Si alguna vez te has sorprendido pensando «y si en mi sistema hay un agujero del tamaño del Gran Cañón», bienvenido. A continuación — una guía reciente de escáneres gratuitos que te ayudarán a detectar y neutralizar esos «cañones» digitales antes de que se pierda algo importante — como la reputación de la empresa o tu propio salario.
¿Para qué sirve un escáner de vulnerabilidades?
En términos generales: para dormir tranquilo. En concreto: para comprobar de forma automática y periódica el sistema operativo, los servicios, las aplicaciones web y la periferia de la red en busca de CVE conocidos, permisos incorrectos o simplemente configuraciones erróneas que puedan abrir una puerta al atacante sin llamar. Un escáner así:
- crea un inventario de hosts y un mapa abierto de puertos,
- compara versiones de software con la base CVE,
- proporciona un informe con prioridades y puntuaciones CVSS,
- a menudo sugiere parches o configuraciones «listas para usar».
Enfoques de escaneo
Todos los productos descritos a continuación se dividen en tres categorías:
- Escáneres de red — envían paquetes desde el exterior y «palpan» cualquier superficie TCP/UDP (OpenVAS, Nessus Essentials, Nmap).
- Soluciones con agente — instalan un pequeño agente en cada host (Wazuh, Microsoft Defender VM).
- Escáneres web — se especializan en auditoría DAST de aplicaciones web (OWASP ZAP, Nikto).
A continuación se examina cada herramienta desde la perspectiva de un administrador de Windows que quiere «instalé — hice clic — vi la zona roja».
1. Greenbone OpenVAS (Community Edition)
OpenVAS — el clásico escáner de red de código abierto, apodado «navaja suiza» del pentester. La guía recomienda instalarlo en Docker o en una VM; se puede escanear tanto un dominio como una máquina aislada en cualquier subred. El motor ejecuta más de 50 000 pruebas del feed diario.
Ventajas
- Totalmente gratuito, incluso para uso comercial.
- Con la configuración adecuada resiste redes de gran tamaño.
- Se controla con scripts; es posible crear tus propios plugins VT.
Desventajas
- ❗ Requiere un nodo Linux; en Windows puro habrá que levantar WSL2 o una VM.
- La configuración inicial no es trivial (feed NVT, certificados, Redis).
- El frontend puede volverse lento con informes muy grandes.
Recomendado para: empresas pequeñas y medianas dispuestas a lidiar con la consola a cambio de libertad total.
2. Nessus Essentials
Nessus Essentials — la versión «ligera» del célebre Nessus, gratuita hasta 16 direcciones IP. Hay instalador para Windows x64, interfaz web con perfiles de escaneo. Actualiza los plugins a diario, cubriendo los mismos CVE que la versión de pago. Desde 2024 genera informes en formato .nessus, PDF y CSV.
Ventajas
- Cinco minutos desde la descarga hasta el primer escaneo.
- El feed de Tenable se considera de los más completos.
- Los informes son comprensibles incluso para perfiles no técnicos; la puntuación CVSS se calcula automáticamente.
Desventajas
- Límite de 16 IP — perfecto para un laboratorio casero, insuficiente para una oficina.
- Tendrás que soportar mensajes que invitan a actualizar a Pro.
Recomendado para: administradores de pequeñas empresas que necesitan «una ventana» y nada de contenedores.
3. Wazuh 3.x (Open-source XDR + Vuln Detector)
Wazuh nació como SIEM/XDR, pero en el módulo Vulnerability Detector usa las mismas bases NVD que los escáneres y puede comparar versiones de paquetes de Windows y el software listado en «Programas y características». En 2025 apareció un instalador para Windows que enlaza el agente con un gestor centralizado en un servidor Linux o en la nube.
Ventajas
- El agente no carga la red: primero calcula hashes y luego descarga las cartografías CVE.
- Integración con MITRE ATT&CK, interfaz web basada en Kibana.
- Se pueden crear paneles «patch gap» para el CIO.
Desventajas
- Necesita un servidor gestor separado (Elastic/Wazuh-stack).
- La curva de entrada es mayor que «descargar — pulsar — escanear».
Recomendado para: quienes ya planeaban gestionar logs y quieren resolver dos problemas a la vez.
4. Microsoft Defender Vulnerability Management (Standalone Preview)
MDVM proviene de Defender for Endpoint y en 2024 obtuvo un plan SaaS independiente con un nivel gratuito «Evaluation lab» (hasta treinta días para 50 hosts). El agente ya viene integrado en Windows 10/11, por lo que no es necesario instalar nada adicional. La base CVE se obtiene mediante Microsoft Threat Intelligence.
Ventajas
- Integración nativa con Windows Security Center.
- Priorizador automático para Patch Tuesday.
- Permite ejecutar simulaciones de exploit en una sandbox.
Desventajas
- La funcionalidad es gratuita solo en modo «Evaluation». Para uso prolongado se requiere un plan E5 o una suscripción separada.
