UEBA detects unusual behavior by analyzing deviations from normal patterns. For example, if a user who doesn't typically download files suddenly starts downloading large amounts, UEBA flags it as an anomaly. It can also monitor machine behavior, such as detecting a surge in server access requests from a company device.

Why do organizations use UEBA tools?

Organizations use UEBA tools because traditional security solutions, like firewalls and intrusion detection systems, are no longer sufficient to protect against modern threats. UEBA tools help by detecting anomalous user and entity behaviors that could indicate security breaches, such as insider threats or credential-based attacks, which are often missed by conventional defenses. These tools provide a more proactive approach to threat detection, especially for advanced persistent threats (APTs) and sophisticated attack methods.

Ciberseguridad Identidad y acceso UEBA

Las mejores herramientas UEBA de código abierto y alternativas comerciales

Cem Dilmegani

con

Sena Sezer

actualizado el Mar 26, 2026

Vea nuestra normas éticas

Loading Chart

En esencia, las soluciones UEBA identifican patrones en los datos, ya sean flujos de datos en tiempo real o conjuntos de datos históricos.

Las herramientas comerciales de UEBA, como ManageEngine Log360, mantienen cerrados sus modelos de aprendizaje automático propietarios. El acceso a estos modelos permite a los analistas extraer patrones relevantes de los datos y perfeccionar los procesos de detección de anomalías.

Las herramientas UEBA de código abierto brindan a los usuarios acceso completo a estos modelos, lo que les permite replicar la extracción de patrones para una detección de anomalías más específica.

Herramientas UEBA de código abierto

Tras revisar la documentación de cada marco y herramienta UEBA de código abierto, seleccioné las principales tecnologías de análisis de comportamiento de código abierto que ofrecen capacidades estándar similares a las de SIEM, alertas, compatibilidad con el marco de inteligencia de amenazas MITRE ATT&CK e ingesta de datos basada en API desde fuentes de datos.

En función de si ofrecen funciones UEBA integradas, las he dividido en:

Herramientas principales de UEBA: OpenUBA y Graylog
Herramientas UEBA complementarias: Wazuh

Herramientas principales de UEBA: OpenUBA y Graylog

Las herramientas principales de UEBA proporcionan un repositorio de modelos listos para usar, aprendizaje automático y modelos de perfilado de comportamiento para identificar y analizar comportamientos anómalos de usuarios y entidades. Estas herramientas recopilan registros de diversas fuentes, los almacenan en bases de datos y se integran con Elastic Stack (Elasticsearch, Kibana, Logstash) para su posterior procesamiento y análisis.

Graylog recopila registros de varios servidores mediante agentes de terceros (por ejemplo, Filebeat) y puede configurarlos con su agente ligero Graylog Sidecar desde una ubicación central. Una vez que se ingieren los registros, la detección de anomalías basada en aprendizaje automático está disponible a través de la interfaz de Graylog.

OpenUBA ingiere registros de servidores y agentes de terceros. Una vez ingeridos, los registros se pueden analizar para detectar comportamientos anómalos mediante modelos integrados de aprendizaje automático o de perfilado de comportamiento. Se integra con TensorFlow, Keras, Scikit-Learn y Elasticsearch para visualización y análisis. El proyecto se encuentra en fase inicial de desarrollo (pre-alfa).

Herramientas UEBA complementarias: Wazuh

Las herramientas UEBA complementarias utilizan la monitorización y el análisis de datos para detectar anomalías en usuarios y entidades. Al integrar tecnologías de big data como Apache Spark con motores como Elasticsearch, permiten el análisis centralizado de registros y la detección de anomalías.

Wazuh supervisa los datos de telemetría, incluyendo métricas, registros y trazas. Puede supervisar los servidores directamente o usar AWS para supervisar los servicios en la nube, y los resultados se visualizan en el panel de control de Wazuh.

Comparación de herramientas UEBA gratuitas y de código abierto

Ingestión de registros basada en agentes

❌: Requiere integraciones de agentes de terceros .

La ingesta de registros basada en agentes integrada permite que una plataforma recopile datos de registro directamente de puntos finales, servidores o dispositivos utilizando sus propios agentes, sin herramientas de terceros, para un análisis y monitoreo centralizados.

Acciones de respuesta predefinidas y patrones de manual de procedimientos personalizados

Las herramientas mencionadas ofrecen integraciones SOAR (mediante API o integraciones personalizadas) para activar flujos de trabajo como el envío de alertas, la creación de tickets o la respuesta a incidentes en función de las anomalías detectadas. Graylog y Wazuh proporcionan acciones de respuesta predefinidas, lo que permite automatizar los flujos de trabajo sin necesidad de integraciones SOAR.

Las acciones de respuesta predefinidas se activan automáticamente en función de los datos de registro, lo que permite la detección proactiva de amenazas y acciones como alertas, bloqueo de direcciones IP o puesta en cuarentena de sistemas.
Los patrones de procedimientos personalizados permiten a los operadores de seguridad activar respuestas adaptadas a sus necesidades, como alertar a los equipos o bloquear el acceso, cuando se detecta un comportamiento sospechoso.

