Kaspersky Next EDR Optimum

Kaspersky Next EDR Optimum es la plataforma de protección de endpoints empresarial desarrollada por Kaspersky, compañía fundada en 1997 por Eugene Kaspersky y considerada una de las tres empresas de ciberseguridad más reconocidas del mundo por la calidad de su investigación en amenazas y la profundidad de sus motores de detección. Su equipo GReAT (Global Research and Analysis Team) es históricamente responsable del descubrimiento de varias de las operaciones APT más sofisticadas de la última década, incluidas Stuxnet, Duqu, Flame, Equation Group, Carbanak y Lazarus.

Kaspersky Next es la línea de productos empresariales lanzada a mediados de 2024 como evolución y reemplazo de la antigua familia Kaspersky Endpoint Security for Business. Dentro de esa línea, el tier EDR Optimum es el punto de equilibrio del portafolio: suma capacidades EDR simplificadas al motor antimalware de clase mundial, manteniéndose accesible en precio y complejidad para PyMEs y empresas medianas sin un SOC dedicado.

Filosofía del producto

Kaspersky se construyó históricamente sobre un principio claro: la detección importa más que la narrativa. Mientras otros fabricantes evolucionaron hacia el marketing EDR-first o XDR-first, Kaspersky mantuvo la obsesión por el motor antimalware puro y por la investigación de amenazas a nivel estado-nación. Esa herencia sigue siendo visible hoy:

• Tasas de detección consistentemente top-tier en AV-TEST, AV-Comparatives y SE Labs durante más de 15 años consecutivos
• Investigación pública de más de 900 grupos APT y herramientas relacionadas
• Tecnología licenciada por terceros como parte del motor de productos de competidores y OEMs

Con la línea Next, Kaspersky moderniza la propuesta sumando capacidades EDR, visualización de cadena de ataque, respuesta automatizada y un modelo de consola cloud-first sin abandonar el DNA técnico original.

El producto está pensado para el administrador de IT que quiere protección avanzada sin convertirse en analista de SOC. El EDR Optimum simplifica deliberadamente conceptos y flujos respecto del tier Expert, sacrificando profundidad a cambio de usabilidad.

Kaspersky Next: los tres tiers del portafolio

Antes de avanzar conviene ubicar bien este producto dentro de la línea Kaspersky Next:

• EDR Foundations — antivirus empresarial con capacidades básicas y protección web. Sin EDR. Equivalente al antiguo Endpoint Security Cloud.
• EDR Optimum — este producto. Suma EDR simplificado, Root Cause Analysis visual, respuesta automatizada y controles avanzados.
• XDR Expert — tier superior con XDR completo cross-domain, threat hunting manual, integración SIEM/SOAR nativa y MDR opcional gestionado por Kaspersky.

Para el 80% de las PyMEs y mid-market latinoamericanos, EDR Optimum cubre los casos de uso reales sin la sobrecarga operativa del Expert.

Arquitectura y componentes

Consola unificada

Disponible en dos modalidades:

• Cloud-hosted — gestionada por Kaspersky, despliegue en horas, acceso vía navegador
• On-premise — consola propia en servidor Windows o Linux, ideal para organizaciones con requisitos estrictos de soberanía de datos o conectividad limitada

La versión cloud está hospedada en centros de datos de la Unión Europea (Suiza) como parte de la Global Transparency Initiative, un programa de auditoría abierta que permite a gobiernos y clientes empresariales revisar el código fuente, los procesos de desarrollo y la cadena de suministro.

Agente unificado

Un único agente para Windows, macOS y Linux, con módulos activados según la licencia y el nivel de protección configurado. El consumo de recursos ha sido históricamente uno de los aspectos más observados del producto: razonable en equipos modernos pero más elevado que competidores como Bitdefender o SentinelOne en equipos de gama baja, particularmente durante escaneos completos.

