Lo que el incidente de Stryker revela sobre la estrategia de ataque de Handala.
Leer el blog

Lo que el incidente de Stryker revela sobre la estrategia de ataque de Handala. Leer el blog →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
  1. Blogs
    >
  2. EDR

EDR no es suficiente: Por qué los CISO con visión de futuro recurren a la red y la identidad

April 9, 2026
4/9/2026
Mark Wojtasiak
Vicepresidente sénior de Investigación y Estrategia de Productos
EDR no es suficiente: Por qué los CISO con visión de futuro recurren a la red y la identidad

Soy un pensador sencillo, así que empezaré por lo sencillo.

Como responsables de seguridad, todos compartimos las mismas tres verdades:

  • Queremosproteger a nuestra gente y nuestra marca.
  • Lo que más nos preocupaesla incertidumbre.
  • Tenemos queponer fin a las infracciones.

Ya está. Tres verdades humanas que se abren paso entre el ruido de las diapositivas de los proveedores, los informes de los analistas y los discursos sobre los productos.

Pero aquí está el problema: nuestras redes modernas han superado nuestras viejas formas de pensar, mientras que los ataques se producen a la velocidad de la IA.

La red moderna = una gran superficie de ataque

Érase una vez, la "red" era un centro de datos y algunas oficinas. Tenías un perímetro. Construías un foso. Pusiste EDR en los puntos finales para mantener alejados a los atacantes.

Ese mundo ya no existe.

La empresa moderna basada en la inteligencia artificial de hoy en día es híbrida, sin fronteras y en constante expansión:

  • Centros de datos y cargas de trabajo cloud .
  • Plataformas SaaS y herramientas de colaboración.
  • Identidades: personas, máquinas, agentes de IA.
  • Trabajadores a distancia y SASE.
  • IoT y OT que nunca se construyeron pensando en la seguridad.

Los atacantes no ven en este caos un conjunto de sistemas aislados, ya sean terminales, cloud o identidades. Lo que ven esuna superficie de ataque gigantesca y conectada. Y tienen un único y sencillo objetivo:colarse en tu red. Ahora pueden hacerlo a la velocidad de la IA.

La horquilla de los atacantes

Y aquí está lo más sorprendente: los atacantes no necesitan un arsenal sofisticado para llevarlo a cabo. Han dominado las tres puntas de lo que yo denominola «horquilla de los atacantes»:

  • Desactivalos controles.
  • Evitaponerte a la defensiva.
  • Engaña a tusherramientas.

Y ya está. Con esta horquilla, pueden eludir la prevención de puntos finales, deslizarse más allá de EDR y operar dentro de su entorno híbrido sin ser detectados.

Si le parece dramático, veamos los datos:

  • El 50 % delas principales violaciones de seguridad en 2025 se debieron a que los atacantes eludieron los controles de los puntos finales.
  • El 40 % delas violaciones de seguridad afectaron a varios ámbitos: terminales, redes, cloud e identidades, en conjunto.
  • Según CrowdStrike, el tiempo medio que transcurre desde la infiltración hasta el movimiento lateral es de48 minutos.
  • Y ahora, los atacantes están automatizando gran parte del proceso de ataque.

Así que preguntaré lo obvio: si los atacantes pueden desactivar, evitar o engañar a tu EDR en menos de una hora, ¿estás realmente a salvo?

Por qué la señal es mala

Si es usted analista de SOC, ya conoce la respuesta. Hemos invertido en pilas potentes:

  • Cortafuegos, IDS/IPS en la red.
  • IAM, PAM, MFA sobre identidad.
  • CASB, CSPM en la cloud.
  • EPP, EDR en puntos finales.

Todo es sólido. Todo es necesario. Pero también…todo está aislado. Cada herramienta genera alertas. Cada una añade ruido. Los analistas se ven desbordados por los falsos positivos. Y la «señal» que necesitamos para detectar los ataques reales queda sepultada. ¿El resultado? Incertidumbre.

Se nos dice que pensemos en términos de múltiples superficies de ataque. Los atacantes no lo hacen. Ellos piensan en términos de una sola. Y si su objetivo es acceder a tu red y su vía de acceso es hacerse con una identidad, ¿no debería nuestra estrategia de defensa basarseen la red + la identidad?

