WAZUH - FIM & VIRUSTOTAL

📌 ¿Qué es FIM (File Integrity Monitoring)?

FIM (File Integrity Monitoring), o en español Monitorización de la Integridad de Archivos, es un proceso mediante el cual se supervisan y verifican los archivos de un sistema para detectar modificaciones no autorizadas, eliminaciones o adiciones.

👉 Su objetivo principal es garantizar que los archivos clave de un sistema (por ejemplo, archivos de configuración, ejecutables del sistema operativo o aplicaciones críticas) no hayan sido alterados de forma indebida o maliciosa.

FIM es una técnica esencial dentro de un enfoque de defensa en profundidad en ciberseguridad, ya que permite detectar señales tempranas de un posible compromiso del sistema (por ejemplo, debido a malware, un atacante o un usuario interno con intenciones maliciosas).

🔑 ¿Cómo funciona FIM?

El funcionamiento básico de FIM implica las siguientes fases:

1️⃣ Identificación de archivos a monitorizar

Se definen los archivos, directorios o tipos de archivo críticos a vigilar, como:

• Archivos de configuración del sistema operativo.

• Binarios de aplicaciones.

• Archivos de políticas de seguridad.

• Scripts y tareas programadas.

2️⃣ Captura del estado de referencia

El sistema FIM genera una firma digital o hash criptográfico (por ejemplo, SHA256) de los archivos monitorizados.

Esta firma representa el estado "normal" o "aprobado" del archivo en un momento inicial.

3️⃣ Monitorización y detección de cambios

FIM vuelve a calcular los hashes en intervalos regulares o al detectar cambios mediante eventos del sistema (por ejemplo, inotify en Linux o la API de notificación de cambios en Windows).

Si el nuevo hash no coincide con el de referencia, se detecta un cambio.

4️⃣ Generación de alertas y acciones

Cuando un archivo cambia, se puede:

• Generar una alerta en el sistema de seguridad (SIEM, Wazuh, etc.).

• Registrar el evento para auditoría.

• Desencadenar respuestas automáticas (por ejemplo, restaurar el archivo, bloquear al usuario que realizó el cambio).

⚙️ Elementos que supervisa FIM

Además del contenido de los archivos, FIM puede vigilar:

• Permisos y atributos del archivo.

• Propietario y grupo del archivo.

• Tiempos de creación, modificación y acceso.

• Tamaño del archivo.

🌟 ¿Por qué es importante FIM?

✅ Detección temprana de amenazas: ayuda a identificar modificaciones no autorizadas que pueden ser indicio de un ataque, como un malware que cambia un binario del sistema.

✅ Cumplimiento normativo: muchas normativas (PCI DSS, HIPAA, GDPR, ISO 27001) exigen monitorización de integridad de archivos como parte de los controles de seguridad.

✅ Seguridad ante usuarios internos: permite detectar cambios realizados por empleados o administradores no autorizados.

✅ Auditoría y trazabilidad: deja un rastro claro de las modificaciones, útil en investigaciones forenses.

📝 Ventajas de FIM

• 🔒 Refuerza la seguridad del sistema mediante control de archivos críticos.

• ⚡ Permite una respuesta rápida frente a manipulaciones no autorizadas.

• 📜 Genera evidencias útiles para auditorías.

• 🔔 Se integra con sistemas de alertas y SIEMs, como Wazuh o Splunk.

⚠️ Limitaciones o desafíos

• 🧠 Posibles falsos positivos: cambios legítimos no documentados pueden generar alertas innecesarias si no se ajusta bien la configuración.

• ⚙️ Sobrecarga de recursos: en entornos con muchos archivos monitorizados, puede consumir recursos considerables (CPU, disco).

• 🔑 No impide el cambio: FIM detecta y alerta, pero no previene el cambio (salvo que se combine con otras herramientas de protección).

📌 ¿Dónde se usa FIM?

FIM está integrado en soluciones de seguridad como:

• Wazuh (monitorización de integridad como módulo nativo).

• OSSEC.

• Tripwire.

• AIDE (Advanced Intrusion Detection Environment).

• Solucones comerciales SIEM.

Se emplea tanto en servidores Linux/Windows, como en dispositivos de red y entornos cloud.

✅ Resumen

El File Integrity Monitoring (FIM) es un componente esencial de la seguridad de sistemas, que permite vigilar y alertar sobre cambios no autorizados en archivos clave del sistema operativo o aplicaciones. Ayuda a detectar intrusiones, cumplir normativas de seguridad y proteger la integridad del entorno informático.

