Es un tipo de seguridad que no solo bloquea amenazas conocidas, sino que:

detecta comportamientos sospechosos en tiempo real
investiga lo que ha pasado
permite responder a ataques complejos

1. ¿Qué es EDR?

Endpoint Detection and Response

Definición

EDR = sistema que protege los endpoints (ordenadores, servidores) mediante:

• monitorización continua

• análisis de comportamiento

• respuesta ante amenazas

¿Qué hace exactamente?

1. Recoge datos del endpoint

• procesos que se ejecutan

• archivos que se abren/modifican

• conexiones de red

• actividad del usuario

2. Detecta comportamientos sospechosos

Ejemplo:

• un proceso intenta:

  • cifrar muchos archivos → ⚠️ posible ransomware

  • abrir PowerShell de forma extraña → ⚠️ ataque

No busca solo virus conocidos, sino patrones de ataque

3. Permite investigar

El analista puede ver:

• qué pasó

• cuándo empezó

• qué procesos están relacionados

Esto se llama telemetría + forense

4. Responde al incidente

• aislar equipo

• matar procesos

• eliminar archivos

• bloquear conexiones

Idea clave EDR

Protege un dispositivo concreto en profundidad

2. ¿Qué es XDR?

Extended Detection and Response

Definición

XDR = evolución del EDR

Amplía la detección a toda la infraestructura

¿Qué integra?

No solo endpoints, también:

• correo electrónico

• red

• servicios cloud

• identidad (usuarios, login)

¿Qué lo hace diferente?

Correlación de eventos

Ejemplo real:

1. Llega un email malicioso

2. Usuario hace clic

3. Se ejecuta malware en el PC

4. Se conecta a un servidor externo

XDR conecta TODO eso como un solo ataque

Detección más inteligente

En lugar de ver eventos aislados:

detecta cadenas completas de ataque (kill chain)

Respuesta centralizada

• bloquear usuario

• aislar equipo

• cortar tráfico de red

• eliminar amenaza

Todo desde una única consola

Diferencia (EDR vs XDR)