El servicio Wazuh Cyber Threat Intelligence (CTI) es como tener un radar actualizado que te avisa cuando hay amenazas cibernéticas o vulnerabilidades dando vueltas por ahí. Es una plataforma pública que se encarga de recopilar, analizar y compartir información útil sobre nuevos riesgos que pueden afectar la seguridad de tus sistemas.
Esta primera versión del servicio está enfocada principalmente en inteligencia sobre vulnerabilidades. ¿Qué significa eso? Que te mantiene al tanto de fallos de seguridad conocidos (los famosos CVEs), te dice qué tan graves son, si están siendo explotados activamente y qué podrías hacer para protegerte. Para asegurarse de que la información sea confiable y relevante, Wazuh recopila estos datos de fuentes confiables (como proveedores de sistemas operativos y bases de datos reconocidas) y se encarga de limpiarlos y organizarlos bien antes de presentártelos.
¿El resultado? Tú (o tu empresa) pueden reducir las posibilidades de ser atacados, tapar huecos antes de que alguien los aproveche y evitar dolores de cabeza como filtraciones de datos.
Y esto no se queda ahí: con la versión 5.0 de Wazuh, el servicio CTI se va a poner aún más potente. Va a incluir otros tipos de inteligencia de amenazas, como indicadores de compromiso (IOCs), entre ellos IPs sospechosas, hashes de archivos maliciosos o URLs peligrosas. Además, las reglas de detección de amenazas también vendrán directamente desde esta plataforma, lo que facilitará mucho las cosas.
Para ofrecer datos fiables y actualizados, la plataforma Wazuh CTI se alimenta de una serie de fuentes bien conocidas y de confianza. Por un lado, toma información directamente de los proveedores de sistemas operativos, como AlmaLinux, Amazon Linux, ArchLinux, Ubuntu, Debian, Fedora, Oracle Linux, Red Hat (RHEL), Rocky Linux y SUSE, entre otros. Por otro lado, también consulta bases de datos de seguridad reconocidas como:
Las actualizaciones de seguridad de Microsoft (MSU)
La base de datos nacional de vulnerabilidades (NVD)
Open Source Vulnerabilities (OSV)
Y hasta reportes de la CISA (la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.)
Así se aseguran de cubrir un panorama bastante completo.
Ahora bien, no se trata solo de copiar y pegar datos. Wazuh tiene un flujo de trabajo bastante cuidado para tratar toda esta info con precisión y orden. Aquí te explicamos cómo lo hacen:
Como cada proveedor tiene su manera de publicar los datos, lo primero que hace Wazuh es recolectar todo y pasarlo por un proceso de “normalización”. Básicamente, convierte toda la información a un formato estándar (CVE JSON 5.0) para que sea más fácil de manejar y comparar.
Después, el equipo se pone a investigar qué sistemas y versiones específicas están realmente afectadas por cada vulnerabilidad. Nada de asumir o copiar sin verificar. Esta etapa es clave para que los datos sean precisos y confiables.
Luego viene una especie de limpieza y mejora: se corrigen errores de formato, se completa información que falte y se asegura que todo esté bien presentado. Así, el resultado final es mucho más útil y comprensible.
Una vez que pasan por todo este proceso, los datos ya están listos para ser compartidos. Se suben a un repositorio central y luego se publican mediante la API CTI de Wazuh, lista para que los usuarios la consulten y la usen para mejorar su seguridad.
Conoce más sobre: ¿Qué es Wazuh?: Open Source XDR Open Source SIEM
Acceder a Wazuh CTI es súper sencillo. Esta herramienta alimenta tanto el sitio web público de inteligencia de amenazas como la función de detección de vulnerabilidades dentro de la plataforma unificada XDR y SIEM de Wazuh. Así que puedes consultarlo desde donde te resulte más cómodo: el sitio web de Wazuh CTI o directamente desde tu panel de Wazuh, en la sección llamada “Detección de vulnerabilidades”.
El sitio web de Wazuh CTI es abierto, lo puede usar cualquiera y (¡buenas noticias!) no necesitas tener Wazuh instalado para consultarlo. Es muy fácil de usar y viene con una herramienta de búsqueda bastante completa, ideal para filtrar vulnerabilidades por:
ID de CVE
Aplicación o sistema afectado
Nivel de gravedad (CVSS)
Fecha de publicación
Y más opciones para personalizar la búsqueda
Es perfecto si quieres hacer consultas rápidas, investigar vulnerabilidades específicas o simplemente estar al tanto de lo que está pasando en el mundo de la ciberseguridad.
También puedes explorar los datos de CVE por su fuente, revisar las tendencias de vulnerabilidades por año y ver cuáles son las más buscadas por otros usuarios. Es una forma súper útil de estar al tanto de lo que está pasando en el mundo de la ciberseguridad y saber qué vulnerabilidades están generando más ruido.
Podría interesarte leer: Escaneo de Vulnerabilidades con Wazuh
A partir de la versión 4.12 de Wazuh, ya puedes entrar directo a Wazuh CTI desde las alertas de vulnerabilidades en el mismo panel de control. ¿Cómo? Súper fácil: solo ve a Detección de vulnerabilidades > Inventario y haz clic en el botoncito de cualquier problema sin resolver. Eso te va a llevar a la página del CTI de Wazuh, donde podrás ver todos los detalles relacionados con esa vulnerabilidad.
Por ejemplo, si haces clic en CVE-2025-0411, te lleva directo a la info de un problema en el paquete 7-Zip, que tiene una falla que permite a atacantes evitar el sistema de seguridad Mark-of-the-Web (MotW).
Una vez que estás en el sitio del CTI, vas a encontrar todo lo que necesitas: descripción de la vulnerabilidad, qué sistemas y versiones están afectados, qué tan grave es y hasta enlaces para leer más al respecto. Aquí abajo puedes ver cómo aparece esa vulnerabilidad específica dentro del sitio de Wazuh CTI.
Wazuh CTI es como tu centro de inteligencia personal contra amenazas cibernéticas. Se encarga de reunir, analizar y compartir información útil sobre vulnerabilidades y riesgos que podrían afectarte. Por ahora, está muy enfocado en todo lo relacionado con vulnerabilidades conocidas, pero la idea es que en futuras actualizaciones se amplíe para cubrir más tipos de amenazas.
Además, también va a ir actualizando el conjunto de reglas de Wazuh, lo que significa que la detección de amenazas será cada vez más precisa y rápida. En resumen: Wazuh CTI es una herramienta que no deja de mejorar, y que puede convertirse en una parte clave de tu estrategia de seguridad digital.