📋 Contenido
⚡ Veredicto rápido
**Falcon es la referencia EDR/XDR enterprise** por su agente ligero (≈1% CPU), su backend cloud unificado y la madurez de sus detecciones MITRE. Es caro y la operación efectiva requiere SOC con experiencia o contratar Falcon Complete (MDR gestionado).
✓ Puntos fuertes
- Agente único multi-plataforma con menos de 100 MB RAM
- Detecciones MITRE ATT&CK de las más maduras del mercado
- Threat Intel (Falcon Intelligence) integrado de origen
- Falcon OverWatch — threat hunting humano 24/7 opcional
- Excelente API y SDK para automatización SOC
✗ Puntos débiles
- Precio enterprise: 60-120 USD por endpoint/año en deployments medianos
- Modelo modular: muchos addons (Identity, Cloud, Discover) suman coste
- Sin opción on-premise — la cloud es obligatoria
- Curva de aprendizaje del lenguaje de queries (CQL) no trivial
Puntuación SecOpsIA: ★★★★½ 4.6/5
Qué es CrowdStrike Falcon
CrowdStrike Falcon es la plataforma EDR/XDR cloud-native que popularizó el modelo de "un solo agente, una sola consola" para todo el endpoint security. Fundada en 2011 por George Kurtz (ex-McAfee) y Dmitri Alperovitch (ex-McAfee Threat Research), la empresa salió a bolsa en 2019 y hoy es líder indiscutido del Magic Quadrant de Gartner en EPP.
Falcon se diferencia por su modelo cloud-only: el agente ligero envía toda la telemetría al backend gestionado por CrowdStrike, donde se ejecutan los modelos de detección y la threat intel. Esto reduce el footprint local a costa de obligar al endpoint a conectarse a internet (o a un proxy).
Ficha técnica
| Categoría | EDR, XDR, ITDR, CNAPP |
|---|---|
| Licencia | Comercial — suscripción anual por endpoint |
| Desarrollador | CrowdStrike Holdings, Inc. |
| Lanzamiento | 2011 (Falcon Platform en 2013) |
| Versión actual | Agente Falcon 7.x (2026) |
| Sistemas (agente) | Windows 7+, Linux (kernel 3.10+), macOS 11+, K8s, iOS, Android |
| Modelo | 100% SaaS (multitenant en AWS) |
| Compliance | ISO 27001, SOC 2 Type II, FedRAMP High, PCI DSS, HIPAA |
| API | REST OAuth2, SIEM Connector, Streaming API, Real-Time Response (RTR) |
| MDR integrado | Falcon Complete (servicio opcional 24/7) |
| Threat Intel | Falcon Intelligence — 200+ adversarios trackeados |
| Web oficial | crowdstrike.com |
Casos de uso recomendados
1. Enterprise multi-plataforma
Organizaciones con flotas mixtas Windows + macOS + Linux + Kubernetes que necesitan una sola consola. Falcon cubre todas con el mismo agente.
2. Equipos con SOC interno experimentado
Para sacarle partido a Falcon Insight (EDR) hace falta dominar el lenguaje de queries CQL y entender detecciones MITRE. Si tu equipo está empezando, Falcon Complete (MDR gestionado) cubre la operación.
3. Compliance internacional
FedRAMP High, ISO, SOC 2, HIPAA, PCI DSS. CrowdStrike publica reportes de cumplimiento descargables desde la consola.
4. Threat hunting proactivo
Falcon OverWatch ofrece un equipo humano que hace hunting 24/7 sobre tu telemetría. Útil cuando no tienes capacidad interna pero sí presupuesto.
Arquitectura
Falcon tiene tres componentes principales:
| Componente | Función |
|---|---|
| Falcon Sensor | Agente kernel-level instalado en el endpoint. Recolecta procesos, syscalls, red, archivos. ~100 MB RAM, ~1% CPU típico. |
| Falcon Cloud | Backend SaaS gestionado por CrowdStrike. Procesa telemetría, aplica detecciones, almacena 7-90 días según licencia. |
| Falcon Console | UI web + API REST OAuth2 para gestión, queries CQL, RTR (shell remoto) e integraciones. |
Los módulos adicionales (Identity Protection, Cloud Security, Discover, Spotlight, etc.) son funcionalidades activables sobre la misma telemetría, no agentes separados.
Módulos y licenciamiento
Falcon se vende como plataforma modular. Los módulos relevantes en 2026:
- Falcon Prevent — NGAV (next-gen antivirus). Reemplaza al antivirus tradicional.
- Falcon Insight — EDR completo con telemetría y queries CQL.
- Falcon OverWatch — threat hunting humano 24/7.
- Falcon Discover — visibilidad de assets, software y usuarios.
- Falcon Spotlight — gestión de vulnerabilidades sin scanner separado.
- Falcon Identity Protection — ITDR para AD y AzureAD.
- Falcon Cloud Security — CNAPP + CWPP para AWS/Azure/GCP/K8s.
- Falcon Complete — MDR gestionado por CrowdStrike (operación 24/7).
El bundle más común enterprise es Falcon Enterprise (Prevent + Insight + OverWatch). Cuesta aproximadamente entre 60 y 120 USD por endpoint y año según volumen.
Lenguaje de queries CQL
Falcon usa CQL (CrowdStrike Query Language) sobre su backend de telemetría. Ejemplo de búsqueda de procesos powershell.exe lanzados desde Office en los últimos 7 días:
#event_simpleName=ProcessRollup2
| FileName=/powershell\.exe$/i
| ParentBaseFileName=/winword\.exe|excel\.exe|outlook\.exe/i
| select(@timestamp, ComputerName, CommandLine, ParentBaseFileName)
Esta query detecta una técnica común de phishing con macros maliciosas. Falcon trae cientos de queries preconstruidas en la sección "Detection Hub" mapeadas a técnicas MITRE.
Precios y modelo de negocio
| Precio | Incluye | |
|---|---|---|
| Falcon Go (PYME) | Desde ~50 USD/endpoint/año | Prevent + control USB básico |
| Falcon Pro | ~70-90 USD/endpoint/año | Prevent + Insight básico |
| Falcon Enterprise | ~90-120 USD/endpoint/año | Prevent + Insight + OverWatch |
| Falcon Complete | Bajo demanda | Todo lo anterior + MDR 24/7 gestionado |
Preguntas frecuentes
¿Por qué fue el incidente de julio de 2024?
Un canal de configuración mal firmado provocó un crash kernel-level en ~8.5 millones de hosts Windows. CrowdStrike publicó RCA y desde entonces aplica despliegue por anillos y validación previa más estricta. Sigue siendo la plataforma EDR líder en cuota de mercado.
¿Falcon funciona en entornos air-gapped?
No. Falcon es 100% cloud y requiere conectividad outbound a sus endpoints SaaS. Para entornos air-gapped, considera alternativas on-premise como Elastic Security o Wazuh.
¿Es compatible con Windows 7 o servidores antiguos?
Sí, el agente Falcon soporta Windows 7 SP1 y Server 2008 R2 con limitaciones, pero CrowdStrike recomienda actualizar a versiones soportadas por Microsoft.
¿Qué incluye realmente Falcon Complete?
Es un servicio MDR gestionado: ingenieros de CrowdStrike operan tu tenant 24/7, triagean alertas, contienen incidentes y entregan reportes mensuales. Útil si no tienes SOC interno o no llegas a las 24/7.