Explicación de la evasión de EDR: por qué la detección en los puntos finales por sí sola no es suficiente

Información clave

Eludir los sistemas de detección y respuesta (EDR) se ha convertido en algo habitual. En los foros clandestinos se venden herramientas de elusión por entre 300 y 10 000 dólares, lo que pone al alcance de los ciberdelincuentes con pocos conocimientos la posibilidad de burlar las defensas de los dispositivos finales.
BYOVD domina los ataques actuales. Las técnicas de «trae tu propio controlador vulnerable» representan la mayor parte de las actividades destinadas a inutilizar los sistemas EDR, con más de 2.500 variantes de controladores identificadas en una sola campaña.
El 82 % de las intrusiones prescinden malware . El uso indebido de credenciales y las técnicas de «living-off-the-land» hacen que la detección EDR basada en firmas resulte ineficaz frente a la mayoría de los ataques modernos.
La CISA confirma que el EDR por sí solo no es suficiente. Una evaluación realizada por un equipo de simulación de ataques del Gobierno reveló que el EDR no detectó la mayoría de las cargas útiles desplegadas, lo que refuerza la necesidad de una defensa en profundidad con visibilidad a nivel de red.
Una defensa por capas es imprescindible. La combinación de NDR, supervisión basada en ausencias, refuerzo de los puntos finales y detección de amenazas a la identidad permite subsanar las vulnerabilidades que aprovecha la evasión de EDR.

Las herramientas de detección y respuesta en los puntos finales ocupan un lugar central en la mayoría de las estrategias de seguridad empresarial; sin embargo, los atacantes las consideran cada vez más como obstáculos que deben sortear, y no como barreras que deben atravesar. En una evaluación realizada en 2024 por un equipo de simulación de ataques (red team) a una organización de infraestructuras críticas de EE. UU., la CISA descubrió que las soluciones EDR «solo detectaron unas pocas» de las cargas útiles desplegadas, lo que confirma lo que los adversarios ya saben. El Informe sobre amenazas globales de CrowdStrike de 2026 refuerza el problema: el 82 % de las detecciones malware contenían malware, impulsadas por técnicas basadas en credenciales y de «living off the land» que eluden por completo los controles tradicionales de detección y respuesta en endpoints. La evasión de EDR ya no es una capacidad avanzada reservada a los actores estatales. Se trata de un servicio comercializado disponible en los mercados clandestinos por tan solo 300 dólares.

¿Qué es la evasión del EDR?

La evasión de EDR es el conjunto de técnicas que utilizan los atacantes para eludir, desactivar o burlar las herramientas de detección y respuesta en los puntos finales, impidiendo así que estos agentes detecten actividades maliciosas, envíen datos de telemetría a una consola central o activen acciones de respuesta automatizadas en los puntos finales comprometidos.

Los términos «evasión de EDR» y «elusión de EDR» suelen utilizarse indistintamente, pero existe una distinción útil entre ambos. La evasión de EDR describe, en términos generales, cualquier método para eludir la detección en los puntos finales, mientras que la elusión de EDR implica específicamente que un atacante ha burlado tanto los mecanismos de prevención como los de detección. En la práctica, los expertos en DFIR clasifican cada vez más estas técnicas en tres categorías —ocultación, bloqueo y camuflaje— en función de cómo interactúan con la arquitectura del agente EDR.

Por qué el EDR no es suficiente para garantizar la seguridad

Los agentes EDR operan desde una posición fundamentalmente limitada. Dependen de enlaces de software, devoluciones de llamada del núcleo y canales de telemetría que los atacantes pueden identificar, manipular o desactivar. Una investigación presentada en DEF CON 32 reveló que el 94 % de las soluciones EDR analizadas carecen de enlaces en la capa del subsistema situada por encima de NTDLL, lo que crea una brecha arquitectónica sistémica. Cuando el Informe sobre amenazas globales de CrowdStrike para 2026 señala que el 82 % de las detecciones malware contienen malware, esto indica que los atacantes han pasado a utilizar técnicas que el EDR nunca fue diseñado para detectar: robo de credenciales, uso indebido de herramientas legítimas y ataques basados en la identidad que se camuflan entre las operaciones normales.

El problema se agrava a lo largo de toda la cadena de ataque cibernético. Si un atacante desactiva o inhabilita el agente EDR en las primeras fases de la intrusión, todas las etapas posteriores —movimiento lateral, escalada de privilegios, exfiltración de datos— se desarrollan sin visibilidad a nivel de terminal.

Cómo funciona la evasión del EDR

Los atacantes se centran en tres superficies de ataque fundamentales de la arquitectura EDR: el canal de telemetría, el propio proceso del agente y el contexto de ejecución que determina qué supervisa el agente.

Desactivación: supresión de la telemetría

Las técnicas de «desactivación» impiden que los agentes EDR recopilen o transmitan datos de telemetría sin llegar a cerrar el proceso del agente. El EDR parece estar operativo, pero envía datos incompletos o no envía ninguno a la consola central.

