Security Onion se ha convertido en una de esas plataformas que cualquiera que monte o opere un SOC debería conocer de cerca. Es gratuita, de código abierto y reúne en un mismo sitio monitorización de red, caza de amenazas y gestión de logs, además de una colección de herramientas probadas en producción que aceleran el trabajo del Blue Team.

Antes de entrar en harina conviene poner expectativas realistas: no es una solución mágica ni un botón de «arreglar todo». Su potencia está en cómo integra múltiples piezas y en el criterio del equipo que la usa. Requiere aprenderla, ajustarla a cada entorno y exprimir sus capacidades; si lo hacemos, la plataforma devuelve un valor enorme.

¿Qué es Security Onion y qué resuelve?

Security Onion es una distribución Linux especializada para detección y respuesta que aglutina IDS/IPS, análisis de tráfico, gestión de eventos y más; como otras distribuciones de seguridad. Sirve para threat hunting, enterprise security monitoring y log management, con interfaces propias para alertas, paneles, hunting, PCAP, detecciones y gestión de casos. Además, incorpora herramientas como osquery, CyberChef, Elasticsearch, Logstash, Kibana, Suricata y Zeek.

Detrás del proyecto está Security Onion Solutions, LLC. Ellos crean y mantienen la plataforma y financian su desarrollo con productos y servicios comerciales; cuando una empresa contrata su soporte o ediciones pro, contribuye a que el proyecto siga evolucionando al ritmo que exige el cambiante panorama de amenazas.

Componentes y herramientas destacadas de Security Onion

Uno de los grandes puntos fuertes es su selección de motores y utilidades ya integradas y listas para correlacionar. La suite combina captura de paquetes, IDS basados en reglas y análisis profundo del tráfico, junto a HIDS y un stack de búsqueda/visualización robusto.

Captura de tráfico con netsniff-ng

Entre las piezas que trabajan a bajo nivel está netsniff-ng. Este componente captura tráfico y gestiona el almacenamiento de PCAP de forma eficiente, eliminando datos antiguos cuando hace falta para no saturar disco. La captura resulta esencial para revisar indicios de exfiltración, campañas de phishing o intrusiones que requieren volver al paquete para entender el qué, el cómo y el cuándo.

IDS/IPS basados en reglas: Suricata y Snort

Security Onion integra dos veteranos en detección por firmas, presentes en listas de mejores IDS en Linux: Suricata y Snort funcionan con reglas que disparan alertas ante patrones conocidos. Se apoyan en «huellas» almacenadas en sus bases de reglas y son la primera línea para detectar familias de malware, C2 conocidos, exploits y comportamientos descritos previamente.

Análisis de red con Zeek

Complementando lo anterior, Zeek (antes Bro) adopta otra aproximación. Realiza inspección pasiva y genera registros detallados de las conexiones (conn, dns, http, ssl/tls, entre otros). Además de IPs, puertos y protocolos, aporta atributos ricos como consultas DNS, detalles de TLS o información de capa 7 para múltiples protocolos: HTTP, FTP, IRC, SMTP, SSH, SSL y Syslog, entre otros.

Un ejemplo práctico de su flexibilidad: se pueden importar fuentes auxiliares como CSV con información corporativa y cruzarlas con eventos de descargas, inicios de sesión u otras actividades. Esas correlaciones pueden alimentar antivirus, antimalware o un SIEM para orquestar una respuesta más ágil.

HIDS en endpoints con Wazuh

La visibilidad se completa con un IDS basado en host. Wazuh monitoriza cada endpoint con agente para Windows, Linux y macOS, analizando logs del sistema, comprobando integridad de ficheros, vigilando políticas y detectando rootkits. Gracias a sus alertas en tiempo real y acciones de respuesta, añade una capa proactiva a la estrategia defensiva. Está plenamente integrado con Elastic Stack para búsqueda y visualización.

