Aproximadamente 26.000 nuevos CVEs fueron publicados en 2025. Esa cifra no está desacelerando en 2026, sino acelerándose. Si tu organización no está escaneando activamente vulnerabilidades conocidas, no estás gestionando el riesgo; simplemente esperas que nada malo suceda. OpenVAS ha sido un pilar del escaneo de vulnerabilidades open source durante más de una década y, a pesar de la explosión de alternativas comerciales, sigue siendo genuinamente útil. La pregunta no es si es bueno. La pregunta es si es el adecuado para tu situación específica.
Esta guía desglosa qué es realmente OpenVAS, cómo funciona internamente, cómo se compara con otras herramientas en la lista de vulnerability scanning tools y dónde están sus límites reales. Sin hype de vendor. Solo la realidad técnica.
¿Qué es realmente OpenVAS?
OpenVAS — Open Vulnerability Assessment System — nació como un fork de Nessus cuando Tenable cerró su código fuente en 2005. Hoy lo mantiene Greenbone Networks y sirve como motor de escaneo detrás de Greenbone Community Edition. La arquitectura ha evolucionado significativamente, pero el concepto central permanece: escaneo de red autenticado y no autenticado contra un feed continuamente actualizado de Network Vulnerability Tests (NVTs).
A mediados de 2026, el Greenbone Community Feed contiene más de 160.000 NVTs que cubren CVEs, debilidades de configuración, credenciales predeterminadas y configuraciones incorrectas a nivel de servicio. Las pruebas se ejecutan sobre el daemon OpenVAS Scanner (ospd-openvas), gestionado a través de la capa API de GVM. La pila es: GVM → ospd-openvas → OpenVAS Scanner. La interfaz web GSA se asienta encima de GVM.
Lo que hace genuinamente potente a OpenVAS es el escaneo autenticado. Proporciona credenciales — SSH, SMB, ESXi — y no solo sondea puertos abiertos; inicia sesión e inspecciona paquetes instalados, claves de registro, servicios en ejecución y niveles de parches. Así detectas CVE-2024-21338 en un host Windows que parece bien desde fuera pero tiene un driver de kernel vulnerable sin parchear.
Instalación y configuración inicial
El camino más limpio para ejecutar OpenVAS en 2026 es el enfoque Greenbone Community Containers usando Docker Compose. Olvida las instalaciones basadas en apt — el dependency hell en Ubuntu 22.04 es real. La pila contenedorizada levanta GVM, ospd-openvas, la base de datos PostgreSQL y la caché Redis como servicios discretos. La primera sincronización del feed NVT tarda 30–60 minutos según el ancho de banda. Las sincronizaciones posteriores son incrementales.
Para despliegues en bare-metal o VM, Kali Linux sigue siendo la opción con menos fricciones. Quien use OpenVAS en los laboratorios de TryHackMe conoce bien el flujo gvm-setup/gvm-check-setup. Paso de configuración crítico que la mayoría omite: ajusta las preferencias del escáner. La configuración de escaneo predeterminada Full and Fast equilibra cobertura y velocidad, pero para entornos de producción debes desactivar NVTs ruidosos y establecer timeouts adecuados por host.
OpenVAS frente al panorama de herramientas de escaneo
OpenVAS versus Nessus: Tenable tiene más de 200.000 plugins frente a ~160.000 NVTs. La integración EPSS de Tenable es mejor para la priorización. Nessus Essentials está limitado a 16 IPs; más allá, Nessus Professional cuesta alrededor de 3.990 $/año. OpenVAS es gratuito.
OpenVAS versus Nuclei: Nuclei de ProjectDiscovery es un escáner basado en plantillas, excelente para pruebas de endpoints API y sondeos web CVE-específicos. No es un reemplazo de OpenVAS, sino un complemento. Úsalos juntos.
Para el escaneo de contenedores, ninguno de los dos es el enfoque correcto. El Container Image Scanning requiere un enfoque fundamentalmente diferente: inspeccionar manifests de capas, paquetes OS y dependencias de lenguaje dentro de la imagen. OpenVAS escaneando los servicios expuestos de un contenedor no es lo mismo.
Construyendo un flujo de vulnerability management con OpenVAS
Un escáner que se ejecuta una vez por trimestre es una casilla de cumplimiento, no un control de seguridad. La Gestión de Vulnerabilidades efectiva requiere una frecuencia de escaneo adaptada a la tasa de cambio de tu entorno. Si despliegas a producción diariamente, el escaneo debería ser al menos semanal y activarse en cada despliegue significativo.
OpenVAS genera falsos positivos. La disciplina está en el triage. Crea listas de supresión para los falsos positivos conocidos. Usa las puntuaciones base CVSS v3.1 como punto de partida, pero no te detengas ahí. Un CVSS 9.8 sin exposición de red es menos urgente que un CVSS 7.5 con una puntuación EPSS de 0.94 y un módulo Metasploit disponible.
La GVM Python Library (gvm-tools) expone una API scriptable. Combina esto con herramientas de SAST para hallazgos a nivel de código y tendrás una postura shift-left sólida que detecta problemas de infraestructura antes de que lleguen a producción.
OpenVAS para entornos cloud: la evaluación honesta
Los entornos cloud añaden complejidad para la que los escáneres de red tradicionales no fueron diseñados. Las instancias efímeras, los grupos de auto-scaling y las funciones serverless no permanecen estáticas el tiempo suficiente para que un escaneo programado las capture. OpenVAS puede escanear instancias cloud igual que hosts on-prem, pero no tiene conciencia de la postura cloud, configuraciones erróneas de IAM, políticas de buckets de almacenamiento o deriva de grupos de seguridad de red.
Aquí es donde las herramientas dedicadas de CSPM se vuelven esenciales. Si tu stack de seguridad es solo OpenVAS y ejecutas cargas de trabajo en AWS, GCP o Azure, tienes un punto ciego significativo. Complementa el escaneo a nivel de host de OpenVAS con una capa de gestión de postura que entienda las construcciones cloud-native.
OpenVAS en contextos de cumplimiento
PCI-DSS 4.0 requiere escaneos externos trimestriales por un Approved Scanning Vendor — OpenVAS no califica como ASV. NIS2 Artículo 21 exige medidas técnicas de vulnerabilidad pero no prescribe herramientas. ISO 27001:2022 Anexo A Control 8.8 es igualmente agnóstico respecto a herramientas. OpenVAS puede apoyar tu postura de cumplimiento, pero no satisfará los requisitos específicos de ASV. Si navegas por requisitos de Cumplimiento en múltiples marcos, documenta explícitamente las configuraciones de escaneo y los SLAs de remediación.
¿Cuándo ir más allá de OpenVAS?
OpenVAS es adecuado para: entornos pequeños y medianos, equipos con presupuesto limitado y organizaciones que construyen su primer programa estructurado de gestión de vulnerabilidades. Empieza a ser insuficiente con 10.000+ hosts, entornos multi-cloud y contextos donde los informes listos para auditoría son obligatorios.
La capacidad de VM Scans en las plataformas modernas integra los hallazgos de vulnerabilidades con el inventario de activos, el contexto cloud y los flujos de remediación de maneras que un despliegue independiente de OpenVAS no puede igualar. Eso no hace obsoleto a OpenVAS — significa conocer los límites de la herramienta y construir la arquitectura de tu programa en consecuencia.