¿Qué es la detección y respuesta gestionadas (MDR)?

Abril 24 2026
George Rouse
Detección y respuesta gestionadas (MDR)

Según el informe «State of the MSP» de Kaseya de 2026, el 61 % de los MSP afirma que la mayoría o la totalidad de sus clientes recurre a ellos en busca de asesoramiento sobre ciberseguridad. El MDR se está convirtiendo cada vez más en la forma en que los MSP satisfacen esa expectativa sin tener que crear un equipo completo de operaciones de seguridad desde cero.

Las operaciones de seguridad deben realizarse las 24 horas del día, los 7 días de la semana. Las amenazas no esperan al horario laboral, y los datos sobre la duración de los ataques lo dejan claro: el tiempo medio que tarda un delito cibernético en desarrollarse, desde el acceso inicial hasta el movimiento lateral, es ahora de 29 minutos (Informe Global sobre Amenazas de CrowdStrike, 2026). Una organización que no cuente con una supervisión continua no dispone de horas para responder, sino de minutos.

Crear y dotar de personal a un centro de operaciones de seguridad (SOC) interno, con los analistas, las herramientas, los procesos y los conocimientos necesarios para detectar y responder a las amenazas las 24 horas del día, supone un coste anual de más de 735 000 dólares en personal y funcionamiento. Y eso sin contar las herramientas. Para la inmensa mayoría de las organizaciones, esa inversión no es viable.

La detección y respuesta gestionadas (MDR) subsana esta carencia al ofrecer capacidades de centro de operaciones de seguridad (SOC) como servicio gestionado: un equipo de expertos en seguridad, equipado con tecnología de detección avanzada, supervisa su entorno y responde a las amenazas en su nombre, las 24 horas del día, los 7 días de la semana.

Disfruta de operaciones de seguridad las 24 horas del día, los 7 días de la semana, sin necesidad de crear un SOC

Kaseya MDR cuenta con analistas de seguridad con sede en EE. UU. que supervisan su entorno las 24 horas del día, detectando, investigando y respondiendo a las amenazas para que su equipo no tenga que hacerlo.

Descubre Kaseya MDR

¿Qué es el MDR?

El MDR es un servicio de seguridad gestionado que combina tecnología —normalmente EDR, detección de red, SIEM e inteligencia sobre amenazas— con la experiencia de los expertos para ofrecer supervisión, detección, investigación y respuesta continuas ante las amenazas. La palabra clave es «respuesta»: a diferencia de los servicios de supervisión de alertas, que se limitan a notificar las detecciones, los proveedores de MDR actúan en su nombre para contener y solucionar las amenazas.

El servicio funciona las 24 horas del día, los 7 días de la semana, con un equipo de analistas de seguridad que supervisan los datos de telemetría del entorno del cliente, investigan las alertas que señalan los sistemas automatizados, distinguen las amenazas reales de los falsos positivos y toman medidas de contención cuando se confirma una amenaza real. El aislamiento de los terminales, el bloqueo de procesos maliciosos y el asesoramiento al cliente durante el proceso de corrección forman parte de sus funciones.

El MDR se centra en los resultados. El valor no reside en la infraestructura tecnológica, que uno mismo podría montar. Reside en la experiencia humana que gestiona esa infraestructura las 24 horas del día, tomando las decisiones que los sistemas automatizados no pueden tomar y actuando en el intervalo de tiempo antes de que una amenaza se convierta en una brecha de seguridad.

Qué incluye el MDR

Detección de amenazas. Supervisión continua de la telemetría de terminales, redes, identidades y la nube mediante EDR, herramientas de detección de redes y datos de SIEM. La detección se basa tanto en reglas automatizadas como en la revisión de los analistas para detectar amenazas que los sistemas automatizados por sí solos no detectan, en particular las anomalías de comportamiento que no coinciden con las firmas conocidas.

Investigación de alertas. Los analistas de seguridad revisan y clasifican las alertas para determinar si se trata de amenazas reales o de falsos positivos. Las herramientas de seguridad modernas generan miles de alertas al día. Sin la clasificación por parte de los analistas, la información relevante queda sepultada entre el ruido y se produce una fatiga por alertas. El servicio MDR libera al equipo interno de esta carga.