Stack de búsqueda y herramientas de analista

Security Onion trae Elasticsearch y Kibana para consultas y dashboards, además de utilidades pensadas para el día a día del analista. Sguil actúa como puente entre IDS/IPS y las capturas de paquetes, acelerando el triage y la investigación colaborativa. También están Squert, CapMe y otros paneles propios para hunting, PCAP y gestión de casos.

Otras utilidades integradas

Para tareas de análisis y decodificación rápidas, la plataforma incluye CyberChef. Es la navaja suiza para transformar y examinar artefactos sin abandonar el entorno del SOC. Junto a osquery, permite preguntar al parque de endpoints por estados y atributos de forma masiva.

Suricata/Snort vs Zeek: enfoques complementarios

Conviene distinguir los dos modelos de detección más comunes en la plataforma. Suricata y Snort disparan alertas basadas en reglas y pueden inspeccionar pasivamente o bloquear (según despliegue), mientras que Zeek prioriza la generación de telemetría rica para reconstruir narrativas de ataque. La combinación ayuda tanto a detectar lo conocido como a investigar lo desconocido.

Visibilidad y análisis en Security Onion: Sguil, Squert, Kibana y CapMe

Un buen SOC no solo dispara alertas: necesita contexto, colaboración y flujo de trabajo. La interfaz de Sguil centraliza eventos y permite pivotar a PCAP para ver qué ocurrió exactamente en el cable. Squert aporta vistas ágiles, Kibana ofrece búsquedas y paneles a medida, y CapMe facilita extraer paquetes relevantes para un caso.

Estas vistas integradas reducen fricción entre equipos: los analistas pueden asignar, escalar y documentar cada incidencia con rapidez, evitando la desconexión típica entre detecciones, búsquedas y forense de red.

Puesta en marcha de Security Onion: descarga, documentación y virtualización

El punto de partida habitual es el repositorio oficial. Puedes descargar la ISO desde GitHub y, antes de nada, revisar la documentación, que trae un apartado de «Getting Started» muy completo y con varios caminos de despliegue.

Si no cuentas con un host Linux a mano, no pasa nada: la guía cubre escenarios de virtualización con VirtualBox y VMware, incluyendo creación de máquinas virtuales específicas para montar la suite y comenzar las auditorías de red.

Requisitos mínimos recomendados

Para arrancar con garantías, la propia documentación sugiere una base modesta: CPU de 64 bits con dos o más núcleos, 8 GB de RAM, 80 GB de disco y NIC en modo promiscuo. En entornos con más tráfico, lo razonable es subir a 16 GB de RAM o más y varios cientos de GB (mejor aún almacenamiento rápido) para absorber PCAP y series de logs.

Atajos útiles: cheat sheet

Otro recurso práctico es la plantilla de apuntes oficial. El cheat sheet condensa comandos de mantenimiento y rutas de ficheros clave, perfecto para localizar los logs de cada servicio cuando el tiempo apremia.

Novedades y evolución constante

El proyecto se mueve deprisa porque el adversario también. Una de las grandes actualizaciones recientes es la 2.4.120 (febrero de 2025), que llegó cargada de mejoras.

• Nueva interfaz de alertas con resúmenes apoyados en IA para entender eventos de un vistazo y agilizar la respuesta.
• Zeek 7 integrado, con soporte ampliado para protocolos como QUIC, HTTP/2, OpenVPN o IPsec, mejorando detección y análisis.
• ATT&CK Navigator incorporado para mapear eventos al marco MITRE ATT&CK y priorizar amenazas con criterio.
• API externa en Security Onion Pro, útil para integraciones personalizadas o interfaces a medida.
• Búsqueda local de direcciones IP con descripciones personalizadas visibles en SOC, muy práctica si faltan PTR o se quieren anotar IPs críticas.

