Escáneres gratuitos para detectar vulnerabilidades en Linux: guía completa

Escáneres gratuitos para detectar vulnerabilidades en Linux: guía completa

Escanear la infraestructura en busca de vulnerabilidades es como revisar la presión de los neumáticos antes de un viaje largo. Se puede ignorar, pero en la carretera dolerá después. En este artículo analizamos diez escáneres gratuitos para Linux: hablaremos de sus puntos fuertes y débiles, indicaremos dónde son especialmente útiles y dónde es mejor buscar una alternativa. Abróchense los cinturones — será directo y sin palabrería.

Por qué el escaneo regular no es «paranoia de los administradores»

Cada día alguien publica en Internet un nuevo exploit (y este, maldita sea, suele quedarse allí). NVD añade miles de CVE al año. De la mayoría estamos protegidos por parches, pero a menudo — por desgracia — no a tiempo. Por eso un escáner de vulnerabilidades es nuestro control semanal: comprobar si ha aparecido algo nuevo por el camino.

  • Razón empresarial: las multas por fugas y la interrupción de servicios cuestan más que una hora de escaneo.
  • Razón técnica: automatización. 10 servidores todavía se pueden comprobar a mano, pero 200 es difícil.
  • Razón existencial: la tranquilidad del administrador (aunque no hay garantías).

Método de selección de los protagonistas del análisis

Para que una herramienta entrara en la lista, aplicamos tres criterios simples pero estrictos:

  1. Gratuidad. Completamente FOSS o una licencia 'Essentials' condicionada.
  2. Firmas actualizadas. Actualizaciones de la base CVE al menos una vez por trimestre.
  3. Funcionamiento nativo en Linux. No vía Wine ni con rituales complicados.

También observamos la actividad de la comunidad, la comodidad del CLI/GUI y la documentación. Si alguna utilidad se actualizó por última vez cuando GNOME 2 era novedad — la descartamos de inmediato.

Breve reseña de cada escáner

OpenVAS / Greenbone Vulnerability Manager

La «gran arma verde» del escaneo de red. Capaz de generar informes detallados, maneja miles de plugins NVT, y de serie soporta las políticas CIS Benchmark. Consume recursos como un PostgreSQL hambriento, pero cubre casi todo: desde SMB hasta configuraciones TLS.

  • Ventajas: base potente, interfaz web completa.
  • Desventajas: la instalación recuerda a un desafío «montar a Frankenstein con contenedores».
  • Dónde es bueno: redes corporativas donde se necesita un informe «para la dirección».
  • Documentación

Nmap + NSE

El viejo y confiable Nmap por sí solo no es un escáner de vulnerabilidades, pero su nmap scripting engine convierte la herramienta en una navaja suiza de auditoría. Cientos de scripts: desde la detección de Heartbleed hasta la búsqueda de SSL sin parchar.

  • Ventajas: ligero, funciona en todas partes, fácil de automatizar.
  • Desventajas: hay que entender qué scripts ejecutar y cómo interpretar la salida.
  • Dónde es bueno: reconocimiento rápido antes de un escaneo profundo.
  • Catálogo de scripts NSE

Nikto

Escáner web de la era de los dinosaurios, pero aún pertinente. Revisa configuraciones de servidores HTTP, busca directorios expuestos, módulos obsoletos y otras rarezas web.

  • Ventajas: se ejecuta con un comando, su diccionario se actualiza constantemente.
  • Desventajas: muchas detecciones «ruidosas» (falsos positivos).
  • Dónde es bueno: comprobación rápida del sitio antes del despliegue.
  • Sitio oficial

Lynis

No es de red, sino un auditor de host: entra como root, lee configuraciones, verifica permisos, módulos del kernel, y ofrece un hardening index. Lo ejecutas, completas la lista de comprobación y vas a reparar a regañadientes.

  • Ventajas: instalación rápida, recomendaciones detalladas en texto plano.
  • Desventajas: solo Linux/Unix, sin GUI.
  • Dónde es bueno: servidores donde hay que evaluar rápidamente el «nivel de protección».
  • Documentación

Trivy

La estrella de la era Docker de Aqua Security. Escanea imágenes de contenedores, repositorios, clústeres Kubernetes y configuraciones IaC. Se puede ejecutar como verificación en CI: resulta aleccionador.

