Cómo certificar en el ENS con software libre (Wazuh, Ansible y más)

/en
ENS · Ciberseguridad · Software libre

El ENS con software libre.
Sin licencias, sin lock-in.

Si prestas servicios a la Administración Pública española, el Esquema Nacional de Seguridad no es opcional. Esta guía explica qué controles exige el RD 311/2022, qué herramientas libres los cubren y qué error organizativo se carga la certificación antes de la auditoría.

14 min de lecturaENS · Seguridad · Open source · actualizado

El RD 311/2022 obliga a todo proveedor tecnológico de la Administración a demostrar que cumple el ENS antes de firmar un contrato. No es un trámite puntual: es un sistema de gestión que vive contigo. Y entre los acrónimos, los anexos y las consultoras que te miran como si fueras a comprar un yate, es fácil pensar que solo está al alcance de multinacionales.

No lo está. En SIXE llevamos años implantando el stack de seguridad open source para clientes que trabajan con organismos públicos. Wazuh, Ansible, OpenVAS, Keycloak — herramientas sin coste de licencia que, bien configuradas y bien documentadas, pasan la auditoría. Esta guía resume lo que hemos aprendido.

01 · El marco normativo

¿Qué te pide exactamente el ENS?

El ENS, regulado por el Real Decreto 311/2022, clasifica los sistemas en tres niveles según el impacto que tendría un incidente de seguridad. Las medidas se agrupan en tres bloques: marco organizativo (políticas, normativa, procedimientos), marco operacional (cómo operas el día a día) y medidas de protección (instalaciones, equipos, comunicaciones, software e información).

Lo más importante: el ENS no te dice qué producto comprar. Te dice qué control tienes que tener. Y ahí es donde el software libre compite en igualdad de condiciones con cualquier suite comercial.

Calculadora de nivel ENS

Responde tres preguntas para saber qué nivel del ENS te aplica y qué controles son prioritarios:

~/ens-level-calculator
Pregunta 1 de 3
$ ens-calc --question 1
¿Qué tipo de información gestiona tu sistema?
$ ens-calc --output
Kit técnico recomendado

El resultado de la calculadora es orientativo. El nivel definitivo lo fija la guía CCN-STIC-803 mediante el análisis de las dimensiones de seguridad (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad) de cada sistema.

02 · El stack técnico

Qué herramienta cubre qué control ENS

Selecciona una herramienta para ver qué controles del ENS cubre y cuánto de la cobertura técnica total representa. El RD 311/2022 exige controles técnicos y organizativos — el mapa de abajo refleja solo los técnicos.

Wazuh (SIEM/XDR/HIDS)
Plataforma open source de seguridad: centralización de logs, detección de intrusiones, FIM, gestión de vulnerabilidades y respuesta activa. Licencia libre, sin coste por agente.
Cobertura ENS técnica
72%
op.exp.8Registro de actividad del sistema
op.exp.9Registro y gestión de incidentes
op.exp.6Protección frente a código dañino
op.mon.1Detección de intrusiones
op.mon.3Vigilancia y monitorización (nivel Alto)
mp.si.2Integridad de ficheros y directorios (FIM)
mp.info.3Cifrado y protección de la informaciónparcial
op.acc.*Control de acceso e identidad
Servicios Wazuh de SIXE →
Ansible + OpenSCAP + Lynis
Automatización de hardening: define la configuración segura base como código, aplícala a toda la flota y demuestra a la auditora que es reproducible y auditable. Imprescindible para configuración CIS.
Cobertura ENS técnica
55%
op.exp.2Configuración de seguridad (hardening)
op.exp.3Gestión de la configuración (IaC)
mp.sw.1Desarrollo y adquisición de software seguro
mp.eq.3Seguridad en dispositivos y equipos
op.exp.5Gestión de cambios controlada y trazable
op.mon.*Monitorización y correlación de eventos
Cursos Linux + Automatización →
OpenVAS / GVM (Greenbone)
Escáner de vulnerabilidades open source. En nivel Alto el ENS exige ciclos de escaneo mensuales con priorización por CVSS. GVM Community Edition es gratuita y auditable.
Cobertura ENS técnica
30%
op.exp.4Identificación y gestión de vulnerabilidades
op.exp.7Gestión de parches y actualizacionesparcial
mp.sw.2Aceptación y puesta en servicio de software
op.mon.1Detección de intrusiones en tiempo real
Consulta sobre gestión de vulnerabilidades →
Keycloak / FreeIPA + privacyIDEA
Gestión centralizada de identidades (IAM), SSO y doble factor de autenticación. En nivel Medio/Alto el ENS exige MFA para accesos privilegiados. Keycloak es la referencia open source para cumplirlo.
Cobertura ENS técnica
40%
op.acc.1Identificación y autenticación de usuarios
op.acc.2Requisitos de acceso y control de privilegios
op.acc.5Mecanismos de autenticación fuerte (MFA)
op.acc.6Acceso local (consola) y remoto controlado
op.mon.1Monitorización de actividad y correlación
Soluciones de identidad y acceso →
pfSense / OPNsense + Suricata
Firewall y segmentación de red. Con Suricata o Zeek como IDS/IPS de red. En nivel Alto el ENS exige separación estricta del tráfico y defensa perimetral documentada.
Cobertura ENS técnica
38%
mp.com.1Perímetro seguro y segmentación de red
mp.com.2Protección de la confidencialidad en tránsito
mp.com.3Autenticidad y control de la integridad
op.ext.1Contratación y acuerdos de interconexiónparcial
op.acc.7Acceso remoto cifrado (VPN)parcial
Arquitectura de red segura →
BorgBackup / Restic + LUKS
Copias de seguridad cifradas, deduplicadas y verificadas. En nivel Alto el ENS exige restauración probada y documentada. No vale con "se copia, supongo". LUKS para cifrado de soportes.
Cobertura ENS técnica
28%
mp.info.6Copias de seguridad de la información
op.cont.1Análisis de impacto y plan de continuidadparcial
op.cont.2Plan de recuperación ante desastres (DRP)parcial
mp.si.2Cifrado de soportes (LUKS / VeraCrypt)
op.cont.3Continuidad de servicios en Alta disponibilidad
Soporte Debian y gestión de backups →
El porcentaje importa menos de lo que parece

