¿Qué es Wazuh y por qué se habla tanto de él en 2026?

Wazuh es una plataforma open source que unifica SIEM y XDR en un solo agente y un solo stack. Cubre análisis de logs en tiempo real, integridad de ficheros, escaneo de vulnerabilidades CVE, detección con reglas propias y reglas MITRE ATT&CK, respuesta activa y cumplimiento regulatorio. En 2026 se habla más de él por tres razones que coinciden en el tiempo: Cisco compró Splunk por 28.000 millones de dólares, Palo Alto Networks compró los activos SaaS de IBM QRadar, y Wazuh lanzó en junio de 2025 una función de threat hunting con LLM local integrado. Mientras el SIEM comercial se consolidaba, Wazuh seguía siendo independiente y creciendo.

¿Qué pasó con IBM QRadar después de la adquisición por Palo Alto Networks?

En mayo de 2024 Palo Alto Networks anunció la compra de los activos SaaS de QRadar por unos 500 millones de dólares, y el cierre se produjo en septiembre de 2024. Los clientes de QRadar SaaS tienen que migrar a Cortex XSIAM, la plataforma de Palo Alto, o cambiarse a otro proveedor. Forrester lo resumió sin rodeos: cuando expiren los contratos, los clientes SaaS van a tener que abrazar XSIAM o marcharse. La versión on-premise de QRadar sigue recibiendo soporte de IBM, pero en modo mantenimiento: bug fixes críticos y actualizaciones de conectores, sin grandes novedades funcionales. Para muchos equipos eso significa replantearse la estrategia de SIEM a medio plazo.

¿Wazuh es realmente gratis o hay letra pequeña?

Wazuh es 100% open source y gratuito bajo licencia AGPLv3. No hay versión 'community limitada' frente a una 'enterprise de pago' como en otros proyectos. Todas las capacidades core están en la versión abierta: SIEM, XDR, FIM, vulnerability scan, compliance, active response, multi-tenant, alta disponibilidad, cluster de indexer, integración con MITRE ATT&CK. El único servicio de pago directo es Wazuh Cloud, la oferta gestionada del propio fabricante. En la mayoría de despliegues on-premise o híbridos, lo que se paga es la ingeniería de implantación y el soporte, no la licencia.

¿Es Wazuh adecuado para cumplir con NIS2 y el ENS?

Sí. Wazuh incluye de serie dashboards y reportes mapeados a los principales marcos regulatorios: NIS2, PCI DSS, ENS, ISO 27001, HIPAA. El escaneo de configuración (SCA) se audita contra CIS Benchmarks, y el módulo de integridad de ficheros cubre los controles de detección de cambios que estos marcos exigen. En SIXE llevamos años desplegando Wazuh en organizaciones sujetas a ENS alto y a la transposición española de NIS2, y el mayor trabajo no es el software — es el diseño de la arquitectura, el tunning de reglas para el contexto del cliente y la presentación de la evidencia al auditor.

SIEM & XDR · Abril 2026

Qué es Wazuh y por qué es la alternativa real a Splunk y QRadar en 2026.

En dos años Cisco compró Splunk por 28.000 millones y Palo Alto Networks compró los activos SaaS de QRadar. Mientras tanto, Wazuh seguía publicando releases, lanzaba threat hunting con LLM local y pasaba los 10 millones de descargas anuales. Te contamos por qué eso cambia la conversación sobre SIEM en 2026.

Abril 2026●11 min lectura

Hay una conversación que llevamos teniendo varias veces al mes en SIXE desde finales de 2024. Llega un director de sistemas o un CISO, normalmente con algo de cansancio en la voz, y nos dice alguna versión de lo mismo: "se nos acaba el contrato de Splunk y el presupuesto del año que viene no lo aguanta", o bien "tenemos QRadar SaaS y IBM nos ha dicho que toca migrar a Cortex XSIAM, pero no sabemos si es lo que queremos".

No es casualidad. El mercado del SIEM comercial ha cambiado en 24 meses más de lo que había cambiado en la década anterior. Y en medio de todo ese movimiento, hay una pieza que sigue donde estaba, que no cotiza en bolsa, que nadie ha comprado, y que mientras tanto no ha parado de crecer. Se llama Wazuh.

El contexto 2024-2026

El mapa del SIEM que cambió en 24 meses

Si llevas años en seguridad defensiva, sabes que el mercado del SIEM comercial siempre ha sido conservador. Los grandes actores cambiaban poco. Los clientes aguantaban contratos dolorosos porque migrar un SIEM es un proyecto serio, y nadie lo hace por gusto. Y entonces, entre la primavera de 2024 y el verano de 2025, pasaron tres cosas que rompieron ese equilibrio.