- Funciona únicamente en compilaciones actuales de Windows 10/11.
Recomendado para: entornos cuyo parque de máquinas ya está bajo Endpoint Protection y que necesitan integrar rápidamente la gestión de parches.
5. OWASP ZAP (DAST para desarrollador web)
ZAP es el favorito absoluto de los pentesters noveles de aplicaciones web. La interfaz en Java funciona bien en Windows, hace de proxy del tráfico y detecta automáticamente XSS, SQLi, CSRF y unas 100 amenazas más. La comunidad es activa en corregir y añadir plugins; salen versiones nuevas mensualmente.
Ventajas
- Se puede ejecutar en un sitio local antes de su despliegue.
- Dispone de modo headless para CI/CD (GitHub Actions, Azure DevOps).
- La documentación está redactada en lenguaje claro.
Desventajas
- No analiza aplicaciones de escritorio ni protocolos binarios.
- Un informe JSON grande puede ocupar cientos de megabytes.
Recomendado para: desarrolladores y equipos DevSecOps que quieran integrar DAST en la canalización.
6. Nmap + NSE-скрипты
Nmap — el veterano escáner de puertos, pero en el modo -sV --script vuln lanza decenas de scripts NSE que buscan CVE concretos. Para Windows existe una compilación oficial con GUI ( Zenmap). Parte de los scripts detectan SMB-v1, EternalBlue, Heartbleed y otras vulnerabilidades comunes.
Ventajas
- Fácil de integrar en un archivo por lotes o script de PowerShell.
- Funciona sin instalar agentes.
- Ideal para reconocimiento.
Desventajas
- La cobertura de CVE es mucho menor que la de los escáneres «pesados».
- El informe hay que analizarlo manualmente o parsear el XML.
7. Nikto 2
Nikto — escáner en consola escrito en Perl que revisa servidores web en busca de directorios obsoletos, configuraciones erróneas y versiones vulnerables de Apache/IIS. Funciona en Windows a través de Strawberry Perl o en WSL2.
Tabla resumen
| Herramienta | Tipo | Límite gratuito | Interfaz | Informe | Mejor para |
|---|---|---|---|---|---|
| OpenVAS CE | Red | Sin límite | GUI web | PDF, HTML | Empresas pequeñas y medianas hasta 1000 hosts |
| Nessus Essentials | Red | 16 IP | GUI web | PDF, CSV | Laboratorio doméstico, oficina pequeña |
| Wazuh (Vuln Detector) | Con agente | Sin límite | Kibana | JSON, paneles | SIEM y gestión de vulnerabilidades |
| MD Vulnerability Mgmt | Con agente | 50 hosts / 30 días | Portal 365 | Web, CSV | Corporaciones en M365 |
| OWASP ZAP | DAST | Sin límite | GUI Java | HTML, JSON | Desarrollo web |
| Nmap NSE | Scripts CLI | Sin límite | CLI / Zenmap | XML, formato grepable | Reconocimiento de red |
Cómo elegir «el adecuado»
Para no montar un «festival de escáneres» en el portátil de trabajo, hazte tres preguntas:
- ¿Cuántos hosts? — si el parque supera los 20 hosts, Nessus Essentials ya no dará abasto.
- ¿Necesitas DAST para web? — en ese caso ZAP/Nikto son obligatorios.
- ¿Tienes habilidades en Linux? — OpenVAS y Wazuh ofrecen el máximo provecho, pero requieren tiempo de configuración.
Trucos para la instalación en Windows
- OpenVAS en Docker Desktop. Importa la imagen lista
greenbone/community-edition, mapea los puertos 9390-9392. Se requerirán al menos 4 GB de RAM. - Nessus Essentials se puede arrancar como servicio y enviar informes por SMTP.
- Agentes Wazuh se instalan silenciosamente con
msiexec /i wazuh-agent.msi /qn— cómodo para desplegar vía GPO.
Consejos para ejecutar de forma segura
Un escáner es otro «usuario con privilegios» en la red. Por eso:
- Crea una cuenta de servicio separada con los mínimos permisos;
- Realiza escaneos autenticados solo por SSH/WinRM con autenticación por clave;
- No ejecutes escaneos completos en horario laboral — el portátil del contable probablemente se saturará;
- Guarda los informes como confidenciales: la tabla de CVE es un regalo para un atacante.
Conclusión
Conclusión principal: los escáneres gratuitos cubren realmente el 80 % de los riesgos diarios si se usan con regularidad. Uno o dos instrumentos en el arsenal — y ya no eres «un vaquero en la niebla», sino alguien que sabe dónde está lo débil y qué reparar primero. Además, es una buena excusa para decirle a la dirección: «Miren, hay amenazas, pero las mantenemos bajo control y el presupuesto sigue intacto».
Buena caza de fallos — y que el único «agujero» en tu vida sea la rosquilla de la empresa los viernes.
