Ciberseguridad · ENS · Wazuh

Cumple el ENS con Wazuh.

Si tu empresa trabaja con la Administración Pública o quiere presentarse a pliegos, el Esquema Nacional de Seguridad te afecta. Wazuh es una herramienta gratuita que permite cubrir gran parte de lo que la norma te pide en materia de monitorización y trazabilidad. Pero no basta con instalarla — y hay cosas que no cubre.

12 min lecturaCiberseguridad · Normativa

El Esquema Nacional de Seguridad (ENS) es la norma española que establece cómo deben proteger sus sistemas informáticos las administraciones públicas — y las empresas que trabajan con ellas. Si alguna vez te han dicho "necesitas el ENS para entrar al pliego", de esto hablan.

Wazuh es una plataforma de seguridad de código abierto (open source) que centraliza los registros de actividad de tus servidores, detecta comportamientos sospechosos y genera las evidencias que un auditor necesita revisar. Es gratuita, tiene adopción creciente en administraciones públicas y centros de investigación europeos — incluido el CERN — y en SIXE la desplegamos en entornos de producción con configuración específica para el ENS.

Este artículo te explica, sin jerga innecesaria, qué te exige la norma, qué parte cubre Wazuh, qué parte no cubre, y qué necesitas hacer para llegar a tu auditoría preparado.

0€
Licencias Wazuh
10
Medidas ENS soportadas
2
Años entre auditorías
3K+
Reglas preconfiguradas
01 · A quién aplica

¿Qué es el ENS y te afecta para pliegos públicos?

El ENS está regulado por el Real Decreto 311/2022. En lenguaje llano: es la norma que dice cómo hay que proteger los sistemas informáticos que manejan información de la Administración Pública. Si tu empresa toca esos sistemas de alguna forma — vendiéndole software, dándole soporte, alojando sus datos — te aplica.

Mucha gente piensa que el ENS solo afecta a ministerios y grandes organismos. No es así.

Toca cada tarjeta para descubrir si el ENS te aplica
"Somos una PYME que vende software de gestión a un ayuntamiento."
Toca para revelar
Sí te aplica Cualquier empresa que suministre tecnología o servicios a la Administración Pública entra dentro del ENS.
"Soy responsable de informática de un ayuntamiento de 5.000 habitantes."
Toca para revelar
Sí te aplica Todo el sector público entra dentro del ENS, sin importar el tamaño del municipio. Lo más probable es que tu categoría sea BÁSICA o MEDIA.
"Tenemos una tienda online y no trabajamos con la Administración."
Toca para revelar
No te aplica Sin relación con el sector público, el ENS no es obligatorio. Ojo: podrían aplicarte otras normas (RGPD, NIS2). Y si en el futuro quieres entrar a pliegos, tendrás que cumplirlo.
"Nuestra consultora ha ganado un pliego para dar soporte informático a una consejería."
Toca para revelar
Sí te aplica Al prestar servicios tecnológicos a una entidad pública, tu empresa necesita cumplir el ENS en los sistemas involucrados.
"Somos subcontratistas de otra empresa que sí trabaja con la Administración."
Toca para revelar
Probablemente sí Si manejas datos o sistemas vinculados al servicio que el contratista principal presta a la Administración, el ENS se extiende a tu actividad. Revisa el contrato.

Las tres categorías: BÁSICA, MEDIA, ALTA

El ENS clasifica los sistemas en tres niveles según lo grave que sería un incidente de seguridad. La categoría determina cuántas medidas de protección te aplican y si necesitas una auditoría externa (obligatoria cada dos años en MEDIA y ALTA) o te basta con una autoevaluación (BÁSICA).

02 · Lo que te pide la norma

El ENS describe capacidades de un SIEM — aunque no use esa palabra

Un SIEM (Security Information and Event Management) es un sistema que centraliza los registros de actividad de todos tus servidores y equipos, los analiza automáticamente buscando patrones sospechosos, y genera alertas cuando algo no cuadra. Es como una cámara de seguridad para tu infraestructura informática, pero que además entiende lo que ve.

