Wazuh – La plataforma de seguridad open source que unifica SIEM y XDR para la monitorización integral de infraestructuras

Descripción del programa Wazuh

Wazuh es una plataforma de seguridad de código abierto que integra capacidades de SIEM (Security Information and Event Management) y XDR (Extended Detection and Response) en una solución unificada. Desarrollada por la empresa Wazuh Inc., fundada en 2015 con sede en Campbell, California, la plataforma ha crecido hasta convertirse en una de las soluciones de seguridad open source más utilizadas a nivel mundial, protegiendo entornos on-premise, virtualizados, en la nube y basados en contenedores.

La historia de Wazuh se remonta a OSsec, un proyecto de código abierto de detección de intrusiones (HIDS) sobre el cual se construyó inicialmente. Desde entonces, Wazuh ha evolucionado significativamente, añadiendo capacidades de SIEM, análisis de vulnerabilidades, monitoreo de cumplimiento normativo, y respuesta activa, todo ello en una arquitectura moderna y escalable.

La principal fortaleza de Wazuh reside en ofrecer una solución completa de seguridad que combina la recolección centralizada de logs, la detección de amenazas en tiempo real, la monitorización de integridad de archivos (FIM), la evaluación de configuraciones de seguridad (SCA), la detección de vulnerabilidades, y la capacidad de respuesta activa, todo ello en un solo producto open source.

Su arquitectura basada en agentes ligeros, compatibles con Windows, Linux, macOS, Solaris, AIX y HP-UX, permite una monitorización profunda de los endpoints, mientras que la integración con servicios en la nube (AWS, Azure, GCP) y tecnologías de contenedores (Docker, Kubernetes) extiende su visibilidad a entornos modernos.

¿Necesitas una plataforma de seguridad unificada que te permita monitorizar la integridad de tus sistemas, detectar vulnerabilidades, cumplir con normativas y responder a incidentes, todo sin coste de licencia?

Características clave de Wazuh

1. Análisis de logs y detección de intrusiones (SIEM/HIDS)

El núcleo de Wazuh es su capacidad para recopilar, analizar y correlacionar logs de seguridad de miles de endpoints. Los agentes de Wazuh recogen logs del sistema (Linux, Windows, macOS), logs de aplicaciones, logs de autenticación, eventos de firewall y registros de servicios.

El servidor central (Wazuh Manager) procesa estos datos mediante decodificadores (decoders) y reglas (rules), que normalizan la información y generan alertas cuando se detectan patrones maliciosos, anomalías o violaciones de políticas.

Esta funcionalidad convierte a Wazuh en un potente sistema de detección de intrusiones host-based (HIDS) y, cuando se integra con dispositivos de red (Syslog), también en un sistema de detección de intrusiones network-based (NIDS).

La plataforma puede detectar una amplia gama de amenazas, incluyendo:

Ataques de fuerza bruta: Múltiples intentos fallidos de inicio de sesión SSH, RDP o FTP.
Malware y rootkits: Mediante el análisis de firmas y la monitorización del comportamiento de los procesos.
Uso indebido de Living Off the Land Binaries (LOLBins): Detección de uso anómalo de herramientas legítimas del sistema para fines maliciosos.
Movimiento lateral: Patrones de acceso y ejecución remota que indican propagación de amenazas.
Exfiltración de datos: Volúmenes anómalos de tráfico saliente o accesos a recursos sensibles.

2. Monitorización de integridad de archivos (FIM)

El módulo de File Integrity Monitoring (FIM) de Wazuh permite supervisar archivos y directorios críticos del sistema en busca de cambios no autorizados. El agente monitorea continuamente el contenido, los permisos, la propiedad y los atributos de los archivos especificados. Cualquier modificación, creación o eliminación genera una alerta detallada que incluye información sobre el cambio, el usuario responsable y el hash criptográfico del archivo antes y después de la modificación.

