Herramientas

EDR (Endpoint Detection and Response)

Solución de seguridad que monitoriza continuamente los endpoints (ordenadores, servidores, dispositivos móviles), detecta amenazas avanzadas y permite respuesta automatizada. En forense digital, la telemetría EDR proporciona evidencia granular de actividad maliciosa: procesos ejecutados, conexiones de red, modificaciones de archivos y movimiento lateral.

11 min de lectura

EDR (Endpoint Detection and Response)

El 80% de las empresas a nivel global tendrán una solución EDR desplegada en 2026, frente al 30% en 2020, según Gartner. La razón es aplastante: las organizaciones con EDR activo contienen brechas de seguridad un 70% más rápido que aquellas que dependen exclusivamente de antivirus tradicional. En las evaluaciones MITRE ATT&CK Engenuity de 2024, CrowdStrike Falcon detectó el 99% de las técnicas de ransomware simuladas, mientras que el antivirus convencional medio detectó apenas el 47%. Para un perito informático forense, la telemetría EDR es una mina de oro: registra cada proceso, cada conexión de red, cada modificación de fichero, convirtiendo un incidente opaco en una cronología forense completa.

Nota sobre estadísticas: Las cifras citadas provienen de informes públicos de Gartner (Market Guide for EDR 2023-2025), MITRE ATT&CK Evaluations y Forrester Wave EDR Q2 2024. Las proyecciones para 2026 son estimaciones de analistas sujetas a variabilidad del mercado.

Definición técnica

EDR (Endpoint Detection and Response) es una categoría de soluciones de ciberseguridad que proporciona monitorización continua en tiempo real de los endpoints (estaciones de trabajo, portátiles, servidores, dispositivos móviles), combinando detección de amenazas avanzadas basada en comportamiento con capacidades de respuesta automatizada y análisis forense retrospectivo.

Diferencia fundamental con antivirus tradicional:

  • Antivirus tradicional: Detección basada en firmas (signatures). Compara ficheros contra base de datos de malware conocido. Si el hash no coincide, no detecta nada.
  • EDR: Detección basada en comportamiento (behavioral analysis). Monitoriza acciones en tiempo real: ¿un proceso PowerShell está descargando un binario desde una IP externa y ejecutándolo en memoria? Eso es sospechoso independientemente de si el fichero tiene firma conocida.

Componentes principales de un EDR:

  1. Agente endpoint: Software ligero instalado en cada dispositivo que captura telemetría
  2. Motor de detección: Análisis comportamental, machine learning, reglas YARA, IOCs
  3. Consola centralizada: Dashboard cloud para gestión, alertas y threat hunting
  4. Motor de respuesta: Aislamiento de endpoints, kill de procesos, cuarentena de ficheros
  5. Almacén de telemetría: Base de datos con historial completo de actividad (30-90 días típicos)

Telemetría capturada por un EDR:

Procesos:
  - Árbol genealógico completo (padre → hijo → nieto)
  - Línea de comandos exacta ejecutada
  - Hash SHA256 del binario
  - Firma digital (o ausencia de ella)
  - Timestamps creación/terminación

Red:
  - Conexiones TCP/UDP salientes y entrantes
  - DNS queries resueltas
  - IPs y puertos de destino
  - Volumen de datos transferidos

Ficheros:
  - Creación, modificación, eliminación
  - Renombrado masivo (indicador ransomware)
  - Escritura en directorios sensibles (System32, startup)

Registro Windows:
  - Claves de persistencia modificadas (Run, RunOnce, Services)
  - Cambios en políticas de seguridad

Memoria:
  - Inyecciones de código (process hollowing, DLL injection)
  - Ejecución fileless (scripts en memoria sin tocar disco)

Principales soluciones EDR del mercado

SoluciónFabricanteFortalezasDebilidadesCoste aprox./endpoint/año
FalconCrowdStrikeLíder MITRE ATT&CK, cloud-native, threat intelligencePrecio elevado€40-€70
Defender for EndpointMicrosoftIntegración nativa Windows/M365, coste incluido en licencias E5Menor visibilidad en Linux/Mac€0-€30 (según licencia)
SingularitySentinelOneIA autónoma, rollback ransomware, sin cloud obligatorioFalsos positivos en entornos legacy€35-€60
Carbon BlackVMware/BroadcomVisibilidad profunda procesos, integración VMwareConsola menos intuitiva€30-€50
Cortex XDRPalo Alto NetworksCorrelación red+endpoint (XDR), integración firewallRequiere ecosistema Palo Alto€45-€75
Elastic EDRElasticOpen source (parcial), personalización reglas, coste bajoRequiere expertise técnico alto€15-€35