  • Ventajas: se instala en segundos con un solo binario, soporta SBOM.
  • Desventajas: orientado al mundo de contenedores; tiene poco sentido para un servidor «puro».
  • Dónde es bueno: pipeline DevOps, auditoría de la cadena de suministro.
  • Documentación

Wapiti

Escáner web francés y ligero (sí, no lanza baguettes). Busca XSS, inyecciones SQL, SSRF y otras dolencias clásicas.

  • Ventajas: herramienta CLI en un solo archivo, informe HTML claro.
  • Desventajas: más lento que Nikto, requiere configuración para SPA.
  • Dónde es bueno: para ingenieros que quieren una auditoría web «rápida y silenciosa».
  • Documentación

OWASP ZAP

Si se necesita algo más potente para la web, ZAP es casi un Burp, pero gratuito. Se ejecuta con GUI, intercepta el tráfico, realiza fuzzing de peticiones y genera gráficos de ataque.

  • Ventajas: abundancia de plugins, comunidad OWASP activa.
  • Desventajas: consume mucha memoria, la GUI en Java puede intimidar a los minimalistas.
  • Dónde es bueno: pruebas profundas de APIs REST y GraphQL.
  • Sitio oficial

Tabla comparativa breve

Herramienta Tipo de escaneo GUI Actualizaciones de la base Apto para CI/CD
OpenVAS Red Web Diariamente Opcional
Nmap + NSE Red No Ad hoc
Nikto Web No Semanalmente
Lynis Host No Mensualmente
Trivy Contenedores No Diariamente
Wapiti Web No Irregularmente
OWASP ZAP Web Frecuentemente Mediante scripts

Cómo elegir «tu» escáner

La mala noticia: no existe una bala de plata. La buena: una combinación de herramientas cubre el 95 % de las necesidades habituales. Truco: mantén Nmap –sn para reconocimiento rápido, Trivy para contenedores, y algo pesado como OpenVAS cuando se necesita un informe «de 500 páginas en PDF».

  • Red + hosts Windows? OpenVAS.
  • ¿Escaneo rápido de puertos? Nmap/NSE.
  • ¿Sitio en WordPress? Nikto + Wapiti.
  • ¿Clúster Kubernetes? Trivy.
  • ¿Pruebas de REST API? ZAP.

Riesgos y cómo evitarlos

El error más común es ejecutar el escáner «a lo bruto» en un entorno PROD en vivo sin limitar la velocidad. Resultado: el monitoreo alerta y la base amenaza con caerse. Configure el rate limit y listas negras (por ejemplo, para /health-checks).

El segundo problema son los falsos positivos. Cualquier herramienta, por precaución, a veces ve un fantasma de CVE donde no lo hay. La salida es simple: verificación. Cree un playbook separado: «si se detecta una vulnerabilidad crítica — la verificamos manualmente o con un segundo escáner».

Consejos de automatización

  1. Gancho CI/CD. Dispare Trivy/Nikto en cada push a main — los desarrolladores aprenderán rápido que un paquete desactualizado significa «build rojo».
  2. Cron y bot de Slack. Programe OpenVAS una vez por semana y envíe el resumen al bot en #sec-ops.
  3. Parseo de salidas XML/JSON. Nmap y ZAP producen JSON — se pueden integrar fácilmente en ELK o Grafana Loki.

Conclusión: no buscar «la mejor», sino «la adecuada»

Las herramientas gratuitas para Linux cubren la mayoría de las tareas de seguridad si se usan con criterio. No espere que un escáner mágicamente «tape» los agujeros. Solo indica dónde esos agujeros soplan siniestramente al viento. Y arreglarlos tendrá que hacerlo usted — o su devops de guardia, que ya está preparando café más fuerte. Así que monte su «set combinado», póngalo en piloto automático, pero no olvide revisar el informe de vez en cuando — y dormirá algo más tranquilo.

¡Felices escaneos, logs limpios y un mínimo de «severidad crítica» por las mañanas!

Alt text
article-title

Niko Nepo