Wazuh es un SIEM open source que te permite montar un sistema de monitorización de seguridad completo sin pagar licencias. Detecta amenazas, analiza logs, vigila la integridad de archivos y te avisa cuando algo huele mal en tu infraestructura. Si llevas tiempo buscando cómo instalar Wazuh para tener detección de amenazas gratis con calidad enterprise, estás en el sitio correcto. Porque sí: existe una alternativa real a Splunk y QRadar que no te va a dejar la cuenta corriente temblando. Y no, no es un juguete — la usa gente seria para cosas serias.
Qué es Wazuh y por qué debería importarte
Wazuh nació como un fork de OSSEC allá por 2015 y desde entonces ha crecido hasta convertirse en una de las plataformas de seguridad open source más completas del mercado. Combina funciones de SIEM (Security Information and Event Management), XDR (Extended Detection and Response) y análisis de vulnerabilidades en un solo paquete.
¿Qué hace exactamente? Recopila logs de tus servidores, endpoints, firewalls y aplicaciones. Los analiza en tiempo real con reglas de detección. Y cuando algo no cuadra — un login sospechoso, un archivo modificado donde no debería, un proceso raro — te lanza una alerta. Todo esto con un dashboard basado en OpenSearch que te permite visualizar qué está pasando en tu red sin necesidad de un doctorado en ciberseguridad.
La gracia está en que Wazuh integra capacidades que normalmente encontrarías repartidas en tres o cuatro herramientas distintas: detección de intrusiones (IDS), monitorización de integridad de archivos (FIM), evaluación de configuraciones de seguridad (SCA), análisis de vulnerabilidades y respuesta activa ante incidentes. Un todo-en-uno que, además, puedes desplegar en tus propios servidores.
Arquitectura: cómo funciona por dentro
Wazuh sigue un modelo cliente-servidor. Tienes tres componentes principales:
- Wazuh Server: el cerebro. Recibe datos de los agentes, ejecuta las reglas de detección, genera alertas y coordina las respuestas. Incluye el motor de análisis y el gestor de reglas.
- Wazuh Indexer: basado en OpenSearch, almacena y permite buscar en los eventos y alertas. Es lo que hace posible esa búsqueda rápida entre millones de logs.
- Wazuh Dashboard: la interfaz web donde visualizas todo. Gráficos, alertas, compliance, inventario de vulnerabilidades. Basado en OpenSearch Dashboards.
Y luego están los agentes: pequeños procesos que instalas en cada máquina que quieres monitorizar (Windows, Linux, macOS). El agente recopila logs del sistema, monitoriza archivos, ejecuta escaneos de configuración y envía todo al servidor. También puedes recibir logs sin agente vía Syslog, ideal para firewalls y switches que no admiten software de terceros.
Para entornos pequeños (hasta unos 50 agentes), puedes meter los tres componentes en un solo servidor. Para entornos más grandes, Wazuh escala horizontalmente con clústeres de indexers y múltiples servidores. Empresas con miles de endpoints lo usan en producción sin despeinarse.
Instalar Wazuh: guía rápida sin dolor
La forma más directa de instalar Wazuh es usando el script de instalación todo-en-uno. Necesitas un servidor con al menos 4 GB de RAM (8 GB recomendados), 2 cores y Ubuntu 22.04, CentOS 7+, Amazon Linux 2 o RHEL. Estos son los pasos:
- Descarga el asistente de instalación desde la web oficial de Wazuh (wazuh.com/install).
- Ejecuta bash wazuh-install-assistant.sh --all-in-one como root. El script instala servidor, indexer y dashboard de un tirón.
- Al terminar, el script te muestra las credenciales de acceso al dashboard (apúntalas, que luego no hay manera fácil de recuperarlas).
- Accede al dashboard en https://tu-ip:443 con las credenciales generadas.
- Para añadir agentes: desde el dashboard, ve a "Deploy new agent", selecciona el sistema operativo del endpoint y copia el comando de instalación.
En aproximadamente 10 minutos tienes un SIEM open source funcionando. Si prefieres Docker, Wazuh ofrece imágenes oficiales con docker-compose que levantan todo el stack en contenedores. Para entornos de prueba va perfecto; para producción, la instalación nativa suele dar menos quebraderos de cabeza.