El ENS no dice "instala un SIEM". Pero en el Anexo II del RD 311/2022 — la lista de medidas de seguridad obligatorias — hay un control que describe exactamente eso. Se llama op.exp.8 (registro de la actividad de los usuarios), y su refuerzo R5, aplicable en categoría ALTA, dice literalmente:

Cita textual — Anexo II, op.exp.8 R5 (categoría ALTA)

"Se dispondrá de un sistema automático de recolección de registros, correlación de eventos y respuesta automática ante los mismos."

Fuente: Anexo II, RD 311/2022

Recolección automática + correlación + respuesta automática. Esas son, en la práctica, capacidades propias de un SIEM. En categoría ALTA esto es obligatorio. En categoría MEDIA el ENS exige registrar la actividad y revisarla periódicamente, pero no llega a pedir correlación automatizada de forma explícita — aunque en la práctica, hacer eso manualmente de forma sostenible es muy difícil.

Hay otros controles del Anexo II que apuntan en la misma dirección:

  • Detección de intrusión (op.mon.1) — tener herramientas que detecten accesos no autorizados o comportamientos anómalos.
  • Gestión de incidentes (op.exp.9) — documentar cada incidente de seguridad de principio a fin, con evidencias que sirvan incluso ante un tribunal.
  • Protección de registros (op.exp.10) — que nadie pueda manipular los logs. Si un atacante borra sus huellas, los registros tienen que seguir ahí.
  • Vigilancia continua (op.mon.3) — monitorizar la actividad del sistema de forma permanente y actuar automáticamente ante situaciones de riesgo. Aplica en MEDIA y ALTA.
Lo importante

El ENS no te obliga a instalar un SIEM por su nombre. Describe capacidades que, en la práctica, solo un SIEM cubre de forma razonable — especialmente a partir de categoría MEDIA, y de forma explícita en ALTA. Usar Wazuh para ello es una decisión técnica y económica, no una obligación normativa directa.

03 · Qué aporta Wazuh

Qué medidas del ENS soporta Wazuh — y en qué categoría

Wazuh es una plataforma open source (gratuita) que combina varias funciones de seguridad en un solo producto: centraliza los registros de todos tus equipos, vigila cambios en ficheros críticos, detecta vulnerabilidades conocidas, comprueba que la configuración de tus servidores sigue las buenas prácticas, y puede bloquear automáticamente una IP que intente entrar por fuerza bruta.

No cubre todo lo que el ENS pide — ningún producto lo hace solo. Pero soporta las 10 medidas del Anexo II que tienen que ver con monitorización, detección y trazabilidad:

Medida del Anexo II Función de Wazuh Qué hace, en llano
op.exp.2 · Configuración segura
Auditoría de configuración
Comprueba que tus servidores siguen las guías de seguridad recomendadas
op.exp.4 · Mantenimiento
Escaneo de vulnerabilidades
Detecta software con fallos conocidos que necesita actualización
op.exp.6 · Código dañino
Vigilancia de ficheros
Alerta si alguien modifica archivos críticos del sistema
op.exp.8 · Registro de actividad
Centralización de logs
Recoge y analiza los registros de actividad de todos los equipos
op.exp.9 · Gestión de incidentes
Respuesta a incidentes
Documenta cada incidente desde la alerta hasta el cierre
op.exp.10 · Protección de registros
Archivo cifrado
Guarda los logs de forma que nadie pueda alterarlos
op.acc.5 · Autenticación
Detección de accesos
Detecta intentos de acceso por fuerza bruta o logins sospechosos
op.mon.1 · Detección de intrusión
IDS + reglas
Identifica patrones de ataque conocidos en el tráfico de red
op.mon.2 · Métricas
Paneles de control
Visualizaciones en tiempo real del estado de seguridad
op.mon.3 · Vigilancia
Respuesta automática
Bloquea IPs, aísla equipos o mata procesos sin intervención humana
Arrastra el cursor — ¿Qué exige el ENS según tu categoría?
Básica Media Alta
op.exp.2Configuración segura
op.exp.6Vigilancia de ficheros
op.exp.8Registro + revisión de actividad
op.mon.3Vigilancia y monitorización continua
op.exp.8 R5SIEM con correlación + respuesta automática
CPSTICProductos aprobados por el CCN (recomendados)
Categoría BÁSICA — Registro de actividad básico. Un SIEM como Wazuh no es exigido, pero simplifica el cumplimiento. Autoevaluación cada 2 años.