CrowdStrike Falcon lidera las evaluaciones independientes MITRE ATT&CK Engenuity desde 2020, detectando el 99.3% de las técnicas adversarias en la evaluación de 2024 contra simulaciones de Turla y DPRK. SentinelOne destaca por su capacidad de rollback automático ante ransomware, revirtiendo ficheros cifrados a su estado original sin intervención humana.

Para pymes españolas, Microsoft Defender for Endpoint ofrece la mejor relación coste-beneficio si ya disponen de licencias Microsoft 365 E3/E5, al estar incluido sin coste adicional.

EDR como fuente de evidencia forense

La telemetría EDR constituye una de las fuentes de evidencia digital más valiosas en investigaciones forenses. A diferencia de los logs del sistema operativo, que pueden ser borrados o manipulados localmente, la telemetría EDR se transmite a la nube en tiempo casi real, creando un registro inmutable de actividad.

Datos forenses disponibles en telemetría EDR

1. Árboles de procesos (Process Trees):

explorer.exe (PID 1204)
  └─ outlook.exe (PID 3456)
       └─ WINWORD.EXE (PID 5678)
            └─ cmd.exe (PID 7890) ← Macro maliciosa
                 └─ powershell.exe (PID 8912) -enc [Base64]
                      └─ rundll32.exe (PID 9034) ← Cobalt Strike beacon
                           ├─ net.exe /domain (PID 9156) ← Reconocimiento AD
                           ├─ mimikatz.exe (PID 9278) ← Credential dumping
                           └─ psexec.exe (PID 9400) ← Movimiento lateral

Este árbol de procesos revela la cadena de ataque completa: un email de phishing abrió un documento Word con macro maliciosa que ejecutó PowerShell, descargó Cobalt Strike, realizó reconocimiento del Active Directory, volcó credenciales con Mimikatz y se movió lateralmente con PsExec.

2. Conexiones de red con contexto:

Proceso: rundll32.exe (PID 9034)
  → Conexión: 185.220.101.45:443 (HTTPS)
  → DNS: cdn-update.azureedge-cdn.com (dominio C2 falso)
  → Bytes enviados: 2.4 MB (exfiltración datos)
  → Bytes recibidos: 156 KB (comandos C2)
  → Duración: 4h 23min (beaconing cada 60 segundos)
  → Geolocalización IP: Países Bajos (hosting bulletproof)

3. Operaciones sobre ficheros:

Hora        | Proceso          | Acción   | Fichero
14:23:01    | ransomware.exe   | CREATE   | C:\Users\*\readme.txt (nota rescate)
14:23:02    | ransomware.exe   | MODIFY   | C:\Datos\contabilidad.xlsx → .encrypted
14:23:02    | ransomware.exe   | MODIFY   | C:\Datos\contratos\*.pdf → .encrypted
14:23:03    | ransomware.exe   | MODIFY   | C:\Datos\RRHH\nominas.xlsx → .encrypted
...
14:23:47    | ransomware.exe   | MODIFY   | [2,847 ficheros cifrados en 46 segundos]

4. Modificaciones de persistencia:

Registro modificado por rundll32.exe (PID 9034):
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "WindowsUpdate" = "C:\ProgramData\svchost.exe -k netsvcs"
    ← Persistencia: malware se ejecuta al reiniciar

Análisis forense con datos EDR

Reconstrucción de timeline

El perito informático utiliza la telemetría EDR para reconstruir una cronología forense completa del incidente, desde el vector de entrada inicial hasta el último endpoint comprometido.

  1. Identificar punto de entrada (Patient Zero): Buscar el primer endpoint con actividad anómala. El EDR permite ordenar alertas cronológicamente y localizar el evento original (email phishing, RDP expuesto, USB malicioso).

  2. Trazar árbol de procesos: Desde el proceso sospechoso inicial, reconstruir toda la cadena padre-hijo para entender qué herramientas usó el atacante y en qué orden.