La aplicación del parche ETW (Event Tracing for Windows) desactiva el canal de telemetría que envía datos de comportamiento al agente EDR
Silenciador EDR utiliza la Plataforma de filtrado de Windows para bloquear el tráfico saliente de los procesos EDR, asignándolo a MITRE ATT&CK T1562.006 (Bloqueo de indicadores)
Las herramientas de redireccionamiento del tráfico de red, como EDR-Redir, aprovechan el controlador de filtro de enlace de Windows 11 para redirigir los datos de telemetría sin necesidad de acceder al núcleo.

Bloqueo: desactivación o cierre de agentes

Las técnicas de bloqueo cierran directamente los procesos de EDR o impiden que se carguen. Se trata de los métodos de evasión más agresivos y, a menudo, requieren una escalada de privilegios hasta el nivel del núcleo.

BYOVD (trae tu propio controlador vulnerable) carga un controlador del núcleo firmado pero vulnerable para obtener acceso a nivel del núcleo y cerrar los procesos de EDR
EDRKillShifter, desarrollado por los operadores de RansomHub, utiliza BYOVD para eliminar los procesos de EDR y se ha difundido entre al menos tres grupos rivales de ransomware: Play, Medusa y BianLian
Reinicios en modo seguro reiniciar los sistemas en el modo seguro de Windows, donde la mayoría de los servicios EDR no se inician automáticamente (T1562.009)

Ocultación: ejecución en contextos de confianza

Las técnicas de ocultación llevan a cabo acciones maliciosas utilizando métodos en los que los agentes EDR están programados para confiar o que no pueden supervisar.

«Living off the land» hace un uso indebido de binarios legítimos del sistema (PowerShell, WMI, certutil) que el EDR debe permitir
La carga reflectiva de DLL inyecta código malicioso directamente en la memoria del proceso sin pasar por el disco
Las llamadas al sistema directas e indirectas eluden los ganchos de la API del modo usuario al invocar directamente funciones del núcleo, evitando así las rutas de código supervisadas en las que se basa el EDR

La economía de la evasión como servicio

La evasión de los sistemas EDR se ha convertido en un servicio comercial en el mercado negro. Las investigaciones han revelado que en foros de la dark web (XSS, Exploit.In, RAMP) se venden herramientas individuales para eludir los sistemas EDR a partir de 300 dólares, mientras que los paquetes que incluyen servicios de cifrado pueden alcanzar los 10 000 dólares. Esta mercantilización implica que las organizaciones se enfrentan a intentos de evasión por parte de todo el espectro de actores maliciosos, y no solo de sofisticados grupos APT.

Figura: Arquitectura del agente EDR con tres superficies de ataque de evasión. El diagrama muestra los ganchos en modo usuario, las devoluciones de llamada del núcleo y el canal ETW que alimenta una consola EDR, con vectores de ataque etiquetados para el «blinding» (supresión de la telemetría), el «blocking» (cancelación del agente) y el «hiding» (ejecución en contexto de confianza).

Tipos de técnicas de elusión del EDR

Las técnicas de evasión de EDR abarcan el uso indebido de controladores a nivel del núcleo, la manipulación de ganchos en modo usuario, la explotación de binarios de confianza y las superficies de ataque emergentes específicas de Linux.

BYOVD (trae tu propio controlador vulnerable)

BYOVD carga un controlador del núcleo firmado pero vulnerable para obtener acceso a nivel del núcleo y cerrar los procesos de EDR o desregistrar las funciones de devolución de llamada del núcleo. Esta técnica se corresponde con T1068 (Vulnerabilidad para la escalada de privilegios) y T1014 (Rootkit). Una única campaña BYOVD que utiliza el controlador TrueSight implementado en 2.500 variantes de controladores entre mediados de 2024 y principios de 2025. En febrero de 2026, El ransomware Reynolds incorporó un controlador vulnerable de NsecSoft (CVE-2025-68947) directamente en la carga útil del ransomware, lo que elimina la necesidad de un paso de implementación específico para desactivar el EDR. Empresa de análisis forense Huntress documentó una utilización similar del controlador EnCase con fines maliciosos para la finalización del EDR.

Desvinculación de API y abuso de llamadas al sistema

Los agentes EDR insertan ganchos en las DLL en modo usuario (principalmente en ntdll.dll) para interceptar las llamadas a la API y supervisar el comportamiento de los procesos. Las técnicas de desenganche eliminan o eluden estos ganchos, mientras que las llamadas al sistema directas e indirectas omiten por completo la capa de la API supervisada. El Técnica HookChain, presentado en DEF CON 32, aprovecha la capa del subsistema situada por encima de NTDLL y logró una tasa de éxito del 88 % en la elusión de la detección en las 26 soluciones EDR sometidas a prueba. Las llamadas al sistema directas invocan funciones del núcleo por su número, eludiendo por completo los ganchos del modo usuario. Las llamadas al sistema indirectas se realizan a través del código legítimo de NTDLL para parecer normales, al tiempo que evaden la detección basada en ganchos. Ambas se asignan a T1562.001 (Desactivar o modificar herramientas).