Marzo 2024 — Cisco compra Splunk por 28.000 millones

El movimiento más caro en la historia del SIEM. Cisco pagó 157 dólares por acción, muy por encima del precio al que había cotizado Splunk ese año. Antes de cerrar la operación, Splunk despidió al 7 % de su plantilla —unas 560 personas— en una reestructuración global. Las encuestas de analistas justo antes de la adquisición ya apuntaban a que el 22 % de los clientes contemplaba cambiarse de proveedor si había subidas de precio tras la compra. Los que hemos visto de cerca este tipo de operaciones sabemos lo que viene después: presión interna por rentabilizar un precio alto, cambios de roadmap y renovaciones cada vez más tensas.

Mayo-septiembre 2024 — Palo Alto Networks compra los activos SaaS de QRadar

Esta fue la que nadie vio venir. En mayo de 2024, IBM y Palo Alto Networks anunciaron que Palo Alto compraba los activos SaaS de QRadar por unos 500 millones de dólares, con cierre confirmado en septiembre. Forrester lo resumió en una frase que los clientes aún están digiriendo: en cuanto venzan los contratos, los clientes de QRadar SaaS tienen que migrar a Cortex XSIAM o marcharse a otro proveedor. No es una opinión, es el plan oficial de la transición.

IBM mantiene el soporte de QRadar on-premise —bug fixes, actualizaciones críticas, conectores nuevos—, así que los clientes que tengan instalaciones propias no se quedan tirados de un día para otro. Pero el mensaje de fondo que están leyendo los comités de seguridad es claro: la inversión fuerte ya no va hacia QRadar, va hacia XSIAM y Precision AI. Muchos están usando esa señal para replantearse toda su estrategia de SOC a medio plazo.

Mientras tanto — Wazuh pasa los 10 millones de descargas anuales

No salió en titulares, porque Wazuh no tiene gabinete de comunicación a la altura de Cisco o Palo Alto. Pero las cifras están ahí. Según los datos que ellos mismos publican, el proyecto supera los 10 millones de descargas anuales, tiene una de las mayores comunidades de seguridad open source del mundo, y en junio de 2025 lanzó una función que ninguno de sus competidores comerciales tiene todavía sin pagar aparte: threat hunting con un modelo de lenguaje grande ejecutándose en local. Volvemos a eso más adelante.

Un apunte importante sobre QRadar. En SIXE seguimos dando soporte y formación oficial de IBM QRadar, y lo vamos a seguir haciendo mientras haya clientes con despliegues activos. QRadar on-prem sigue siendo una herramienta sólida para quien ya lo tiene montado y quiere exprimirlo. Pero si estás arrancando un proyecto SIEM nuevo en 2026, o tienes QRadar SaaS y el contrato se acaba, la conversación que tiene sentido ahora mismo es diferente. Y pasa por Wazuh bastante más a menudo de lo que pasaba hace dos años.

El producto

Qué es Wazuh (más allá del "es gratis")

Si Wazuh fuera solo un recolector de logs barato, esta conversación sería otra. No lo es. Wazuh es una plataforma que unifica, en un mismo agente y en un mismo stack, un montón de funciones que el resto del mercado vende en cajas separadas: SIEM, XDR, detección en endpoint, integridad de ficheros, escaneo de vulnerabilidades CVE, auditoría de configuración contra CIS, cumplimiento regulatorio y respuesta activa. Todo con el mismo agente corriendo en Linux, Windows, macOS, contenedores o máquinas virtuales.

Esto es lo que pasa, en la práctica, cuando un agente de Wazuh se instala en un servidor tuyo:

Recoge y correlaciona logs en tiempo real. Syslog, auditd, Windows Event Log, aplicación — todo con decoders nativos. Lo manda cifrado al manager central, donde se evalúan reglas, se correlaciona entre hosts y se dispara alerta si procede.
Vigila la integridad de ficheros y configuración. Cualquier cambio en /etc, en el registro de Windows, en binarios de sistema o en ficheros que tú marques como sensibles, dispara una alerta inmediata. Esto es detección de manipulación, y es una de las cosas que antes se compraban aparte.
Escanea vulnerabilidades contra bases CVE actualizadas. Wazuh cruza el inventario de paquetes instalados con los feeds oficiales de vendors y bases CVE, y te dice qué máquinas necesitan parche con qué prioridad. Sin pagar Tenable ni Qualys encima.
Audita la configuración contra CIS Benchmarks. Cada agente corre evaluaciones periódicas de hardening contra políticas CIS o políticas internas tuyas, y genera el informe de cumplimiento listo para presentar a auditor.
Responde activamente. Bloqueo automático de IP, kill de procesos sospechosos, aislamiento del host, ejecución de scripts custom. Sin que nadie toque el teclado a las tres de la mañana.
Mapea todo a MITRE ATT&CK. Cada regla disparada se etiqueta con la técnica y táctica ATT&CK correspondiente, lo que hace que los dashboards para el SOC analyst sean mucho más útiles de lo que suelen ser los paneles genéricos.

