
Wazuh es una plataforma open source que combina capacidades SIEM y XDR para recopilar eventos, detectar amenazas, supervisar endpoints, analizar vulnerabilidades, controlar la integridad de archivos y centralizar información de seguridad.
Puede utilizarse para monitorear servidores Linux, equipos Windows, dispositivos macOS, máquinas virtuales, servicios cloud y aplicaciones. Su arquitectura permite comenzar con una instalación sencilla en un solo servidor y evolucionar posteriormente hacia un despliegue distribuido con alta disponibilidad.
Objetivo de esta guía: instalar los componentes centrales de Wazuh en Ubuntu Server, acceder al panel web, configurar el firewall, desplegar agentes y dejar una base segura para un laboratorio o una pequeña organización.
Importante: el despliegue todo en uno es apropiado para aprendizaje, pruebas y entornos pequeños. Una empresa con gran volumen de eventos, alta disponibilidad o más de cien endpoints debería evaluar una arquitectura distribuida.
¿Qué funciones cumple Wazuh como SIEM y XDR?
| Capacidad | Aplicación práctica |
|---|---|
| SIEM | Centraliza y correlaciona logs procedentes de endpoints, servidores, dispositivos de red y servicios cloud. |
| XDR | Recopila telemetría de endpoints, detecta actividad anómala y permite ejecutar respuestas automatizadas. |
| FIM | Detecta modificaciones, creación y eliminación de archivos sensibles. |
| Detección de vulnerabilidades | Relaciona el inventario de software con información de vulnerabilidades conocidas. |
| SCA | Evalúa configuraciones de seguridad y controles de endurecimiento. |
| Respuesta activa | Permite ejecutar acciones controladas ante eventos específicos. |
| Cumplimiento | Incluye vistas y reglas relacionadas con PCI DSS, GDPR, HIPAA, CIS y otros marcos. |
Arquitectura básica de Wazuh
La plataforma está formada por un agente universal y tres componentes centrales.
- Wazuh Agent: se instala en cada endpoint y envía eventos de seguridad.
- Wazuh Server: recibe, decodifica, correlaciona y genera alertas.
- Wazuh Indexer: almacena e indexa los eventos para realizar búsquedas.
- Wazuh Dashboard: proporciona la interfaz web para consultas, gráficos, administración y reportes.
En esta guía, el servidor, indexador y dashboard se instalarán en la misma máquina mediante el asistente oficial.
Requisitos recomendados
Para un laboratorio con hasta 25 agentes se recomienda comenzar con los siguientes recursos:
| Recurso | Recomendación inicial |
|---|---|
| Procesador | 4 vCPU. |
| Memoria RAM | 8 GB. |
| Almacenamiento | 50 GB como mínimo; preferiblemente SSD. |
| Sistema operativo | Ubuntu Server 22.04 o 24.04 de 64 bits. |
| Red | Dirección IP fija, DNS correcto y sincronización horaria. |
El espacio requerido depende del número de agentes, la cantidad de eventos y el periodo de retención. Un entorno con cincuenta o cien equipos puede necesitar entre 100 y 200 GB o más.
Paso 1: preparar Ubuntu Server
Actualiza el servidor antes de instalar Wazuh:
Después del reinicio, verifica el nombre del servidor, su dirección IP y la hora:
Consejo: asigna una dirección IP estática o una reserva DHCP. Los agentes deben poder localizar siempre al servidor Wazuh mediante la misma IP o nombre DNS.
Paso 2: instalar los componentes centrales
La documentación actual utiliza el asistente correspondiente a la serie Wazuh 4.14. Descarga y ejecuta el instalador oficial:
La opción -a instala automáticamente Wazuh Server, Wazuh Indexer y Wazuh Dashboard en el mismo equipo. El proceso genera certificados, configura las comunicaciones internas y crea contraseñas aleatorias.
Al terminar aparecerá una salida similar a esta:
Guarda la contraseña en un gestor de credenciales seguro. Para recuperar las contraseñas generadas desde el archivo de instalación:
Paso 3: comprobar los servicios
Verifica que los componentes estén activos:
También puedes revisar rápidamente los puertos en escucha:
Paso 4: configurar el firewall
Los agentes necesitan comunicarse con el servidor. En un despliegue básico se utilizan principalmente los siguientes puertos:
| Puerto | Protocolo | Uso |
|---|---|---|
| 443 | TCP | Acceso al dashboard web. |
| 1514 | TCP | Envío de eventos desde los agentes. |
| 1515 | TCP | Registro y enrolamiento de agentes. |
| 55000 | TCP | API REST de Wazuh; no debe exponerse sin necesidad. |
Si utilizas UFW y la red interna es 192.168.1.0/24, limita el acceso a dicha red:
No expongas públicamente los puertos 9200 y 55000. El indexador y la API deben permanecer restringidos al propio servidor o a las redes administrativas que realmente los necesiten.
Paso 5: acceder al dashboard
Desde un navegador abre:
El navegador puede advertir que el certificado no pertenece a una autoridad pública. Esto es esperado durante la primera instalación porque Wazuh genera certificados propios. Para producción, configura un certificado emitido por una autoridad interna o por un proveedor confiable.
Inicia sesión con:
- Usuario: admin.
- Contraseña: la generada durante la instalación.
Paso 6: instalar un agente Wazuh en Linux
La forma más sencilla es ingresar en Agents management > Summary > Deploy new agent. El dashboard generará el comando correspondiente al sistema operativo y a la dirección del servidor.