Vivir de la tierra (LOLBins)

Living off the land ataca los binarios legítimos del sistema —PowerShell, WMI, certutil, mshta, regsvr32— que las soluciones EDR deben permitir que funcionen. Estas técnicas se corresponden con T1218 (Ejecución de binarios del sistema mediante proxy). Dado que los binarios están firmados digitalmente y son esenciales para el funcionamiento del sistema, el EDR se enfrenta a una tensión fundamental entre bloquear posibles abusos y permitir la actividad administrativa legítima. Herramientas como Cobalt Strike aprovechar las cadenas de ejecución de LOLBin para camuflar las actividades posteriores a la explotación entre el comportamiento normal del sistema.

Carga reflectiva de DLL y ejecución en memoria

malware sin archivos carga DLL maliciosas directamente en la memoria del proceso sin escribir en el disco, eludiendo así el análisis basado en archivos. Esto se traduce en T1055 (Inyección en el proceso) y T1574.002 (Carga lateral de DLL). PDFSIDER malware La campaña demostró una sofisticada técnica de carga lateral de DLL a través de procesos de lectores de PDF de confianza, eludiendo tanto la detección estática como la basada en el comportamiento.

Herramientas para eliminar datos de EDR y manipular el sistema

Las herramientas EDRKiller, diseñadas específicamente para este fin, cierran o ocultan los procesos de EDR mediante una combinación de técnicas. EDRKillShifter utiliza BYOVD para cerrar los procesos de seguridad de los terminales y se ha extendido ampliamente entre las operaciones de ransomware de la competencia. EDR Silencer bloquea el tráfico de red de EDR a través de la Plataforma de filtrado de Windows (T1562.006). EDR-Redir representa un enfoque más novedoso: una vulnerabilidad de elusión en modo usuario que aprovecha el controlador de filtro de enlace de Windows 11 y que no requiere ningún tipo de acceso al núcleo.

Evasión de EDR en Linux (io_uring y más allá)

La evasión de los sistemas EDR para Linux es un frente emergente que la mayoría de los competidores pasan por alto por completo. El agente RingReaper aprovecha la interfaz del núcleo io_uring de Linux (introducida en el núcleo 5.1) para llevar a cabo la detección de procesos, la enumeración de redes y la escalada de privilegios mediante operaciones de E/S asíncronas invisibles para los ganchos de llamadas al sistema tradicionales de los EDR para Linux. La mayoría de las soluciones EDR para Linux no supervisan io_uring, lo que crea una importante brecha de detección en los entornos de servidor.

Resumen de las principales familias de técnicas de evasión de EDR, con su correspondencia con MITRE ATT&CK y los principales retos de detección.

Técnica	MITRE ATT&CK	Cómo funciona	Desafío de detección
Trae tu propia bebida	`T1068`, `T1014`	Carga un controlador con vulnerabilidades para acceder al núcleo	Los controladores están firmados correctamente; resulta complicado incluirlos en la lista de permitidos
Desvinculación de API / llamadas al sistema	`T1562.001`	Elimina los ganchos o llama directamente al núcleo	Funciona por debajo de la capa de supervisión EDR
Vivir de la tierra	`T1218`	Abusa de los archivos binarios legítimos del sistema	Los archivos binarios son necesarios para el funcionamiento normal
Carga reflectiva de DLL	`T1055`, `T1574.002`	Carga código malicioso en la memoria, sin escribir en el disco	No hay artefactos en los archivos para el análisis de firmas
Los asesinos de EDR	`T1562.001`, `T1562.006`	Cierra o bloquea los procesos EDR	Requiere detectar la ausencia, no la presencia
Linux io_uring	N/A (en desarrollo)	Evita la supervisión de llamadas al sistema mediante E/S asíncrona	La mayoría de los EDR para Linux carecen de ganchos io_uring

La evasión del EDR en la práctica

Los incidentes reales confirman que la evasión de los sistemas EDR da lugar a filtraciones catastróficas cuando las organizaciones carecen de supervisión a nivel de red y de una configuración adecuada de los dispositivos finales.

Change Healthcare / ALPHV BlackCat

El grupo de ransomware ALPHV/BlackCat utilizó credenciales robadas para acceder a los sistemas de Change Healthcare a través de un portal de acceso remoto que carecía de autenticación multifactorial. Los atacantes desactivaron las defensas de los terminales y se movieron lateralmente durante nueve días, sustrayendo 6 TB de datos antes de desplegar el ransomware. La organización pagó un rescate de 22 millones de dólares y se vio comprometida la información sanitaria personal de más de 100 millones de personas. La lección: un EDR sin MFA y sin supervisión de la capa de red crea puntos únicos de fallo catastróficos.