Búsqueda de amenazas. Búsqueda proactiva en los datos de telemetría de indicadores de compromiso que no hayan activado la detección automática, con el fin de detectar la actividad de ataque en fase inicial —reconocimiento, movimiento lateral, escalada de privilegios— que precede a un incidente visible. Los ataques de ransomware que se preparan durante semanas antes del cifrado requieren este tipo de detección proactiva para poder detectarlos.

Respuesta ante incidentes. Cuando se identifica una amenaza confirmada, los proveedores de MDR adoptan medidas de contención: aíslan los terminales afectados, bloquean los procesos maliciosos y coordinan la respuesta global al incidente. El proveedor se encarga de la contención inmediata; el cliente y el proveedor se encargan conjuntamente de la investigación, la corrección y la recuperación, en función del alcance del servicio.

Inteligencia sobre amenazas. Los proveedores de MDR recopilan información sobre amenazas procedente de toda su base de clientes y de fuentes externas, y actualizan continuamente las reglas de detección a medida que surgen nuevas amenazas. Esta ventaja que ofrece la inteligencia colectiva hace que la capacidad de detección del proveedor mejore con cada incidente que se produzca en toda su cartera de clientes.

Informes. Informes periódicos sobre el estado de la seguridad, la actividad de las amenazas, los indicadores de detección y respuesta, y las tendencias de los incidentes, que proporcionan el registro de pruebas que exigen los requisitos de cumplimiento y que las partes interesadas necesitan para comprender el valor de la inversión en seguridad.

Cómo funciona el MDR

El flujo operativo de MDR es sencillo, aunque su ejecución subyacente es compleja.

Recopilación de datos de telemetría. La infraestructura tecnológica del proveedor de MDR recopila datos de seguridad de los dispositivos finales, las redes, los sistemas de identidad, el correo electrónico y las plataformas en la nube.

Detección automatizada. Los modelos de aprendizaje automático y la detección basada en reglas identifican anomalías y patrones de amenazas conocidos en el flujo de telemetría, generando alertas para que las revisen los analistas.

Evaluación por parte de los analistas. Los analistas de seguridad revisan las alertas, las contextualizan y determinan cuáles representan amenazas reales. Se filtran los falsos positivos. Las amenazas reales se remiten para su investigación.

Investigación. Las amenazas confirmadas se investigan para determinar su alcance, los sistemas afectados, el vector de ataque y toda la cadena de ataque. La correspondencia con el marco MITRE ATT&CK ayuda a clasificar las técnicas y a comprender los objetivos del adversario.

Contención y respuesta. Se llevan a cabo medidas de contención: aislamiento de los dispositivos afectados, bloqueo de procesos maliciosos y revocación de las credenciales comprometidas. Se notifica al cliente y se le guía a lo largo del proceso de corrección general.

Recuperación y aprendizaje. Tras el incidente, las reglas de detección se actualizan en función de lo aprendido, y se elabora un informe en el que se documenta lo ocurrido, cómo se gestionó y qué medidas pueden reducir la probabilidad de que se repita.

MDR frente a MSSP: ¿en qué se diferencian?

A veces se confunden los proveedores de servicios de seguridad gestionados (MSSP) con los proveedores de servicios de detección y respuesta a amenazas (MDR), pero existe una diferencia operativa significativa:

Los MSSP suelen ofrecer servicios de supervisión y alertas. Están atentos a las amenazas y avisan al cliente cuando detectan algo. La investigación y la respuesta siguen siendo responsabilidad del cliente.

Los proveedores de MDR incluyen la investigación y la respuesta en el servicio. No se limitan a informar de que ha ocurrido algo. Determinan qué ha sido, cuál es su gravedad y toman medidas para contenerlo. La capacidad de respuesta es su característica definitoria.

Esta distinción es importante a la hora de evaluar la carga operativa que cada modelo supone para el cliente. Un MSSP que genera alertas que requieren la investigación y la respuesta de un equipo interno supone un alivio menor para las organizaciones con recursos limitados que un proveedor de MDR que se encarga de esos pasos como parte del servicio. Para las organizaciones que carecen de analistas de seguridad internos, una alerta de un MSSP resulta, en la práctica, inútil si no hay nadie que actúe en consecuencia.

