OpenEDR y Alternativas Open Source: EDR sin Licencias
Analisis del ecosistema EDR open source: OpenEDR de Comodo, capacidades EDR de Wazuh, OSSEC, osquery y Sysmon como componentes de un EDR DIY. Tabla comparativa y guia para construir un stack de deteccion open source.
El sueno del EDR gratuito
La pregunta es recurrente en foros de seguridad: "¿Hay algun EDR open source que pueda usar en lugar de pagar licencias?". La respuesta corta es: no exactamente. La respuesta larga es mas interesante.
No existe un proyecto open source que replique todas las capacidades de un CrowdStrike o SentinelOne en un solo paquete. Lo que si existe es un ecosistema de herramientas que, combinadas con conocimiento y esfuerzo, pueden construir una capa de deteccion y respuesta competente. Este articulo analiza las opciones disponibles, sus capacidades reales y como ensamblarlas.
OpenEDR (Comodo/Xcitium)
Historia y estado actual
OpenEDR fue anunciado por Comodo en octubre de 2020 como "el primer EDR open source del mundo". El codigo se publico en GitHub bajo licencia MIT con la promesa de democratizar la deteccion y respuesta en endpoints.
El proyecto incluia:
- Motor de telemetria para Windows (procesos, archivos, registro, red)
- Correlacion de eventos basica
- Integracion con MITRE ATT&CK
- Dashboard web para visualizacion
Realidad vs expectativas
La realidad fue menos brillante que el anuncio. OpenEDR tenia limitaciones significativas:
- Solo Windows: sin soporte para Linux o macOS
- Complejidad de compilacion: dependencias complicadas y documentacion escasa
- Desarrollo detenido: la actividad del repositorio se redujo drasticamente tras el lanzamiento inicial
- Producto comercial priorizado: Xcitium (el rebranding de Comodo) enfoco sus recursos en la version comercial
A dia de hoy, OpenEDR sigue disponible en GitHub pero no es una opcion viable para produccion. Su valor es mas educativo que operativo: estudiar el codigo fuente para entender como funciona un motor de telemetria a nivel de kernel en Windows.
Lecciones del caso OpenEDR
El caso de OpenEDR ilustra un patron comun en seguridad open source: un vendor publica codigo para generar comunidad y marketing, pero no invierte recursos reales en mantener la version libre. Esto no invalida el open source en seguridad, pero si enseña a evaluar proyectos por su actividad real, no por sus comunicados de prensa.
Wazuh como EDR
Wazuh se analiza en detalle en el articulo anterior de esta serie, pero merece mencion especifica aqui por sus capacidades EDR.
Capacidades EDR de Wazuh
| Capacidad EDR | Wazuh | EDR Enterprise |
|---|---|---|
| Monitoreo de procesos | Via logs (Event Log, auditd) | Instrumentacion kernel directa |
| File Integrity Monitoring | Si (Syscheck) | Si |
| Monitoreo de registro | Si | Si |
| Deteccion basada en reglas | Si (4.000+ reglas) | Si + ML |
| Respuesta automatica | Active Response (limitado) | Aislamiento, kill, rollback |
| Deteccion de vulnerabilidades | Si (version matching) | Variable |
| Mapping MITRE ATT&CK | Si | Si |
| Prevencion en tiempo real | No | Si |
| Analisis de memoria | No | Si (algunos) |
| Sandboxing | No | Si (algunos) |
Donde Wazuh brilla como EDR
- FIM robusto: el monitoring de integridad de archivos es una de las capacidades mas maduras
- Compliance integrado: reporting para PCI DSS, GDPR, HIPAA, CIS
- Multi-plataforma: agentes para Windows, Linux, macOS, incluso algunos sistemas OT
- Integraciones: VirusTotal, MISP, Shuffle, TheHive
Donde Wazuh no llega
- No intercepta procesos en tiempo real (no hay hook a nivel de kernel para prevencion)
- La deteccion depende de logs generados por el sistema operativo, no de telemetria propia
- Sin capacidad de aislamiento de endpoint
- Sin analisis de comportamiento basado en ML
OSSEC: el ancestro
OSSEC (Open Source Security Event Correlator) es el proyecto del que nacio Wazuh. Creado en 2004, fue uno de los primeros HIDS (Host-based Intrusion Detection System) open source.
OSSEC vs Wazuh
Wazuh comenzo como un fork de OSSEC en 2015, cuando el equipo detras de Wazuh considero que OSSEC no evolucionaba lo suficiente. Desde entonces, Wazuh ha divergido significativamente:
| Aspecto | OSSEC | Wazuh |
|---|---|---|
| Desarrollo activo | Lento | Activo (releases regulares) |
| Interfaz web | Basica (Kibana plugin) | Dashboard completo |
| API | Limitada | RESTful completa |
| Cluster | No nativo | Si |
| Vulnerability detection | No | Si |
| SCA | No | Si |
| Docker | Limitado | Soporte oficial |
| Comunidad | Pequena | Grande y activa |
Cuando considerar OSSEC
Casi nunca en 2026. Wazuh ha superado a OSSEC en todas las metricas relevantes. La unica razon para usar OSSEC seria mantener un despliegue legacy existente que no justifica la migracion. Para nuevas instalaciones, Wazuh es la opcion correcta.
osquery: SQL para endpoints
osquery, creado por Facebook (ahora Meta) en 2014, toma un enfoque radicalmente diferente: expone el estado del sistema operativo como tablas SQL.
