29 de junio de 2026
Antivirus, EDR, XDR, MDR: qué son y cuál necesitas
La sopa de letras de la seguridad, explicada: qué añade cada nivel y cuándo hace falta. Así lo aplicamos en más de 250 endpoints y unos 50 servidores.
Si has pedido ofertas de ciberseguridad últimamente, habrás visto la sopa de letras: EDR, XDR, MDR… cada propuesta con más siglas que la anterior, y todas prometiendo «protección total». No es solo marketing: son niveles distintos de una misma escalera. Y la forma más fácil de entenderla es pensar en cómo se protege un edificio.
Antivirus: la cerradura. Un antivirus moderno — el sector lo llama EPP, plataforma de protección del endpoint, que es como se denomina cada equipo de la empresa: portátiles, sobremesas, servidores — previene y bloquea lo conocido: malware identificado por firmas, reputación o heurística. Es imprescindible, como una buena cerradura. Pero ya no basta por sí solo: los ataques actuales roban credenciales, saltan de un equipo a otro y abusan de herramientas legítimas del propio sistema. El equivalente a un intruso que entra con copia de la llave — la cerradura ni se entera.
EDR: la alarma que graba. Un EDR (detección y respuesta en el endpoint) además vigila el comportamiento: registra de forma continua lo que ocurre en cada equipo y detecta lo anómalo. Y cuando algo salta, permite investigar y actuar: ¿qué proceso inició la actividad? ¿Qué usuario? ¿Desde qué equipo? ¿Qué otros están afectados? ¿Aislamos la máquina? Es la diferencia entre saber que «ha entrado alguien» y saber por dónde entró, qué tocó y poder cerrarle la puerta a distancia.
XDR: las cámaras de todo el edificio. El XDR (detección y respuesta extendida) amplía esa vigilancia correlacionando varias capas: endpoints, servidores, correo, cloud, identidades. Un ataque real casi nunca toca una sola pieza — entra por un correo, ejecuta algo en un portátil y va a por el servidor. Mirar cada cámara por separado no cuenta la historia; el XDR la reconstruye entera.
MDR: la central receptora. Y aquí lo que casi nadie explica: todo lo anterior son herramientas. Una alarma sin nadie que la escuche solo hace ruido. El MDR (detección y respuesta gestionada) añade el servicio: especialistas monitorizando 24/7, filtrando falsos positivos, priorizando lo grave y ayudando a contener el incidente — también un sábado a las cuatro de la madrugada. La herramienta, sin nadie mirándola, no responde sola.
¿Cuál necesita tu empresa? Depende del riesgo y de las obligaciones. Una protección del endpoint moderna y bien gestionada — antivirus avanzado, sandboxing (los archivos sospechosos se detonan en un entorno aislado antes de llegar al usuario) y consola central — ya es un salto enorme frente al antivirus suelto de cada PC. Pero si trabajas con la Administración, tienes ciberseguro, pasas auditorías o te aplica el Esquema Nacional de Seguridad, la conversación empieza en EDR y suele acabar en MDR: cada vez más, son las propias aseguradoras y los auditores quienes preguntan qué capacidad de detección y respuesta tiene.
Nuestro modelo, demostrable: en elstir gestionamos hoy más de 250 endpoints y unos 50 servidores desde una consola central ESET PROTECT, con firewalls SonicWall en el perímetro y protección específica del correo, que sigue siendo una de las puertas de entrada más habituales de los ataques. Trabajamos tres niveles según la exigencia de cada cliente: ESET PROTECT Advanced como estándar de entrada, Complete cuando hace falta además gestión de vulnerabilidades y parches, y MDR con vigilancia 24/7 del fabricante para los entornos con más requisitos. Con esta arquitectura por capas, uno de nuestros clientes superó las auditorías para certificarse en ISO 27001 y en el ENS.
Lo que ganas con este artículo es sencillo: la próxima oferta llena de siglas la leerás sabiendo qué añade cada peldaño — el diagrama de abajo lo resume. Y si quieres que te lo traduzcamos a tu caso concreto, sin sopa de letras, esto es lo que hacemos cada día en ciberseguridad gestionada.
Una alarma sin nadie que la escuche solo hace ruido.