Esta funcionalidad es esencial para:

Detectar la instalación de rootkits o backdoors.
Identificar modificaciones no autorizadas en archivos de configuración del sistema o aplicaciones.
Cumplir con requisitos normativos como PCI DSS, que exige monitorizar cambios en archivos críticos.
Auditar cambios en entornos de cumplimiento normativo.

3. Evaluación de configuración de seguridad (SCA)

El módulo de Security Configuration Assessment (SCA) permite a Wazuh auditar la configuración de los sistemas monitorizados contra políticas de seguridad predefinidas, como los estándares CIS (Center for Internet Security) o guías de hardening personalizadas. El agente escanea periódicamente la configuración del sistema operativo, aplicaciones y servicios, identificando desviaciones de las mejores prácticas de seguridad.

Para cada desviación detectada, Wazuh genera una alerta que incluye:

La configuración esperada según la política.
La configuración real detectada.
Una descripción del riesgo asociado.
Una recomendación para remediar la desviación.

Esta funcionalidad es especialmente valiosa para:

Cumplimiento normativo: PCI DSS, HIPAA, GDPR, NIST, ISO 27001.
Hardening de sistemas: Asegurar que todos los sistemas cumplen con las guías de seguridad de la organización.
Auditoría continua: Verificar periódicamente que no se introducen configuraciones inseguras.

4. Detección de vulnerabilidades (Vulnerability Detection)

Wazuh incluye un potente motor de detección de vulnerabilidades que identifica software vulnerable instalado en los endpoints. El agente recopila un inventario completo del software instalado (paquetes, versiones, dependencias) y lo envía al Wazuh Manager.

El manager correlaciona este inventario con la base de datos de vulnerabilidades de Wazuh CTI (Cyber Threat Intelligence), que agrega datos de fuentes confiables como el NVD (National Vulnerability Database), CISA, Microsoft Security Updates (MSU), y los feeds oficiales de los principales sistemas operativos (Ubuntu, Debian, Red Hat, AlmaLinux, Rocky Linux, Amazon Linux, etc.).

Wazuh CTI es un servicio público y gratuito que proporciona información actualizada sobre vulnerabilidades, incluyendo:

Descripción detallada del CVE.
Puntuación de severidad (CVSS).
Sistemas operativos y versiones de software afectados.
Estrategias de mitigación recomendadas.

Cuando se detecta un paquete vulnerable, Wazuh genera una alerta con la información del CVE y proporciona un enlace directo a Wazuh CTI para obtener más detalles. La plataforma también permite filtrar vulnerabilidades por estado (activas o resueltas) y realizar un seguimiento del proceso de parcheo.

5. Respuesta activa (Active Response)

Wazuh incluye capacidades de respuesta activa (Active Response), que permiten automatizar acciones correctivas cuando se detectan amenazas específicas. Las acciones pueden incluir:

Bloqueo de direcciones IP: Integración con firewalls como iptables, Windows Firewall o pfSense para bloquear IPs maliciosas.
Aislamiento de sistemas: Desconexión de endpoints comprometidos de la red.
Ejecución de scripts personalizados: Para recopilar información forense, detener servicios o aplicar parches.
Integración con SOAR: Wazuh puede integrarse con plataformas de orquestación como Shuffle SOAR para coordinar respuestas complejas.

La respuesta activa puede configurarse para ejecutarse automáticamente ante alertas específicas, reduciendo significativamente el tiempo de respuesta a incidentes y minimizando el impacto de las amenazas.

6. Cumplimiento normativo (Compliance Reporting)

Wazuh incluye cuadros de mando predefinidos y capacidades de generación de informes que facilitan la demostración de cumplimiento con estándares y regulaciones como:

PCI DSS (Payment Card Industry Data Security Standard)
HIPAA (Health Insurance Portability and Accountability Act)
GDPR (General Data Protection Regulation)
NIST 800-53 (National Institute of Standards and Technology)
ISO 27001

Los informes pueden exportarse en formatos PDF y Excel, y permiten personalizar el logo y la información de la organización para su presentación a auditores. El módulo de IT Hygiene, introducido en la versión 4.13.0, proporciona una vista centralizada de datos de sistema, software, procesos y red en todos los endpoints, facilitando la monitorización continua del estado de seguridad y el cumplimiento.