Un consejo: si tu infraestructura ya tiene las comunicaciones cifradas, asegúrate de que los agentes Wazuh puedan enviar datos al servidor por el puerto 1514 (TCP). El tráfico agente-servidor ya va cifrado con AES, pero tus firewalls necesitan permitir esa conexión.
Qué puedes detectar (y bloquear) con Wazuh
Aquí es donde Wazuh brilla. La plataforma viene con más de 3.000 reglas de detección preconfiguradas y puedes crear las tuyas propias. Algunos escenarios reales:
Fuerza bruta y accesos sospechosos. Wazuh detecta múltiples intentos fallidos de login por SSH, RDP o aplicaciones web. La respuesta activa puede bloquear la IP atacante automáticamente con iptables o Windows Firewall. Funciona contra ataques de diccionario y credential stuffing sin que tengas que mover un dedo.
Malware y rootkits. El módulo de detección de rootkits escanea procesos ocultos, puertos sospechosos y archivos modificados en directorios del sistema. No sustituye a un antivirus completo, pero captura amenazas que muchos EDR comerciales pasan por alto — especialmente en servidores Linux donde la cobertura de antivirus tradicional es limitada. Si te preocupa el malware que llega por vías inesperadas, tener esta capa extra no está de más.
Cambios no autorizados en archivos. El módulo FIM (File Integrity Monitoring) vigila directorios críticos: /etc/passwd, /etc/shadow, configuraciones de Apache o Nginx, archivos de tu aplicación. Si alguien modifica un archivo que no debería tocar, lo sabes al instante. Esto es oro para detectar webshells y backdoors.
Vulnerabilidades conocidas. Wazuh escanea los paquetes instalados en tus sistemas y los cruza con bases de datos de CVEs (NVD, Red Hat, Canonical, Microsoft). Te muestra qué vulnerabilidades tienes abiertas, su severidad CVSS y si hay parche disponible. No es un Nessus, pero para tener visibilidad continua sin coste adicional, cumple de sobra.
Cumplimiento normativo. Mapea automáticamente tus alertas contra frameworks como PCI DSS, GDPR, HIPAA y CIS Benchmarks. Si necesitas demostrar cumplimiento ante una auditoría, Wazuh genera informes que te ahorran semanas de trabajo manual.
Wazuh vs. alternativas: el mapa del terreno
Comparar un SIEM open source con productos comerciales tiene trampa, porque comparas coste cero en licencias contra presupuestos de cinco o seis cifras anuales. Pero merece la pena poner las cosas en perspectiva:
| Característica | Wazuh | Splunk | Elastic SIEM | QRadar |
|---|---|---|---|---|
| Licencia | GPLv2 (gratis) | Comercial (por volumen de datos) | Basic gratis / Platinum de pago | Comercial (por EPS) |
| Agentes endpoint | Incluidos | Universal Forwarder (gratis) | Elastic Agent (gratis) | WinCollect (de pago) |
| FIM integrado | Sí | Con add-on | Con suscripción | Limitado |
| Análisis vulnerabilidades | Sí | No nativo | No nativo | Limitado |
| Respuesta activa | Sí (bloqueo IP, kill proceso) | Con SOAR externo | Con suscripción | Con QRadar SOAR |
| Curva de aprendizaje | Media | Media-alta | Media | Alta |
Wazuh no es perfecto. La documentación a veces va por detrás de las releases, el dashboard puede sentirse lento con volúmenes masivos de datos, y la comunidad, aunque activa, no tiene el ecosistema de plugins de Elastic. Pero para una pyme o un equipo de IT que necesita monitorización de seguridad seria sin hipotecar el departamento, es la opción más equilibrada que existe ahora mismo.
Si tu empresa ya usa herramientas de inteligencia artificial para optimizar procesos, integrar Wazuh con pipelines de análisis automatizado es un siguiente paso natural. Las alertas de Wazuh se exportan fácilmente vía API o Syslog a cualquier herramienta de orquestación.
Cinco configuraciones que deberías activar desde el día uno
Instalar Wazuh con la configuración por defecto ya te da visibilidad. Pero hay ajustes que marcan la diferencia entre "tengo un SIEM" y "mi SIEM realmente me protege":
- Active Response para SSH brute force. Edita ossec.conf en el servidor y activa el bloqueo automático de IPs tras 5 intentos fallidos. Regla 5712 de serie. Configura un timeout de 600 segundos para no bloquear permanentemente a usuarios legítimos que se equivocan de contraseña.