El ransomware Reynolds y las cargas útiles integradas en BYOVD

En febrero de 2026, el ransomware Reynolds incorporó un controlador NsecSoft NSecKrnl vulnerable (CVE-2025-68947) directamente en la carga útil del ransomware. El controlador integrado termina los procesos de Avast, CrowdStrike Falcon, Cortex XDR, Sophos y Symantec. Esta evolución —de BYOVD como paso previo al ataque independiente a un componente integrado en la carga útil— reduce drásticamente la ventana de detección.

El ransomware Akira y el punto de acceso a la cámara web

Cuando el EDR puso en cuarentena la carga útil inicial de Akira en un terminal Windows, los atacantes se dirigieron a una cámara web basada en Linux que no estaba supervisada y que se encontraba en la misma red. Desde la cámara web, montaron recursos compartidos SMB y cifraron la red desde un dispositivo que ningún agente EDR podía proteger. Este caso demuestra por qué la seguridad del IoT y la supervisión de dispositivos sin agentes son componentes esenciales de cualquier estrategia de protección de terminales.

Evaluación del equipo rojo de la CISA

Un equipo rojo de la CISA evaluó una organización de infraestructuras críticas y logró eludir el EDR evitando las firmas maliciosas conocidas e inflando el tamaño de los archivos por encima de los umbrales de carga del EDR. Un entorno heredado dentro de la organización carecía por completo de cobertura de EDR. La evaluación concluyó que la dependencia excesiva del EDR basado en el host, sin protecciones en la capa de red, deja a las organizaciones desprotegidas frente a adversarios decididos.

Según los datos de CrowdStrike para 2026, el tiempo medio de penetración de los delitos cibernéticos es ahora de 29 minutos, por lo que el intervalo entre el acceso inicial y el movimiento lateral se está reduciendo más rápido de lo que la mayoría de los centros de operaciones de seguridad (SOC) pueden reaccionar.

Detección y prevención de la evasión de EDR

Para defenderse contra las técnicas de evasión de las soluciones EDR, es necesario combinar la detección en red, la supervisión de ausencias y el refuerzo de los terminales en una estrategia integrada de defensa en profundidad.

Métodos de detección

Detección a nivel de red (NDR). La detección y respuesta en red proporciona telemetría independiente que persiste incluso cuando los agentes EDR se ven comprometidos. El tráfico de red no puede «desconectarse»: un atacante que desactive o elimine el agente del terminal sigue generando un comportamiento de red observable durante el movimiento lateral, las comunicaciones de mando y control y la exfiltración de datos. El aviso de la CISA recomienda específicamente la supervisión a nivel de red como complemento a la detección en los terminales.

Supervisión basada en la ausencia. En lugar de detectar actividades maliciosas, la supervisión basada en la ausencia detecta cuándo los dispositivos finales dejan de enviar informes a la consola EDR, lo que constituye un claro indicio de que se han implementado herramientas para desactivar el EDR. Los informes de inteligencia sobre amenazas señalan que este es uno de los métodos de detección más fiables para detectar la manipulación del EDR.

Análisis del comportamiento y la búsqueda de amenazas. La detección proactiva de amenazas se centra en identificar indicadores de evasión: eventos inesperados de carga de controladores, lagunas en la telemetría ETW, estructuras anómalas del árbol de procesos y uso sospechoso de binarios legítimos del sistema. Estas señales de comportamiento persisten incluso cuando falla la detección basada en firmas.

Lista de comprobación para el refuerzo de la seguridad preventiva

Habilitar y verificar que la protección contra manipulaciones del EDR resista la anulación por parte del administrador local
Implementar la lista de control de controladores vulnerables de Microsoft a través de WDAC
Habilita la integridad de la memoria (HVCI) para bloquear el código del núcleo sin firmar
Restringe los privilegios de administrador local para limitar la instalación de controladores
Combina NDR con EDR para lograr una detección independiente de la red
Implementar la supervisión telemétrica de ausencias para detectar interrupciones en los latidos del EDR
Supervisar el uso de io_uring en servidores Linux para procesos no estándar
Comprobar la eficacia del EDR mediante ejercicios periódicos del «equipo morado»

Cobertura de dispositivos sin agente

El caso de la cámara web de Akira pone de manifiesto un punto ciego crítico: los dispositivos que no pueden ejecutar agentes EDR —dispositivos IoT, cámaras IP, equipos de tecnología operativa (OT) y dispositivos de red— crean puntos de entrada que eluden por completo la seguridad de los puntos finales. Según el informe DBIR 2025 de Verizon, los dispositivos periféricos y las VPN pasaron del 3 % al 22 % interanual como puntos de entrada de las brechas de seguridad. Las organizaciones deben auditar todos los dispositivos conectados a la red y garantizar que los dispositivos sin agente no puedan acceder a recursos confidenciales sin una supervisión a nivel de red. Las soluciones de seguridad del IoT y el NDR proporcionan visibilidad allí donde los agentes de punto final no pueden operar.