Un matiz importante: la tabla anterior muestra las capacidades técnicas que Wazuh aporta. Pero una herramienta no "cumple" controles — lo hace la organización. Wazuh es el instrumento; la política, los procedimientos y la documentación son el marco que le da validez ante un auditor.

04 · Lo que no cubre

Qué NO hace Wazuh por sí solo

Esto es lo que casi nadie te cuenta. Y es donde más credibilidad ganas si lo explicas claro.

Wazuh no sustituye

Una política de seguridad. El ENS exige que tu organización tenga una política de seguridad formal aprobada por la dirección. Wazuh no la redacta.

La Declaración de Aplicabilidad (DoA). Es el documento que justifica ante el auditor qué herramientas usas, qué controles cubren y por qué. Wazuh no la genera.

La clasificación de sistemas. Determinar si eres categoría BÁSICA, MEDIA o ALTA es un análisis de riesgos que hace tu equipo o un consultor. No lo hace una herramienta.

El análisis de riesgos. El ENS exige un análisis formal de los riesgos sobre tus activos. Wazuh detecta amenazas, pero no evalúa riesgos de negocio.

Productos certificados del CPSTIC. Si tu análisis de riesgos determina que necesitas un producto aprobado oficialmente por el CCN para alguna capa (cifrado, autenticación), Wazuh no sustituye esa pieza.

Un equipo que revise las alertas. Un SIEM que nadie mira es una cámara de seguridad con la pantalla apagada. Wazuh genera alertas, pero si nadie las revisa y actúa, el cumplimiento es nominal.

Entender estos límites no debilita el argumento de usar Wazuh — lo refuerza. Porque cuando sabes qué hace y qué no, puedes montar un proyecto realista en vez de uno que se caiga en la primera auditoría.

05 · El matiz del catálogo oficial

Wazuh no está en el catálogo oficial de productos aprobados (CPSTIC)

El CPSTIC es el catálogo que mantiene el Centro Criptológico Nacional (CCN) con los productos de seguridad que han pasado una evaluación formal. Piensa en él como un "sello de calidad" del gobierno para herramientas de ciberseguridad. El ENS recomienda usar productos de este catálogo cuando forman parte de la arquitectura de seguridad del sistema.

Wazuh no está en el CPSTIC. No porque sea inseguro, sino porque pasar la evaluación formal (llamada LINCE o Common Criteria) cuesta dinero y tiempo, y Wazuh es un proyecto open source que no ha llevado a cabo ese proceso en España.

¿Entonces no puedo usarlo para el ENS?

Sí puedes. El propio Real Decreto lo contempla. El artículo 28 del RD 311/2022 permite usar lo que se llama medidas compensatorias: si justificas documentalmente que la protección que ofreces es equivalente, puedes usar herramientas que no estén en el catálogo. Esa justificación va dentro de la Declaración de Aplicabilidad (el "DoA" que hemos mencionado antes — el documento central de tu cumplimiento ENS).

En la práctica, qué significa esto según tu categoría:

  • BÁSICA — Wazuh con una DoA bien redactada es una opción viable y aceptada en la práctica.
  • MEDIA — Wazuh + DoA detallada + complementos aprobados para otras capas (autenticación reforzada, protección de datos) es una combinación que los auditores aceptan habitualmente si está bien documentada.
  • ALTA — Posible pero complejo. Necesitas desplegar Wazuh sobre infraestructura ya certificada ENS-Alta, combinar con productos del CPSTIC donde el análisis de riesgos lo requiera, y una DoA reforzada. No es plug-and-play.
Clave para la auditoría

Cualquier despliegue de Wazuh para ENS necesita ir acompañado de una Declaración de Aplicabilidad que mapee cada módulo a los controles que soporta y justifique las medidas compensatorias. Sin ese documento, el auditor no tiene base para validar la herramienta.

06 · Si vienes de otro SIEM

Migrar desde QRadar o Splunk sin perder cumplimiento

Si tu organización ya tiene un SIEM comercial (IBM QRadar, Splunk, Elastic Security) con la licencia a punto de renovar, Wazuh es una alternativa viable. La pregunta es cómo migrar sin que haya un hueco en tu historial de cumplimiento — especialmente si tienes una auditoría programada.

