Por qué el antivirus gratuito ya no protege a tu pyme

Los antivirus gratuitos eran suficientes cuando las amenazas principales eran virus que se propagaban por disquetes y el malware tenía una firma estable que los fabricantes de antivirus podían catalogar. En 2026, los ataques que afectan a las pymes son fileless malware que no toca el disco, ransomware polimórfico que genera una variante única para cada campaña, y accesos con credenciales robadas que llegan al sistema como un usuario legítimo y no activan ningún escáner de ficheros. Un antivirus clásico, gratuito o de pago, no está diseñado para detectar ninguna de estas amenazas.

La falsa seguridad del antivirus gratuito es más peligrosa que no tener nada, porque genera la percepción de que el equipo está protegido cuando no lo está contra las amenazas relevantes. Una empresa que sabe que no tiene protección tiene un incentivo para evaluar opciones. Una empresa que cree que está protegida con Avast gratuito no lo evalúa hasta que tiene un incidente.

1. Por qué el modelo de antivirus por firmas ya no funciona

El modelo de antivirus clásico se basa en firmas: una base de datos de patrones de malware conocido contra la que compara los ficheros del sistema. Cuando el antivirus analiza un fichero, busca si alguna secuencia de bytes coincide con una firma catalogada. Si coincide, bloquea el fichero. Si no coincide, lo deja pasar.

Este modelo tiene un problema estructural: requiere que el malware sea conocido antes de crear la firma. El tiempo entre que aparece un nuevo malware y que los fabricantes de antivirus crean y distribuyen la firma puede ser horas o días. Durante ese tiempo, el malware nuevo pasa sin detección. Los atacantes lo saben y lo explotan: los grupos de ransomware generan variantes nuevas de su código antes de cada campaña específicamente para eludir las firmas existentes.

El fileless malware va un paso más allá: no existe como fichero en el disco. Se ejecuta directamente en la memoria del sistema, frecuentemente usando herramientas legítimas del sistema operativo (PowerShell, WMI, cmd.exe) para ejecutar código malicioso. El escáner de ficheros del antivirus clásico no puede detectar algo que no existe como fichero. En 2026, aproximadamente el 50% del malware dirigido a empresas utiliza técnicas fileless en alguna fase del ataque.

Las credenciales robadas representan un tercer vector que el antivirus no puede cubrir por diseño. Si un atacante tiene el usuario y la contraseña de un empleado (obtenidos por phishing o de una filtración de datos), se conecta al sistema como ese empleado. Para el antivirus, es un acceso legítimo. El comportamiento posterior puede ser anómalo (acceder a muchos ficheros en poco tiempo, conectar con IPs desconocidas, ejecutar herramientas de administración inusuales), pero el antivirus de ficheros no monitoriza comportamiento.

2. Qué hace un EDR que el antivirus no puede

Un EDR (Endpoint Detection and Response) no solo escanea ficheros: monitoriza el comportamiento de todos los procesos del sistema en tiempo real. Lo que ejecuta cada proceso, con qué IPs se conecta, qué ficheros lee o escribe, qué otros procesos crea, qué claves de registro modifica. Con esa telemetría de comportamiento, el EDR puede detectar actividad maliciosa aunque el fichero original no tenga ninguna firma conocida.

Un ejemplo concreto: un documento de Word con una macro maliciosa se abre. El antivirus de firmas puede no detectar nada si la macro usa código ofuscado nuevo. El EDR ve que Word crea un proceso de PowerShell, ese PowerShell descarga algo de una IP externa, y luego empieza a cifrar ficheros en el directorio de documentos. Ese encadenamiento de comportamientos es anómalo: Word no debería hacer eso nunca. El EDR lo detecta y puede detenerlo antes de que el cifrado se extienda.

• Detección basada en comportamiento: analiza qué hacen los procesos, no solo qué son. Detecta técnicas de ataque conocidas (MITRE ATT&CK framework) aunque el malware concreto sea nuevo.
• Telemetría centralizada: todos los endpoints reportan a un panel central. El equipo IT o el proveedor externo puede ver el estado de seguridad de todos los equipos, las alertas activas y el historial de eventos.
• Respuesta automática: cuando detecta comportamiento malicioso inequívoco, puede aislar automáticamente el equipo de la red para evitar la propagación lateral a otros sistemas. Esto puede hacer la diferencia entre un equipo afectado y un ransomware que se propaga a toda la red.
• Forensics post-incidente: si hay un incidente, el EDR tiene el registro completo de lo que ocurrió: qué proceso ejecutó qué, cuándo se conectó a qué IP, qué ficheros creó, modificó o eliminó. Esa trazabilidad es imprescindible para entender el alcance de un incidente y para cumplir los requisitos de notificación del RGPD.

3. Comparativa de soluciones de protección de endpoints para pymes

4. Microsoft Defender for Business: el EDR accesible para pymes

Microsoft Defender for Business es el punto de entrada más sensato para la mayoría de pymes españolas que ya tienen Microsoft 365. Está disponible de forma independiente por aproximadamente 3 euros por usuario al mes, o incluido en Microsoft 365 Business Premium (que ya incluye M365 completo, Intune para MDM y Exchange Online). Para empresas que ya tienen Microsoft 365 Business Standard, la actualización a Business Premium cuesta la diferencia del plan y añade Defender for Business, Intune y Azure AD Premium P1.