  3. Mapear movimiento lateral: Identificar conexiones SMB, WMI, PsExec o RDP entre endpoints internos que indiquen propagación del atacante por la red.

  4. Correlacionar IOCs: Extraer indicadores de compromiso (hashes, IPs, dominios C2) y buscarlos en todos los endpoints para determinar el alcance total de la brecha.

  5. Mapeo MITRE ATT&CK: Clasificar cada acción del atacante según la matriz MITRE ATT&CK (Initial Access → Execution → Persistence → Privilege Escalation → Lateral Movement → Exfiltration) para crear un informe estandarizado.

Hunting de IOCs con EDR

Búsqueda retroactiva en telemetría EDR (últimos 90 días):

Query: Procesos que ejecutaron PowerShell con -enc (encoded command)
  → Resultado: 3 endpoints afectados (antes de detección)

Query: Conexiones a IP 185.220.101.45
  → Resultado: 7 endpoints contactaron C2 server

Query: Hash SHA256 = a1b2c3d4...f5e6 (Cobalt Strike beacon)
  → Resultado: Presente en 5 endpoints (4 aún sin detectar)

Query: Ficheros creados en C:\ProgramData\ por procesos no firmados
  → Resultado: 8 binarios sospechosos identificados

Esta capacidad de búsqueda retroactiva es lo que distingue un EDR de cualquier otra herramienta: permite buscar en el pasado amenazas que no fueron detectadas en tiempo real.

EDR vs antivirus tradicional

CaracterísticaAntivirus tradicionalEDR
Método de detecciónFirmas (hashes conocidos)Comportamiento + ML + firmas
Malware desconocido (zero-day)No detectaDetecta por comportamiento anómalo
Fileless malwareNo detectaDetecta (monitoriza memoria/scripts)
VisibilidadSolo ficheros en discoProcesos, red, registro, memoria
RespuestaCuarentena ficheroAislamiento endpoint, kill proceso, rollback
Valor forenseBajo (solo log detección)Alto (telemetría completa 30-90 días)
Threat huntingNo disponibleBúsqueda proactiva en telemetría
Falsos positivosBajoMedio-alto (requiere tuning)
Coste/endpoint/año€5-€15€30-€75
Requisito personalBajoMedio-alto (analistas SOC)

Para investigaciones forenses, un antivirus solo puede informar “se detectó malware X en fecha Y”. Un EDR proporciona la película completa: quién lo ejecutó, cómo llegó, qué hizo exactamente, a qué servidores se conectó, qué datos exfiltró y a qué otros equipos se propagó.

Caso práctico: ransomware detenido por EDR

Nota: El siguiente caso está basado en una investigación forense real realizada durante 2025. Los datos específicos (nombres de empresa, cantidades exactas, direcciones IP) han sido anonimizados para proteger la confidencialidad de los afectados, preservando únicamente los aspectos técnicos relevantes para fines educativos.

Contexto

Empresa industrial española, 280 empleados, 450 endpoints con CrowdStrike Falcon desplegado.

Timeline del ataque (reconstruido con telemetría EDR)

Día 1 - Lunes 09:15h: ACCESO INICIAL
  Empleado contabilidad abre email phishing
  → Adjunto: "Factura_Noviembre_2025.xlsm" (macro maliciosa)
  → EDR registra: WINWORD.EXE → cmd.exe → powershell.exe -enc [Base64]
  → EDR alerta: "Suspicious Process Chain" (severidad MEDIA)
  → Analista SOC: No investiga inmediatamente (cola de alertas)

Día 1 - Lunes 09:22h: EJECUCIÓN COBALT STRIKE
  PowerShell descarga beacon Cobalt Strike en memoria (fileless)
  → EDR registra: Conexión HTTPS a 91.215.85.xxx (C2 server)
  → EDR registra: Inyección en proceso legítimo svchost.exe
  → EDR alerta: "Process Injection Detected" (severidad ALTA)
  → Analista SOC: Inicia investigación

Día 1 - Lunes 10:45h: RECONOCIMIENTO
  Atacante ejecuta desde svchost.exe comprometido:
  → net group "Domain Admins" /domain
  → nltest /dclist:empresa.local
  → EDR registra: Discovery commands desde proceso inyectado
  → EDR alerta: "Reconnaissance Activity" (severidad ALTA)