7. Seguridad en la nube y contenedores

Wazuh extiende su visibilidad a entornos modernos mediante integraciones específicas:

Cloud Security: Integración con AWS, Azure y Google Cloud a través de sus APIs, permitiendo monitorizar configuraciones de nube, actividades de cuentas de usuario, cambios en grupos de seguridad, y eventos de servicios como CloudTrail (AWS), Activity Logs (Azure) y Cloud Audit Logs (GCP).
Container Security: Soporte para entornos Docker y Kubernetes. El agente puede ejecutarse en el host Docker, integrando con la API de Docker Engine y la API de Kubernetes para monitorizar el comportamiento de los contenedores, detectar vulnerabilidades en imágenes, y alertar sobre actividades anómalas como la creación de contenedores privilegiados o montajes inseguros.

8. Integración de inteligencia artificial (LLM) para threat hunting

Wazuh ha introducido capacidades avanzadas de inteligencia artificial que permiten a los equipos de seguridad realizar threat hunting utilizando lenguaje natural. Esta funcionalidad integra LLMs locales (como LLaMA 3 ejecutándose en Ollama) con datos de logs vectorizados, permitiendo a los analistas realizar consultas como:

«¿Hubo intentos fallidos de inicio de sesión SSH en las últimas 24 horas?»
«¿Qué procesos se ejecutaron con privilegios elevados en el servidor web durante la noche?»
«¿Quién intentó exfiltrar archivos esta semana?»

El LLM se despliega de forma completamente local, asegurando que los datos de telemetría nunca abandonen el entorno del analista. Esta integración es especialmente útil para descubrir amenazas desconocidas que no están cubiertas por reglas predefinidas.

Explicación detallada del funcionamiento

La arquitectura de Wazuh está compuesta por varios componentes que trabajan de forma integrada:

1. Wazuh Agent: Software ligero instalado en los endpoints monitorizados (servidores, estaciones de trabajo, contenedores, instancias cloud). Sus funciones principales son:

Recolectar logs del sistema y aplicaciones.
Monitorizar la integridad de archivos (FIM).
Ejecutar evaluaciones de configuración de seguridad (SCA).
Detectar vulnerabilidades mediante el inventario de software.
Detectar rootkits y malware.
Ejecutar acciones de respuesta activa cuando lo ordene el manager.

Los agentes están disponibles para Windows, Linux, macOS, Solaris, AIX, HP-UX y Docker.

2. Wazuh Server (Manager): El componente central que recibe, procesa y analiza los datos de los agentes. El manager:

Aplica decodificadores para normalizar los datos de log de diferentes formatos.
Evalúa los datos contra reglas definidas (pueden ser reglas predefinidas o personalizadas).
Genera alertas cuando se detectan eventos de seguridad.
Gestiona la configuración de los agentes de forma remota.
Orquesta las acciones de respuesta activa.
Correlaciona el inventario de software con las bases de datos de vulnerabilidades (Wazuh CTI).

3. Wazuh Indexer: Basado en OpenSearch (anteriormente Elasticsearch en versiones legacy), es el motor de búsqueda y análisis que indexa y almacena las alertas y eventos generados por el Wazuh Manager. Permite realizar consultas rápidas sobre grandes volúmenes de datos y proporciona la base para los cuadros de mando y análisis históricos.

4. Wazuh Dashboard: Basado en OpenSearch Dashboards (anteriormente Kibana), es la interfaz web de usuario que proporciona visualizaciones predefinidas, cuadros de mando personalizables, herramientas de threat hunting, y capacidades de generación de informes. Desde el dashboard, los analistas pueden:

Visualizar alertas en tiempo real.
Explorar datos históricos.
Configurar reglas y decodificadores.
Gestionar agentes.
Generar informes de cumplimiento.