MDR frente a EDR frente a XDR

Estos tres términos describen capacidades de seguridad relacionadas entre sí, pero distintas, que aparecen constantemente en los mismos debates:

EDR (detección y respuesta en puntos finales) es una plataforma tecnológica que supervisa el comportamiento de los puntos finales, detecta amenazas a nivel de dispositivo y ofrece capacidades de respuesta, como el aislamiento de puntos finales. EDR es una herramienta que se gestiona de forma autónoma. Sin analistas que investiguen sus detecciones, EDR genera alertas que pueden quedar sin revisar.

XDR (detección y respuesta ampliadas) amplía la visibilidad de EDR a través de múltiples capas de seguridad, reuniendo datos de telemetría procedentes de los terminales, la red, la gestión de identidades, el correo electrónico y la nube en una plataforma unificada de detección y respuesta. XDR sigue siendo una plataforma tecnológica, no un servicio gestionado.

El MDR (detección y respuesta gestionadas) es la capa de servicio que gestiona el EDR o el XDR en su nombre. Los proveedores de MDR suelen utilizar herramientas de EDR y XDR como base para la detección y, a continuación, incorporan un equipo de analistas, la búsqueda de amenazas, la investigación y la respuesta, lo que convierte la tecnología en un servicio de seguridad operativo.

En la práctica: EDR y XDR te informan de lo que está pasando. MDR te explica qué significa y toma medidas al respecto.

¿Quién necesita el MDR?

El Reglamento sobre productos sanitarios (MDR) es relevante para cualquier organización que:

  • Carece de analistas de seguridad internos que supervisen las detecciones del EDR e investiguen las alertas las 24 horas del día
  • Requiere una cobertura de detección y respuesta las 24 horas del día, los 7 días de la semana, que un pequeño equipo interno no puede ofrecer
  • Ha sufrido un incidente de seguridad y es consciente de la diferencia que existe entre disponer de herramientas de seguridad y contar con una capacidad de respuesta operativa
  • Está sujeto a requisitos de seguros cibernéticos o marcos de cumplimiento que exigen una supervisión continua y una respuesta documentada ante incidentes
  • Quiere demostrar su madurez en materia de seguridad a los clientes, a los miembros del consejo de administración o a los auditores sin el coste y la complejidad que supone crear un SOC interno

Esto describe a la mayoría de las pymes y a una parte importante de las empresas del mercado medio. Los argumentos económicos son convincentes: desarrollar una capacidad interna equivalente requiere contratar a varios analistas de seguridad a tiempo completo, adquirir licencias de herramientas especializadas y garantizar una cobertura por turnos las 24 horas del día, los 7 días de la semana, lo que supone más de 735 000 dólares al año, sin contar el coste de las herramientas. El servicio MDR ofrece esa capacidad por una fracción del coste.

En el caso concreto de los MSP, hay mucho más en juego. Los MSP disponen de acceso privilegiado a decenas de entornos de clientes a través de sus plataformas de RMM y PSA. Ese acceso los convierte en objetivos muy valiosos para los ataques a la cadena de suministro. Un MSP que no cuente con cobertura MDR para su propia infraestructura supone una vía de ataque expuesta hacia todos los clientes que gestiona.

MDR y Kaseya SIEM: cómo funcionan juntos

El MDR y el SIEM abordan el mismo problema desde perspectivas diferentes. El MDR es un servicio gestionado, es decir, un equipo de analistas que supervisa su entorno y responde a las amenazas. El SIEM es una plataforma tecnológica que recopila, correlaciona y analiza los datos de seguridad de todo su entorno.

Kaseya ofrece ambas opciones. Kaseya SIEM, ya disponible para el público general, unifica la telemetría de los puntos finales, la red, la nube, la identidad y el correo electrónico, correlacionando señales de más de 60 fuentes de datos con una retención de registros de 400 días. Para las organizaciones que desean gestionar sus propias operaciones de seguridad, SIEM proporciona la plataforma. Para aquellas que desean la cobertura sin la carga operativa, el servicio SOC gestionado 24/7 de Kaseya, impulsado por Kaseya Intelligence, ofrece capacidad MDR sobre esa base de telemetría.

