📋 Contenido
⚡ Veredicto rápido
**Wazuh es la mejor opción SIEM open source actualmente disponible**, especialmente para equipos que necesitan HIDS, monitorización de integridad y cumplimiento normativo sin coste de licencia.
✓ Puntos fuertes
- 100% gratuito y open source
- Excelente HIDS heredado de OSSEC
- Reglas de compliance listas (PCI, HIPAA, GDPR)
- Comunidad activa, releases frecuentes
- Wazuh Cloud disponible si no quieres autogestión
✗ Puntos débiles
- Detecciones MITRE menos maduras que Elastic/Splunk
- Sin ML/UEBA nativo
- Documentación inconsistente en español
- Escalado horizontal requiere planificación
Puntuación SecOpsIA: ★★★★½ 4.5/5
Qué es Wazuh
Wazuh es una plataforma SIEM/XDR open source que combina detección de amenazas, monitorización de integridad de archivos (FIM), respuesta automática a incidentes, evaluación de configuración (SCA) y cumplimiento normativo. Es un fork extendido de OSSEC integrado con el stack Elastic/OpenSearch.
El proyecto está mantenido por Wazuh Inc., empresa fundada en 2015 con sede en California, que también ofrece Wazuh Cloud y soporte profesional.
Ficha técnica
| Categoría | SIEM, XDR, HIDS, FIM, SCA |
|---|---|
| Licencia | AGPL v3 (community), comercial (Wazuh Cloud) |
| Desarrollador | Wazuh Inc. |
| Lanzamiento | 2015 (fork de OSSEC) |
| Versión actual | 4.9.0 (Mayo 2026) |
| Lenguajes | C, Python, JavaScript |
| Sistemas (agente) | Linux, Windows, macOS, AIX, Solaris, HP-UX |
| Compliance integrado | PCI DSS, HIPAA, NIST 800-53, GDPR, TSC, GPG13 |
| API | REST API completa, RBAC granular |
| Cloud nativo | Helm chart oficial para Kubernetes |
| Web oficial | wazuh.com |
| GitHub | github.com/wazuh/wazuh |
Casos de uso recomendados
Wazuh brilla especialmente en estos escenarios:
1. SOC interno con presupuesto limitado
Equipos de seguridad de empresas medianas que quieren un SIEM funcional sin gastar 100k-500k USD/año en Splunk o QRadar.
2. Cumplimiento PCI DSS / HIPAA
Los módulos de FIM, SCA y rootkit detection vienen preconfigurados para generar evidencia de auditoría.
3. Monitorización de infraestructura mixta
Si tu inventario incluye servidores Windows y Linux on-premise + workloads en AWS/Azure/GCP, el agente Wazuh es ligero (≈40MB RAM) y reporta a un manager central.
4. Detección en endpoints
Wazuh integra Sysmon en Windows y auditd en Linux, con reglas pre-construidas para detectar técnicas MITRE ATT&CK como T1059, T1003 o T1543.
Arquitectura
Wazuh tiene tres componentes principales:
| Componente | Función | Puerto |
|---|---|---|
| Wazuh Agent | Se instala en cada endpoint. Recolecta logs, syscall y FIM. | 1514/UDP, 1515/TCP |
| Wazuh Manager | Procesa eventos, aplica reglas, dispara alertas. | 55000/TCP |
| Wazuh Indexer | OpenSearch fork. Almacena eventos. | 9200/TCP |
| Wazuh Dashboard | UI para visualizar alertas y compliance. | 443/TCP |
Instalación rápida (all-in-one)
Para un entorno de prueba o pequeña producción, Wazuh ofrece un instalador unattended:
# Ubuntu 24.04 LTS, mínimo 4 vCPU + 8 GB RAM + 50 GB disk
curl -sO https://packages.wazuh.com/4.9/wazuh-install.sh
sudo bash ./wazuh-install.sh -a
Tras 5-10 minutos recibirás las credenciales del usuario admin y la URL del dashboard. Para desplegar agentes:
curl -so wazuh-agent.deb https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.9.0-1_amd64.deb
sudo WAZUH_MANAGER='10.0.0.10' dpkg -i wazuh-agent.deb
sudo systemctl enable --now wazuh-agent
Reglas de detección
Wazuh viene con más de 3.500 reglas pre-construidas agrupadas en rulesets por categoría. Las reglas se escriben en XML y soportan correlación basada en frecuencia, secuencia y contexto.
Ejemplo: detectar fuerza bruta SSH (regla 5712 dispara alerta cuando hay 6 fallos del mismo IP en 120 segundos, mapeando a la técnica MITRE T1110.001).
Precios y modelo de negocio
| Precio | Incluye | |
|---|---|---|
| Wazuh (self-hosted) | Gratis | Todo el producto, sin limitaciones |
| Wazuh Cloud | Desde $0.99/agente/mes | Wazuh gestionado |
| Soporte Profesional | Bajo demanda | SLA, ingeniería dedicada |
Integraciones clave
Preguntas frecuentes
¿Es Wazuh realmente gratuito?
Sí, Wazuh es 100% open source bajo licencia AGPLv3. Wazuh Inc. ofrece soporte comercial y Wazuh Cloud, pero el software completo se puede usar sin coste alguno en producción.
¿Cuál es la diferencia entre Wazuh y Elastic Security?
Wazuh es un fork de OSSEC + Elastic Stack centrado en HIDS y compliance. Elastic Security es propietario pero ofrece detecciones MITRE más maduras y machine learning incorporado en sus licencias de pago.
¿Cuántos agentes puede manejar un manager?
Con hardware adecuado (16 vCPU + 32 GB RAM), un solo manager puede gestionar entre 5.000 y 10.000 agentes. Para más, se recomienda cluster con load balancer.
¿Está Wazuh certificado para compliance?
Wazuh proporciona los controles técnicos requeridos por PCI DSS, HIPAA, NIST 800-53 y GDPR. La certificación final corresponde a la organización que lo despliega.