El flujo de trabajo típico de Wazuh es el siguiente:

Fase 1: Despliegue de la infraestructura central
El administrador despliega el Wazuh Server, Indexer y Dashboard en un servidor dedicado (o en varios para alta disponibilidad). La instalación puede realizarse mediante el script de instalación asistida (wazuh-install.sh -a), que configura automáticamente todos los componentes.

Fase 2: Instalación de agentes en los endpoints
En cada sistema a monitorizar, se instala el Wazuh Agent y se registra en el Wazuh Manager. El registro puede realizarse manualmente (mediante la herramienta manage_agents) o de forma automatizada mediante Authd, que permite el registro masivo de agentes.

Fase 3: Configuración de políticas de monitorización
El administrador define qué archivos monitorizar con FIM, qué políticas de SCA aplicar, qué reglas de detección personalizadas añadir, y qué acciones de respuesta activa configurar. Estas configuraciones pueden aplicarse de forma centralizada desde el Wazuh Manager a grupos de agentes.

Fase 4: Monitorización continua y detección
Los agentes recopilan datos en tiempo real y los envían al manager. El manager analiza los datos, genera alertas y las envía al indexer. Los analistas visualizan las alertas desde el dashboard y pueden investigar eventos sospechosos.

Fase 5: Respuesta a incidentes
Cuando se detecta una amenaza, el sistema puede ejecutar acciones de respuesta activa automáticas (ej. bloquear una IP) o notificar a los analistas para que inicien una investigación manual.

Descarga e instalación de Wazuh

Desarrollador: Wazuh Inc. (fundada en 2015, Campbell, California)
Página oficial: https://wazuh.com
Repositorio GitHub: https://github.com/wazuh
Versión actual: 4.13.0 (septiembre de 2025); versiones anteriores 4.12.0, 4.11.0
Tamaño: Variable (depende de la configuración y volumen de logs)
Sistemas operativos compatibles:
Servidor: Linux (Ubuntu, CentOS, RHEL, Rocky Linux, AlmaLinux, Debian)
Agentes: Windows (7/8/10/11, Server 2008-2022), Linux (todas las distribuciones principales), macOS, Solaris, AIX, HP-UX
Contenedores: Docker, Kubernetes
Nube: AWS, Azure, Google Cloud
Requisitos mínimos (recomendados para producción):
RAM: 8 GB (mínimo), 16 GB (recomendado)
CPU: 4 núcleos (mínimo), 8+ núcleos (recomendado)
Almacenamiento: 50 GB (mínimo), 100+ GB (recomendado, depende de la retención de logs)
Licencia: GNU General Public License v2 (código abierto)
Idiomas: Interfaz en inglés (soporte multilingüe en la documentación)
Soporte técnico: Comunidad en Slack, foros de GitHub, documentación oficial, canales de YouTube

Instalación mediante script asistido (recomendada):

# 1. Descargar el script de instalación
curl -sO https://packages.wazuh.com/4.12/wazuh-install.sh

# 2. Ejecutar la instalación all-in-one (manager, indexer y dashboard en un solo servidor)
sudo bash./wazuh-install.sh -a

# 3. Al finalizar, el script mostrará las credenciales de acceso al dashboard
# Usuario: admin
# Contraseña: (generada automáticamente)

# 4. Acceder al dashboard
# https://<ip_del_servidor>

Instalación de un agente (ejemplo en Linux):

# 1. Descargar e instalar el paquete del agente
curl -s https://packages.wazuh.com/4.x/wazuh-install.sh | bash

# 2. Registrar el agente con el manager (introducir la IP del manager cuando se solicite)
sudo /var/ossec/bin/manage_agents

# 3. Iniciar el agente
sudo systemctl start wazuh-agent
sudo systemctl enable wazuh-agent

Cómo usar Wazuh

Advertencia de seguridad: Wazuh es una plataforma de monitorización de seguridad. Debe utilizarse únicamente en sistemas autorizados y con el consentimiento explícito del propietario.