Para instalar manualmente un agente en Ubuntu o Debian, agrega primero el repositorio oficial:
Instala el agente reemplazando la dirección de ejemplo por la IP o nombre DNS del servidor:
Comprueba el servicio:
Paso 7: instalar un agente en Windows
Desde el dashboard selecciona Windows, introduce la dirección del servidor y copia el comando generado. En la serie actual puede utilizarse un instalador MSI similar al siguiente:
El número de versión puede cambiar. Utiliza siempre el paquete y el comando mostrados por el dashboard o la documentación vigente.
Paso 8: verificar que el agente esté conectado
En el dashboard entra en:
Agents management > Summary
El equipo debería aparecer con estado Active. La primera sincronización del inventario, vulnerabilidades y configuración puede tardar algunos minutos.
Desde el servidor también puedes listar los agentes:
Paso 9: generar una prueba controlada
En un agente Linux puedes generar un evento de laboratorio mediante el sistema de logs:
Después revisa los eventos del agente desde el dashboard. También puedes crear un archivo temporal dentro de un directorio supervisado para comprobar el monitoreo de integridad:
Utiliza únicamente archivos creados para la prueba y no modifiques configuraciones reales del sistema.
Paso 10: aplicar seguridad después de la instalación
- Cambia las credenciales iniciales y guárdalas en un gestor seguro.
- Instala un certificado TLS de confianza para el dashboard.
- Restringe el acceso al panel mediante VPN o redes administrativas.
- No publiques el indexador ni la API directamente en Internet.
- Configura copias de seguridad del indexador y de los archivos de configuración.
- Define una política de retención para evitar que el disco se llene.
- Crea usuarios y roles separados en lugar de compartir la cuenta admin.
- Supervisa CPU, RAM, disco y crecimiento de índices.
- Prueba las actualizaciones primero en un entorno de laboratorio.
La documentación recomienda desactivar temporalmente el repositorio después de la instalación para evitar actualizaciones accidentales no planificadas:
Esto no significa abandonar las actualizaciones. Deben planificarse, verificarse y aplicarse siguiendo el procedimiento oficial de actualización de Wazuh.
Problemas frecuentes
| Problema | Qué revisar |
|---|---|
| No abre el dashboard | Servicio wazuh-dashboard, puerto 443, firewall y dirección IP. |
| El agente aparece desconectado | Puertos 1514 y 1515, DNS, firewall y dirección configurada. |
| El panel está lento | RAM, CPU, espacio libre, retención e índices acumulados. |
| No aparecen vulnerabilidades | Estado del agente, inventario, conectividad y tiempo de sincronización. |
| Error de certificado | Certificado autofirmado, nombre DNS y cadena de confianza. |
Errores que debe evitar una empresa
- Instalar Wazuh sin calcular el almacenamiento necesario.
- Exponer el dashboard directamente a Internet.
- Compartir la cuenta administrativa entre todo el equipo.
- Activar respuestas automáticas sin probarlas previamente.
- Recolectar todos los logs sin una estrategia de retención.
- No sincronizar la hora de servidores y endpoints.
- Actualizar manager y agentes sin revisar compatibilidad.
- Tratar Wazuh como sustituto completo de backups, firewall o gestión de parches.
- Acumular alertas sin definir responsables y procedimientos de atención.
Preguntas clave
¿Wazuh es un SIEM o un XDR?
Ofrece capacidades de ambos. Centraliza y correlaciona eventos como SIEM, mientras que sus agentes proporcionan telemetría, detección y respuesta sobre endpoints como XDR.
¿Wazuh es realmente gratuito?
Los componentes principales son open source. La organización debe asumir los costos de infraestructura, almacenamiento, mantenimiento, capacitación y soporte cuando corresponda.
¿Puedo instalarlo en una máquina virtual?
Sí. Puede instalarse en una VM Linux o utilizar la imagen OVA oficial. La virtualización debe contar con recursos suficientes y almacenamiento rápido.
¿Cuántos equipos soporta una instalación todo en uno?
La guía rápida oficial considera este modelo apropiado para hasta cien endpoints, dependiendo del volumen de eventos, recursos y retención.
¿Necesito instalar un agente en todos los equipos?
Para obtener telemetría completa del endpoint, sí. Wazuh también puede recibir determinados logs mediante syslog, integraciones cloud y otras fuentes.
¿Wazuh bloquea automáticamente las amenazas?
Puede ejecutar respuestas activas, pero deben configurarse y probarse cuidadosamente. Una regla incorrecta podría bloquear usuarios o servicios legítimos.
¿Sirve para una empresa pequeña?
Sí. Una instalación todo en uno puede centralizar eventos y mejorar la visibilidad, siempre que alguien revise las alertas y mantenga la plataforma.
Recomendamos
En resumen
Wazuh permite construir una plataforma SIEM y XDR open source para centralizar eventos, monitorear endpoints y detectar amenazas. La instalación todo en uno simplifica el despliegue inicial al colocar el servidor, indexador y dashboard en una única máquina Linux.
La instalación técnica es solo el primer paso. Para obtener valor real deben definirse fuentes de logs, reglas, responsables, tiempos de atención, retención, respaldos y procedimientos de respuesta a incidentes.
Conclusión editorial
Wazuh puede reducir la barrera económica para implementar monitoreo de seguridad, pero no elimina la necesidad de procesos y personal capacitado. Un SIEM sin revisión se convierte en un almacén de eventos; un SIEM bien operado puede convertirse en el centro de detección y respuesta de la organización.

