Ha surgido una nueva técnica de evasión conocida como "EDR-Freeze", que está cambiando la forma en que los atacantes neutralizan la seguridad de los endpoints. A diferencia de los métodos tradicionales que intentan bloquear o terminar el software de seguridad (lo que a menudo desencadena alertas), EDR-Freeze suspende completamente el proceso de seguridad, dejándolo "en coma" pero técnicamente vivo. Este ataque es particularmente peligroso porque opera completamente en modo usuario, lo que significa que no requiere que el atacante traiga un controlador vulnerable (BYOVD) o explote fallos a nivel de núcleo. En su lugar, abusa de herramientas legítimas de informes de errores de Windows para congelar los agentes de Detección y Respuesta de Endpoints (EDR), creando un punto ciego donde la actividad maliciosa puede ocurrir sin ser detectada.