Además de 2.4.120, la cadencia de versiones ha seguido con 2.4.130, 2.4.140, 2.4.141, 2.4.150, 2.4.160 y 2.4.170 a lo largo de 2025, reforzando que el ciclo de mejoras es continuo y que merece la pena mantenerse al día.

Casos de uso habituales

Security Onion encaja en múltiples escenarios. Desde detectar intentos de phishing hasta cazar C2, investigar exfiltraciones o centralizar logs para unificar visibilidad. Su carácter abierto y modular ayuda a adaptarlo tanto a pymes como a grandes centros de datos.

¿Cuándo realizar auditorías de red con Security Onion?

Las auditorías periódicas son una pieza básica del programa de seguridad. No hace falta esperar a una brecha para revisar la red, pero hay situaciones en las que conviene priorizarlas.

• Cambios en la infraestructura: nuevos sistemas, apps o soluciones TI; valida que todo convive bien y sin nuevas brechas.
• Incidencias de seguridad: tras un ataque exitoso, auditar es vital para entender el vector y reforzar donde toca.
• Problemas de rendimiento: lentitud o desconexiones pueden esconder fallos o abusos que una auditoría revela.
• Expansión del negocio: más sedes, departamentos o personal alteran los patrones; hay que recalibrar.
• Evaluaciones programadas: sin motivo aparente, fijar revisiones regulares ayuda a adelantarse a los sustos.

En cualquier caso, si no se tiene experiencia, lo sensato es apoyarse en empresas especializadas que adapten las pruebas al entorno y eviten costes ocultos derivados de una mala ejecución.

Implementación y configuración

El despliegue va más allá de instalar y listo. Hay que definir interfaces de red, sensores, gestión de alertas y reglas para ajustarlo a la realidad de la organización. La comunidad y la documentación oficial facilitan plantillas y recomendaciones de arquitectura para empezar con buen pie.

Demostración práctica: investigación de exfiltración

Para entender el flujo de trabajo, te proponemos un ejercicio práctico: analizar un caso de exfiltración de datos con las herramientas de Security Onion.

Importar PCAP y preparar el entorno

Antes de cargar el PCAP, puede venir bien limpiar alertas y visualizaciones en Elasticsearch con un par de órdenes de mantenimiento. Tras ello, importa el archivo .pcap con la utilidad correspondiente.

Si algo no arranca a la primera, prueba a reiniciar la máquina. Security Onion orquesta sus servicios en contenedores Docker y, al arrancar, puede tardar un poco en dejar todo listo. Puedes ver el estado de los contenedores en tiempo real con el comando de listado.

No te preocupes si los tres últimos contenedores aparecen como DISABLED: eso solo indica que no hay captura en tiempo real; el PCAP se analizará igualmente con Suricata y Zeek.

Tráfico malicioso: explorando los flujos con Security Onion

Primer flujo TCP

1. Ordena cronológicamente las alertas de ese hilo temporal, de la menos reciente a la más reciente, para ver la secuencia completa.
2. Identifica IP de origen, IP de destino y puertos implicados en este primer intercambio hacia Internet.
3. Fíjate en una alerta curiosa: se solicita un PDF directamente a una IP en lugar de a un dominio; ¿qué firma la provoca?
4. Antes de esa petición, aparece un user-agent que se identifica como curl; toma nota para correlaciones posteriores.
5. La última alerta del flujo, ¿qué indica que ha sucedido? Describe la condición que dispara el evento.
6. Abre cualquiera de esas alertas y carga el flujo completo para revisar todos los mensajes en detalle.
7. Dentro de esa reconstrucción, ¿qué user-agent exacto ves?
8. ¿Detectas algo sospechoso en el cuerpo de la respuesta HTTP?
9. Envía este tráfico a un entorno de cocina como CyberChef para jugar con él.
10. Allí, ve eliminando capas y transformaciones hasta revelar contenido interesante.
11. Al llegar al núcleo, ¿aparecen referencias o indicadores anómalos dignos de IOC?

