Por qué “ya tenemos EDR” no es una estrategia de gestión de riesgo.

Una reflexión sobre detección, postura y la ilusión de seguridad

Durante años, la ciberseguridad empresarial ha avanzado acelerando la capacidad de detección y respuesta. Cada nueva generación de herramientas prometía ver antes, alertar mejor y reaccionar más rápido.

Sin embargo, este progreso ha dado lugar a un mito persistente: asumir que una capacidad sólida de detección equivale a una estrategia de seguridad efectiva.

Hoy, ese supuesto merece ser revisado.

El contexto cambió, pero muchos supuestos no

La forma en la que entendíamos la tecnología —y, por extensión, la ciberseguridad— ha cambiado de manera acelerada. La accesibilidad tecnológica, la reducción de los ciclos de innovación y la evolución constante de las técnicas de ataque han desplazado el contexto para el cual se diseñaron muchos controles de seguridad actuales.

En este escenario, numerosos controles no se vuelven ineficaces porque estén mal diseñados, sino porque siguen operando bajo supuestos que ya no reflejan la realidad operativa.

La ciberseguridad no es ajena a esta dinámica: los modelos que funcionaban bien en el pasado requieren hoy ser reevaluados dentro de un enfoque más amplio de gestión continua del riesgo.

Lo que el EDR resuelve —y lo que nunca prometió resolver

Los EDR surgieron para cubrir una necesidad concreta: mejorar la detección y respuesta en el endpoint. Su propuesta central siempre fue clara:

Cuando ocurre una actividad sospechosa, podemos detectarla y responder con mayor rapidez.

Durante años, esto representó un avance significativo frente al antivirus tradicional. La visibilidad en el endpoint y la capacidad de respuesta siguen siendo componentes valiosos dentro de cualquier programa de seguridad moderno.

Pero aquí aparece el punto crítico: detectar rápidamente un evento no es lo mismo que reducir de forma sostenida el riesgo.

La ilusión operativa de “ya estamos cubiertos”

En muchas organizaciones, la adopción de EDR ha venido acompañada de una percepción implícita de cobertura suficiente.

Sin embargo, la detección posterior a un evento no aborda, por sí sola, factores estructurales como:

• configuraciones inseguras que permanecen sin corrección durante largos periodos,
• superficies de ataque expuestas que no se evalúan de manera sistemática,
• y la degradación progresiva de controles a lo largo del tiempo.

En la práctica, el EDR opera como un mecanismo de alerta y respuesta, no como un sistema de reducción estructural del riesgo. Esto no representa un fallo del EDR. Representa un desajuste entre su propósito original y el rol estratégico que se le ha asignado.

El problema surge cuando se le exige sustituir una estrategia de seguridad integral.

EDR y XDR han evolucionado —pero el enfoque sigue siendo reactivo

Es importante reconocer que los EDR y XDR actuales han evolucionado de forma significativa, incorporando capacidades como análisis de comportamiento, automatización de respuesta, correlación de eventos e integraciones con identidades, nube y red.

Esta evolución ha mejorado la eficiencia operativa de los equipos de seguridad.

Pero no ha eliminado una limitación estructural de enfoque: siguen operando principalmente dentro de los dominios de detección y respuesta.

No están diseñados para gestionar de forma continua la postura de seguridad ni para priorizar exposiciones antes de que se materialicen en incidentes.

Reaccionar mejor a los eventos no equivale a gestionar el riesgo de manera continua.

EDR sin NDR: visibilidad parcial en un entorno distribuido

Otro supuesto implícito que suele pasar desapercibido es pensar que la visibilidad del endpoint es suficiente para comprender el riesgo real del entorno. En la práctica, el EDR observa lo que ocurre en el activo, pero no necesariamente entre los activos.

En entornos híbridos y distribuidos, una parte relevante del comportamiento malicioso —movimiento lateral, uso indebido de credenciales, comunicaciones anómalas, exfiltración gradual— se manifiesta primero a nivel de red. Sin capacidades de Network Detection and Response (NDR), el EDR opera con un contexto incompleto: detecta efectos locales, pero pierde patrones de comportamiento que solo son visibles cuando se observa el tráfico y las relaciones entre sistemas.