Mantenimiento de seguridad

El mantenimiento de la seguridad empresarial ayuda a recopilar registros al garantizar que las medidas de seguridad se apliquen, supervisen y actualicen activamente mediante:

Control y supervisión centralizados
Configuraciones de registro consistentes
Las actualizaciones y parches periódicos de las herramientas de recopilación de registros evitan que se exploten las vulnerabilidades.

Integraciones listas para usar

OpenUBA

OpenUBA es un marco UEBA independiente de SIEM para análisis de seguridad. Funciona independientemente de su SIEM y extrae datos directamente de los almacenes de datos.

OpenUBA utiliza Spark y Elasticsearch para procesar e ingerir datos de múltiples fuentes a gran escala. Incluye una biblioteca/registro de modelos similar a Docker Hub, que permite a desarrolladores y analistas de seguridad buscar en un repositorio de modelos y compartirlos con la comunidad.

Características principales:

Generador de reglas visual: Los analistas combinan modelos registrados con operadores lógicos en un lienzo interactivo para crear reglas de detección sin necesidad de código. Las reglas se serializan como JSON versionado, lo que permite auditarlas y reproducirlas. ¹
Centro de modelos de la comunidad: Un mercado de modelos en openuba.org alberga modelos de detección de anomalías listos para usar, aportados por el equipo principal y la comunidad.
Ingiere registros de servidores y agentes de ingesta de registros de terceros.
Análisis de los datos ingeridos para detectar comportamientos anormales mediante modelos de aprendizaje automático o de elaboración de perfiles de comportamiento integrados.
Se integra con TensorFlow, Keras, Scikit-Learn y Elasticsearch para visualización y análisis.

Graylog

Graylog combina SIEM, UEBA y detección de anomalías en su plataforma. Graylog Server incluye:

La aplicación Graylog, que acepta registros de varias fuentes y los almacena.
Base de datos Elasticsearch
MongoDB para datos de configuración (cuentas de usuario, búsquedas guardadas, etc.)

La solución incluye más de 50 escenarios de seguridad predefinidos basados en el marco MITRE ATT&CK y ejemplos de ataques reales. ²

Graylog se integra con Office 365, Azure, GCP, AWS, Okta, Palo Alto Networks, F5, CrowdStrike y Salesforce.

Wazuh

Wazuh es una plataforma unificada de XDR y SIEM para entornos locales, virtualizados, en contenedores y en la nube. Un agente de seguridad de endpoints implementado en los sistemas monitorizados recopila y analiza datos, enviándolos a un servidor de gestión centralizado.

Visualización de los eventos de la nube Google en el panel de control de Wazuh:

Fuente: Wazuh ³

Características principales:

Detección de intrusiones: Detecta malware y archivos ocultos mediante un enfoque basado en firmas para analizar los datos de registro en busca de indicadores de compromiso.
Análisis de datos de registro: Lee los registros del sistema operativo y de las aplicaciones y los envía a un administrador central para su análisis basado en reglas.
Supervisión de la integridad de archivos: Supervisa los sistemas de archivos para detectar cambios en el contenido, los permisos, la propiedad y los atributos. Realiza un seguimiento de las acciones de los usuarios y las aplicaciones para garantizar el cumplimiento de la norma PCI DSS.
Respuesta al incidente: Blocks amenazas y ejecuta consultas del sistema para identificar indicadores de compromiso.
Integración de MCP/IA (2026): Varios servidores MCP de código abierto ahora se integran con Wazuh, Claude, ChatGPT y otros asistentes de IA, lo que permite realizar consultas de seguridad en lenguaje natural, como «muéstrame las vulnerabilidades críticas en mis servidores web», sin necesidad de escribir llamadas a la API. La implementación más completa es compatible con Wazuh versiones 4.8.0 a 4.14.4. ⁴

Herramientas comerciales UEBA

Las herramientas comerciales UEBA ofrecen funcionalidades listas para usar para el análisis del comportamiento del usuario que se pueden integrar en entornos existentes sin necesidad de una personalización exhaustiva.

Principales proveedores comerciales:

ManageEngine Log360: Combina la ingesta de registros SIEM con el análisis del comportamiento.
Exabeam: Plataforma de análisis de comportamiento con UEBA, que ahora también abarca el comportamiento de agentes de IA (enero de 2026). Ideal para entornos grandes y complejos.
IBM QRadar de seguridad: Proporciona a UBA perfiles de riesgo, lo que brinda un contexto más profundo para la detección de amenazas.
Teramind: Combina UEBA con DLP, centrándose en la prevención de fugas de datos y la monitorización de los empleados.

