File Integrity Monitoring (FIM) es un control de seguridad de TI que monitorea y detecta cambios de archivos en los sistemas informáticos. Ayuda a las organizaciones a auditar archivos importantes y configuraciones del sistema escaneando y verificando periódicamente su integridad. La mayoría de los estándares de seguridad de la información exigen el uso de FIM para que las empresas garanticen la integridad de sus datos.
El cumplimiento de la seguridad de TI implica cumplir con las leyes, políticas, regulaciones, procedimientos y estándares aplicables emitidos por gobiernos y organismos reguladores como PCI DSS, ISO 27001, TSC, GDPR e HIPAA. El incumplimiento de estas regulaciones puede tener consecuencias graves, como violaciones cibernéticas, pérdida de datos confidenciales, pérdidas financieras y daños a la reputación. Por lo tanto, las organizaciones deben priorizar el cumplimiento de las regulaciones y estándares de TI para mitigar los riesgos y salvaguardar sus sistemas de información de manera efectiva.
El rápido ritmo del avance tecnológico y la escasez de profesionales capacitados en ciberseguridad contribuyen a las dificultades de cumplimiento. Para cumplir eficazmente con estas regulaciones, las empresas deben planificar estratégicamente, asignar recursos a los esfuerzos de ciberseguridad y clasificar y proteger exhaustivamente sus activos de datos.
Beneficios de cumplir con los estándares de ciberseguridad
El cumplimiento de las regulaciones y estándares de ciberseguridad es importante para empresas de todos los tamaños. Estas regulaciones requieren la implementación de medidas, políticas y procesos específicos de ciberseguridad. Al adherirse a estos estándares, las organizaciones garantizan la transparencia y la integridad de sus prácticas de ciberseguridad. Algunos beneficios incluyen:
- Garantiza que las organizaciones cuenten con procedimientos de respaldo y recuperación resistentes. Esto minimiza las interrupciones en las operaciones comerciales y mantiene la continuidad durante un incidente o desastre cibernético, ya que los datos almacenados en sitios de respaldo se pueden restaurar.
- Proporciona un marco estructurado para gestionar riesgos en diversos aspectos comerciales. Las organizaciones pueden reducir los costos asociados con los incidentes de ciberseguridad y el incumplimiento normativo siguiendo los procedimientos y controles establecidos.
- Salvaguarda la reputación de una organización. Las violaciones de datos pueden afectar significativamente la reputación de una empresa. El cumplimiento ayuda a proteger contra dichas infracciones, salvaguardando así la reputación de la empresa.
- Facilita la entrada a mercados regulados. En los sectores de salud, finanzas y comercio minorista, garantiza a los reguladores que las prácticas y sistemas de TI de la empresa cumplen con los estándares necesarios.
La capacidad de Wazuh FIM
Wazuh es una solución de seguridad de código abierto que ofrece protección XDR y SIEM unificada en varias plataformas. Protege las cargas de trabajo en entornos locales, virtualizados, basados en la nube y en contenedores para brindar a las organizaciones un enfoque eficaz de la ciberseguridad. Wazuh ofrece monitoreo de integridad de archivos (FIM) como una de sus capacidades; también proporciona otros capacidadescomo la evaluación de la configuración de seguridad y la detección y respuesta a amenazas.
La capacidad de Wazuh FIM garantiza lo siguiente:
- Monitoreo de archivos y directorios programado y en tiempo real.
- Detección de cambios de archivos no autorizados.
- Detalles sobre qué o quién realizó cambios en los datos.
FIM, combinado con otras capacidades de Wazuh, como la detección de malware, la detección de vulnerabilidades y la evaluación de la configuración de seguridad (SCA), mejora la detección, investigación y corrección de amenazas. Estas capacidades pueden ayudar a optimizar los esfuerzos de cumplimiento de seguridad de su organización.
Garantizar el cumplimiento normativo utilizando la capacidad Wazuh FIM
Los usuarios pueden configurar el monitoreo de la integridad de los archivos para cumplir con los requisitos de los estándares de cumplimiento de seguridad de TI relevantes para su organización. Wazuh FIM se puede configurar para monitorear la adición, eliminación y modificación de archivos al contenido de un archivo.
Realizar un seguimiento de los cambios de archivos dentro de la organización ayuda a los administradores de sistemas y analistas de seguridad a tener visibilidad de estos cambios en toda la organización y abordar los incidentes de seguridad con prontitud. Una vez configurados, los eventos FIM se pueden ver en el panel de Wazuh.