Ninguna herramienta cubre el 100% de los controles ENS sola — ni las comerciales. La cobertura completa viene de combinar el stack correctamente y de añadir el marco organizativo. Una herramienta con el 100% del código y el 0% de la documentación no supera la auditoría.

03 · El error que todo el mundo comete

Instalar las herramientas no es cumplir el ENS

Es el error más frecuente y el más caro. Si llegas a la auditoría con Wazuh recién desplegado, sin política de seguridad firmada, sin análisis de riesgos, sin declaración de aplicabilidad y sin un responsable de seguridad designado, las herramientas no te salvan.

El software libre cubre el qué técnico. Pero el ENS también exige el cómo organizativo:

  • Política de seguridad aprobada por la dirección
  • Normativa de uso de los sistemas
  • Procedimientos operativos de seguridad (POS)
  • Declaración de Aplicabilidad — qué controles aplican y por qué
  • Análisis de riesgos formal, no una hoja de Excel sin fecha
  • Plan de continuidad con restauraciones probadas y documentadas
  • Gestión de incidentes con registro trazable
  • Formación al personal — el curso LPIC-1 o LPIC-2 para el equipo técnico refuerza esta parte
El ENS no es un proyecto con fecha de fin

La auditoría de certificación es solo el primer hito. Después vienen las de seguimiento y, cada dos años, la renovación. El sistema de gestión tiene que vivir contigo: revisiones periódicas, actualización de riesgos, registros de incidentes, trazabilidad de cambios. Si no tienes esto interiorizado antes de la primera auditoría, la segunda será más difícil que la primera.

04 · Tu nivel de preparación

¿Cuánto te falta para la auditoría?

Marca todo lo que ya tienes en producción o documentado. La puntuación refleja tu nivel de madurez real, no el declarado:

Evaluación de madurez ENS — autoevaluación rápida
Marca solo lo que tienes operativo y documentado, no lo que "está en proceso".
Marco organizativo
Política de seguridad documentada y aprobada por la dirección (con fecha y firma)
Análisis de riesgos formal completado y actualizado en los últimos 12 meses
Declaración de Aplicabilidad (DoA) que identifica controles aplicables y excluidos
Responsable de Seguridad de la Información (RSEI) designado formalmente
Marco operacional
SIEM/XDR desplegado y con reglas ajustadas a tu entorno (no instalación por defecto)
Hardening documentado y reproducible (Ansible + OpenSCAP o equivalente)
Gestión de vulnerabilidades: escaneos periódicos con seguimiento de CVEs
Control de acceso: MFA activo para cuentas privilegiadas y accesos remotos
Procedimiento de gestión de incidentes con registro trazable y tiempos de respuesta definidos
Medidas de protección
Copias de seguridad cifradas con restauración probada y documentada (no asumida)
Cifrado de soportes en todos los dispositivos con datos sensibles (LUKS, VeraCrypt)
Comunicaciones cifradas: VPN para accesos remotos, TLS en todas las aplicaciones internas
Formación en seguridad impartida al personal (con registro de asistencia)
0%
Punto de partida
Empieza marcando lo que ya tienes. La puntuación se actualiza en tiempo real.
Formación como control ENS

El ENS exige formación al personal en seguridad con evidencia documentada. Los cursos LPIC-1 y LPIC-2 de SIXE cubren las competencias técnicas de administración Linux que los auditores esperan encontrar en el equipo que opera la infraestructura. Los certificados Credly sirven como evidencia.

05 · La base que nadie menciona

Linux es la plataforma del stack ENS. Necesitas dominarlo.