De SIEM comercial a Wazuh — sin ruptura de cumplimiento
1
Inventario de reglas activasLas que alguien mira de verdad, no las que vinieron de fábrica y nadie tocó en 5 años.
2
Traducción de reglas a WazuhReescribir las reglas custom en formato Wazuh + crear decoders para tus aplicaciones.
3
Exportación del históricoArchivar los eventos pasados en formato neutro. Sin esto, el auditor ve un hueco en tus registros.
4
Despliegue en paralelo (4–6 semanas)Ambos SIEM funcionando a la vez. Verificar que Wazuh capta todo lo que captaba el anterior.
5
Validación con auditorOpcional pero recomendable en MEDIA. Que dé el visto bueno antes de apagar el SIEM antiguo.
6
Apagado + documentaciónTransición documentada en la DoA. Continuidad de cumplimiento sin ruptura.

En SIXE tenemos un vertical fuerte de IBM QRadar con formación oficial. Sabemos qué hace QRadar y qué hace Wazuh, y dónde están las piezas que hay que reconstruir cuando migras.

07 · El error que todos cometen

Instalar Wazuh y dejarlo "de fábrica" no es cumplir el ENS

Wazuh trae más de 3.000 reglas preconfiguradas. La mayoría no aplican a tu entorno. Si solo tienes servidores Linux pero dejas activas las reglas de Solaris, Windows Server 2012 y AIX, lo que consigues es ruido: alertas que nadie entiende, que nadie mira, y que al cabo de unas semanas se ignoran por sistema.

Lo que falta en la instalación por defecto

No incluye paneles de control específicos para el ENS. Los paneles que vienen son para otras normativas (PCI DSS, HIPAA, GDPR). Para el ENS hay que construirlos: uno por familia de medidas, con datos que el auditor pueda revisar de un vistazo.

No incluye reglas para tus aplicaciones internas. El portal de tramitación, el ERP, los procesos de batch nocturnos — sin reglas adaptadas, esos registros entran como texto sin analizar y la monitorización pierde sentido.

La instalación son 1–2 días. El afinado son 4–6 semanas. La instalación es lo que parece el proyecto. El afinado es el proyecto.

Si ya tienes Wazuh montado pero sin afinar, cuéntanos qué tienes — el diagnóstico inicial no tiene compromiso.

08 · Preparar la auditoría

Qué necesitas tener listo para la auditoría ENS

Si necesitas ayuda evaluando en qué punto estás, un análisis de estado de seguridad puede ser un buen punto de partida. Estos son los documentos y evidencias que un auditor ENS va a buscar:

  • Declaración de Aplicabilidad (DoA) — el documento que mapea cada control del Anexo II a las herramientas y procedimientos que lo soportan en tu organización. Es el corazón de tu cumplimiento.
  • Política de retención de registros — cuánto tiempo conservas los logs y dónde los almacenas. El ENS no fija un periodo concreto, pero la práctica habitual en auditorías es entre 12 y 24 meses según la categoría y el resultado del análisis de riesgos.
  • Procedimientos de respuesta a incidentes — qué haces cuando salta una alerta: quién la recibe, cómo se investiga, cómo se contiene, cómo se documenta.
  • Procedimientos de gestión de vulnerabilidades — cada cuánto se revisan los parches pendientes y en qué plazo se aplican según su gravedad.
  • Paneles de control específicos ENS — separados de los genéricos, con datos agrupados por familias de medidas del Anexo II.
  • Evidencias periódicas archivadas — extractos de eventos críticos, configuración de reglas vigente, registro de cambios en el sistema. Listas para entregar sin improvisar la semana antes.
  • Plan de mejora continua — el artículo 27 del RD 311/2022 lo exige.
09 · Formación

Formación Wazuh para equipos que necesitan cumplir el ENS

Un sistema de monitorización que nadie revisa no detecta incidentes — solo los registra. Si tu equipo informático no entiende qué está viendo en los paneles de Wazuh, las alertas se acumulan sin gestión y la herramienta se vuelve invisible.