Paso 1: Acceder al dashboard
Abre tu navegador y accede a https://<ip_del_servidor> (donde <ip_del_servidor> es la dirección IP del servidor Wazuh). Inicia sesión con las credenciales de administrador obtenidas durante la instalación.

Paso 2: Explorar los módulos principales
El dashboard presenta varios módulos principales en el menú lateral:

Security Events: Muestra todas las alertas de seguridad generadas por el análisis de logs. Puedes filtrar por nivel de severidad, regla, agente, etc.
Integrity Monitoring: Muestra los cambios detectados por el módulo FIM en los archivos monitorizados.
Vulnerability Detection: Muestra las vulnerabilidades detectadas en el software instalado en los endpoints, con información detallada de cada CVE.
SCA: Muestra los resultados de las evaluaciones de configuración de seguridad, indicando qué políticas se cumplen y cuáles no.
Agents: Lista todos los agentes registrados, su estado (conectado/desconectado) y permite gestionar su configuración.
IT Hygiene: Introducido en la versión 4.13.0, proporciona una vista centralizada de sistema, software, procesos y red.

Paso 3: Registrar nuevos agentes
Desde la sección Agents, puedes añadir nuevos agentes. Wazuh generará automáticamente el comando de instalación adecuado para el sistema operativo del endpoint, incluyendo la clave de registro preconfigurada.

Paso 4: Investigar una alerta
Cuando se genera una alerta, haz clic en ella para ver los detalles:

Descripción: Explicación del evento detectado.
Nivel de severidad: 1-15 (15 es el más crítico).
Regla: La regla que generó la alerta (puedes examinar su lógica).
Agente: El endpoint donde se detectó el evento.
Datos adicionales: Según el tipo de alerta, puede incluir el comando ejecutado, el archivo modificado, la conexión de red, o el CVE detectado.

Para vulnerabilidades, haciendo clic en el ID del CVE se accede a Wazuh CTI, que proporciona información detallada sobre la vulnerabilidad, sistemas afectados y estrategias de mitigación.

Paso 5: Generar informes
Desde la sección Reports, puedes generar informes en formato PDF o Excel sobre:

Alertas de seguridad en un período específico.
Cumplimiento de políticas SCA.
Vulnerabilidades detectadas y su estado (activo/resuelto).
Cambios en la integridad de archivos.

Los informes pueden personalizarse con el logo y la información de tu organización.

Paso 6: Configurar respuesta activa (opcional)
Para automatizar respuestas a alertas específicas:

Ve a Configuration > Active Response.
Define comandos de respuesta activa (ej. firewall-drop, host-deny).
Crea reglas que asocien alertas con respuestas activas.
Activa la respuesta activa para las reglas deseadas.

Observaciones sobre el programa Wazuh

Posicionamiento en el mercado de SIEM/XDR

Wazuh compite directamente con soluciones comerciales como Splunk, IBM QRadar, Microsoft Sentinel, y Elastic Security. Su principal ventaja competitiva es ser completamente open source y gratuito, con funcionalidades que en plataformas comerciales requerirían costosas licencias.

Comparativa con otras soluciones open source:

Característica	Wazuh	Elastic Security	OSSEC	Graylog
Arquitectura	Manager + agentes	Elastic Stack + agentes	HIDS standalone	Server + agentes
SIEM/XDR	Ambos	Principalmente SIEM	Solo HIDS	Principalmente SIEM
FIM	Sí	Sí	Sí	Limitado
SCA	Sí	No	Sí	No
Detección de vulnerabilidades	Sí (con Wazuh CTI)	Limitado	No	No
Respuesta activa	Sí	Limitado	Sí	No
Interfaz web	Sí (OpenSearch Dashboards)	Sí (Kibana)	No (herramientas CLI)	Sí
Facilidad de instalación	Media (script asistido)	Compleja (múltiples componentes)	Sencilla	Media
Comunidad	Grande y activa	Muy grande	Mediana	Mediana

Rendimiento y requisitos

En entornos de producción con cientos o miles de agentes, Wazuh requiere una arquitectura distribuida con múltiples nodos de manager, indexer y dashboard para garantizar el rendimiento y la alta disponibilidad. Para un despliegue pequeño (hasta 100 agentes), una configuración all-in-one con 8 GB de RAM y 4 núcleos puede ser suficiente. Para despliegues empresariales, se recomiendan 32-64 GB de RAM, 16+ núcleos de CPU y almacenamiento SSD de 500 GB o más.