Un plan eficaz de respuesta ante incidentes tiene en cuenta situaciones en las que no se dispone de datos de telemetría de EDR, con guías de actuación que utilizan fuentes de datos de red e identidad como alternativas.

Elusión de los sistemas de registro de datos de conducción (EDR) y el cumplimiento normativo

La detección de evasión de EDR se corresponde directamente con MITRE ATT&CK T1562 (Defensas por discapacidad) — el la técnica más habitual en malware en 2025 según el análisis anual de Picus Security. Varios marcos de seguridad establecer controles que aborden los riesgos de elusión de los dispositivos de registro electrónico (EDR).

MITRE ATT&CK relacionadas con la evasión de EDR, junto con fuentes de datos de detección y controles defensivos.

Técnica ID	Nombre de la técnica	Relevancia de la evasión del EDR	Fuente de datos de detección
T1562.001	Desactivar o modificar herramientas	Desactivación directa de la herramienta EDR	Supervisión de procesos, Registro de Windows
T1562.002	Desactivar el registro de eventos de Windows	Supresión de telemetría ETW	Estado de los sensores, integridad de los registros
T1562.006	Bloqueo de indicadores	Bloqueo del tráfico de red EDR	Supervisión de redes, registros del cortafuegos
T1562.009	Arranque en modo seguro	Omisión del EDR durante el arranque	Supervisión del registro de arranque
T1014	Rootkit	Acceso al núcleo BYOVD	Eventos de carga del controlador
T1055	Inyección en proceso	Carga reflectiva de DLL	Supervisión de procesos, llamadas a la API
T1574.002	Carga lateral de DLL	Secuestro de DLL	Supervisión de archivos, carga de módulos
T1218	Ejecución del proxy binario del sistema	Abuso de LOLBins	Registro de la línea de comandos
T1068	Explotación para la escalada de privilegios	Aprovechamiento del controlador BYOVD	Eventos de carga de controladores, auditoría del núcleo

Correspondencia de marcos. Los controles DE.CM-1 (supervisión de la red), DE.CM-4 (detección de código malicioso) y PR.PT-1 (registros de auditoría) del Marco de Seguridad Cibernética del NIST (NIST CSF) abordan directamente los requisitos de detección de evasión de los sistemas EDR. Los controles CIS v8 se corresponden con el control 10 (Malware ), el control 8 (gestión de registros de auditoría) y el control 13 (supervisión y defensa de la red). La norma ISO 27001:2022 aborda este tema a través del anexo A 8.7 (protección contra Malware) y el anexo A 8.16 (actividades de supervisión).

Enfoques modernos para la defensa contra la evasión de EDR

El consenso del sector es claro: para defenderse eficazmente contra las tácticas de evasión de los sistemas EDR se necesitan capas de detección independientes que sigan funcionando aunque los agentes de los terminales se vean comprometidos. Esto implica combinar los sistemas EDR con la detección y respuesta de red, la detección y respuesta ante amenazas de identidad (ITDR) y la supervisión sin agentes, todo ello en una arquitectura unificada de defensa en profundidad.

NDR ofrece visibilidad a nivel de red que no puede ser desactivada por ataques dirigidos a los terminales. ITDR detecta el uso indebido de credenciales y los ataques basados en la identidad, que representan el 82 % de las intrusiones malware. Las capacidades de respuesta automatizada contienen las amenazas antes de que se complete el movimiento lateral, lo cual es fundamental cuando el tiempo medio de propagación de los delitos cibernéticos es de 29 minutos. La mejora de las operaciones del SOC mediante la consolidación de señales reduce la fatiga de alertas que retrasa la respuesta ante indicadores reales de evasión.

Cómo Vectra AI la defensa contra la evasión de EDR

Vectra AI de la premisa de que los atacantes más astutos lograrán burlar los controles de los puntos finales: la filosofía de «asumir la compromisión». Attack Signal Intelligence cloud de red, identidad y cloud para detectar comportamientos de los atacantes que el EDR no puede ver: movimiento lateral, escalada de privilegios y actividad de comando y control que persiste independientemente de si el agente del punto final está comprometido, cegado o ausente. Se da prioridad a la claridad de las señales frente al volumen de alertas, lo que garantiza que los equipos del SOC investiguen amenazas reales en lugar de perseguir el ruido procedente del 82 % de la actividad que nunca tiene que ver con malware.

Tendencias futuras y consideraciones emergentes

El panorama de la evasión de los registros de datos de eventos (EDR) está evolucionando rápidamente, y es probable que varios avances redefinan tanto las técnicas de ataque como las estrategias defensivas en los próximos 12 a 24 meses.

