Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Endpoint Detection and Response (EDR)

Un «endpoint» (punto final) es un dispositivo informático que se conecta a una red para comunicarse e intercambiar datos o información. Por ejemplo: ordenadores de escritorio, portátiles, tabletas, servidores, estaciones de trabajo, entre otros.

Lo mínimo que debería tener un «endpoint» es un antivirus, pero ¿es suficiente? En realidad, no.

Los antivirus tradicionales utilizan firmas para identificar amenazas como virus, troyanos y gusanos. El archivo sospechoso se compara con la base de datos del antivirus, de modo que si la firma coincide, se califica como «malware». Algunos antivirus van un paso más allá, analizando el comportamiento del archivo sospechoso según criterios que determinan si es malicioso. En tal caso, el antivirus lo pondrá en cuarentena o lo eliminará directamente.

El problema de los antivirus tradicionales es que no son capaces de frenar los ciberataques complejos, como los de ingeniería social, vulnerabilidades zero-day, amenazas persistentes (APT), ransomware sofisticado o ataques basados en inteligencia artificial.

Endpoint Detection and Response (EDR)

Los sistemas o herramientas EDR (Endpoint Detection and Response) combinan el antivirus tradicional con herramientas de monitorización continua, inteligencia artificial y machine learning para detectar, prevenir y responder a amenazas complejas, así como su posterior mitigación o eliminación.

Entre sus principales ventajas se encuentran las siguientes:

  • Monitorización automática y en tiempo real de los endpoints.
  • Evaluación exhaustiva del estado de los dispositivos y la red, identificando vulnerabilidades potenciales.  
  • Recopilación de información en una sola consola centralizada, posibilitando un análisis forense rápido en caso de incidente.
  • Rastrean el origen y la evolución del malware para implementar medidas preventivas contra futuros ataques.
  • Aprendizaje continuo y actualizaciones automáticas basadas en datos globales de amenazas.

No obstante, estas herramientas también presentan debilidades:

  • Requieren recursos humanos y técnicos especializados para gestionar la gran cantidad de datos y alertas generadas diariamente.
  • Su configuración inicial es más compleja que la de un antivirus tradicional.
  • No todos los sistemas operativos son compatibles.
  • Las conexiones cifradas (como HTTPS o VPN) pueden limitar la monitorización.
  • Los endpoints monitorizados pueden experimentar una ligera reducción en el rendimiento debido al flujo constante de datos y notificaciones.

¿Cómo actúa el EDR?

Cuando el EDR detecta un archivo o comportamiento sospechoso, lo envía anonimizado a la nube para ejecutarlo en un entorno seguro, garantizando un impacto nulo en los endpoints. Tras analizarlo, el EDR concluye si es seguro o peligroso. Si lo considera «peligroso», lo bloquea automáticamente en todos los endpoints monitorizados. De este modo, si el mismo archivo o patrón aparece nuevamente en cualquiera de los endpoints lo bloquea de inmediato, impidiendo su ejecución y propagación.

Conclusiones

Las defensas tradicionales son incapaces de bloquear un porcentaje significativo de ataques cibernéticos.

Mientras que los antivirus necesitan conocer el «malware» previamente para detenerlo, los EDR pueden actuar contra amenazas desconocidas gracias a mecanismos de inteligencia artificial, análisis de comportamiento y entornos seguros en la nube.

Para garantizar una seguridad integral, combinen los EDR con otros elementos, como firewalls de nueva generación (NGFW), sistemas de prevención de intrusiones (IPS), redes privadas virtuales (VPN), soluciones de gestión de accesos privilegiados (PAM) y herramientas de detección extendida (XDR). Recuerden: cuantas más capas de seguridad implementen, más protegida estará la información de su organización.

Un último consejo: eviten los antivirus con versiones de prueba gratuitas, ya que pueden comprometer la privacidad. Avast pagó una multa de 16,5 millones de dólares tras la investigación de la Comisión Federal de Comercio de los Estados Unidos. Entre 2014 y 2020, Avast cedió los datos de navegación de sus usuarios a más de un centenar de terceros a través de su filial Jumpshot, que fue adquirida en 2013 y cerrada en 2020 tras el escándalo. 

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es