📌 ¿Qué es VirusTotal?

VirusTotal es un servicio gratuito en línea (con opciones avanzadas para empresas) que permite analizar archivos, direcciones URL, dominios e incluso direcciones IP en busca de virus, malware, troyanos, gusanos, rootkits y otros tipos de amenazas.

👉 VirusTotal actúa como un agregador de motores antivirus y herramientas de análisis de seguridad:

Cuando un usuario sube un archivo o indica una URL, VirusTotal lo examina utilizando docenas de motores antivirus, herramientas antimalware y servicios de reputación al mismo tiempo.

El servicio pertenece a Google (Alphabet Inc.), que lo adquirió en 2012, y es mantenido por su filial Chronicle (especializada en seguridad).

🔑 ¿Para qué sirve VirusTotal?

El propósito principal de VirusTotal es:

• Comprobar rápidamente si un archivo o enlace es malicioso.

• Facilitar el análisis colaborativo: los resultados se comparten con la comunidad de seguridad y los fabricantes de antivirus.

• Permitir a investigadores y analistas estudiar nuevas amenazas y sus características.

• Proporcionar inteligencia de amenazas útil para mejorar la defensa en redes y sistemas.

⚙️ ¿Cómo funciona VirusTotal?

📂 Análisis de archivos

El usuario puede:

• Subir un archivo (hasta 650 MB en el portal web, más en API premium).

• Arrastrar y soltar el archivo en la web.

VirusTotal:

1️⃣ Calcula un hash del archivo (SHA256, MD5).

2️⃣ Si ese hash ya fue analizado, muestra los resultados anteriores (acelerando la respuesta).

3️⃣ Si es nuevo, envía el archivo a los motores de análisis.

4️⃣ Cada motor genera un diagnóstico (por ejemplo, “limpio”, “malware”, “sospechoso”).

🌐 Análisis de URLs, dominios e IPs

El usuario puede:

• Pegar un enlace o dominio sospechoso.

• VirusTotal consulta su base de datos y motores de reputación (como Google Safe Browsing, PhishTank).

Resultado:

• Indicación de si la URL o dominio es malicioso o phishing.

• Información histórica y técnica: IPs relacionadas, WHOIS, geolocalización, etc.

🔍 Motores de análisis utilizados

VirusTotal utiliza más de 70 motores de:

• Antivirus tradicionales (ej.: Kaspersky, Bitdefender, ESET, McAfee, Microsoft Defender).

• Motores de detección de malware avanzado.

• Sistemas de reputación de URL y dominios.

• Herramientas de análisis estático y dinámico (sandboxing).

🌟 Características destacadas

• 🚀 Rápido y fácil de usar: permite un análisis ágil desde navegador o API.

• 🔎 Detección colaborativa: los datos ayudan a mejorar productos de seguridad y alertar a otros usuarios.

• 🧠 Análisis de comportamiento (sandbox): en archivos sospechosos, ejecuta el archivo en entornos virtuales controlados para ver su comportamiento.

• 📊 Inteligencia de amenazas: ofrece detalles como firmas, nombres de detección, relaciones entre archivos, dominios, etc.

• 📈 Historial y estadísticas: permite ver la evolución de la detección en el tiempo.

💡 ¿Por qué es importante VirusTotal?

✅ Ayuda a detectar amenazas que un solo antivirus podría pasar por alto.

✅ Facilita la toma de decisiones al gestionar incidentes de seguridad.

✅ Es un recurso esencial en análisis forense y respuesta ante incidentes.

✅ Promueve la colaboración en la comunidad de ciberseguridad, compartiendo indicadores de compromiso (IoCs).

📝 Ventajas de VirusTotal

• 🌐 Accesible desde cualquier navegador sin necesidad de instalación.

• 🛡️ Analiza un archivo con múltiples motores simultáneamente.

• 📑 Guarda un historial de análisis que permite rastrear el origen y evolución de una amenaza.

• 🤝 Colabora con empresas de seguridad, instituciones y usuarios para mejorar las defensas globales.

⚠️ Limitaciones de VirusTotal

• 🧩 No sustituye a un antivirus en tiempo real: VirusTotal es un servicio de análisis bajo demanda, no protege el sistema de forma activa.

• 🕵️ Los archivos enviados pueden ser compartidos con la comunidad (salvo en versiones privadas o corporativas).

• 🚫 No garantiza al 100 % la detección: aunque use muchos motores, un archivo nuevo o muy sofisticado puede no ser detectado.

• ⚙️ Requiere conexión a Internet.