La evasión asistida por IA se acelerará. Los atacantes ya están utilizando la IA para automatizar la generación de cargas útiles, la creación de código polimórfico y la imitación de comportamientos. Aunque la fiabilidad de las afirmaciones específicas sobre su eficacia varía, la tendencia general está bien documentada: la IA reduce la barrera de conocimientos necesaria para crear técnicas de evasión personalizadas, lo que ejerce presión sobre los defensores para que adopten sistemas de detección basados en IA que se adapten al mismo ritmo.

La evasión en entornos Linux y cloud se extenderá. La explotación de io_uring por parte de RingReaper marca un cambio más amplio hacia los entornos de servidores Linux y cloud . A medida que las organizaciones migren más cargas de trabajo a contenedores y Kubernetes, los atacantes adaptarán sus técnicas de evasión a estos entornos, en los que los modelos tradicionales de implementación de EDR podrían no ser aplicables.

La presión normativa irá en aumento. La aplicación de la Directiva NIS 2 en Europa y las posibles actualizaciones de las normas de divulgación de información cibernética de la SEC podrían imponer normas específicas de protección de los puntos finales y requisitos de defensa en profundidad. Las organizaciones que dependan exclusivamente de las soluciones EDR se enfrentarán a deficiencias de cumplimiento, ya que los marcos normativos exigen cada vez más la supervisión de la capa de red y capacidades de detección basadas en la ausencia.

El «Evasion-as-a-service» alcanzará su madurez. El mercado clandestino de herramientas de evasión de EDR seguirá profesionalizándose, y los modelos de suscripción, las ventanas de evasión garantizadas y las garantías de devolución del dinero se convertirán en la norma. Los responsables de seguridad deben tener en cuenta esta madurez del mercado en sus modelos de amenazas y presupuestar en consecuencia las inversiones en detección por capas.

Las organizaciones deberían dar prioridad a la implementación de NDR junto con las inversiones existentes en EDR, establecer una supervisión basada en la ausencia para detectar lagunas en la telemetría de los puntos finales y llevar a cabo ejercicios periódicos de simulación de ataques que pongan a prueba específicamente los escenarios de evasión del EDR.

Conclusión

La evasión de los sistemas de detección y respuesta ante incidentes (EDR) ha pasado de ser una capacidad avanzada propia de los Estados-nación a convertirse en un servicio generalizado al que puede acceder cualquier actor malicioso con unos pocos cientos de dólares. Las técnicas están bien documentadas, las herramientas se difunden ampliamente en los ecosistemas delictivos y las limitaciones arquitectónicas de la detección basada únicamente en los puntos finales han sido validadas públicamente por las evaluaciones del equipo rojo de la CISA y por investigaciones académicas.

El camino a seguir no consiste en abandonar el EDR, sino en reconocer que el EDR funciona mejor como una capa más dentro de una arquitectura de defensa en profundidad. La detección de red proporciona una visibilidad independiente que se mantiene incluso cuando los terminales se ven comprometidos. La supervisión de identidades detecta el 82 % de las intrusiones que nunca utilizan malware. La telemetría basada en ausencias detecta cuándo el propio EDR se convierte en el objetivo. Las organizaciones que implementen la lista de verificación de refuerzo de ocho pasos, combinen el NDR con la detección de endpoints y validen sus defensas mediante simulaciones periódicas de ataques cerrarán las brechas que aprovecha la evasión del EDR.

Descubre cómo Vectra AI la cobertura de EDR con la detección de redes e identidades.

Preguntas frecuentes

¿Qué es la evasión del EDR?

La evasión de EDR se refiere a las técnicas que utilizan los atacantes para eludir, desactivar o burlar las herramientas de detección y respuesta en los puntos finales. Estas técnicas impiden que los agentes EDR detecten actividades maliciosas, envíen datos de telemetría o activen respuestas automatizadas. La evasión de EDR moderna se divide en tres categorías: cegamiento (supresión de la telemetría sin terminar el agente), bloqueo (desactivación o terminación directa de los procesos de EDR) y ocultación (ejecución dentro de contextos de confianza que el EDR supervisa pero debe permitir). La evasión de EDR se ha convertido en algo cada vez más común, con herramientas disponibles en los mercados clandestinos por tan solo 300 dólares, lo que la hace accesible a una amplia gama de actores maliciosos más allá de los grupos estatales. Según las conclusiones del equipo rojo de la CISA, las soluciones EDR detectaron «solo unas pocas» cargas útiles desplegadas cuando se sometieron a prueba frente a un adversario experto, lo que confirma que la detección de endpoints por sí sola no proporciona una cobertura suficiente.

¿Cómo eluden los atacantes el EDR?