Capacidades técnicas principales

Motor antimalware multicapa

El núcleo del producto y su mayor diferencial histórico. Combina:

• Firmas clásicas para malware conocido, con actualizaciones globales en tiempo casi real
• Análisis heurístico basado en comportamiento de código
• Machine learning local y en la nube (Kaspersky Security Network)
• Análisis de exploits con protección específica contra técnicas conocidas
• Sandbox local y cloud para análisis dinámico de archivos sospechosos
• Anti-rootkit y anti-bootkit más maduro que la mayoría de competidores

La Kaspersky Security Network (KSN) es una de las redes de telemetría más grandes del mundo: procesa información de cientos de millones de endpoints voluntariamente conectados y distribuye veredictos de amenazas globalmente en segundos. Para entornos que no pueden enviar datos a la nube, existe una versión Private KSN on-premise.

EDR simplificado

A diferencia de los EDR de perfil analista (CrowdStrike Insight, SentinelOne Singularity), el EDR de Optimum está diseñado para ser operado por un administrador de IT sin equipo de seguridad dedicado. Funciones clave:

• Root Cause Analysis visual — muestra la cadena del ataque con un diagrama interactivo: proceso padre, archivos tocados, conexiones de red, persistencias intentadas
• IoC scanning — búsqueda retroactiva de indicadores de compromiso en toda la flota
• Respuesta con un clic — cuarentena, aislamiento de red, kill process, rollback
• Mapeo a MITRE ATT&CK automático
• Retención de telemetría entre 30 y 90 días según licencia

El diferencial respecto de productos más sofisticados es la simplicidad deliberada: no hay lenguaje de consulta tipo KQL, no hay threat hunting manual profundo, no hay cadena de detecciones personalizadas. Todo está pre-configurado y orientado a acción rápida.

Anti-ransomware

Protección específica multicapa:

• System Watcher — módulo histórico de análisis de comportamiento que detecta patrones de cifrado masivo
• Rollback automático de archivos modificados por procesos clasificados como maliciosos
• AMSI integration en Windows para detección temprana
• Protección contra exploits de red específicos de propagación de ransomware (EternalBlue, SMBGhost)

Adaptive Anomaly Control

Módulo diferencial poco común a este precio: aprende el comportamiento normal de cada endpoint (aplicaciones usadas, horarios típicos, conexiones habituales) y alerta sobre desviaciones. Particularmente útil para detectar:

• Empleados ejecutando herramientas que nunca antes usaron
• Procesos legítimos invocados de maneras atípicas
• Intentos de living off the land usando binarios del sistema

Controles avanzados

• Application Control en modo default-allow o default-deny
• Web Control con filtrado por categorías y reputación
• Device Control granular sobre USB, almacenamiento externo, Bluetooth
• Patch Management integrado (instalación automática de parches de terceros)
• Vulnerability Assessment con inventario y priorización de CVEs
• Cifrado de disco centralizado (BitLocker y FileVault)
• Data Discovery — identificación de datos sensibles en endpoints (add-on)

Protección de email y colaboración

Add-ons de la plataforma Next que se licencian en paquete o por separado:

• Kaspersky Security for Microsoft 365 — protección de Exchange Online, SharePoint, OneDrive, Teams
• Kaspersky Security for Mail Server — para Exchange on-premise y servidores Linux

Integraciones

Kaspersky Next Optimum incluye integraciones con el ecosistema empresarial estándar:

• SIEM — Splunk, Sentinel, QRadar, ArcSight vía syslog CEF/LEEF y API REST
• Active Directory — sincronización de grupos y usuarios
• API REST documentada para automatización
• Integraciones MSP — multi-tenancy con facturación granular por cliente
• SOAR — integración con plataformas principales vía API

La integración con AD on-premise es particularmente robusta, algo que refleja la base histórica de clientes de Kaspersky en entornos tradicionales.

Rendimiento y despliegue

Benchmarks

• RAM — entre 250 y 500 MB en condiciones normales (más pesado que Bitdefender y SentinelOne)
• CPU — bajo en idle, notorio durante escaneos completos
• Actualizaciones — incrementales, KSN reduce el tamaño de firmas descargadas

Plataformas soportadas

• Windows — 7 SP1 hasta 11, Server 2008 R2 a 2025
• macOS — versiones actualmente soportadas
• Linux — RHEL, CentOS, Oracle, Ubuntu, Debian, SUSE, Astra, ALT (soporte muy amplio de distribuciones)
• Virtualización — agente liviano optimizado para entornos VDI y VMware
• Móviles — iOS y Android con licencia separada (Kaspersky Security for Mobile)