┌──────────────────────────────────────────────┐ │ Wazuh Manager │ │ (analysis engine · rules · response) │ └──────┬──────────────┬──────────────┬─────────┘ │ │ │ ┌────▼─────┐ ┌─────▼─────┐ ┌────▼──────┐ │ Agents │ │ Indexer │ │ Dashboard │ │ linux │ │ cluster │ │ │ │ windows │ │ OpenSearch│ │ MITRE │ │ macos │ │ │ │ compliance│ │ docker │ │ → shards │ │ SOC view │ │ k8s │ │ → HA │ │ │ └──────────┘ └───────────┘ └───────────┘

El stack es sólido y está probado en producción. Un paper académico publicado por Springer en abril de 2026 evalúa arquitecturas Wazuh distribuidas con alta disponibilidad y gestión de picos de ingesta muy por encima del EPS medio, y concluye —con las palabras cuidadas habituales del mundo académico— que las soluciones SIEM open source bien diseñadas pueden igualar y en algunos aspectos superar a las plataformas comerciales. Dicho en cristiano: cuando alguien que no vende Wazuh evalúa Wazuh con método, los resultados son buenos.

La novedad del año

El as en la manga: threat hunting con LLM local

En junio de 2025, casi sin ruido, Wazuh incorporó una capacidad que cambia la forma de trabajar de un analista de SOC: threat hunting asistido por un modelo de lenguaje grande ejecutándose en local. No en la nube de OpenAI. Local. En tu propia infraestructura.

¿Por qué es relevante? Porque todos los "SIEM con IA" que ha lanzado el mercado comercial —Cortex XSIAM con Precision AI, Splunk con su propia suite, las novedades de QRadar antes de la venta— funcionan enviando tus logs a los modelos del fabricante. En muchos casos eso mismo es lo que el cliente no puede hacer por razones regulatorias. Si tus logs contienen datos de pacientes, de clientes bancarios, o información clasificada de una administración pública, mandarlos a un LLM en la nube de un proveedor externo no es negociable — simplemente no puedes.

La solución de Wazuh se salta ese problema. Tú eliges el modelo, tú lo despliegas donde quieras, tus datos no salen. Y las consultas son las que un analista haría en lenguaje natural: "enséñame todos los intentos de escalada de privilegios del último mes correlacionados con cuentas de servicio", "resume los eventos de este host en las últimas 24 horas, prioriza lo anómalo", "¿hay algo en estos logs que se parezca a la TTP T1078 de MITRE?".

Nuestra perspectiva en SIXE

Esta es exactamente la línea en la que llevamos tiempo trabajando desde el lado de infraestructura — LLMs corriendo on-premise, sin mandar nada a ninguna nube, para entornos que manejan datos sensibles. Lo hemos aplicado en IBM Power, en AIX, y en clusters Ceph+Kubernetes para inferencia privada. Cuando vimos que Wazuh iba por ese mismo camino desde el lado del SOC, fue uno de los factores que nos hicieron apostar más fuerte todavía por la plataforma. Si te interesa el lado "infraestructura" de la historia, lo contamos en detalle en nuestra página de inferencia de IA on-premise.

La comparativa

Wazuh vs Splunk vs QRadar vs XSIAM, estado 2026

Sin discursos de marketing, aquí está el estado actual de los cuatro actores que se cruzan en la mayoría de conversaciones que tenemos. Las cifras y estados son verificables a la fecha de publicación de este post.