Los atacantes eluden los sistemas EDR mediante diversas familias de técnicas dirigidas a diferentes capas arquitectónicas. A nivel del núcleo, BYOVD carga controladores vulnerables firmados para terminar los procesos EDR o dar de baja las devoluciones de llamada del núcleo. A nivel del modo de usuario, las técnicas de «unhooking» y de llamadas al sistema (syscall) eluden los ganchos de supervisión de la API en los que se basan los agentes EDR. Las técnicas «living-off-the-land» abusan de binarios legítimos del sistema que el EDR no puede bloquear. Las herramientas para eliminar el EDR, como EDRKillShifter, combinan múltiples enfoques: utilizan BYOVD para acceder al núcleo y, a continuación, terminan sistemáticamente los procesos de seguridad de los endpoints. Más recientemente, los atacantes han pasado a centrarse en dispositivos no supervisados (como en el caso de la cámara web de Akira) o han explotado interfaces específicas de Linux, como io_uring, que la mayoría de las soluciones EDR no supervisan. La idea clave es que los atacantes rara vez utilizan una sola técnica. Encadenan múltiples métodos de evasión para maximizar sus posibilidades de operar sin ser detectados.

¿Qué es BYOVD en el ámbito de la ciberseguridad?

BYOVD —«trae tu propio controlador vulnerable»— es una técnica de ataque en la que los atacantes cargan en un sistema objetivo un controlador del núcleo que, aunque está firmado de forma legítima, presenta vulnerabilidades. Dado que el controlador cuenta con una firma digital válida, Windows permite su ejecución con privilegios a nivel del núcleo. A continuación, el atacante aprovecha la vulnerabilidad del controlador cargado para obtener acceso al núcleo, lo que le permite terminar procesos de EDR, dar de baja las devoluciones de llamada del núcleo y manipular los controles de seguridad. Se utilizaron más de 2500 variantes de controladores en una sola campaña BYOVD dirigida al controlador TrueSight entre mediados de 2024 y principios de 2025. El ransomware Reynolds de febrero de 2026 llevó esta técnica un paso más allá al integrar el controlador vulnerable directamente en la carga útil del ransomware, lo que eliminó la necesidad de un paso de implementación independiente y redujo significativamente el margen de detección.

¿Cómo consiguen los grupos de ransomware eludir los sistemas EDR?

Los grupos de ransomware eluden los sistemas EDR mediante una combinación de técnicas adaptadas a sus objetivos específicos. ALPHV/BlackCat utilizó credenciales robadas para desactivar las defensas de los terminales en Change Healthcare, lo que les permitió moverse lateralmente durante nueve días y acabó en un rescate de 22 millones de dólares y 100 millones de registros comprometidos. El ransomware Reynolds integra un controlador BYOVD directamente en su carga útil, lo que provoca el cierre automático de Avast, CrowdStrike Falcon, Cortex XDR, Sophos y Symantec al ejecutarse. La herramienta EDRKillShifter de RansomHub utiliza BYOVD para desactivar el EDR y se ha compartido con al menos tres bandas rivales: Play, Medusa y BianLian. Akira demostró un pensamiento creativo al recurrir a una cámara web Linux no supervisada para cifrar la red cuando el EDR bloqueó la carga útil inicial en los endpoints de Windows. Estos ejemplos muestran que los operadores de ransomware invierten importantes recursos en la evasión del EDR, ya que la detección en los endpoints es la principal barrera para el despliegue del ransomware.

¿Cómo se detecta la evasión de EDR?

Para detectar la evasión de EDR es necesario ir más allá del terminal. La detección y respuesta en red (NDR) proporciona telemetría independiente que persiste cuando los agentes de EDR se ven comprometidos: los atacantes que desactivan o eliminan el agente del terminal siguen generando tráfico de red observable durante el movimiento lateral y la exfiltración de datos. La supervisión basada en la ausencia detecta cuándo los terminales dejan de enviar informes a la consola de EDR, lo cual es un claro indicador de actividad destinada a desactivar el EDR. El análisis de comportamiento y la búsqueda de amenazas se centran en eventos anómalos de carga de controladores, lagunas en la telemetría ETW, árboles de procesos inusuales y uso sospechoso de binarios del sistema. Las organizaciones deben supervisar los eventos de carga de controladores que coincidan con controladores vulnerables conocidos, las lagunas repentinas en la telemetría del EDR procedentes de terminales específicos, las conexiones de red inesperadas desde terminales que han dejado de comunicarse recientemente y los patrones de comportamiento de los procesos compatibles con la desconexión o el abuso de llamadas al sistema. La combinación de estos métodos de detección crea una visibilidad superpuesta que ninguna técnica de evasión puede burlar por sí sola.

¿Qué es la evasión de defensas en MITRE ATT&CK?