✅ Resumen

VirusTotal es una herramienta clave en ciberseguridad para el análisis rápido de archivos y enlaces sospechosos mediante la combinación de múltiples motores de detección. Es ampliamente utilizada por administradores de sistemas, investigadores de seguridad y analistas de malware para identificar amenazas, compartir inteligencia y reforzar las defensas de sistemas y redes.

📌 ¿Qué es la integración de FIM con VirusTotal en Wazuh?

La integración de FIM con VirusTotal en Wazuh consiste en un proceso mediante el cual Wazuh no solo monitoriza cambios en archivos críticos mediante FIM, sino que, cuando detecta un cambio o creación de archivo, consulta automáticamente en VirusTotal si ese archivo es reconocido como malicioso por la comunidad de motores antivirus de VirusTotal.

👉 Esto permite a los administradores:

• Detectar rápidamente si un archivo modificado o nuevo podría ser una amenaza (malware).

• Centralizar la gestión de integridad y reputación de archivos desde el propio Wazuh.

De este modo, Wazuh no solo vigila cambios (integridad), sino que también evalúa el riesgo asociado a esos cambios.

🔑 ¿Cómo funciona esta integración paso a paso?

1️⃣ Monitorización de archivos con FIM

• Wazuh tiene un módulo de FIM activado (por defecto, monitoriza rutas como /etc, /bin, /usr/bin en Linux o C:\Windows\System32 en Windows).

• Se calculan hashes (SHA256, MD5) de los archivos monitorizados.

• Wazuh detecta un cambio en un archivo (nuevo archivo, archivo modificado o eliminado).

2️⃣ Generación del evento FIM

• Se genera un evento FIM con detalles del archivo:

  • Ruta del archivo.

  • Usuario que hizo el cambio (si se puede determinar).

  • Tipo de cambio (modificación, creación, eliminación).

  • Hashes calculados (MD5, SHA1, SHA256).

3️⃣ Consulta a VirusTotal

• Si tienes habilitada la integración de VirusTotal en el archivo de configuración (ossec.conf o wazuh.yml en versiones recientes), Wazuh:

  • Toma el hash del archivo (normalmente SHA256).

  • Lanza una consulta a la API pública o privada de VirusTotal.

  • VirusTotal responde con el estado del archivo (por ejemplo, cuántos motores lo consideran malicioso).

4️⃣ Generación de la alerta en Wazuh

• Wazuh analiza la respuesta de VirusTotal.

• Si el archivo es reportado como malicioso por uno o más motores antivirus:

  • Se genera una alerta de alto nivel (según el número de motores que lo marcan como amenaza).

  • El evento se registra en el sistema de alertas de Wazuh.

  • La alerta se visualiza en el dashboard (por ejemplo, en Kibana o el Wazuh dashboard).

⚙️ Requisitos para la integración

• Tener habilitado el módulo FIM en Wazuh.

• Tener una clave API de VirusTotal (puede ser de la API gratuita, aunque está limitada en número de consultas; o de la API premium).

• Configurar Wazuh para usar esa clave:

  <virustotal>
    <enabled>yes</enabled>
    <api_key>tu_clave_api</api_key>
  </virustotal>

• Conexión a Internet para consultar VirusTotal.

🌟 Ventajas de esta integración

✅ Automatiza la comprobación de reputación de archivos, ahorrando tiempo al administrador.

✅ Mejora la capacidad de respuesta ante incidentes, al poder detectar archivos sospechosos en el momento en que se crean o modifican.

✅ Combina control local (integridad) con inteligencia global (VirusTotal).

✅ Reduce el riesgo de ataques avanzados, detectando archivos que los antivirus locales podrían no identificar inmediatamente.

⚠️ Limitaciones

• 🌐 Depende de la conectividad a VirusTotal: sin conexión no puede verificar los hashes.

• 🔑 Limitaciones de la API gratuita: un número reducido de consultas por minuto/día.

• 🧠 No impide el cambio: solo alerta, no bloquea el archivo automáticamente (a menos que combines con otras acciones de respuesta en Wazuh).

• ⚙️ Posibles falsos positivos o negativos: como cualquier sistema basado en reputación, puede haber errores en los resultados.

✅ Resumen

La integración de FIM con VirusTotal en Wazuh eleva el nivel de seguridad al combinar la vigilancia de cambios locales en archivos críticos con la verificación en tiempo real de la reputación de esos archivos. Esto permite a los administradores detectar rápidamente archivos que podrían suponer una amenaza, todo gestionado desde una única plataforma.

⚙️ Estructura de red