Plataforma	Estado 2026	Modelo comercial
Wazuh	Independiente. Sin adquisiciones, sin rondas de funding, creciendo en descargas y comunidad.	Open source AGPLv3. Sin coste de licencia. Wazuh Cloud opcional.
Splunk	Propiedad de Cisco desde marzo 2024. Reducción de plantilla del 7 % pre-cierre. Integración en curso.	Por volumen de datos ingeridos (GB/día). Coste alto, presión de renovaciones.
QRadar SaaS	Vendido a Palo Alto Networks en 2024. Migración obligatoria a Cortex XSIAM cuando venzan los contratos.	El destino es Cortex XSIAM. Migración gratuita para "clientes elegibles".
QRadar on-prem	Mantenido por IBM. Bug fixes, conectores, sin grandes novedades funcionales.	Licencia IBM por EPS. Soporte oficial activo.
Cortex XSIAM	Producto estratégico de Palo Alto Networks. IA integrada (Precision AI).	Por capacidad y features. Posiciona arriba en precio.
ELK / OpenSearch puro	Gratis pero te lo construyes tú: reglas, decoders, FIM, compliance.	Gratis la base. El coste real es en tiempo de ingeniería propia.

La parte interesante de esta tabla no está en ninguna columna — está en lo que implica leerla entera. Cuatro de los seis actores comerciales están en transición, en mantenimiento o en migración obligatoria. Wazuh y ELK son los únicos que siguen exactamente donde estaban hace tres años, con sus comunidades intactas y su roadmap público. De esos dos, solo uno viene con SIEM, XDR, FIM, vulnerability scan, active response y compliance de serie: Wazuh.

Una nota sobre coste. Cuando comparamos Wazuh con Splunk en sesiones técnicas con clientes, la discusión casi nunca acaba siendo sobre el coste de la licencia — que, sí, es mucho más barato. Suele acabar siendo sobre la predictibilidad. Splunk sube contigo: más datos que ingieres, más pagas. Wazuh no. Y en un entorno donde los logs crecen un 30-40 % al año —porque metes nuevos servicios, porque NIS2 te obliga a retener más, porque montas más contenedores— esa diferencia se traduce en una factura que los CFO saben leer muy bien.

El ángulo regulatorio

Compliance sin sufrir: NIS2, ENS, PCI DSS, ISO 27001

Hay una razón muy práctica por la que Wazuh está creciendo más en Europa que en ningún otro sitio, y es la presión regulatoria. España traspuso NIS2 a finales de 2025 y está exigiendo evidencia real. El Esquema Nacional de Seguridad lleva años pidiendo trazabilidad, detección y respuesta ante incidentes. Para muchas organizaciones medianas —ayuntamientos, universidades, operadoras de servicios esenciales, hospitales concertados— la pregunta no es si necesitan un SIEM, sino cuál pueden permitirse sin que el comité de dirección les mire mal.

Wazuh trae los dashboards y reportes mapeados a los marcos regulatorios importantes directamente de serie:

NIS2. Controles de detección, trazabilidad de incidentes, reporte de eventos a la autoridad competente, evidencia de medidas de gestión de riesgos.
ENS (Esquema Nacional de Seguridad). Mapeo a las medidas de operación, monitorización y gestión de incidentes. Dashboards listos para los auditores que aplican el ENS en cualquiera de sus categorías.
PCI DSS. Controles de logging, integridad de ficheros, gestión de vulnerabilidades, retención — la checklist que exige el estándar, mapeada requisito a requisito.
ISO/IEC 27001. Evidencia de los controles del Anexo A relacionados con operaciones, comunicaciones, cumplimiento y gestión de incidentes de seguridad.
CIS Benchmarks. Auditoría continua de hardening del sistema operativo y de los servicios, con reporte histórico de desviaciones.

Dicho esto — y lo decimos con cariño porque venimos de este mundo — los dashboards por sí solos no aprueban una auditoría. Lo que los aprueba es que alguien haya diseñado la arquitectura bien, que las reglas estén afinadas al contexto del cliente, que las excepciones estén documentadas, que el flujo de evidencias llegue ordenado a quien lo tiene que firmar. Esa parte no la hace el producto, la hace el equipo que lo despliega. Y esa parte es, probablemente, el 70 % del valor de un proyecto Wazuh bien hecho.

Lo que hacemos en SIXE

Llevamos años desplegando Wazuh en organizaciones sujetas a ENS alto, a la transposición española de NIS2, a PCI DSS y a entornos sectoriales regulados. La página completa del servicio, con la arquitectura, el ciclo de despliegue y los casos de uso, está aquí: Implantación y soporte de Wazuh. Si el compliance es lo que más te presiona ahora mismo, esa es la conversación por la que empezar.