La seguridad tiene dos caras

¿Recuerdas esa verdad fundamental? Queremos seguridad. Pero la seguridad tiene dos caras:

  1. Resiliencia previa a la intrusión: impedir que los atacantes accedan al sistema. (Eso es el EDR.)
  2. Resiliencia tras una intrusión: detener a los atacantes que ya se han colado. (De eso se encargan el NDR y la gestión de identidades.)

EDR es esencial. Sin duda. Pero no es infalible. La horquilla lo demuestra. NDR y las detecciones de identidad cubren lo que EDR pasa por alto:

  • Movimiento lateral a través del tráfico este-oeste.
  • Abuso de credenciales en los servicios cloud .
  • Precursores de ransomware en IoT y dispositivos no gestionados.
  • Comportamientos anormales que no disparan una firma pero gritan "atacante".

No es teoría. Los CISO del sector sanitario lo han hecho para proteger la seguridad de los pacientes. Los minoristas lo han hecho para proteger los puntos de venta y el IoT. Los fabricantes lo han hecho para defender las cadenas de suministro. ¿Y los resultados? Visibilidad que no tenían. Reducción del ruido que no podían imaginar. Y velocidad que necesitaban desesperadamente.

La señal postcompromiso a gran velocidad lo es todo

Porque aquí está la otra cruda realidad: los defensores son lentos. Los estudios demuestran que los defensores tardan, de media,292 días enidentificar y contener un ataque. Mientras tanto, los atacantes necesitan menos de una hora para desplazarse lateralmente. ¿Por qué? Porque la velocidad es difícil de conseguir.

  • Investigación.
  • Monitor.
  • Correlacionar.
  • Triaje.
  • Alerta.
  • Escala.
  • Investiga.
  • Responde.

Los sistemas basados en reglas no dan abasto. Los analistas no pueden hacer frente al volumen de trabajo. La carga de trabajo es abrumadora. Solo la IA permite alcanzar la velocidad necesaria, al automatizar la correlación, la clasificación y la priorización. Al convertir el ruido en información útil. Al proporcionara los analistas señales de ataque a la misma velocidad a la que operan los atacantes.

El CISO con visión de futuro

Así que aquí estamos. Redes modernas, ataques modernos, problemas modernos.

Los CISO con visión de futuro no están comprando más herramientas para lanzarlas contra la pared. Están cambiando los cimientos de su estrategia de resiliencia:

  • De señales aisladas aseñales unificadas de red e identidad.
  • De la prevención estática aasumir el compromiso.
  • De las reglas y el ruido a unaIA conductual queaporta claridad y rapidez.

Porque detener las infracciones ya no consiste en una prevención perfecta. Se trata de una detección y respuesta resistentes una vez que los atacantes están dentro.

Mi pensamiento simple

Ya he dicho que soy de los que piensan con sencillez, así que terminemos con sencillez. Somos humanos. Queremos seguridad. La incertidumbre nos causa angustia. Tenemos que poner fin a las brechas de seguridad. Nuestra capacidad de resiliencia se reduce a tres cosas: observabilidad, señal y control.

  • Observabilidad: red, identidad, Cloud dispositivos finales, todo en uno.
  • Señal: una señal de ataque basada en la red y la identidad, no en herramientas aisladas.
  • Control: una velocidad impulsada por la IA que da un giro radical a la ventaja del atacante.

Así es como los CISO con visión de futuro están neutralizando la horca de los atacantes.

Reflexión final: Por qué la seguridad de las redes y la identidad son el futuro

La red moderna no tiene fronteras. La horquilla de los atacantes es sencilla pero mortal. El EDR por sí solo no basta. Así que pregúntese: ¿su señal de ataque está arraigada donde los atacantes operan realmente: en la red y con una identidad? Porque es ahí donde residen la seguridad, la certeza y la resistencia.

Fuentes:

  • Presentación de Gartner SRM en Londres: «El EDR no es suficiente: cómo desarrollar una resiliencia moderna frente a los ataques mediante la combinación de red e identidad»
  • Verizon, CrowdStrike, IBM, Mandiant, Zscaler, Cisco, Palo Alto: datos sobre brechas de seguridad y fallos en la protección de los puntos finales
  • Informe sobre amenazas globales de CrowdStrike 2025: una media de 48 minutos desde la infiltración hasta el movimiento lateral
  • Vectra AI, Estado de la detección y respuesta ante amenazas: el dilema de los defensores (2024, 2023) — Problemas de los analistas de SOC, incertidumbre y retos relacionados con la claridad de las señales

Preguntas frecuentes