Wazuh corre en Linux. OpenVAS corre en Linux. Ansible gestiona servidores Linux. Keycloak se despliega en Linux. El stack completo de seguridad open source tiene a Linux como base — y un sistema mal administrado invalida cualquier herramienta que corra sobre él.

En SIXE ofrecemos dos servicios que encajan directamente con la certificación ENS:

  • Soporte Debian — mantenimiento proactivo, aplicación de parches de seguridad (op.exp.7), hardening CIS y documentación de cambios. Todo lo que el ENS pide para la gestión del ciclo de vida del sistema operativo.
  • Formación LPIC-1 y LPIC-2 — certificación internacional que cubre administración, seguridad, redes y automatización en Linux. Los auditores ENS valoran que el equipo técnico tenga competencias acreditadas.

Y para el hardening automatizado: nuestro servicio de implantación con Ansible aplica los perfiles de seguridad CIS sobre tu flota completa, genera evidencias de cumplimiento y deja la configuración como código versionado en Git. Exactamente lo que el auditor quiere ver en el control op.exp.3.

Conclusión

Libre, bien hecho y con criterio

Cumplir el ENS con software libre no solo es viable: en muchos casos es la mejor decisión técnica y económica. Sin licencias recurrentes, sin dependencia de fabricante, con control total sobre los datos y con la capacidad de demostrar en auditoría que sabes exactamente lo que corre en tus sistemas.

Pero ninguna herramienta libre te da el criterio, el diseño y el método en una caja. La tecnología es condición necesaria — no suficiente. El marco organizativo, la documentación y el rigor de proceso son lo que diferencia a quien supera la auditoría de quien la suspende con las mismas herramientas instaladas.

Resumen ejecutivo

Wazuh cubre el marco operacional: logs, monitorización, FIM, detección de intrusiones.

Ansible + OpenSCAP automatiza el hardening y lo hace reproducible y auditable.

OpenVAS gestiona vulnerabilidades con escaneos periódicos trazables.

Keycloak centraliza identidades y habilita MFA para accesos privilegiados.

BorgBackup + LUKS cubre continuidad y cifrado de soportes.

→ Todo esto sin documentación organizativa, política de seguridad y análisis de riesgos: no pasa la auditoría.

FAQ

Preguntas frecuentes sobre ENS y software libre

El ENS, regulado por el Real Decreto 311/2022, es el marco normativo que obliga al sector público español y a sus proveedores tecnológicos a proteger la información y los servicios que manejan. Clasifica los sistemas en tres niveles (Básico, Medio y Alto) según el impacto que tendría un incidente de seguridad.

Sí, si prestas servicios tecnológicos o gestionas datos de cualquier Administración Pública española. Sin certificación ENS, quedas fuera de las licitaciones públicas que la exigen — y cada vez son más.

Sí. El RD 311/2022 no prescribe productos específicos, sino controles de seguridad. Wazuh, Ansible, OpenVAS, Keycloak y pfSense cubren la mayor parte de los controles técnicos exigidos en cualquier nivel ENS.

Para nivel Básico, entre 3 y 6 meses desde que la infraestructura técnica está en marcha. Para nivel Medio, entre 6 y 12 meses. Para nivel Alto, puede superar los 12 meses por la exigencia de redundancia, cifrado integral y auditorías más exhaustivas.

No. Wazuh cubre una parte importante del marco operacional (logs, FIM, monitorización, detección de intrusiones) pero no sustituye las herramientas de IAM, VPN, hardening automatizado, backups ni la documentación organizativa que exige el ENS.

En Básico se exige cumplimiento mínimo. En Medio se añaden registros detallados, separación de funciones y gestión documentada de incidentes. En Alto se requiere cifrado obligatorio, doble factor, redundancia, segregación estricta de redes y monitorización continua 24/7.

Referencias

Normativa y recursos citados

Real Decreto 311/2022, Esquema Nacional de Seguridad. BOE

CCN-CERT — Guías CCN-STIC serie 800 (implementación ENS). ccn-cert.cni.es

CCN-CERT — CCN-STIC-803 Valoración de sistemas en el ENS. ccn-cert.cni.es

Wazuh — documentación oficial. documentation.wazuh.com

Greenbone — GVM Community Edition. greenbone.net

INCIBE — Herramientas y recursos para pymes y empresas. incibe.es

Publicado: · Última actualización:

ENS · Software libre · SIXE

Llevamos años certificando empresas en el ENS con open source

Diseñamos la arquitectura, desplegamos las herramientas, redactamos la documentación y preparamos la auditoría. Si ya tienes parte del stack pero no sabes dónde están los huecos, el diagnóstico inicial es sin compromiso.

WhatsApp Solicitar diagnóstico ENS Soluciones Wazuh
Corremos el último modelo de Liquid AI en IBM Power sin GPU | AIXLiquid AI’s New Model on IBM AIX10 Errores de Arquitectura y ROI en la Migración Post-VMware
SIXE