Día 1 - Lunes 14:30h: CREDENTIAL DUMPING
  → Atacante ejecuta Mimikatz (ofuscado en memoria)
  → EDR registra: LSASS memory access por proceso no autorizado
  → EDR alerta: "Credential Theft Attempt" (severidad CRÍTICA)
  → Analista SOC: Aísla endpoint vía consola EDR (1 clic)

Día 1 - Lunes 14:31h: CONTENCIÓN EDR
  → CrowdStrike aísla endpoint de la red
  → Endpoint sigue enviando telemetría a cloud (canal dedicado)
  → Atacante pierde acceso a red corporativa
  → Intento movimiento lateral BLOQUEADO

Día 2 - Martes: ANÁLISIS FORENSE CON TELEMETRÍA EDR
  Perito informático recibe acceso a consola CrowdStrike:
  → Reconstruye timeline completo (09:15 → 14:31)
  → Identifica vector entrada: email phishing desde [email protected]
  → Confirma: Solo 1 endpoint comprometido (contención exitosa)
  → Extrae IOCs: 3 IPs C2, 2 hashes malware, 1 dominio phishing
  → Mapea MITRE ATT&CK: T1566.001 → T1059.001 → T1055 → T1003.001

Resultado

  • Tiempo detección a contención: 5 horas 16 minutos
  • Endpoints comprometidos: 1 de 450 (gracias al aislamiento EDR)
  • Datos exfiltrados: 0 bytes confirmados (C2 activo solo 5 horas)
  • Ransomware ejecutado: 0 ficheros cifrados (ataque detenido antes de fase de cifrado)
  • Sin EDR (estimación): El atacante habría tenido acceso libre durante días, comprometido el controlador de dominio y cifrado los 450 endpoints

EDR y cumplimiento normativo en España

Esquema Nacional de Seguridad (ENS)

El ENS (Real Decreto 311/2022) establece requisitos de monitorización según nivel de categoría:

  • Nivel MEDIO: Requiere “detección de intrusiones” y “registro de actividad”. Un EDR cumple ambos requisitos.
  • Nivel ALTO: Requiere “sistema de detección/prevención de intrusiones” con capacidad de “correlación de eventos y respuesta automatizada”. EDR con módulo XDR satisface estos requisitos.

Directiva NIS2

La Directiva NIS2 (transpuesta a legislación española 2024-2025) exige a entidades esenciales e importantes:

  • Art. 21.2(d): “Gestión de incidentes” con capacidad de detección y respuesta
  • Art. 21.2(g): “Prácticas básicas de ciberhigiene” incluyendo monitorización endpoints
  • Sanciones: Hasta €10M o 2% facturación global por incumplimiento

RGPD Art. 32 - Medidas técnicas

El Art. 32 del RGPD exige implementar “medidas técnicas y organizativas apropiadas” para garantizar la seguridad del tratamiento de datos personales. La AEPD ha interpretado en resoluciones recientes (2024-2025) que la ausencia de monitorización de endpoints puede constituir una violación de este artículo cuando se produce una brecha de datos que podría haberse detectado con herramientas EDR.

Implicación práctica: Una empresa que sufre una brecha de datos sin tener EDR u otra solución de monitorización puede enfrentarse a sanciones agravadas por la AEPD, al considerar que no implementó “medidas técnicas apropiadas” conforme al Art. 32 RGPD.

FAQ

P: ¿La telemetría EDR es admisible como prueba judicial en España? R: SÍ, siempre que se cumplan requisitos de cadena de custodia digital. La telemetría EDR almacenada en cloud del fabricante (CrowdStrike, Microsoft, SentinelOne) tiene integridad verificable mediante hashes y timestamps criptográficos. El perito debe documentar el proceso de extracción, verificar la integridad de los datos y mantener la cadena de custodia desde la consola EDR hasta el informe pericial.

P: ¿Se puede manipular o falsificar la telemetría EDR? R: Difícilmente. La telemetría se transmite cifrada desde el agente endpoint al cloud del fabricante en tiempo casi real. Un atacante necesitaría comprometer simultáneamente el endpoint Y los servidores cloud del fabricante para manipular los registros. Las soluciones EDR líderes cuentan con certificaciones SOC 2 Type II que garantizan la integridad del almacenamiento de datos.

