📋 Contenido
⚡ Veredicto rápido
**Wiz redefinió el CNAPP con su modelo agentless y su Security Graph**, que correlaciona misconfigs + identidades + workloads + datos en un único grafo de ataque. Su UX es la mejor del segmento, pero el precio enterprise y la dependencia 100% SaaS lo dejan fuera del alcance de PYME y entornos regulados que necesitan on-premise.
✓ Puntos fuertes
- Agentless real: despliegue en horas, no semanas
- Security Graph correlaciona ataques cross-layer (red, IAM, datos)
- Cobertura multi-cloud sólida (AWS, Azure, GCP, OCI, Alibaba)
- Scanning de IaC, contenedores y K8s incluido en core
- DSPM nativo: descubre datos sensibles en buckets y RDS
✗ Puntos débiles
- Precio enterprise alto: típicamente 75-200k USD/año en deployments medianos
- Solo SaaS — sin opción on-premise ni air-gapped
- Visibilidad runtime menor que herramientas con agente (Lacework, Sysdig)
- Algunas integraciones SIEM aún limitadas vs competencia
Puntuación SecOpsIA: ★★★★½ 4.7/5
Qué es Wiz
Wiz es la plataforma CNAPP fundada en 2020 por Assaf Rappaport, Yinon Costica, Roy Reznik y Ami Luttwak — los mismos creadores de Adallom (adquirida por Microsoft en 2015). En 5 años pasó de cero a ser la scale-up de ciberseguridad más rápida en alcanzar 100M USD ARR, y en 2024 Alphabet anunció su intención de adquirirla por 32B USD (operación finalmente cerrada en 2025).
Su propuesta de valor central es el Security Graph: en lugar de tratar cada hallazgo (un bucket público, un IAM excesivo, una CVE) como aislado, Wiz los correlaciona en un grafo de ataque. Esto permite priorizar: una CVE crítica en un contenedor sin acceso a internet con secretos no sensibles es menos urgente que una CVE media en un container con role IAM admin + acceso a base de datos productiva.
Ficha técnica
| Categoría | CNAPP (CSPM + CWPP + CIEM + DSPM + IaC + K8s) |
|---|---|
| Licencia | Comercial — suscripción anual |
| Desarrollador | Wiz, Inc. |
| Lanzamiento | 2020 (fundada por ex-CloudGuard de Microsoft) |
| Modelo | 100% SaaS, agentless (snapshots de discos) |
| Clouds soportados | AWS, Azure, GCP, Oracle Cloud, Alibaba, OpenShift |
| Compliance frameworks | 200+ (CIS, PCI, HIPAA, NIST 800-53, SOC 2, ISO 27001) |
| API | GraphQL completa + REST legacy |
| Web oficial | wiz.io |
El Security Graph en detalle
El Wiz Security Graph es el diferenciador técnico de la plataforma. Modela tu entorno cloud como un grafo de propiedades:
- Nodos: recursos (EC2, S3, RDS, Lambda, IAM users/roles, K8s pods, secretos, datos sensibles).
- Aristas: relaciones ("este IAM role puede asumir este otro", "este pod monta este secret", "este bucket contiene datos PII").
- Findings: vulnerabilidades, misconfigs, exposiciones.
Wiz ejecuta consultas predefinidas tipo "recursos expuestos a internet con datos sensibles y vulnerabilidades críticas y permisos lateral movement" — eso reduce 10.000 hallazgos a las 20 rutas reales de ataque.
Esta priorización por toxic combinations es lo que justifica el precio frente a CSPM clásicos.
Despliegue agentless
Wiz despliega vía snapshot scanning: pide un IAM role read-only en cada cuenta cloud, hace snapshots de los discos y los analiza fuera de banda. Sin agentes en producción, sin ventanas de mantenimiento.
# Setup en AWS (Terraform oficial de Wiz)
module "wiz_connector" {
source = "wiz-sec/wiz-connector/aws"
wiz_account_id = "123456789012"
external_id = var.wiz_external_id
scanner_role_arn = "arn:aws:iam::aws:policy/SecurityAudit"
}
El primer scan toma 2-6 horas. Luego ejecuta en continuo (cada 4-12 h dependiendo de cambios).
Módulos clave
- Wiz Cloud (CSPM) — misconfigs + compliance frameworks (CIS, PCI, etc.).
- Wiz Vulnerability Management — CVEs en VMs, containers e imágenes registry.
- Wiz Container & K8s Security — políticas de admisión, RBAC, escaneo de imágenes en CI.
- Wiz CIEM — análisis de IAM, identifica accesos excesivos y lateral movement.
- Wiz Code (IaC) — escanea Terraform/CloudFormation/Helm en PR del repo.
- Wiz DSPM — descubre datos sensibles (PII, PHI, secretos) en buckets, RDS, Snowflake.
- Wiz Sensor (opcional) — agente runtime para detección de comportamiento (solo si necesitas eDR cloud).
Los módulos no se compran sueltos en la mayoría de tiers — Wiz vende bundles.
Comparativa rápida con alternativas
| Característica | Wiz | Prisma Cloud | Orca | Lacework |
|---|---|---|---|---|
| Modelo | Agentless | Mixto (agentes opcionales) | Agentless | Con agente |
| Multi-cloud | ✓ (5+ clouds) | ✓ (5+ clouds) | ✓ (4 clouds) | ✓ (3 clouds) |
| Security Graph | ✓ (referente) | ✓ (más nuevo) | ✓ (SideScanning) | Parcial |
| Runtime / CWPP | Limitado | ✓ (fuerte) | Limitado | ✓ (fuerte) |
| UX | Excelente | Compleja | Buena | Buena |
| Precio relativo | $$$ | $$$$ | $$$ | $$$ |
Wiz gana en velocidad de despliegue + UX + Security Graph. Prisma gana en runtime + ecosistema Palo Alto. Lacework gana en detección behavioral runtime con menos overhead.
Precios y modelo de negocio
| Precio | Incluye | |
|---|---|---|
| Wiz Essentials | Bajo demanda (~50k USD/año entry) | CSPM básico + Vuln Mgmt + IaC |
| Wiz Advanced | Bajo demanda (~75-150k USD/año) | + CIEM + K8s + DSPM |
| Wiz Enterprise | Bajo demanda (>150k USD/año) | Todo + Sensor runtime + soporte premium |
Preguntas frecuentes
¿Es Wiz adecuado para PYME?
No. El precio entry típico arranca en 50k USD/año y Wiz no vende a deployments menores. Para PYME considera AWS Security Hub + Defender for Cloud nativos, o alternativas como Cyscale, Aikido o Steampipe.
¿Wiz funciona on-premise o air-gapped?
No. Es SaaS multitenant en AWS. Si necesitas on-premise o air-gapped, considera Prisma Cloud Compute (versión self-hosted) o herramientas open source como Steampipe + Checkov.
¿Qué pasó con la adquisición de Google?
Alphabet anunció la compra de Wiz por 32B USD en marzo 2025, cerrando la operación a finales del mismo año. La marca y producto se mantienen independientes dentro de Google Cloud Security.
¿El Sensor de Wiz reemplaza a un EDR cloud?
Solo parcialmente. El Sensor cubre runtime de workloads cloud (containers, VMs), pero no sustituye a CrowdStrike Falcon o SentinelOne en endpoints corporativos (laptops, servidores no-cloud).