Cuando una empresa nos pregunta por seguridad, la primera pregunta que devolvemos es: ¿qué visibilidad tenés de lo que pasa en tus servidores? La respuesta honesta suele ser "ninguna". Y sin visibilidad no hay seguridad: no podés defenderte de lo que no ves.

Qué es Wazuh

Wazuh es una plataforma open source de detección y respuesta (SIEM/XDR) que centraliza y analiza en tiempo real lo que ocurre en tus sistemas: logs, cambios de archivos, vulnerabilidades, procesos sospechosos. Nació como fork de OSSEC y hoy es un proyecto enorme, con una comunidad muy activa y sin costo de licenciamiento.

Qué resuelve en la práctica

  • Detección de intrusiones: intentos de fuerza bruta en SSH, escaladas de privilegios, malware conocido.
  • Integridad de archivos (FIM): te avisa si alguien tocó un archivo crítico — un /etc/passwd, un web.config, el código de tu aplicación.
  • Vulnerabilidades: inventario de software de cada equipo cruzado contra bases de CVEs.
  • Compliance: reportes alineados a PCI-DSS, ISO 27001 y similares, que los auditores piden cada vez más.
  • Respuesta activa: bloqueo automático de IPs atacantes mientras dormís.

¿Es gratis de verdad?

El software sí. El costo real está en saber desplegarlo y, sobre todo, en ajustarlo: un SIEM mal calibrado genera miles de alertas irrelevantes por día y termina ignorado, que es peor que no tenerlo. La curva de aprendizaje está en las reglas, los decoders y en decidir qué es ruido y qué es señal.

Por dónde empezar

Un buen primer paso es un despliegue all-in-one monitoreando tus 3 o 4 servidores más críticos. En nuestro curso presencial de Wazuh hacemos exactamente eso: instalación completa, agentes, reglas personalizadas y respuesta activa, con máquinas generando ataques reales para ver al SIEM trabajar.