![]() |
Eventos FIM en el panel de Wazuh |
Supervisión de la integridad y el acceso a los archivos
La capacidad Wazuh FIM ejecuta un escaneo de referencia y almacena la suma de verificación criptográfica y otros atributos de los archivos monitoreados. Cuando se realiza un cambio en un archivo monitoreado, el FIM compara su suma de comprobación y sus atributos con la línea base. Si se identifica alguna discrepancia, se activará una alerta. La capacidad de monitoreo de la integridad de archivos de Wazuh rastrea detalles como el proceso o usuario que modificó un archivo crítico y cuándo se realizaron los cambios. Al utilizar la capacidad de Wazuh FIM, las organizaciones pueden garantizar el cumplimiento de varias secciones de estándares regulatorios, tales como:
- Requisito PCI DSS 11.5.2
- CM-3 de NIST 800-53
- Artículo 5.1. (f) del RGPD
- Seguridad de la fuerza laboral §164.308(a)(2) de HIPAA.
Por ejemplo, podemos configurar Wazuh FIM para monitorear el archivo de configuración SSH /etc/ssh/sshd_config en un punto final de Linux. Los actores maliciosos a menudo apuntan al archivo de configuración SSH para debilitar la seguridad cambiando los números de puerto o deshabilitando cifrados seguros. Wazuh FIM puede detectar modificaciones no autorizadas monitoreando los cambios en este archivo. La siguiente configuración en un agente Wazuh establece la capacidad FIM de Wazuh para monitorear el archivo /etc/ssh/sshd_config en un punto final monitoreado:
/etc/ssh/sshd_config
La siguiente imagen muestra alertas activadas cuando se realizan modificaciones en el archivo de configuración SSH.
![]() |
Alerta por modificación de configuración SSH |
De manera similar, el directorio /etc/ufw normalmente contiene archivos de configuración para UFW (Uncomplicated Firewall), una aplicación de firewall popular en Linux. Estos archivos definen las reglas que determinan qué tráfico de red está permitido o bloqueado en su sistema. Un atacante podría modificar las reglas de UFW para abrir puertos que normalmente están cerrados de forma predeterminada, permitiendo el acceso no autorizado a un sistema o servicios de red internos.
Podemos configurar Wazuh FIM para monitorear el directorio /etc/ufw. Esto se configura agregando la siguiente configuración en el archivo de configuración del agente en el punto final monitoreado. También habilitamos el atributo whodata, que registra el usuario que cambia un archivo monitoreado.
/etc/ufw
La siguiente imagen muestra alertas activadas cuando se realizan modificaciones en los archivos de reglas UFW.
![]() |
Alerta por modificación de archivos de reglas UFW |
La capacidad Wazuh FIM le permite ver al usuario y al proceso que inicia el cambio. La siguiente imagen muestra esta información.
![]() |
Alerta para el usuario y proceso que modificó el archivo de reglas UFW |
Beneficios de utilizar Wazuh FIM para el cumplimiento normativo
Wazuh proporciona capacidad de monitoreo de la integridad de los archivos para ayudar a lograr los requisitos de cumplimiento de seguridad de TI y mitigar los riesgos. Los beneficios de utilizar la capacidad Wazuh FIM incluyen:
- Comprobaciones de integridad: calcula los hashes criptográficos de los archivos monitoreados con respecto a su línea de base para realizar comprobaciones de integridad, detectando modificaciones con precisión. Esto garantiza la integridad y seguridad de los datos confidenciales.
- Seguimiento de auditoría: las organizaciones pueden utilizar la capacidad de generar informes detallados y seguimientos de auditoría de los cambios de archivos durante las auditorías. Estos informes están disponibles cuando sea necesario.
- Detección de amenazas: Wazuh FIM, cuando se combina con otras capacidades como la integración de VirusTotal y YARA, es eficaz para detectar amenazas o malware colocado en los puntos finales monitoreados. Al utilizar aún más la capacidad de respuesta a incidentes de Wazuh, las amenazas detectadas se manejan de manera eficiente antes de que se causen daños en el punto final.
- Gestión centralizada: proporciona capacidades de gestión y generación de informes centralizados que permiten a las organizaciones monitorear las alertas y actividades de FIM en diferentes entornos desde un único panel.
- Alertas en tiempo real: puede proporcionar alertas en tiempo real sobre cambios realizados en archivos y directorios monitoreados. También proporciona detalles sobre el usuario que realizó el cambio y el nombre del programa o proceso utilizado. Esto ayuda a los analistas de seguridad a identificar y responder rápidamente a posibles incidentes de seguridad o violaciones de cumplimiento.
- Rentabilidad: su descarga y uso es gratuito, lo que la convierte en una opción rentable para las empresas, especialmente las pequeñas y medianas empresas con restricciones presupuestarias.
Conclusión
Wazuh es una plataforma de seguridad de código abierto que ofrece protección XDR y SIEM unificada gratuita en varias plataformas. Wazuh también ofrece capacidades complementarias, como detección de vulnerabilidades, evaluación de la configuración de seguridad, detección de malware y monitoreo de la integridad de archivos (FIM). Su capacidad FIM ayuda a las organizaciones a cumplir con algunas regulaciones de ciberseguridad. Las otras capacidades también contribuyen a cumplir con los requisitos de cumplimiento normativo de ciberseguridad, salvaguardar los activos de una organización y mejorar la postura de seguridad.
Visite nuestro sitio web para obtener más información sobre wazuh.