Integraciones y ecosistema

Wazuh se integra con una amplia gama de herramientas de seguridad, incluyendo:

IDS/IPS: Suricata, Zeek (integración para análisis de tráfico de red).
SOAR: Shuffle SOAR, TheHive, Cortex.
Threat Intelligence: MISP, AlienVault OTX.
Orquestación: Ansible (para despliegue automatizado de agentes).
Firewalls: pfSense, iptables, Windows Firewall.

Casos de uso documentados

Monitorización de endpoints: Empresas con cientos o miles de servidores y estaciones de trabajo que necesitan visibilidad centralizada de eventos de seguridad.
Cumplimiento normativo: Organizaciones sujetas a PCI DSS, HIPAA, GDPR o ISO 27001 que necesitan demostrar controles de seguridad y generar informes de auditoría.
Hardening de sistemas: Equipos de seguridad que necesitan asegurar que todos los sistemas cumplen con las guías CIS.
Detección de vulnerabilidades: Administradores que necesitan identificar software vulnerable y priorizar el parcheo.
Respuesta a incidentes: SOC (Security Operations Center) que necesitan detectar, investigar y responder a amenazas en tiempo real.

Opiniones de usuarios

Según reseñas en Gartner Peer Insights, los usuarios valoran positivamente:

Comunidad activa: «Hay una gran comunidad de Wazuh, por lo que las actualizaciones son frecuentes y puedes encontrar mucha información en Internet para mejorar tu instalación de Wazuh».
Detección integral de amenazas: Proporciona alertas y monitorización en tiempo real en todo el entorno.
Flexibilidad de integración: Se integra fácilmente con diversos sistemas y herramientas.
Personalización: Permite adaptar reglas y configuraciones a necesidades específicas.
Documentación clara y rendimiento fiable.

Los aspectos mencionados como áreas de mejora incluyen:

Curva de aprendizaje: La configuración avanzada puede tener una curva de aprendizaje pronunciada.
Recuperación de agentes: Cuando un agente falla, a veces es más fácil reconstruir la máquina que restaurar el agente.
Riesgos inherentes al open source: Al ser open source, puede introducir potenciales vulnerabilidades en el entorno (aunque esto se mitiga con una configuración adecuada).

Limitaciones importantes

❌ Consumo de recursos en despliegues grandes: Para entornos con miles de agentes, se requiere una arquitectura distribuida con hardware significativo.
❌ Curva de aprendizaje pronunciada: La configuración avanzada de reglas, decodificadores y respuesta activa requiere conocimientos especializados.
❌ Recuperación de agentes problemática: Cuando un agente falla, a veces es más fácil reconstruir la máquina que restaurar el agente.
❌ Interfaz de usuario mejorable: Aunque funcional, algunos usuarios consideran que los cuadros de mando podrían ser más intuitivos.
❌ Documentación a veces desactualizada: Dado el rápido ritmo de desarrollo, algunos aspectos de la documentación pueden quedar rezagados.

Alternativa recomendada

Si buscas alternativas a Wazuh para monitorización de seguridad, considera las siguientes opciones:

Elastic Security (gratuito, código abierto): La solución de seguridad de Elastic Stack, que combala recolección de logs, análisis y visualización en una plataforma unificada. Es más compleja de instalar y configurar que Wazuh, pero ofrece mayor flexibilidad y escalabilidad. Adecuada para organizaciones con experiencia en Elastic Stack.

