Secrails LogoSECRAILS
Secrails LogoSECRAILS
Iniciar sesión
Volver al BlogGestión de Vulnerabilidades

OpenVAS en 2025: La guía completa para el escaneo de vulnerabilidades de código abierto

secrails··
openvasvulnerability scanningopen source securitynetwork securityvulnerability management
OpenVAS en 2025: La guía completa para el escaneo de vulnerabilidades de código abierto

Por qué OpenVAS sigue siendo relevante en un mercado saturado de escáneres de pago

El informe Threat Landscape 2024 de Tenable identificó más de 26.000 nuevos CVE divulgados en un solo año. La cifra sigue creciendo. Los escáneres de vulnerabilidades comerciales como Qualys, Rapid7 y Tenable Nessus dominan los contratos empresariales. Pero para los equipos de seguridad con presupuestos ajustados — o ingenieros de seguridad que realmente quieren entender qué ocurre bajo el capó — OpenVAS sigue siendo una de las herramientas de gestión de vulnerabilidades más capaces disponibles sin coste de licencia.

Llamarlo simplemente «la alternativa gratuita a Nessus» es quedarse muy corto. OpenVAS, ahora empaquetado como parte del framework Greenbone Vulnerability Management (GVM), incluye más de 100.000 Network Vulnerability Tests (NVTs). Soporta escaneos autenticados, auditoría de cumplimiento según CIS Benchmarks y PCI-DSS, y produce salida estructurada que se integra limpiamente en pipelines SIEM. No es un juguete. Es infraestructura.

Esta guía cubre lo que OpenVAS hace realmente bien en 2025, dónde se queda corto frente a otras herramientas de escaneo de vulnerabilidades, y cómo construir un workflow de escaneo que produzca resultados accionables.

Qué es OpenVAS — y qué no es

OpenVAS nació como fork de Nessus en 2005 cuando Tenable pasó a una licencia propietaria. Greenbone Networks tomó el relevo y lo ha mantenido desde entonces. La arquitectura actual bajo GVM 22.x separa el motor de escáner (OpenVAS Scanner), la capa de gestión (gvmd) y la interfaz web (GSA). Se comunican mediante el Greenbone Management Protocol (GMP).

Entender esta arquitectura importa porque afecta cómo automatizas escaneos, canalizas resultados a sistemas de ticketing e integras con plataformas de seguridad más amplias. La API GMP está bien documentada — puedes disparar escaneos, extraer resultados y gestionar objetivos de forma programática.

Lo que OpenVAS no es: un escáner SaaS cloud-nativo. No ofrece la amplitud de descubrimiento de activos de herramientas como Cloud Inventory construidas para entornos dinámicos. No entiende capas de contenedor de forma nativa como Trivy, ni proporciona contexto de runtime como Falco o una solución CSPM. Es un escáner de vulnerabilidades de red y host. Dentro de ese ámbito, es excelente.

Despliegue en 2025: El camino práctico

Despliegue basado en Docker

La forma más rápida de poner en marcha OpenVAS es mediante el stack oficial Docker Compose de Greenbone. La sincronización inicial de NVTs tarda entre 20 y 40 minutos. No es opcional — sin un feed actualizado, los resultados de tus escaneos están desactualizados.

Configuración de escaneo: No uses los valores predeterminados

OpenVAS incluye varias configuraciones de escaneo, desde «Discovery» hasta «Full and very deep». El enfoque práctico: comienza con «Full and fast» para el baseline inicial, luego añade escaneos autenticados. La diferencia en cobertura CVE entre escaneos autenticados y no autenticados en un servidor Linux típico suele ser del 60-70% más hallazgos con autenticación habilitada.

Para los requisitos de cumplimiento más profundos, combinar OpenVAS con un enfoque de Policy-as-Code garantiza que la remediación sea sistemática en lugar de ad hoc.

Interpretación de resultados sin perderse

OpenVAS utiliza un sistema de puntuación de severidad basado en CVSS. Pero las puntuaciones base CVSS por sí solas son un mecanismo de priorización pobre. Una vulnerabilidad RCE con CVSS 9.8 en un servidor interno aislado es menos urgente que una vulnerabilidad CVSS 7.2 con exploit público en un activo expuesto a internet. Las puntuaciones EPSS (Exploit Prediction Scoring System) son una señal de priorización mejor combinadas con los datos de exposición de activos.