La migración

Cómo se migra desde Splunk, QRadar o ELK sin parar el SOC

Migrar un SIEM es un proyecto que asusta, y con razón. Un SIEM mal migrado deja ciegos los controles de detección justo en el peor momento posible. Por eso la forma en la que lo hacemos tiene que ser aburrida y predecible, con tres principios que no negociamos:

Nunca apagar el SIEM antiguo antes de tener el nuevo funcionando. El viejo sigue tragando logs y generando alertas mientras Wazuh empieza a correr en paralelo. Durante unas semanas tienes cobertura doble y cero riesgo. Ese periodo es caro en recursos, sí, pero mucho más barato que un mes de SOC a ciegas.
Convertir las reglas críticas antes de convertir el catálogo entero. Los SIEM grandes suelen tener miles de reglas acumuladas, y una parte importante son reglas que nadie mira o que disparan falsos positivos. La primera pasada identifica las 50-150 reglas críticas que realmente producen detecciones útiles, se reescriben al formato de Wazuh y se validan con eventos reales. El resto llega después, o no llega — porque muchas veces no merece la pena.
Validar con eventos que duelen, no con tests sintéticos. Antes de considerar Wazuh operativo, reproducimos un conjunto de escenarios reales —intento de escalada, exfiltración, ransomware temprano, compromiso de cuenta— y comprobamos que las alertas se disparan, se correlacionan y llegan al SOC con el contexto correcto. Si no se disparan, no se considera que esté operativo. Es así de simple.

La parte que cambia según de dónde vengas es el trabajo de conversión:

Desde Splunk. El trabajo más interesante. Las SPL (Search Processing Language) no se traducen automáticamente a las reglas de Wazuh, pero el patrón de detección suele ser reproducible con decoders custom y reglas sobre OpenSearch. Hemos hecho varias migraciones y el grueso del trabajo está en los dashboards y las reglas, no en la ingesta.
Desde QRadar. La parte buena es que QRadar y Wazuh comparten mucha filosofía en cuanto a eventos y offenses. La mala es que las DSM de QRadar son propietarias y hay que reconstruir los parsers. Si vienes de QRadar SaaS con la migración a XSIAM encima, esta es una ventana razonable para plantearse la tercera opción.
Desde ELK puro. La más sencilla de las tres — Wazuh ya usa OpenSearch como indexer, así que buena parte del stack de datos ya lo conoces. El salto está en añadir reglas, compliance y active response, que en ELK puro habrías tenido que construir a mano.

Siguientes pasos

Por dónde empezar

Si lees esto y te encuentras pensando "esto me aplica más de lo que me gustaría", probablemente tengas razón. No hace falta un proyecto enorme para dar el primer paso. Lo habitual es empezar por una conversación corta con tres preguntas:

¿Dónde estás exactamente ahora mismo? ¿Tienes Splunk con el contrato por venir? ¿QRadar SaaS con la migración a XSIAM en el horizonte? ¿Nada y te empieza a apretar NIS2 o el ENS?
¿Qué normativa te está obligando? NIS2, ENS, PCI DSS, ISO 27001 — no es lo mismo cumplir uno que cumplir los cuatro, y la arquitectura de Wazuh se dimensiona distinto según cuáles apliquen de verdad.
¿Cuántos endpoints, qué sistemas operativos, qué logs ya tienes, qué integraciones necesitas? Con esos datos ya se puede dibujar un diseño concreto y una estimación de esfuerzo realista.

Cuando tengas claro lo que quieres mirar, la página completa con la arquitectura, los módulos, la comparativa con alternativas comerciales y el ciclo de despliegue está aquí: Wazuh — Implantación y soporte SIXE. Y si quieres hablar con alguien que lleve años con las manos dentro de proyectos como el tuyo, la sesión técnica de 30 minutos es gratuita y sin compromiso. Salimos con un esbozo de arquitectura y una idea real de esfuerzo. Si Wazuh encaja, te lo decimos. Si no, también.

Para seguir leyendo

Página completa del servicio Wazuh en SIXE — comparativa detallada, arquitectura, SLAs, ciclo de despliegue
IBM QRadar — si tu caso pasa por mantener QRadar on-prem vivo, también damos soporte y formación oficial
Cursos oficiales de QRadar — para equipos que quieren formar analistas mientras planifican la transición a Wazuh u otra plataforma

¿Estás replanteándote tu SIEM?

Sesión técnica de 30 minutos. Sin compromiso.

Nos cuentas dónde estás, qué normativa te aplica y qué te preocupa. Salimos de la llamada con un esbozo de arquitectura, una estimación de esfuerzo y los siguientes pasos. Sin presupuestos genéricos, sin discurso comercial — directamente con alguien del equipo técnico.

Servicio Wazuh — SIXE → WhatsApp

Reservar sesión técnica Soporte urgente Wazuh.com

Qué es Wazuh y por qué es la alternativa a Splunk y QRadar