El conocimiento necesario para operar Wazuh en un contexto ENS es específico: leer eventos y distinguir alertas reales de ruido, crear reglas adaptadas a tus aplicaciones, preparar las evidencias que el auditor necesita, y responder a incidentes con la trazabilidad que la norma exige.

Existen programas de formación con foco en Wazuh, in-company o virtual en vivo, con temario adaptable a tu sector y nivel.

Formación Wazuh →

Resumen

Lo esencial, para quien tiene poco tiempo

En 6 puntos

→ El ENS describe capacidades propias de un SIEM en su Anexo II. En categoría ALTA es explícito (R5); en MEDIA es la forma más viable de cumplir.

Wazuh soporta 10 medidas del Anexo II relacionadas con monitorización, detección y trazabilidad.

Wazuh no está en el catálogo oficial (CPSTIC) — pero el ENS permite documentarlo como medida compensatoria en la Declaración de Aplicabilidad.

Wazuh no sustituye la política de seguridad, el análisis de riesgos, la DoA ni el equipo humano que revisa las alertas.

Instalarlo no es cumplir. La diferencia entre "tenemos Wazuh" y "estamos preparados para la auditoría" son 4–6 semanas de trabajo serio.

Wazuh es gratis. Implementarlo bien no lo es.

FAQ

Preguntas frecuentes

¿El ENS me obliga a tener un SIEM?

No usa esa palabra. Pero el Anexo II describe capacidades que en la práctica solo un SIEM cubre: registro centralizado, correlación de eventos y respuesta automática. En categoría ALTA (refuerzo R5) es explícito. En MEDIA no lo exige literalmente, pero cumplir los requisitos de registro y monitorización sin un SIEM es muy difícil de sostener ante un auditor.

¿Wazuh cumple con el ENS?

Wazuh aporta las capacidades técnicas para soportar la mayoría de las medidas de monitorización, detección y trazabilidad del Anexo II. Pero el cumplimiento lo demuestra la organización — no la herramienta. Lo que valida el auditor es la Declaración de Aplicabilidad, los procedimientos documentados y las evidencias.

¿Está Wazuh en el CPSTIC (catálogo oficial)?

No. Wazuh no ha pasado la evaluación formal del Centro Criptológico Nacional. Pero el artículo 28 del RD 311/2022 permite documentarlo como medida compensatoria en la Declaración de Aplicabilidad. En categoría BÁSICA y MEDIA es una opción aceptada en la práctica; en ALTA necesita arquitectura combinada con productos catalogados.

¿Sirve Wazuh para categoría ALTA?

Es posible, pero requiere un diseño cuidadoso: Wazuh sobre infraestructura certificada ENS-Alta, combinado con productos del CPSTIC donde el análisis de riesgos lo requiera, y una DoA reforzada. No es instalar y listo.

¿Cada cuánto se audita el ENS?

Auditoría externa cada dos años para categorías MEDIA y ALTA. La categoría BÁSICA requiere autoevaluación. Todas las entidades reportan anualmente al CCN-CERT a través del informe INES.

¿Mi equipo necesita formación específica?

Sí. Un sistema de monitorización que nadie revisa no detecta incidentes, solo los registra. La formación específica cubre cómo leer alertas, crear reglas adaptadas a tu entorno, y preparar las evidencias que el auditor necesita.

Fuentes

Referencias y normativa citada

Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. BOE-A-2022-7191

Anexo II del RD 311/2022 — Medidas de seguridad (texto consolidado). Iberley

Catálogo de Productos y Servicios STIC (CPSTIC), guía CCN-STIC 105. CCN-CERT

Departamento de Seguridad Nacional — página oficial del ENS. dsn.gob.es

Wazuh — documentación oficial. documentation.wazuh.com

INCIBE — Catálogo de empresas de ciberseguridad. catalogo.incibe.es

Catálogo completo de formación oficial · SIXE.

Última actualización:

Wazuh + ENS

¿Hablamos de tu proyecto?

Nos cuentas qué categoría ENS te aplica, qué tienes hoy y cuándo es tu próxima auditoría. Salimos con un esbozo de arquitectura y siguientes pasos.

Sesión técnica Formación Wazuh
Chain of Thought: por qué tu IA no razona
SIXE