OSSEC (gratuito, código abierto): El predecesor de Wazuh, centrado exclusivamente en HIDS (detección de intrusiones host-based) y FIM. No incluye capacidades de SIEM, vulnerabilidades o SCA. Es más ligero que Wazuh, pero también menos completo. Adecuado para necesidades básicas de monitorización de integridad y detección de intrusiones.

Graylog (gratuito, código abierto con edición empresarial): Plataforma de gestión de logs y SIEM con capacidades de análisis y alertado. No incluye agentes nativos (requiere integración con Sidecar o herramientas de terceros) ni funcionalidades XDR como FIM o SCA. Adecuado para organizaciones que priorizan la gestión centralizada de logs sobre la monitorización de endpoints.

Splunk (comercial): Plataforma SIEM líder del mercado, con capacidades avanzadas de análisis y correlación. Es extremadamente potente pero también costosa, con un modelo de licenciamiento basado en el volumen de datos indexados. Adecuada para grandes empresas con presupuestos significativos de seguridad.

Microsoft Sentinel (comercial): SIEM nativo de la nube de Microsoft, integrado con el ecosistema Azure y Microsoft 365. Ofrece capacidades avanzadas de detección y respuesta, pero requiere suscripción a Azure y licenciamiento basado en el volumen de datos.

Wazuh es la plataforma de seguridad open source más completa del mercado, combinando SIEM y XDR en una solución unificada y gratuita. Es ideal para organizaciones que necesitan monitorizar la seguridad de sus endpoints, detectar vulnerabilidades, cumplir con normativas y responder a incidentes, todo sin coste de licencia. Su comunidad activa, su documentación extensa y su arquitectura flexible la convierten en la opción preferida por profesionales de seguridad y administradores de sistemas en todo el mundo. Puedes descargarlo desde su página oficial o desde su repositorio de GitHub.

Sección FAQ

¿Wazuh es gratis o de pago?

Wazuh es completamente gratuito y de código abierto bajo la licencia GPL v2. No tiene versiones de pago ni funcionalidades bloqueadas. La empresa Wazuh Inc. ofrece servicios de soporte comercial y capacitación, pero la plataforma en sí es open source.

¿Funciona en Linux, macOS, Windows 10 y Windows 11?

Wazuh es multiplataforma. El servidor debe ejecutarse en Linux (Ubuntu, CentOS, RHEL, etc.). Los agentes están disponibles para Windows (7/8/10/11, Server), Linux (todas las distribuciones principales), macOS, Solaris, AIX y HP-UX. El dashboard es accesible desde cualquier navegador moderno.

¿Qué diferencia a Wazuh de otras herramientas SIEM?

La principal diferencia de Wazuh es que unifica SIEM y XDR en una sola plataforma open source. Mientras que otras herramientas SIEM se centran en la recolección y análisis de logs, Wazuh añade capacidades XDR como monitorización de integridad de archivos (FIM), evaluación de configuración de seguridad (SCA), detección de vulnerabilidades, y respuesta activa, todo ello con agentes ligeros instalados en los endpoints.

¿Puedo usar Wazuh para cumplir con PCI DSS o HIPAA?

Sí, Wazuh incluye cuadros de mando y capacidades de generación de informes específicamente diseñados para ayudar a demostrar cumplimiento con PCI DSS, HIPAA, GDPR, NIST e ISO 27001. Las funcionalidades de FIM, SCA, retención de logs y auditoría contribuyen directamente a los requisitos de estas normativas.

¿Qué ha pasado con el desarrollo de Wazuh?

El desarrollo de Wazuh es muy activo. La empresa Wazuh Inc. lanza nuevas versiones con regularidad. La versión 4.13.0 se lanzó en septiembre de 2025, introduciendo el cuadro de mando IT Hygiene, listas CDB con inteligencia de amenazas, y la funcionalidad hot reload para actualizar decodificadores y reglas sin reiniciar el manager. La versión 4.12.0 introdujo la integración con Wazuh CTI para detección de vulnerabilidades. También se han introducido capacidades de threat hunting con IA mediante integración con LLMs locales. El proyecto tiene una comunidad activa y contribuciones continuas.

Descargas