OpenVAS no muestra puntuaciones EPSS de forma nativa. Para una solución completa, SECRAILS Vulnerability Management integra la priorización de riesgos con enriquecimiento de contexto, para que tu equipo se centre en la remediación que realmente importa.

Limitaciones reales que debes conocer

OpenVAS tiene debilidades reales. El escaneo de aplicaciones web es superficial — no es una herramienta DAST. El rendimiento del escaneo a escala es un desafío; la edición community es esencialmente de nodo único. La tasa de falsos positivos es real y requiere ajuste activo.

Para entornos cloud-native, OpenVAS alcanza sus límites. El tooling de Cloud Security ha evolucionado separadamente de los escáneres de red tradicionales por buenas razones. La respuesta correcta para la mayoría de organizaciones no es OpenVAS o escaneo cloud-nativo — es ambos, aplicados al scope apropiado. Si estás construyendo un programa de seguridad completo, SECRAILS cubre ambos vectores.

CTA: Lleva tu gestión de vulnerabilidades más lejos

OpenVAS es un punto de partida potente, pero la gestión de vulnerabilidades a escala requiere más que un escáner. SECRAILS Vulnerability Management integra hallazgos en toda tu infraestructura cloud, contenedores, código y red — con contexto de riesgo unificado y workflows de remediación que realmente cierran tickets. Explora nuestra plataforma VM Scans y construye un programa continuo de gestión de vulnerabilidades.

Frequently Asked Questions

¿Es OpenVAS realmente gratuito para uso en producción?

Sí, la Greenbone Community Edition de OpenVAS es completamente gratuita y open source bajo la licencia GPL. No hay límites de IP, ni paywalls de funciones para la funcionalidad de escaneo principal, ni restricciones de tiempo. Greenbone ofrece appliances enterprise de pago y contratos de soporte para organizaciones que necesitan SLAs y soporte dedicado.

¿Con qué frecuencia debo actualizar el feed NVT en OpenVAS?

Las actualizaciones diarias son la recomendación estándar. Greenbone publica actualizaciones de NVT continuamente a medida que se divulgan nuevas vulnerabilidades. Ejecutar un escáner con un feed de una semana de antigüedad significa que potencialmente te estás perdiendo CVEs de alta severidad recientemente divulgados. Automatiza la sincronización del feed como parte de la rutina de mantenimiento diario de tu escáner.

¿Puede OpenVAS escanear infraestructura cloud como AWS o Azure?

OpenVAS puede escanear instancias cloud como objetivos de red si son accesibles. Sin embargo, OpenVAS no utiliza APIs de proveedores cloud para el descubrimiento de activos, por lo que las instancias efímeras o de autoescalado pueden no ser detectadas. Para una gestión completa de vulnerabilidades cloud, se recomienda encarecidamente combinar OpenVAS con herramientas cloud-nativas.

¿Qué diferencias principales hay entre OpenVAS y los escáneres comerciales?

Los escáneres comerciales como Qualys, Rapid7 y Tenable ofrecen descubrimiento basado en agentes, evaluación de postura cloud mediante conectores, workflows integrados de ticketing, seguimiento de SLAs y contratos de soporte dedicado. OpenVAS no ofrece nada de esto out-of-the-box. Pero para organizaciones en etapas anteriores de madurez en seguridad, OpenVAS proporciona señal real sin ciclos de adquisición.

¿Cuáles son los requisitos del sistema para ejecutar OpenVAS mediante Docker?

Greenbone recomienda como mínimo 4 núcleos de CPU, 8 GB de RAM y 20 GB de espacio en disco para el stack Docker de Community Edition. En la práctica, la base de datos PostgreSQL para almacenar los resultados de los escaneos crece significativamente con el tiempo, por lo que asignar 50-100 GB es más realista para uso en producción. El almacenamiento SSD es fuertemente preferido sobre el disco giratorio.