Concepto
En lugar de recopilar logs y aplicar reglas, osquery permite consultar directamente el estado del endpoint:
-- Procesos en ejecucion con conexiones de red
SELECT p.name, p.pid, p.path, p.cmdline,
s.remote_address, s.remote_port
FROM processes p
JOIN process_open_sockets s ON p.pid = s.pid
WHERE s.remote_address != '0.0.0.0'
AND s.remote_address != '::'
AND s.remote_address NOT LIKE '127.%'
AND s.remote_address NOT LIKE '10.%'
AND s.remote_address NOT LIKE '192.168.%';
-- Programas en autostart de Windows
SELECT name, path, source, status
FROM autoexec
WHERE path NOT LIKE '%Microsoft%'
AND path NOT LIKE '%Windows%';
-- Modulos del kernel cargados (Linux)
SELECT name, size, used_by, status
FROM kernel_modules
WHERE status = 'Live'
ORDER BY size DESC;
Tablas disponibles
osquery expone mas de 300 tablas que cubren:
- Procesos, servicios y conexiones de red
- Sistema de archivos, hashes y permisos
- Registro de Windows, claves SSH
- Usuarios, grupos y sesiones
- Hardware, firmware y BIOS/UEFI
- Paquetes instalados y parches
- Certificados, extensiones de navegador
- Contenedores Docker y Kubernetes
osquery como componente EDR
osquery por si solo no es un EDR, pero aporta la capa de consulta que muchos EDR open source necesitan:
Modo interactivo (osqueryi): consultas ad-hoc para investigacion y triaje. El analista se conecta al endpoint y formula preguntas sobre su estado.
Modo daemon (osqueryd): ejecuta queries programadas y envia resultados a un log o a un sistema central. Esto permite deteccion continua.
Packs: conjuntos de queries empaquetadas para casos de uso especificos (incident response, compliance, threat hunting):
{
"queries": {
"suspicious_processes": {
"query": "SELECT * FROM processes WHERE on_disk = 0;",
"interval": 300,
"description": "Processes running from memory without file on disk"
},
"listening_ports": {
"query": "SELECT * FROM listening_ports WHERE port NOT IN (22,80,443);",
"interval": 600,
"description": "Non-standard listening ports"
}
}
}
Fleet: gestion centralizada de osquery
osquery no incluye gestion centralizada. Para eso existen herramientas como Fleet (anteriormente Kolide Fleet):
- Dashboard centralizado para gestionar endpoints con osquery
- Programacion y distribucion de queries
- Alertas basadas en resultados de queries
- Gestion de packs
- API para integracion con SIEM/SOAR
Fleet es open source (licencia MIT) y se despliega como un servidor web con MySQL y Redis.
Sysmon como EDR DIY
Sysmon (System Monitor) de Microsoft Sysinternals no es un EDR, pero es probablemente la herramienta gratuita mas importante para la deteccion en Windows. Este tema se cubre en profundidad en un articulo dedicado de esta serie, pero merece un resumen aqui.
Que aporta Sysmon al stack open source
Sysmon genera telemetria de alta calidad que el Event Log de Windows no proporciona por defecto:
- Creacion de procesos con linea de comandos completa y hash del ejecutable
- Conexiones de red con proceso de origen
- Carga de DLLs y drivers
- Acceso a procesos (deteccion de credential dumping)
- Creacion de archivos y streams alternativos
- Modificaciones en el registro con detalle
- Consultas DNS con el proceso que las origino
- Eventos de WMI (creacion y ejecucion)
Sysmon + Wazuh
La combinacion mas comun en entornos open source es:
- Sysmon genera telemetria detallada en el endpoint Windows
- Wazuh agent recopila los logs de Sysmon
- Wazuh manager aplica reglas de deteccion sobre esos logs
- Wazuh dashboard visualiza las alertas con mapping MITRE ATT&CK
Esta combinacion ofrece una visibilidad significativamente mejor que Wazuh solo, especialmente para detectar tecnicas como Process Injection (T1055), Command and Scripting Interpreter (T1059) y Credential Dumping (T1003).