Ambos funcionan mejor juntos: SIEM aporta la amplitud y la retención de datos; MDR aporta la experiencia humana que convierte los datos en medidas de protección. Descubre Kaseya SIEM.

MDR para MSP: ampliación de la infraestructura de seguridad

Para los MSP, el MDR ofrece dos oportunidades distintas.

A nivel interno, el MDR proporciona la cobertura de operaciones de seguridad que protege el propio entorno del MSP, incluidas las plataformas RMM y PSA de alto privilegio que convierten a los MSP en objetivos atractivos. Un MSP que cuente con cobertura MDR para su propia infraestructura es considerablemente más resistente a los ataques a la cadena de suministro que tienen como objetivo a los MSP como punto de entrada a su base de clientes.

Al tratarse de un servicio orientado al cliente, el MDR que se ofrece a los clientes proporciona la capacidad de seguridad que la mayoría de las pymes no pueden permitirse desarrollar por sí mismas. Los MSP que incluyen el MDR como componente estándar de su oferta de seguridad, en lugar de recomendarlo como un complemento opcional, ofrecen una protección verdaderamente integral y se diferencian de los competidores que solo ofrecen supervisión sin respuesta.

El servicio MDR de Kaseya, disponible en Kaseya 365 Pro, está a cargo de analistas de seguridad con sede en EE. UU. que trabajan las 24 horas del día, los 7 días de la semana. Se integra con Datto EDR y con la Kaseya 365 en general, lo que proporciona a los proveedores de servicios gestionados (MSP) y a los equipos internos de TI una solución completa de operaciones de seguridad gestionadas. Descubre Kaseya 365 Pro.

Puntos clave

  • MDR ofrece supervisión, investigación y respuesta ante amenazas las 24 horas del día, los 7 días de la semana, como servicio gestionado, lo que permite disponer de un centro de operaciones de seguridad (SOC) sin el coste anual de más de 735 000 dólares que supone crear uno propio.
  • La característica que distingue al MDR del MSSP es la respuesta: los proveedores de MDR toman medidas de contención en su nombre, no se limitan a notificarle que ha ocurrido algo.
  • MDR es la capa de servicios que gestiona las tecnologías EDR y XDR en su nombre. EDR y XDR son herramientas; MDR es el servicio gestionado que garantiza la eficacia operativa de dichas herramientas.
  • Dado que el tiempo medio de detección de los delitos cibernéticos es ahora de 29 minutos, la cobertura continua de analistas las 24 horas del día, los 7 días de la semana, no es un lujo, sino un requisito básico para las organizaciones que desean contener las amenazas antes de que se propaguen.
  • Para los MSP, el MDR es tanto un control de seguridad interno que protege el acceso privilegiado a las soluciones RMM y PSA, como un servicio orientado al cliente que ofrece la capacidad de seguridad que la mayoría de las pymes no pueden desarrollar por sí mismas.

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe de Kaseya sobre la situación de los MSP de 2026

Kaseya - MSP sobre el estado del sector MSP 2026 - Imagen web - 1200 x 800 - ACTUALIZADO

Obtén MSP para 2026 de más de 1000 proveedores y descubre cómo aumentar los ingresos, adaptarte a las exigencias del mercado y mantener tu competitividad.

Descargar ahora

Explora las categorías

MDR frente a EDR: ¿Cuál es la diferencia y cuál es la opción más adecuada para ti?

EDR es una tecnología, mientras que MDR es un servicio. Descubre las diferencias clave, cuándo es más adecuado cada uno y cómo se complementan para proteger los dispositivos finales y mucho más.

Leer la entrada del blog

Detección y respuesta en la nube: guía de seguridad en la nube para MSP

El uso de aplicaciones SaaS y el volumen de cargas de trabajo en la nube están aumentando considerablemente. En la actualidad, las empresas utilizan aproximadamente 112 aplicaciones SaaS

Leer la entrada del blog
Filtración de datos

¿Qué es la detección de brechas de seguridad?

La detección de brechas de seguridad utiliza herramientas y técnicas avanzadas para supervisar los indicios de intrusión que podrían dar lugar a una filtración de datos. Descubra cómo puede ayudarle un SOC gestionado.

Leer la entrada del blog