Segundo flujo TCP

1. Con los puertos y pares IP como guía, identifica qué alertas pertenecen a este segundo flujo.
2. Repite la reconstrucción del tráfico igual que antes para ver contexto y payloads.
3. ¿Encuentras algo fuera de lo común en las transacciones?

Tercer flujo TCP

1. Localiza las dos alertas que definen el flujo y anota parámetros clave (IPs, puertos, protocolo).
2. Vuelve a abrir el hilo de paquetes para inspección detallada.
3. ¿Qué user-agent se usa y qué acción intenta realizar la petición?
4. Tras este intercambio aparece otra alerta de tráfico HTTPS; según lo visto, ¿a qué correspondería?

Cuarto flujo TCP

1. De pronto se disparan muchas alertas distintas; por su patrón, ¿qué parece haber ocurrido?
2. ¿Cómo profundizas desde las alertas para ver exactamente qué ha pasado?
3. En la vista de flujo, ¿qué indicios clave se aprecian?

1. Abre la pestaña Hunt.
2. Lanza una query predefinida que ordene por event.module y event.dataset.
3. En Group Metrics, revisa qué tipos de logs ha recogido Zeek.
4. En el desplegable de queries, elige mostrar todas las conexiones por ip origen, ip destino, network protocol y puerto destino.
5. Ahora agrupa por conexiones HTTP y puerto destino.
6. ¿Aparece algún puerto no habitual para HTTP?
7. Si sí, márcalo como Include para centrarte en él.
8. En Events, ¿ves algo que merezca análisis? Ábrelo en detalle como ya sabes.
9. ¿Qué hallazgo surge ahí?

Otras vías de detección

1. Agrupa por conexiones HTTP, método y user-agent.
2. ¿Qué patrón interesante permitiría identificar tráfico malicioso por user-agent?
3. Agrupa por HTTP virtual host.
4. ¿Algún host virtual inusual o sospechoso que apunte a actividad maliciosa?
5. Agrupa por dataset notice (Zeek).
6. ¿Qué señal sospechosa destaca?
7. En Events, agrupa por el campo notice.sub_message.
8. ¿De qué entidad son la mayoría de los certificados TLS? ¿Qué deduces?

Soporte, comunidad y licencia de Security Onion

La comunidad de Security Onion es muy activa: foros, grupos y documentación viva ayudan a resolver dudas y compartir prácticas. Para organizaciones que requieren más, existe soporte comercial y una edición Pro con extras de integración.

En cuanto a licenciamiento, el proyecto es software libre y abierto. Los detalles y matices de licencia se encuentran en la web y repositorios oficiales.

Privacidad y recursos externos

Al investigar, es habitual consultar hilos en plataformas de terceros. Por ejemplo, Reddit y sus socios emplean cookies y tecnologías similares para operar el sitio, mejorar servicios, personalizar contenido/publicidad y medir rendimiento. Puedes aceptar todas o rechazar las no esenciales, manteniendo la funcionalidad básica; revisa sus avisos de cookies y privacidad cuando navegues por sus recursos.

Si quieres profundizar o evaluar opciones comerciales, visita el sitio oficial: securityonionsolutions.com. Para cualquier consulta o sugerencia, no dudes en contactarnos y te ayudamos a orientar la implantación en tu contexto.

Security Onion concentra en un único stack la captura de red, la detección en host y la analítica que necesita un SOC moderno; con Suricata, Snort, Zeek, Wazuh, Elastic, Sguil, Squert, CapMe y CyberChef la visibilidad crece en amplitud y profundidad. Sumando una documentación muy cuidada, opciones de virtualización, un cheat sheet útil y un ritmo de versiones intenso con mejoras como la nueva interfaz de alertas, Zeek 7 y ATT&CK Navigator, es una base sólida para threat hunting y respuesta a incidentes en empresas de cualquier tamaño.