- FIM en directorios web. Añade los docroot de tus aplicaciones web al módulo syscheck. Con realtime="yes" detectas webshells segundos después de que un atacante las suba. Cuidado con monitorizar carpetas de caché o uploads muy activos — generarán ruido.
- Integración con VirusTotal. Wazuh puede enviar automáticamente hashes de archivos nuevos o modificados a VirusTotal para comprobar si son maliciosos. Se configura en ossec.conf con tu API key gratuita (límite de 4 peticiones por minuto).
- Vulnerability Detector activado. Por defecto puede estar deshabilitado. Actívalo en la sección vulnerability-detector de ossec.conf y selecciona los feeds de CVE relevantes para tus sistemas operativos.
- Reglas personalizadas para tu stack. Si usas WordPress, añade reglas para detectar logins al wp-admin desde IPs desconocidas, instalaciones de plugins y cambios en wp-config.php. Wazuh tiene un decodificador para access logs de Apache/Nginx que facilita esto.
Con estas cinco configuraciones activas, tu capacidad de detección de amenazas pasa de "registro pasivo de eventos" a "sistema que realmente te avisa antes de que el problema escale". Y todo sin gastar un euro en licencias.
Preguntas frecuentes
¿Wazuh sirve para una empresa pequeña o solo para grandes corporaciones?
Wazuh escala en ambas direcciones. Una pyme con 5-10 servidores puede correr el servidor, indexer y dashboard en una sola máquina con 8 GB de RAM. El agente consume aproximadamente 35 MB de memoria en cada endpoint. No necesitas un equipo de SOC dedicado para sacarle partido — un sysadmin con conocimientos básicos de seguridad puede gestionarlo.
¿Puedo usar Wazuh en la nube o solo on-premise?
Ambos. Puedes instalarlo en AWS, Azure o GCP sin problema — Wazuh ofrece AMIs preconfiguradas para AWS y templates para CloudFormation. También existe Wazuh Cloud, un servicio gestionado donde ellos se encargan de la infraestructura y tú solo despliegas agentes. Consulta su web para ver los límites del tier gratuito actual, ya que cambian con frecuencia.
¿Wazuh reemplaza al antivirus?
No. Wazuh complementa al antivirus. Detecta rootkits, anomalías de comportamiento y cambios en archivos, pero no tiene motor de escaneo de malware basado en firmas como ClamAV o Windows Defender. La combinación de ambos — antivirus para amenazas conocidas y Wazuh para detección de comportamiento anómalo — es la estrategia más sólida.
¿Cuánto cuesta mantener Wazuh en producción?
La licencia es gratis. El coste real es infraestructura y tiempo. Para 50 agentes, necesitas un servidor dedicado o VPS con unos 16 GB de RAM y 200 GB de SSD (el indexer es intensivo en disco). En torno a 40-80 € al mes en un proveedor cloud europeo. El mantenimiento — actualizaciones, tuning de reglas, revisión de alertas — requiere entre 2 y 5 horas semanales según la complejidad de tu entorno.
¿Se integra con otras herramientas de seguridad?
Sí, y bastante bien. Wazuh tiene integraciones nativas con Slack, PagerDuty, TheHive, Shuffle SOAR y VirusTotal. Su API RESTful permite conectarlo con cualquier herramienta que acepte webhooks. También exporta alertas en formato Syslog CEF para alimentar otros SIEMs o plataformas de orquestación.
El siguiente paso
Levanta una instancia de prueba. Ahora mismo. Coge un VPS barato o una VM local con 4 GB de RAM, ejecuta el script de instalación todo-en-uno de Wazuh y despliega un agente en tu portátil o en un servidor de staging. En menos de 20 minutos tendrás un SIEM open source funcionando y empezarás a ver cosas en tu red que no sabías que estaban pasando. Si después quieres proteger también las comunicaciones de tu equipo, echa un vistazo a cómo filtrar el spam en 2026 — porque de poco sirve monitorizar la red si el phishing entra tranquilamente por el correo.