Herramientas UEBA de código abierto frente a herramientas UEBA comerciales

Los proveedores comerciales suelen empezar con una o más tecnologías de código abierto, reconocimiento de patrones y actualizaciones de bases de datos para detectar nuevos patrones de anomalías, y luego añaden automatización propia y modelos de detección preconfigurados.

1. Modelos de detección de anomalías preconfigurados : Las herramientas comerciales los ofrecen de forma predeterminada. Las herramientas de código abierto generalmente requieren que los usuarios creen y configuren los suyos propios, aunque Graylog (en sus planes de pago) y Wazuh ofrecen algunas funcionalidades predefinidas.

2. Flujos de trabajo de respuesta automatizados: Las herramientas comerciales activan acciones predefinidas directamente. Las herramientas de código abierto suelen requerir integraciones SOAR o scripts personalizados, aunque Wazuh y Graylog (de pago) incluyen algunas acciones predefinidas.

3. Automatización del reconocimiento de patrones : Las herramientas comerciales automatizan este proceso con sofisticados modelos de aprendizaje automático. Las herramientas de código abierto requieren una configuración más manual y la creación de modelos personalizados.

4. Prevención de pérdida de datos (DLP) : Las herramientas comerciales incluyen DLP con contexto de dispositivo, ubicación y red. Las herramientas de código abierto necesitan herramientas o integraciones adicionales para incorporar esta funcionalidad.

5. Informes de cumplimiento : Las herramientas comerciales incluyen informes integrados para GDPR, HIPAA, PCI-DSS y SOX. Las herramientas de código abierto requieren desarrollo personalizado o complementos de terceros.

6. Integraciones con terceros : Las herramientas comerciales incluyen conectores preconfigurados para plataformas SIEM, SOAR y antivirus. Las herramientas de código abierto se integran mediante conexiones API personalizadas.

Preguntas frecuentes

UEBA detecta comportamientos inusuales analizando desviaciones de los patrones normales. Por ejemplo, si un usuario que normalmente no descarga archivos comienza a descargar grandes cantidades de repente, UEBA lo marca como una anomalía. También puede monitorizar el comportamiento de la máquina, como detectar un aumento repentino en las solicitudes de acceso al servidor desde un dispositivo de la empresa.

Las organizaciones utilizan herramientas UEBA porque las soluciones de seguridad tradicionales, como los firewalls y los sistemas de detección de intrusiones, ya no son suficientes para protegerse contra las amenazas modernas. Las herramientas UEBA ayudan a detectar comportamientos anómalos de usuarios y entidades que podrían indicar brechas de seguridad, como amenazas internas o ataques basados en credenciales , que a menudo pasan desapercibidos para las defensas convencionales. Estas herramientas proporcionan un enfoque más proactivo para la detección de amenazas, especialmente para las amenazas persistentes avanzadas (APT) y los métodos de ataque sofisticados .

Lecturas adicionales

Enlaces de referencia

GitHub - GACWR/OpenUBA: A robust, and flexible open source User & Entity Behavior Analytics (UEBA) framework used for Security Analytics. Developed with luv by Data Scientists & Security Analysts from the Cyber Security Industry. [BETA] · GitHub

GitHub - wazuh/wazuh: Wazuh - The Open Source Security Platform. Unified XDR and SIEM protection for endpoints and cloud workloads. · GitHub

GitHub - gensecaihq/Wazuh-MCP-Server: AI-powered security operations for Wazuh SIEM—use any MCP-compatible client to ask security questions in plain English. Faster threat detection, incident triage, and compliance checks with real-time monitoring and ano

Cem Dilmegani

Analista principal

Cem ha sido el analista principal de AIMultiple desde 2017. AIMultiple informa a cientos de miles de empresas (según similarWeb), incluyendo el 55% de las empresas Fortune 500 cada mes. El trabajo de Cem ha sido citado por importantes publicaciones globales como Business Insider, Forbes, Washington Post, firmas globales como Deloitte, HPE y ONG como el Foro Económico Mundial y organizaciones supranacionales como la Comisión Europea. Puede consultar más empresas y recursos de renombre que citan a AIMultiple. A lo largo de su carrera, Cem se desempeñó como consultor, comprador y emprendedor tecnológico. Asesoró a empresas en sus decisiones tecnológicas en McKinsey & Company y Altman Solon durante más de una década. También publicó un informe de McKinsey sobre digitalización. Lideró la estrategia y adquisición de tecnología de una empresa de telecomunicaciones, reportando directamente al CEO. Asimismo, lideró el crecimiento comercial de la empresa de tecnología avanzada Hypatos, que alcanzó ingresos recurrentes anuales de siete cifras y una valoración de nueve cifras partiendo de cero en tan solo dos años. El trabajo de Cem en Hypatos fue reseñado por importantes publicaciones tecnológicas como TechCrunch y Business Insider. Cem participa regularmente como ponente en conferencias internacionales de tecnología. Se graduó en ingeniería informática por la Universidad de Bogazici y posee un MBA de la Columbia Business School.

Ver perfil completo

Investigado por