Comparativa: stack open source
| Herramienta | Telemetria | Deteccion | Respuesta | Hunting | Plataforma |
|---|---|---|---|---|---|
| Wazuh | Media (via logs) | Alta (reglas) | Basica (Active Response) | Limitada | Win/Lin/Mac |
| Velociraptor | Alta (bajo demanda) | No nativa | No | Excelente | Win/Lin/Mac |
| osquery | Alta (bajo demanda) | Via queries programadas | No | Buena | Win/Lin/Mac |
| Sysmon | Excelente (Windows) | No (solo telemetria) | No | No | Windows |
| OSSEC | Baja | Media | Basica | No | Win/Lin/Mac |
| OpenEDR | Media (Windows) | Basica | No | No | Windows |
Construir un stack EDR open source
La combinacion optima depende del presupuesto de tiempo y las necesidades especificas. Aqui tres configuraciones progresivas.
Nivel 1: basico (1 semana de setup)
- Sysmon en endpoints Windows con configuracion SwiftOnSecurity
- Wazuh como SIEM central con reglas predefinidas
- Coste: 0 EUR en licencias. Un servidor con 8 GB RAM
Lo que detecta: fuerza bruta, cambios en archivos criticos, procesos sospechosos basicos, vulnerabilidades conocidas. Lo que no detecta: tecnicas avanzadas de evasion, malware en memoria, movimiento lateral sofisticado.
Nivel 2: intermedio (2-3 semanas de setup)
Todo lo anterior mas:
- osquery con Fleet para consultas programadas y ad-hoc
- Sigma rules convertidas a formato Wazuh para deteccion basada en la comunidad
- YARA reglas integradas via Wazuh para escaneo de archivos
- Dashboard MITRE ATT&CK en Wazuh con reglas mapeadas
Lo que anade: consultas ad-hoc, deteccion basada en la comunidad Sigma, escaneo de archivos con YARA.
Nivel 3: avanzado (4-6 semanas de setup)
Todo lo anterior mas:
- Velociraptor para threat hunting y respuesta a incidentes
- TheHive + Cortex para case management y automatizacion de enrichment
- MISP para feeds de threat intelligence
- Event monitoring continuo con Velociraptor CLIENT_EVENT artifacts
Lo que anade: hunting proactivo, gestion de incidentes, inteligencia de amenazas integrada. Se acerca a la funcionalidad de un EDR enterprise, pero requiere un equipo dedicado para mantenerlo.
Costes reales del "gratuito"
Que no haya licencias no significa que no haya costes:
| Concepto | Estimacion |
|---|---|
| Servidor(es) | 50-200 EUR/mes (cloud) o hardware dedicado |
| Tiempo de setup | 1-6 semanas de ingeniero senior |
| Mantenimiento | 4-8 horas/semana de administracion |
| Tuning de reglas | Continuo (primeros 3 meses intensivos) |
| Formacion del equipo | Variable (VQL, Wazuh rules, osquery SQL) |
Para una organizacion con 500 endpoints y un analista dedicado, el TCO de un stack open source puede rondar los 40.000-60.000 EUR/ano (principalmente coste de personal). Un EDR enterprise para los mismos 500 endpoints puede costar entre 50.000 y 150.000 EUR/ano en licencias, mas el personal necesario para operarlo.
La diferencia no es solo economica: es de capacidad. El stack open source ofrece deteccion competente pero requiere mas esfuerzo humano. El EDR enterprise ofrece prevencion automatica y soporte del vendor.
Proyectos emergentes
Algunos proyectos recientes merecen atencion:
LimaCharlie
No es estrictamente open source (modelo freemium), pero su capa de telemetria es gratuita para hasta 2 sensores. Ofrece un agente que genera telemetria comparable a un EDR enterprise, con la posibilidad de escribir reglas de deteccion y respuesta propias.
Elastic Security
El stack de Elastic (Elasticsearch + Kibana + Elastic Agent) incluye capacidades EDR en su tier gratuito (Basic license). La telemetria del Elastic Agent cubre procesos, archivos, red y registro. La deteccion se basa en reglas de la comunidad (Elastic Detection Rules, compatibles con Sigma).
No es totalmente open source (la licencia cambio de Apache 2.0 a SSPL), pero la funcionalidad EDR basica esta disponible sin coste.
Wazuh 5.x roadmap
Wazuh tiene en su roadmap funcionalidades que acercan la plataforma a un EDR enterprise:
- Deteccion basada en comportamiento (behavioral analysis)
- Mejor integracion con Sysmon y ETW
- Respuesta automatizada mejorada
- Soberania completa de datos (siempre on-premise)
Conclusion
El ecosistema EDR open source no ofrece un producto unico que replique a CrowdStrike. Lo que ofrece es un conjunto de herramientas que, ensambladas con conocimiento, proporcionan visibilidad y deteccion serias. Sysmon, Wazuh, osquery y Velociraptor son piezas de un puzzle que cada organizacion monta segun sus necesidades.
La decision no es "open source o enterprise". Para muchas organizaciones, la respuesta optima es ambos: un EDR enterprise para la primera linea de prevencion y deteccion, y herramientas open source para hunting, forense y cobertura de los angulos muertos que el EDR no cubre.
Preguntas frecuentes
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.