¿Cuál es la diferencia entre un EDR y un antivirus tradicional basado en firmas?
Respuesta breve
El antivirus tradicional coteja archivos contra firmas de malware conocido y los bloquea o pone en cuarentena: bueno contra amenazas conocidas, débil ante ataques nuevos o sin archivo. El EDR registra de forma continua el comportamiento del endpoint (procesos, red, registro, memoria), usa analítica de comportamiento para detectar actividad sospechosa y permite a los respondedores investigar, cazar y contener o revertir de forma remota. El AV es prevención por firma; el EDR añade visibilidad, detección y respuesta.
Esto es una comprobación de fundamentos: ¿sabes explicar por qué la industria pasó de «escanear archivos en busca de lo conocido como malicioso» a la detección y respuesta en endpoints? La diferencia no son solo mejores firmas: es un cambio de la pura prevención a la visibilidad más la respuesta.
Antivirus tradicional
El AV clásico funciona sobre todo por firmas: hashea o coteja patrones de archivos contra una base de datos de malware conocido y bloquea, pone en cuarentena o elimina las coincidencias, a menudo complementado con heurísticas simples. Es rápido, barato y eficaz contra amenazas conocidas y basadas en archivos. Sus debilidades están bien entendidas: es ciego ante el malware zero-day sin firma, fácilmente evadido al recompilar o empaquetar para cambiar el hash, y en gran medida impotente ante ataques sin archivo y living-off-the-land que abusan de herramientas legítimas como PowerShell, donde no hay un archivo malicioso que escanear.
EDR
El EDR asume que la prevención fallará a veces. Su agente registra de forma continua la actividad del endpoint —árboles de procesos, líneas de comandos, conexiones de red, cambios de registro y archivos, actividad de memoria— y la envía a una plataforma central. Allí aplica analítica de comportamiento e IOA para detectar comportamiento sospechoso en vez de archivos conocidos. Crucialmente, da a los respondedores la «R»: investigación (línea de tiempo, causa raíz en todo el parque), caza de amenazas y acciones de respuesta como aislar un host, matar un proceso o revertir cambios, de forma remota y a escala.
Por qué importa
La mayoría de los EDR incluyen también prevención al estilo AV, así que no es estrictamente lo uno o lo otro; el punto es la capa añadida de detección y respuesta sobre las firmas en bruto. Mencionar que el XDR extiende esta telemetría más allá del endpoint (correo, identidad, red, nube) suma puntos. Los entrevistadores quieren oír «las firmas solas se pierden los ataques nuevos y sin archivo, así que añadimos visibilidad de comportamiento y la capacidad de responder».
Posibles preguntas de seguimiento
- ¿Por qué el AV basado en firmas tiene problemas con ataques sin archivo o «living-off-the-land»?
- ¿Qué telemetría recoge un EDR que el AV no recoge?
- ¿Dónde extiende el XDR más allá del EDR centrado en el endpoint?