Esto no convierte al EDR en una tecnología insuficiente, pero sí evidencia una limitación estructural: sin NDR, la detección se fragmenta. La organización puede reaccionar ante eventos puntuales en endpoints individuales, sin entender plenamente la dinámica del ataque ni su alcance real. En términos de gestión de riesgo, esto se traduce en una falsa sensación de control: señales aisladas sin una lectura sistémica de la exposición.

Por qué el EDR —incluso con SOC— no puede ser el pilar de la gestión de riesgo

El EDR sigue siendo una pieza relevante dentro del stack de seguridad. Sin embargo, presenta límites claros cuando se utiliza como eje principal de la defensa. Su valor se activa, en la mayoría de los casos, después de que una actividad anómala ya ocurrió; no corrige de forma autónoma configuraciones inseguras persistentes, no prioriza riesgos de manera continua con base en impacto ni reduce sistemáticamente la exposición sin un marco de gestión de postura que lo complemente.

Un contraargumento común es que el EDR no opera de forma aislada, sino como parte de un Security Operations Center (SOC) que monitorea, investiga y responde a incidentes de manera continua. Es una observación válida: un SOC maduro mejora la velocidad y calidad de la respuesta, optimiza el triage y reduce el impacto operativo de los incidentes.

Sin embargo, incluso con un SOC 24/7, la mayoría de las operaciones de seguridad siguen siendo reactivas por diseño. El SOC opera sobre eventos y alertas; responde cuando una señal ya se ha generado. La gestión de postura, en cambio, se enfoca en condiciones y exposiciones que existen antes de que ocurra un evento y que, en muchos casos, no generan alertas inmediatas.

En este sentido, el SOC no invalida la necesidad de gestionar la postura: la complementa. Mientras el SOC optimiza la respuesta a lo que sucede, la gestión continua de la postura reduce la probabilidad de que esos eventos ocurran en primer lugar. Esto ayuda a explicar por qué organizaciones con despliegues maduros de EDR, XDR y SOC siguen enfrentando incidentes derivados de exposiciones conocidas o configuraciones no corregidas.

Lo que indican los marcos de referencia

Los marcos de referencia refuerzan este punto desde una perspectiva formal.

El NIST Cybersecurity Framework 2.0 enfatiza que una ciberseguridad efectiva no se basa en una herramienta aislada, sino en la gestión continua del riesgo a través de funciones integradas: Govern, Identify, Protect, Detect, Respond y Recover.

El énfasis no está únicamente en detectar mejor, sino en evaluar, ajustar y mejorar la postura de seguridad de forma recurrente, reconociendo que el riesgo cambia constantemente y debe alinearse con el contexto del negocio.

Desde esta perspectiva, ninguna tecnología —por avanzada que sea— sustituye un enfoque de postura.

De reaccionar más rápido a reducir la exposición

Durante años, gran parte de la industria intentó mejorar la seguridad acelerando la reacción.

La reducción sostenida del riesgo, sin embargo, ocurre cuando:

• se identifican exposiciones antes de que sean explotadas,
• se corrigen configuraciones inseguras de forma continua,
• se mide la postura real, no solo los incidentes detectados,
• y se priorizan acciones con base en impacto y probabilidad.

De ahí el surgimiento de modelos como CTEM (Garner, 2022), que entienden la seguridad no como un estado estático, sino como una práctica constante y evaluable.

Conclusión — De la detección a la continuidad del negocio

1. Reducir el riesgo hoy no pasa solo por reaccionar más rápido, sino por operar con mayor previsibilidad y menor exposición a lo largo del tiempo.
2. En entornos híbridos y distribuidos, la continuidad del negocio depende de tratar la seguridad como una práctica continua, integrada a la operación, y no como un flujo fragmentado de alertas o herramientas aisladas.
3. Las señales de EDR, XDR y NDR aportan visibilidad crítica. Su verdadero valor emerge cuando se contextualizan, se priorizan y se traducen en decisiones que impactan la postura de riesgo.

Para habilitar este enfoque, Batuta permite gestionar la postura de seguridad de forma viva y continua, facilitando la evaluación y medición del riesgo para enfocar los esfuerzos donde realmente importa al negocio. Cuando la seguridad deja de medirse solo por lo que se detecta y empieza a gestionarse por la exposición que se reduce, la organización gana claridad operativa, foco estratégico y una base más sólida para sostener la continuidad del negocio.