La evasión de las defensas es la táctica TA0005 del MITRE ATT&CK , que engloba las técnicas que utilizan los adversarios para evitar ser detectados a lo largo de su intrusión. Dentro de esta táctica, T1562 (Debilitar las defensas) es la familia de técnicas más directamente relevante para la evasión de EDR. Las subtécnicas incluyen T1562.001 (Desactivar o modificar herramientas), T1562.002 (Desactivar el registro de eventos de Windows), T1562.006 (Bloqueo de indicadores) y T1562.009 (Arranque en modo seguro). Según el análisis anual de Picus Security, T1562 fue la técnica más prevalente empleada en malware en 2025. Los equipos de seguridad utilizan estas correspondencias de ATT&CK para la ingeniería de detección, creando reglas de detección que se centran en comportamientos técnicos específicos en lugar de malware individuales, lo que proporciona una cobertura más duradera frente a las herramientas de evasión en constante evolución.

¿Qué función desempeña el NDR en la detección de las evasiones del EDR?

La detección y respuesta en red desempeña un papel fundamental en la detección de la evasión de EDR, ya que funciona independientemente de los agentes de los puntos finales. Cuando un atacante desactiva, elimina o elude un agente EDR, el tráfico de red sigue fluyendo. El NDR supervisa este tráfico en busca de indicadores de compromiso que el EDR ya no puede detectar: movimiento lateral entre hosts, comunicaciones de mando y control, patrones de uso indebido de credenciales y exfiltración de datos. La CISA recomienda específicamente la monitorización de la capa de red como complemento a la detección en los puntos finales en su aviso sobre infraestructuras críticas. La combinación de EDR y NDR crea una arquitectura de detección en la que el compromiso de una capa no elimina la visibilidad. Incluso si un atacante logra evadir con éxito todos los agentes EDR del entorno, su comportamiento en la red sigue siendo observable. Esto es particularmente importante para los dispositivos sin agente —IoT, equipos OT, dispositivos de red— que no pueden ejecutar agentes de punto final en absoluto.

¿En qué consiste la técnica HookChain?

HookChain es una técnica avanzada de elusión de EDR documentada en investigaciones académicas y presentada en DEF CON 32. Aprovecha la capa del subsistema situada por encima de NTDLL, una capa en la que el 94 % de las soluciones EDR analizadas carecen de puntos de control. Al actuar en este punto ciego de la arquitectura, HookChain logró una tasa de éxito en la elusión del 88 % en 26 productos EDR y cinco plataformas de protección de endpoints sometidos a prueba. La técnica pone de relieve una limitación de diseño fundamental en la arquitectura EDR actual: los proveedores centran sus ganchos de monitorización en los niveles de NTDLL y del kernel, pero dejan desprotegida la capa superior del subsistema. HookChain no requiere acceso al kernel ni privilegios de administrador, lo que la hace accesible a un abanico más amplio de atacantes. La investigación subraya por qué no basta con confiar únicamente en la detección basada en ganchos en modo usuario y por qué son esenciales las capas de detección complementarias (red, identidad, comportamiento).

¿Cómo se omite el EDR al reiniciar en modo seguro?

El reinicio en modo seguro elude el EDR al reiniciar el sistema de destino en el modo seguro de Windows, donde solo se cargan los controladores y servicios esenciales. La mayoría de los agentes EDR no están configurados para iniciarse en modo seguro, lo que significa que el sistema se inicia sin la protección de endpoints activa. Familias de ransomware como Snatch y AvosLocker han aprovechado esta técnica para cifrar archivos sin la interferencia del EDR. El atacante suele obtener acceso inicial, configura el sistema para que arranque en modo seguro, reinicia el equipo y, a continuación, ejecuta la carga útil del ransomware en el entorno desprotegido. Esta técnica se corresponde con MITRE ATT&CK .009. Para defenderse de ella es necesario configurar los agentes EDR para que persistan en modo seguro, supervisar los cambios inesperados en la configuración de arranque y garantizar que la detección a nivel de red cubra los endpoints independientemente de su estado de arranque.

¿Qué es la manipulación del EDR?

La manipulación de EDR es un término amplio que abarca cualquier técnica que modifique, degrade o desactive la funcionalidad de un agente de detección y respuesta en los puntos finales. Esto incluye la terminación de procesos EDR, la aplicación de parches a los ganchos de monitorización en memoria, el bloqueo de la transmisión de telemetría, la modificación de archivos de configuración, la anulación del registro de las devoluciones de llamada del kernel y el aprovechamiento de controladores vulnerables para acceder al kernel. La manipulación del EDR es la implementación práctica de MITRE ATT&CK .001 (Desactivar o modificar herramientas). La mayoría de las soluciones EDR modernas incluyen funciones de protección contra la manipulación que impiden la modificación no autorizada del agente, pero estas protecciones deben configurarse y verificarse adecuadamente: una protección contra la manipulación que pueda ser anulada por un administrador local ofrece un valor limitado frente a un atacante que ya haya logrado la escalada de privilegios. La validación periódica mediante la simulación de un adversario garantiza que la protección contra la manipulación funcione según lo previsto.