Hay una escena que se repite tras comprar una buena herramienta de seguridad: la consola del EDR está llena de alertas, es sábado en la madrugada, y la persona que sabía interpretarlas está dormida —o de vacaciones, o ya no trabaja aquí—. La herramienta detectó el ataque a la perfección. Nadie lo vio. Un EDR potente sin quién lo opere es una alarma sonando en una casa vacía. El MDR nace justo para llenar ese hueco.
Qué es el MDR
MDR (Managed Detection and Response) es, en esencia, la herramienta de detección más el equipo humano que la vigila y responde por ti, en un servicio. No te venden un software para que lo operes: te venden el resultado —monitoreo continuo, análisis de las alertas, y respuesta cuando algo es real—, normalmente 24×7. La palabra clave es "gestionado": la carga de estar mirando, decidiendo y actuando deja de ser tuya.
Qué hace por ti (y qué no)
Un buen MDR se encarga de la parte que agota a un equipo interno: filtrar el ruido para que no vivas la fatiga de alertas, investigar lo que sí importa, y ejecutar la respuesta acordada —aislar un equipo, contener una amenaza— siguiendo un runbook definido. Lo que no es: no es magia ni sustituye toda tu seguridad. No arregla una higiene básica inexistente (si no parchas nada, el MDR apaga fuegos infinitos), ni reemplaza tus respaldos o tu plan de recuperación. Es la capa de vigilancia y respuesta, no todo el edificio.
Cómo se ve un sábado cualquiera
Un ejemplo concreto del valor de "gestionado". Un sábado a las 2:40am, el EDR de una empresa detecta que una cuenta de servicio empezó a comportarse raro: accesos a equipos que nunca toca y creación de tareas programadas. Con un esquema tradicional, esa alerta habría esperado en la consola hasta el lunes —tiempo de sobra para que un atacante avanzara del reconocimiento al cifrado—. Con MDR, un analista del centro de operaciones la vio en minutos, confirmó que el patrón era malicioso, aisló los equipos afectados de la red siguiendo el runbook acordado, y contuvo el incidente antes de que escalara. El lunes, el reporte no decía "tuvimos un ataque", decía "detuvimos uno". Esa diferencia —entre una alerta que espera y una respuesta que ocurre— es, literalmente, lo que se contrata.
Las preguntas que revelan un MDR serio
Aquí es donde "gestionado" se vuelve concreto, y donde conviene leer la letra chica antes de firmar:
- ¿Cuál es el SLA de respuesta? No "monitoreamos 24×7", sino cuánto tardan en actuar ante un incidente crítico. Vigilar sin responder rápido es media promesa.
- ¿Hasta dónde llega la respuesta? ¿Solo te avisan, o de verdad contienen (aíslan el equipo, matan el proceso)? La diferencia entre "detection" y "response" es enorme.
- ¿Qué cubre? Solo endpoints, o también red, correo e identidad. El alcance define los puntos ciegos.
- ¿Quién está del otro lado? Un centro de operaciones real, con analistas, no un buzón que reenvía alertas.
La pregunta que conviene hacerse
La pregunta no es "¿tengo una buena herramienta de seguridad?", sino cuando esa herramienta detecte algo a las 3am de un domingo, ¿quién lo ve, en cuánto tiempo actúa y hasta dónde puede llegar para contenerlo? Si la respuesta es "nadie hasta el lunes", tienes detección sin respuesta. Poner ese equipo del otro lado —vigilancia y respuesta reales desde nuestro NOC/SOC administrado 24×7, sobre EDR como SentinelOne— es exactamente lo que significa "gestionado".