En septiembre de 2023, MGM Resorts sufrió un ataque de ransomware que paralizó sus operaciones durante diez días: máquinas tragaperras sin funcionar, reservas de hotel gestionadas con papel, cajeros automáticos fuera de línea en Las Vegas. El coste estimado superó los 100 millones de dólares. El vector de entrada fue una llamada telefónica de ingeniería social a su servicio de soporte de TI que duró cuatro minutos. El problema no fue solo la técnica del atacante; fue el tiempo que tardó el equipo interno en detectar, contener y responder. Un servicio MDR activo habría reducido ese tiempo de días a horas.

MDR (Managed Detection and Response) es un servicio gestionado de ciberseguridad que combina tecnología avanzada de detección con analistas especializados que operan en tiempo real, 24 horas al día, los 365 días del año. No es una herramienta que se instala: es un equipo externo que actúa como extensión del SOC de la organización, o como el SOC completo cuando la empresa no tiene uno propio.

¿Qué hace un servicio MDR y qué lo diferencia del monitoreo tradicional?

La diferencia entre MDR y el monitoreo convencional está en la respuesta activa. Un sistema de monitoreo tradicional genera alertas; el equipo interno decide qué hacer con ellas. Un servicio MDR no se limita a alertar: analiza, prioriza, investiga y ejecuta contramedidas, todo dentro de un marco de tiempo que puede medirse en minutos, no en horas.

Los componentes esenciales de un servicio MDR eficaz son tres, y los tres deben funcionar de forma integrada:

• Tecnología de detección avanzada: sistemas NIDS, análisis de comportamiento, machine learning y plataformas EDR/XDR que monitorizan endpoints, tráfico de red, aplicaciones en la nube y comportamiento de usuarios para correlacionar eventos que individualmente parecen inocuos pero en conjunto revelan un ataque en curso.
• Procesos estructurados de respuesta: procedimientos claros para cada tipo de incidente: cuándo aislar un endpoint, cuándo escalar al cliente, cuándo activar un proceso de contención automática. La velocidad de respuesta no depende solo del talento del analista, sino del proceso que lo guía.
• Analistas especializados en turno continuo: el diferencial humano que distingue MDR de una herramienta automatizada. Los analistas investigan las alertas que el sistema no puede resolver de forma autónoma, reducen falsos positivos, correlacionan contexto externo de inteligencia de amenazas y toman decisiones de respuesta que requieren juicio, no solo reglas.

Los beneficios concretos para organizaciones que no tienen SOC propio

La realidad del mercado es que construir un SOC interno funcional requiere entre ocho y doce analistas de seguridad en turnos rotativos, herramientas especializadas y un presupuesto que pocas organizaciones medianas pueden sostener. MDR resuelve ese problema con un modelo de servicio gestionado:

• Detección temprana de amenazas: identificar y neutralizar ataques en sus fases iniciales, antes de que alcancen activos críticos o establezcan persistencia en la red.
• Reducción drástica de falsos positivos: el machine learning filtra el ruido del entorno antes de que llegue al analista, que trabaja sobre alertas ya priorizadas por riesgo real, no por volumen.
• Respuesta activa en minutos: cuando se detecta un incidente, el equipo MDR puede aislar endpoints comprometidos, bloquear comunicaciones con servidores de comando y control y contener la propagación sin esperar aprobación manual en cada paso.
• Cobertura 24/7/365 sin gestión interna: eliminando la dependencia de turnos internos y la exposición que genera el período nocturno o los fines de semana, que es precisamente cuando muchos atacantes eligen actuar.

Según el reporte de Forrester del segundo trimestre de 2023, el mercado de MDR experimenta alta satisfacción y retención de clientes porque la promesa central se cumple: los proveedores son efectivos en reducir el tiempo de detección y respuesta en organizaciones que no disponen de recursos internos para hacerlo por sí mismas.

MDR vs. EDR, SIEM y MSSP: qué cubre cada uno

Seamos claros: MDR no reemplaza a todas las herramientas de seguridad, pero sí cubre el vacío que ninguna de ellas resuelve por sí sola.

EDR (Endpoint Detection and Response) protege dispositivos específicos: ordenadores, servidores. MDR envuelve esa capacidad y la extiende a toda la infraestructura, añadiendo la capa humana de análisis e investigación que EDR no proporciona de forma nativa.

SIEM recoge y correlaciona logs de eventos de múltiples fuentes. El problema del SIEM sin MDR es el volumen: puede generar miles de alertas al día que un equipo reducido no puede procesar con la profundidad que cada una merece. MDR integra el SIEM y añade la respuesta gestionada que convierte esas alertas en acciones concretas.

MSSP (Managed Security Service Provider) ofrece servicios de seguridad más amplios pero con menor especialización en detección avanzada: gestión de firewalls, VPN, filtrado de spam. MDR se enfoca específicamente en la detección y respuesta a amenazas avanzadas, con mayor profundidad analítica y tiempos de respuesta significativamente más cortos.

Una estrategia de protección de endpoint como servicio complementa MDR al asegurar que los dispositivos en el perímetro cuenten con controles preventivos antes de que el equipo MDR tenga que responder a un incidente activo.

Los desafíos reales que ningún proveedor menciona primero

La implementación de MDR presenta obstáculos que conviene entender antes de contratar el servicio. El primero es la integración: conectar las fuentes de datos de la organización al servicio MDR requiere trabajo técnico inicial que puede ser complejo dependiendo del estado de la infraestructura existente. Organizaciones con entornos legacy o arquitecturas heterogéneas deben prever un período de calibración antes de que el servicio opere a plena efectividad.

El segundo es la gestión de la relación. MDR es un servicio colaborativo: el proveedor necesita contexto de la organización para priorizar correctamente, y la organización necesita entender qué hace el proveedor y por qué. Sin una comunicación clara y fluida, los equipos internos pueden sentir que pierden control sobre su postura de seguridad.

El tercero es el coste. MDR tiene un coste de servicio recurrente que para organizaciones pequeñas puede representar una inversión significativa. La comparación correcta no es con no tener nada: es con el coste de construir capacidades equivalentes internamente, que en la mayoría de los casos es sustancialmente mayor.

Conclusión: MDR es el SOC que la mayoría no puede construir sola

La ciberseguridad eficaz en 2025 requiere detección continua, respuesta en tiempo real y talento especializado disponible en todo momento. Para la mayoría de las organizaciones, construir ese conjunto de capacidades internamente es inviable en términos de costo y tiempo. MDR no es un parche: es el modelo de servicio que hace accesible el nivel de protección que las amenazas actuales exigen, independientemente del tamaño del equipo interno de seguridad.

Lo que le ocurrió a MGM en 2023 no fue el resultado de una técnica de ataque invencible. Fue el resultado de un tiempo de detección y respuesta que los atacantes calcularon y aprovecharon. MDR existe para que ese cálculo no les salga bien.