Las capacidades que ofrece Defender for Business sobre un antivirus estándar: panel centralizado de seguridad con estado de todos los endpoints, detección de amenazas basada en comportamiento con integración de inteligencia de amenazas de Microsoft (que procesa señales de miles de millones de endpoints en todo el mundo), respuesta automatizada de aislamiento de equipos, y trazabilidad completa de eventos para forensics. No es el EDR más avanzado del mercado, pero sí supera ampliamente cualquier antivirus gratuito o de gama básica en capacidad de detección de amenazas modernas.

Para pymes que no tienen ecosistema Microsoft o que prefieren una solución independiente, Bitdefender GravityZone Small Business ofrece capacidades EDR equivalentes con cobertura de entornos mixtos Windows/Mac a un precio similar. La gestión se hace desde un panel web sin necesidad de infraestructura on-premise. Para empresas con un nivel de exposición más alto (sectores regulados, datos sensibles, infraestructura crítica), soluciones como SentinelOne o CrowdStrike Falcon ofrecen capacidades XDR más avanzadas, aunque a un precio y complejidad de gestión superiores. El diseño de la estrategia de protección de endpoints es parte de los servicios de ciberseguridad gestionada que incluye la selección de la solución adecuada para cada perfil de riesgo.

5. Lo que el EDR no reemplaza

Un EDR no es una garantía de que nada puede pasar. Es una capa de detección y respuesta que mejora significativamente la capacidad de detectar y contener incidentes, pero no elimina el riesgo completamente ni reemplaza otras capas de seguridad.

El EDR no reemplaza el MFA (autenticación de doble factor). Las credenciales robadas usadas desde una ubicación conocida por el empleado pueden no activar alertas del EDR: el comportamiento inicial puede parecer legítimo. El MFA bloquea el acceso con credenciales robadas antes de que el atacante llegue al sistema.

El EDR no reemplaza los backups verificados. Si el ransomware cifra datos antes de que el EDR lo detecte y detenga (lo que puede ocurrir en variantes especialmente rápidas), la única forma de recuperación es el backup limpio. Un EDR sin backup es mejor que nada, pero no es suficiente. Los backups sin EDR también dejan una ventana de tiempo de exposición entre el incidente y la restauración. Ambas capas son necesarias.

El EDR no reemplaza la formación en phishing. Si un empleado descarga y ejecuta voluntariamente un fichero malicioso después de caer en un phishing, el EDR puede detectar el comportamiento posterior, pero no puede evitar que el usuario ejecute el fichero. La formación en reconocimiento de phishing reduce la probabilidad de que llegue a esa ejecución. Para una visión del conjunto de medidas de protección que complementan el EDR, el checklist de ciberseguridad para pymes cubre las capas principales con criterios de priorización.

6. Caso real: ransomware detenido por EDR en una empresa de servicios

Una empresa de ingeniería de Bilbao con 22 empleados implantó Microsoft Defender for Business en octubre de 2024 como parte de la actualización de sus licencias a Microsoft 365 Business Premium. Cuatro meses después, un empleado del departamento de administración abrió un adjunto de un correo que parecía una factura de un proveedor conocido. El adjunto contenía una macro de Office que intentaba descargar y ejecutar un payload de ransomware.

El Defender for Business detectó el comportamiento anómalo: la macro de Excel creó un proceso de PowerShell, ese PowerShell intentó conectar con una IP externa en Rusia, y antes de que el payload se descargara completamente, el EDR bloqueó el proceso, cuarentenó el fichero y generó una alerta en el panel de administración. El equipo IT recibió la notificación en cuatro minutos. El equipo del empleado fue aislado temporalmente para análisis, se verificó que el payload no había llegado a ejecutarse, y el equipo se devolvió a uso en dos horas.

Con el antivirus gratuito que tenían antes de la transición, el escenario habría sido diferente: el payload no tenía firma conocida en los índices de los antivirus de firmas en el momento del ataque. La empresa habría descubierto el incidente cuando los ficheros estuvieran cifrados. El coste estimado de recuperación desde backup (que sí tenían, aunque desactualizado) era de dos a tres días de trabajo y pérdida de datos de los últimos cuatro días. Ese cálculo es lo que justificó a posteriori la inversión en la mejora del plan de Microsoft 365.

Por dónde empezar mañana

1. Verifica qué protección tienen actualmente los equipos de la empresa: ¿es Windows Defender de serie sin gestión centralizada? ¿Un antivirus gratuito instalado hace años? ¿Hay algún panel desde el que puedas ver el estado de seguridad de todos los equipos a la vez? Si la respuesta a la última pregunta es no, no tienes visibilidad sobre tu situación de seguridad actual.
2. Comprueba si Microsoft 365 Business Premium ya está activo en tu empresa: si sí, Defender for Business ya está incluido en la licencia. Solo necesitas habilitarlo y desplegar el agente en los equipos. Es una configuración de pocas horas que ya tienes pagada.
3. Si no tienes Microsoft 365 Business Premium, evalúa si la actualización desde Business Standard (8 euros más por usuario al mes) justifica el conjunto de mejoras: Defender for Business + Intune (MDM) + Azure AD Premium P1. Para empresas con datos de clientes y más de 10 empleados, la mayoría de las veces sí justifica.

Preguntas frecuentes