P: ¿Un EDR reemplaza la necesidad de análisis forense? R: NO. El EDR proporciona telemetría de alto nivel (qué procesos se ejecutaron, qué conexiones se establecieron), pero no captura todo. Un análisis forense completo puede requerir imagen de disco, análisis de memoria RAM, examen de artefactos del sistema de ficheros (MFT, prefetch, shellbags) y correlación con fuentes externas que el EDR no cubre.

P: ¿Cuánto cuesta implementar EDR en una pyme española? R: Para una pyme de 50 endpoints: CrowdStrike Falcon ~€2,500-€3,500/año, SentinelOne ~€1,750-€3,000/año, Microsoft Defender for Endpoint ~€0-€1,500/año (si dispone de licencias M365 E3/E5). El coste de un solo incidente de ransomware en una pyme española promedia €120,000-€350,000, según INCIBE.

P: ¿EDR funciona en endpoints Linux y macOS, o solo Windows? R: Las soluciones EDR principales (CrowdStrike, SentinelOne, Elastic EDR) soportan Windows, Linux y macOS. Microsoft Defender for Endpoint tiene soporte completo para Windows y cobertura creciente en Linux/macOS, aunque con menor profundidad de telemetría en estos sistemas operativos.

Referencias y Fuentes

  1. Gartner. (2023-2025). “Market Guide for Endpoint Detection and Response Solutions”. gartner.com

    • Proyección: 80% adopción EDR empresarial para 2026 (desde 30% en 2020)

  2. MITRE ATT&CK Engenuity. (2024). “ATT&CK Evaluations: Enterprise - Turla + DPRK”. attackevals.mitre-engenuity.org

    • Evaluación independiente de 30+ soluciones EDR contra técnicas reales de amenazas avanzadas

  3. Forrester Research. (2024). “The Forrester Wave: Endpoint Detection And Response, Q2 2024”. forrester.com

    • CrowdStrike y Microsoft líderes, SentinelOne strong performer

  4. ENISA. (2024). “Threat Landscape 2024 - Endpoint Security”. enisa.europa.eu

    • Análisis amenazas endpoints en la Unión Europea y recomendaciones de protección

  5. CCN-CERT. (2024). “Guía CCN-STIC 599B24 - Implementación de soluciones EDR”. ccn-cert.cni.es

    • Guía del Centro Criptológico Nacional para implementación EDR en administraciones públicas españolas

  6. INCIBE. (2025). “Guía de ciberseguridad para empresas: Detección y respuesta en endpoints”. incibe.es

    • Recomendaciones EDR específicas para pymes españolas

  7. CrowdStrike. (2025). “2025 Global Threat Report”. crowdstrike.com

    • Tiempo medio de breakout (movimiento lateral): 62 minutos; organizaciones con EDR contienen en 79% de casos

  8. Real Decreto 311/2022 - Esquema Nacional de Seguridad (ENS). boe.es

    • Requisitos de monitorización y detección de intrusiones según nivel de categoría

  9. Directiva (UE) 2022/2555 (NIS2). eur-lex.europa.eu

    • Obligaciones de gestión de incidentes y medidas de ciberseguridad para entidades esenciales e importantes

  10. Reglamento (UE) 2016/679 (RGPD) - Art. 32. eur-lex.europa.eu

    • “Medidas técnicas y organizativas apropiadas” para seguridad del tratamiento de datos personales

  11. IBM Security. (2024). “Cost of a Data Breach Report 2024”. ibm.com

    • Organizaciones con EDR/XDR reducen coste medio de brecha en $225,000 y tiempo de contención en 108 días

  12. AEPD. (2024-2025). “Resoluciones en materia de medidas de seguridad Art. 32 RGPD”. aepd.es

    • Interpretación AEPD sobre obligación de monitorización y detección de amenazas

Última actualización: 10 Febrero 2026 Categoría: Herramientas (HER-015) Nivel técnico: Avanzado Relevancia forense: MUY ALTA (fuente primaria de evidencia en incidentes) Coste: €15-€75/endpoint/año (según solución)

¿Necesitas un peritaje forense?

Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.

Solicitar Consulta Gratuita
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp