
Linux ofrece una gran cantidad de herramientas gratuitas para proteger servidores, computadoras de escritorio, contenedores, servicios web y plataformas cloud. Sin embargo, instalar Linux no convierte automáticamente un equipo en un sistema seguro. También es necesario controlar accesos, actualizar paquetes, limitar servicios, revisar registros, detectar modificaciones y responder ante incidentes.
Las siguientes 50 herramientas cubren diez áreas fundamentales: firewall, acceso remoto, endurecimiento, integridad de archivos, detección en endpoints, monitoreo de red, evaluación de vulnerabilidades, seguridad de contenedores, protección de Kubernetes y operaciones SOC.
Plataformas como Wazuh, Security Onion y Trivy demuestran que el ecosistema abierto puede cubrir desde la protección de un solo servidor hasta la construcción de capacidades empresariales de detección y respuesta.
No necesitas instalar las 50 herramientas. Selecciona las que respondan a tus riesgos, infraestructura y capacidad operativa. Una herramienta que genera alertas sin que nadie las revise aporta poco valor.
Sobre el término “gratuitas”: la lista incluye proyectos open source, ediciones comunitarias o componentes centrales sin costo. Algunas organizaciones ofrecen adicionalmente soporte, inteligencia, almacenamiento o funciones empresariales de pago.
Uso autorizado: Nmap, Greenbone, Nikto, testssl.sh y otras herramientas de evaluación deben utilizarse únicamente sobre sistemas propios o redes donde exista autorización expresa. Los escaneos pueden afectar servicios, generar alertas o incumplir políticas.
Resumen por categorías
| Categoría | Objetivo | Herramientas |
|---|---|---|
| Perímetro y accesos | Reducir conexiones no autorizadas. | 1–5 |
| Acceso seguro y cifrado | Proteger comunicaciones y archivos. | 6–10 |
| Hardening y cumplimiento | Limitar privilegios y auditar configuraciones. | 11–15 |
| Integridad y malware | Detectar cambios y archivos sospechosos. | 16–20 |
| Detección en endpoints | Investigar y responder en equipos. | 21–25 |
| Monitoreo de red | Observar tráfico y detectar actividad anómala. | 26–30 |
| Vulnerabilidades | Localizar servicios y configuraciones débiles. | 31–35 |
| Contenedores | Revisar imágenes, dependencias y Docker. | 36–40 |
| Kubernetes y runtime | Detectar riesgos antes y durante la ejecución. | 41–45 |
| SOC e incidentes | Gestionar alertas, casos e inteligencia. | 46–50 |
1. Firewall y protección del perímetro
| N.º | Herramienta | Uso principal |
|---|---|---|
| 1 | nftables | Framework moderno del kernel para filtrado de paquetes, NAT y control del tráfico. |
| 2 | UFW | Interfaz sencilla para administrar reglas de firewall, especialmente en Ubuntu y Debian. |
| 3 | firewalld | Administración dinámica del firewall mediante zonas, servicios e interfaces. |
| 4 | Fail2Ban | Analiza registros y bloquea temporalmente direcciones con intentos repetidos de acceso. |
| 5 | CrowdSec | Detección basada en comportamiento, análisis de logs e inteligencia colaborativa. |
UFW facilita la administración del firewall en Ubuntu, mientras firewalld utiliza zonas para aplicar políticas diferentes según la confianza asignada a cada red. CrowdSec analiza registros y solicitudes mediante escenarios de comportamiento; el bloqueo es aplicado por componentes de remediación.
Elección práctica: utiliza UFW para equipos Ubuntu sencillos, firewalld en Fedora, AlmaLinux o Rocky Linux y nftables cuando necesitas control avanzado. Fail2Ban o CrowdSec pueden complementar el firewall, pero no sustituirlo.
2. Acceso remoto, VPN y cifrado
| N.º | Herramienta | Uso principal |
|---|---|---|
| 6 | OpenSSH | Administración remota cifrada, transferencia de archivos y túneles seguros. |
| 7 | WireGuard | VPN ligera integrada con Linux y basada en criptografía moderna. |
| 8 | OpenVPN Community Edition | VPN flexible con compatibilidad amplia entre sistemas y dispositivos. |
| 9 | age | Cifrado sencillo de archivos mediante claves o destinatarios. |
| 10 | GnuPG | Cifrado, firma digital y verificación de archivos o mensajes. |
WireGuard se presenta como una VPN sencilla, rápida y basada en primitivas criptográficas modernas. OpenVPN Community Edition continúa siendo una alternativa abierta con amplio soporte, mientras que age y GnuPG cubren necesidades de cifrado de archivos y firmas.
En servidores SSH conviene utilizar claves públicas, restringir usuarios autorizados, deshabilitar el acceso directo de root y mantener una segunda sesión abierta cuando se prueban cambios de configuración.
3. Hardening, auditoría y cumplimiento
| N.º | Herramienta | Uso principal |
|---|---|---|
| 11 | SELinux | Control obligatorio de acceso mediante políticas asociadas a procesos, archivos y servicios. |
| 12 | AppArmor | Limita las acciones permitidas para aplicaciones mediante perfiles. |
| 13 | auditd | Registra eventos relevantes del sistema para auditoría e investigación. |
| 14 | Lynis | Audita configuraciones, hardening, paquetes, permisos y servicios. |
| 15 | OpenSCAP | Evalúa configuraciones frente a políticas, perfiles y líneas base de seguridad. |
AppArmor restringe aplicaciones mediante perfiles, y Linux Audit registra eventos relevantes para reconstruir actividad. Lynis ofrece auditoría y recomendaciones de hardening bajo licencia GPL, mientras OpenSCAP automatiza evaluaciones de configuración y cumplimiento.
No desactives SELinux o AppArmor como primera respuesta a un error. Revisa los registros, identifica la operación bloqueada y modifica la política únicamente cuando exista una justificación.
4. Integridad de archivos y detección de malware
| N.º | Herramienta | Uso principal |
|---|---|---|
| 16 | AIDE | Crea una línea base y detecta cambios en archivos, permisos y atributos. |
| 17 | Tripwire Open Source | Monitorea modificaciones de archivos y directorios según políticas. |
| 18 | ClamAV | Motor antivirus para archivos, correo, cargas web y almacenamiento compartido. |
| 19 | rkhunter | Busca indicadores asociados con rootkits, backdoors, permisos y archivos sospechosos. |
| 20 | chkrootkit | Comprueba localmente modificaciones y señales asociadas con rootkits conocidos. |
AIDE y Tripwire comparan el estado actual con una línea base conocida. ClamAV aporta análisis antimalware, mientras rkhunter y chkrootkit realizan comprobaciones orientadas a señales de manipulación o rootkits. Ninguno de estos resultados debe interpretarse de manera aislada como prueba definitiva de compromiso.
Buena práctica: guarda la base de datos de integridad y sus respaldos en un lugar protegido. Si un atacante puede modificar tanto los archivos como la línea base, la comparación pierde valor.
5. Detección y respuesta en endpoints
| N.º | Herramienta | Uso principal |
|---|---|---|
| 21 | YARA | Identifica archivos o patrones mediante reglas creadas por analistas. |
| 22 | OSSEC | HIDS con análisis de registros, integridad, alertas y respuesta activa. |
| 23 | osquery | Expone información del sistema operativo mediante consultas similares a SQL. |
| 24 | Wazuh | Plataforma SIEM y XDR para endpoints, logs, vulnerabilidades y cumplimiento. |
| 25 | Velociraptor | Recolección forense, monitoreo, consultas e investigación remota de endpoints. |
YARA permite describir familias o patrones mediante reglas. Wazuh reúne capacidades de SIEM y XDR, osquery convierte el estado del sistema en tablas consultables y Velociraptor se orienta a investigación forense y respuesta a incidentes a escala.
OSSEC continúa siendo útil como sistema de detección basado en host, aunque organizaciones que buscan una plataforma integrada y un dashboard moderno suelen evaluar Wazuh.
6. Monitoreo y análisis de red
| N.º | Herramienta | Uso principal |
|---|---|---|
| 26 | Suricata | IDS, IPS y monitoreo de seguridad de red basado en reglas y protocolos. |
| 27 | Zeek | Genera registros detallados y contexto sobre sesiones y protocolos. |
| 28 | Wireshark | Análisis gráfico y profundo de paquetes y protocolos. |
| 29 | tcpdump | Captura y filtrado de tráfico desde terminal o servidores sin escritorio. |
| 30 | Arkime | Captura, indexación y búsqueda de tráfico de red a gran escala. |
Suricata puede funcionar como IDS, IPS y motor de monitoreo, mientras Zeek genera registros enriquecidos sobre la actividad observada. Wireshark y tcpdump permiten investigar paquetes; Arkime añade captura a gran escala, indexación y búsqueda mediante una interfaz web.
Privacidad: una captura puede contener nombres, direcciones, consultas, cookies o información personal. Limita la recolección al tráfico necesario y protege los archivos PCAP.
7. Evaluación de vulnerabilidades y superficie de ataque
| N.º | Herramienta | Uso principal |
|---|---|---|
| 31 | Nmap | Inventario autorizado de hosts, puertos y servicios expuestos. |
| 32 | Greenbone Community Edition / OpenVAS | Gestión y escaneo comunitario de vulnerabilidades. |
| 33 | Nikto | Revisa servidores web en busca de archivos, versiones y configuraciones peligrosas. |
| 34 | testssl.sh | Evalúa protocolos, certificados y configuración TLS desde un script de terminal. |
| 35 | SSLyze | Analiza configuraciones SSL/TLS mediante línea de comandos o biblioteca Python. |
Nmap es una referencia abierta para descubrimiento e inventario autorizado. Greenbone ofrece una edición comunitaria y un feed comunitario; Nikto revisa configuraciones y componentes web, mientras testssl.sh y SSLyze se especializan en la postura criptográfica de servicios TLS.
Un resultado de escaneo no equivale automáticamente a una vulnerabilidad explotable. Debe confirmarse la versión real, el parche aplicado por la distribución, la configuración y las medidas compensatorias existentes.
8. Seguridad de imágenes, dependencias y Docker
| N.º | Herramienta | Uso principal |
|---|---|---|
| 36 | Trivy | Escanea imágenes, repositorios, sistemas de archivos, secretos y configuraciones. |
| 37 | Grype | Localiza vulnerabilidades en imágenes y sistemas de archivos. |
| 38 | Syft | Genera inventarios de componentes y SBOM para imágenes o directorios. |
| 39 | Clair | Análisis estático de vulnerabilidades para imágenes almacenadas en registros. |
| 40 | Docker Bench for Security | Comprueba configuraciones del host Docker frente a recomendaciones de seguridad. |
Trivy cubre vulnerabilidades, secretos y configuraciones; Grype se concentra en paquetes vulnerables y Syft genera inventarios SBOM. Clair está orientado al análisis de imágenes en registros y Docker Bench automatiza comprobaciones sobre la configuración del motor y su host.
Combinación recomendada: utiliza Syft para generar el inventario de componentes y Grype o Trivy para buscar vulnerabilidades. Integra el análisis en CI/CD antes de publicar la imagen.
9. Kubernetes y seguridad durante la ejecución
| N.º | Herramienta | Uso principal |
|---|---|---|
| 41 | Dockle | Evalúa buenas prácticas y configuración de imágenes de contenedores. |
| 42 | Kubescape | Analiza clústeres y manifiestos Kubernetes frente a marcos y riesgos. |
| 43 | Falco | Detecta comportamientos anómalos durante la ejecución mediante reglas. |
| 44 | Tetragon | Observabilidad y aplicación de políticas mediante eBPF. |
| 45 | Tracee | Detección de amenazas y observación de comportamiento con eBPF. |
Dockle revisa imágenes, Kubescape evalúa manifiestos y clústeres, y Falco detecta comportamiento durante la ejecución. Tetragon y Tracee aprovechan eBPF para obtener visibilidad detallada del kernel, procesos y contenedores.
Estas herramientas son complementarias: una imagen puede superar un análisis estático y aun así ejecutar una acción inesperada cuando entra en funcionamiento. Por ello, la seguridad debe cubrir construcción, despliegue y runtime.
10. SOC, respuesta a incidentes e inteligencia
| N.º | Herramienta | Uso principal |
|---|---|---|
| 46 | Security Onion | Plataforma integrada para monitoreo de red, logs, alertas y threat hunting. |
| 47 | TheHive Community | Gestión colaborativa de incidentes, casos, tareas, evidencias y observables. |
| 48 | Cortex | Ejecuta analizadores y acciones sobre observables asociados con incidentes. |
| 49 | MISP | Intercambio, correlación y gestión de indicadores e inteligencia de amenazas. |
| 50 | OpenCTI | Organiza conocimiento sobre amenazas, actores, campañas, relaciones e indicadores. |
Security Onion integra herramientas de monitoreo como Suricata y Zeek. TheHive organiza el trabajo de respuesta, Cortex automatiza análisis y MISP u OpenCTI administran inteligencia de amenazas.
Licencias y ediciones: TheHive Community es gratuita, pero requiere solicitar su licencia comunitaria. Security Onion, Greenbone, CrowdSec y otras plataformas ofrecen también servicios o componentes comerciales adicionales.
Qué instalar según el tipo de sistema
| Entorno | Selección inicial |
|---|---|
| Estación de trabajo Linux | UFW o firewalld, AppArmor o SELinux, ClamAV, Lynis, AIDE, age y GnuPG. |
| Servidor pequeño | nftables o UFW, OpenSSH, Fail2Ban o CrowdSec, auditd, AIDE, Lynis y agente Wazuh. |
| Servidor web | Firewall, CrowdSec, Wazuh, AIDE, testssl.sh, Nikto y Greenbone bajo autorización. |
| Entorno Docker | Trivy, Syft, Grype, Docker Bench, Falco y Wazuh. |
| Kubernetes | Kubescape, Trivy, Falco, Tetragon o Tracee, además de un SIEM central. |
| SOC empresarial | Wazuh o Security Onion, Suricata, Zeek, TheHive, Cortex, MISP y OpenCTI. |
Instalar una base de seguridad en Ubuntu o Debian
Los repositorios de Ubuntu y Debian incluyen varias de las herramientas de protección básicas. Los nombres y versiones pueden variar según la edición utilizada.
Después de instalar, revisa cada herramienta antes de habilitarla en producción. No actives reglas, bloqueos o escaneos automáticos sin comprender sus efectos.
Antes de activar UFW remotamente: permite primero el puerto SSH utilizado por el servidor. Una regla incorrecta puede bloquear tu propia sesión administrativa.
Orden recomendado para implementar seguridad
- Inventaría los activos: servidores, estaciones, servicios, puertos, cuentas y aplicaciones.
- Actualiza el sistema: instala parches antes de agregar nuevas herramientas.
- Reduce la exposición: elimina servicios innecesarios y configura el firewall.
- Protege los accesos: claves SSH, VPN, MFA y privilegios mínimos.
- Aplica hardening: SELinux o AppArmor, auditd, Lynis y políticas seguras.
- Centraliza la visibilidad: envía eventos relevantes a Wazuh o al SIEM elegido.
- Evalúa vulnerabilidades: realiza escaneos programados y confirma cada hallazgo.
- Prepara la respuesta: responsables, evidencias, respaldos, aislamiento y recuperación.
Errores frecuentes al utilizar herramientas gratuitas
- Instalar numerosas herramientas sin definir responsables.
- Considerar cualquier alerta como un ataque confirmado.
- No actualizar reglas, firmas y bases de vulnerabilidades.
- Exponer dashboards administrativos directamente a Internet.
- Ejecutar todos los servicios como root.
- Realizar escaneos sobre redes de terceros sin autorización.
- Guardar logs o capturas sin proteger datos sensibles.
- No probar las respuestas automáticas antes de activarlas.
- Olvidar respaldar la configuración y las bases de datos.
- Usar seguridad como sustituto de actualizaciones y buenas prácticas.
Preguntas clave
¿Linux necesita antivirus?
Depende del riesgo. ClamAV resulta útil en servidores de correo, archivos compartidos, cargas web y equipos que intercambian documentos con otros sistemas. No reemplaza actualizaciones, control de accesos ni monitoreo.
¿Cuál es la mejor herramienta gratuita para un servidor Linux?
No existe una única herramienta. Una base razonable combina firewall, SSH seguro, auditd, AIDE, Lynis, gestión de parches y un agente de monitoreo como Wazuh.
¿Wazuh reemplaza al firewall?
No. Wazuh recopila, analiza y correlaciona eventos. El firewall controla qué conexiones pueden entrar, salir o atravesar el sistema.
¿Suricata y Zeek hacen lo mismo?
No exactamente. Suricata destaca en detección mediante reglas y firmas. Zeek genera registros y contexto detallado sobre el comportamiento de la red. Pueden utilizarse juntos.
¿Qué diferencia existe entre Trivy, Grype y Syft?
Syft genera el inventario de componentes o SBOM. Grype busca vulnerabilidades utilizando ese inventario. Trivy integra vulnerabilidades, secretos, configuraciones y otros controles en una sola herramienta.
¿Los detectores de rootkits garantizan que el equipo está limpio?
No. Pueden producir falsos positivos y también omitir amenazas. Sus resultados deben combinarse con integridad, registros, análisis forense y verificación desde un entorno confiable.
¿Debo instalar Security Onion en cada servidor?
No. Security Onion se despliega normalmente como plataforma central de monitoreo. Los servidores y sensores le proporcionan eventos, tráfico o registros.
¿Las herramientas gratuitas sirven para empresas?
Sí, siempre que exista capacidad para implementarlas, actualizarlas, respaldarlas y atender sus alertas. El costo de licencia puede ser cero, pero la operación requiere tiempo, infraestructura y conocimiento.
Recomendamos
En resumen
El ecosistema Linux dispone de herramientas gratuitas para prácticamente todas las etapas de la defensa. nftables y UFW reducen la exposición; OpenSSH y WireGuard protegen accesos; Lynis y OpenSCAP auditan configuraciones; AIDE y ClamAV vigilan archivos; Wazuh y Velociraptor aportan visibilidad sobre endpoints.
Suricata, Zeek y Wireshark permiten comprender la red; Greenbone y Nmap ayudan a revisar la superficie autorizada; Trivy, Syft y Falco protegen contenedores; Security Onion, TheHive, MISP y OpenCTI permiten construir capacidades de SOC y respuesta.
La mejor selección no es la que incluye más productos, sino la que cubre los riesgos reales y puede mantenerse correctamente.
Conclusión editorial
La ciberseguridad en Linux no depende de una aplicación milagrosa. Se construye mediante capas: actualizaciones, privilegios mínimos, firewall, hardening, monitoreo, evaluación continua y una respuesta preparada antes de que ocurra el incidente.