Modelos de despliegue

• Cloud-hosted desde consola en la UE (Suiza)
• On-premise con consola propia (Kaspersky Security Center)
• Híbrido con consola on-premise y KSN cloud
• Private KSN para entornos totalmente aislados

Casos de uso ideales

• PyMEs y mid-market que priorizan tasa de detección por encima de todo
• Empresas sin SOC dedicado que necesitan EDR accesible
• Entornos Linux amplios y variados (soporte de distribuciones muy superior a competidores)
• Organizaciones con Active Directory on-premise y consolidación de seguridad tradicional
• Empresas con requisitos estrictos de soberanía de datos (opción on-premise + Private KSN)
• MSPs que gestionan PyMEs con multi-tenancy nativa
• Entornos industriales y OT donde la capa de red es restrictiva y se requiere operación offline

Consideraciones geopolíticas

Conviene mencionarlo explícitamente porque es el factor más influyente al evaluar Kaspersky en 2026:

• En junio de 2024, el Departamento de Comercio de Estados Unidos prohibió la venta de productos Kaspersky a clientes estadounidenses por razones de seguridad nacional, basadas en el riesgo potencial asociado al origen ruso de la compañía
• Alemania (BSI) emitió advertencias similares en 2022 tras la invasión a Ucrania
• Varios gobiernos europeos y de la OTAN no autorizan Kaspersky en infraestructura gubernamental
• Kaspersky respondió con la Global Transparency Initiative: centros de transparencia en Suiza, Brasil, Malasia y otros; procesamiento de datos de clientes europeos en centros suizos; auditorías de código fuente disponibles para clientes y gobiernos

Para organizaciones en LATAM (Argentina, Brasil, México, Chile, Colombia, Perú) y gran parte del mundo, Kaspersky sigue siendo un proveedor plenamente válido y ampliamente utilizado, con presencia comercial robusta y canal local maduro. Las restricciones mencionadas son específicas a jurisdicciones concretas.

Sin embargo, si tu empresa hace negocios con el gobierno de EE.UU., tiene filiales en EE.UU. sujetas a regulación federal, o trabaja con clientes que requieren cumplimiento con normas como CMMC o FedRAMP, Kaspersky no es viable y conviene evaluar alternativas como Bitdefender, CrowdStrike, SentinelOne o Defender.

Consideraciones técnicas

Más allá del factor geopolítico, los puntos a tener en cuenta son:

• Consumo de recursos más elevado que Bitdefender y SentinelOne, especialmente durante escaneos completos
• UX de la consola funcional pero menos moderna que competidores recientes
• Threat hunting manual muy limitado en este tier; requiere upgrade a XDR Expert
• Integraciones con SaaS cloud-native (Okta, GitHub, plataformas modernas) menos maduras que las de líderes cloud-first
• Retención de telemetría más corta que CrowdStrike o Defender (90 días máximo vs 6+ meses)
• MDR gestionado solo disponible en tier Expert
• Licencias móviles se venden por separado, no están empaquetadas por defecto

Conclusión

Kaspersky Next EDR Optimum es una plataforma sólida, con uno de los mejores motores antimalware del mundo, un EDR simplificado operable sin SOC y una de las mejores relaciones precio-capacidad del mercado. Su historial de investigación en amenazas y la profundidad de KSN lo hacen particularmente fuerte frente a amenazas avanzadas, incluso comparado con productos nominalmente más modernos.

La decisión de adoptarlo en 2026 depende menos de capacidades técnicas —donde compite holgadamente con Bitdefender, Defender P2 y el tier medio de CrowdStrike— y más del contexto geopolítico y regulatorio de la organización. Para empresas en LATAM sin exposición al mercado estadounidense ni a compliance federal de EE.UU., Kaspersky sigue siendo una opción completamente válida y en muchos casos técnicamente superior a alternativas más mediáticas.

Para organizaciones que operan en EE.UU. o con requisitos de compliance federal estadounidense, el producto no es viable independientemente de su calidad técnica, y la recomendación pasa a alternativas como Bitdefender GravityZone, Microsoft Defender P2 o CrowdStrike Falcon.