un modelo permanente. Asegúrate de que el contrato permita la portabilidad de los datos de investigación y no cree un lock-in tecnológico insuperable.
Preguntas frecuentes
¿El MDR sustituye al antivirus o al EDR que ya tengo?
Depende del proveedor. La mayoría de los MDR incluye un agente de EDR (endpoint detection and response) propio, que sustituye a los antivirus heredados. Algunos proveedores operan sobre EDR de terceros ya implementados (como CrowdStrike o SentinelOne), integrándolos al servicio gestionado. Confirma siempre si habrá sustitución de agentes antes de firmar.
Necesito cumplimiento con la LGPD. ¿El MDR me ayuda?
Indirectamente, sí. El MDR reduce el tiempo de detección y contención de incidentes, lo cual es relevante para el plazo de notificación de 72 horas a la ANPD que exige la LGPD en caso de violación. Además, algunos proveedores entregan informes de incidente formateados para uso en comunicaciones regulatorias. Sin embargo, el MDR no sustituye un programa de privacidad y adecuación a la LGPD.
¿Cuál es la diferencia entre MDR y MSSP?
El MSSP (Managed Security Service Provider) tradicional monitorea y genera tickets — la respuesta queda a cargo del cliente. El MDR actúa de forma autónoma en el entorno del cliente: aísla endpoints comprometidos, suspende cuentas, bloquea tráfico malicioso. La línea se está borrando con el tiempo, pues los MSSP maduros añaden capacidad de respuesta; al evaluar, pregunta específicamente qué ejecuta el proveedor de forma autónoma.
¿Las pequeñas empresas necesitan MDR?
Las empresas con datos sensibles (salud, financiero, jurídico) o que procesan pagos necesitan detección y respuesta independientemente del porte. Para empresas más pequeñas, los MDR con foco en pymes ofrecen paquetes dimensionados con cobertura de endpoint y nube, sin la complejidad y el costo de las soluciones enterprise. El riesgo de no tener ninguna cobertura supera el costo de una solución adecuada al porte.
¿SIEM y MDR pueden coexistir?
Sí, y en organizaciones maduras esa combinación es común. El SIEM consolida logs de toda la infraestructura para retención, cumplimiento e investigaciones históricas; el MDR opera con telemetría de endpoint y red en tiempo real para detección y respuesta. La integración entre ambos (alimentando el SIEM hacia el MDR y viceversa) maximiza la cobertura y la profundidad investigativa.
¿Cómo medir si el MDR está entregando valor?
Sigue cuatro KPI mensualmente: MTTD (tiempo medio de detección), MTTC (tiempo medio de contención), número de falsos positivos derivados al equipo interno (cuanto menor, mejor) y cobertura de TTP de MITRE ATT&CK detectados en simulaciones red team. Un buen proveedor de MDR entrega ese informe mensualmente sin que haya que solicitarlo.
Referencias
- ›Gartner Market Guide for Managed Detection and Response Services, 2024 — Análisis de mercado con criterios de evaluación de proveedores MDR, tendencias de adopción y diferenciación frente a los MSSP tradicionales.
- ›NIST SP 800-61 Rev. 2 — Computer Security Incident Handling Guide — Guía de referencia del NIST para estructurar la capacidad de respuesta a incidentes, base para playbooks de SOC y MDR.
- ›SANS 2024 SOC Survey — People, Process, Technology — Encuesta anual del SANS Institute con benchmarks de costo, madurez, herramientas y desafíos operativos de SOC alrededor del mundo.
- ›MITRE ATT&CK Framework v15 — Base de conocimiento de tácticas y técnicas de adversarios usada como estándar para evaluar la cobertura de detección en SIEM, MDR y XDR.
Cómo lo resuelve Decripte
Del diagnóstico gratuito al servicio gestionado — elige el punto de entrada correcto.
Descubre qué modelo de detección y respuesta tiene sentido para el porte y la madurez de tu empresa con un diagnóstico gratuito de Decripte.
Empieza gratis con la Gestión de Amenazas y descubre qué ya está expuesto. Evoluciona a los planes gestionados cuando tenga sentido — sin montar un equipo interno.
