Evaluamos cuatro herramientas líderes de gestión de vulnerabilidades en 11 dimensiones. Los resultados revelan un mercado donde “gestión de vulnerabilidades” significa cuatro cosas diferentes para cuatro proveedores. Algunos crean pipelines de detección basados en CVE; otros rastrean la disponibilidad de parches como proxy del riesgo; uno delega explícitamente el escaneo a herramientas de terceros.
Resultados de la evaluación de gestión de vulnerabilidades
ManageEngine VMP | NinjaOne | Automox | Action1 | |
|---|---|---|---|---|
Acceso a prueba | Autoservicio, minutos | Guiado por ventas, horas–días | Autoservicio, 2FA + correo empresarial | Autoservicio, minutos |
Latencia de detección | 5–6 min (manual); 90 min auto; ~25h nueva fuente CVE | Inventario: 35s; correlación CVE: ~24h | Sin detección CVE | Windows ≤11 min; Linux: sin salida CVE |
Precisión de detección | Fuente NVD, independiente del catálogo de parches | Solo catálogo de parches; fuente CVE de prueba inactiva | Solo catálogo de parches; puntos ciegos confirmados en LibreOffice + Firefox ESR | Windows: pipeline CVE completo; Linux: solo delta de versión |
Parcheo y remediación | 106.973 catálogo; asistente con reversión + SSP | Estructura de política presente; despliegue no probado (requiere Administrador del Sistema) | Consciente del Patch Tuesday; importación CSV desde Qualys/Tenable/Rapid7 | Despliegue en 1 min; LAN P2P; orquestación de reinicio; toma de control de Windows |
Alertas y notificaciones | Sin canal saliente, SMTP ausente en todos los niveles | Sin categoría de Vulnerabilidad en Actividades; la GM no genera alertas | Reclamado multi-canal; no verificado en consola | Correo; solo un destinatario; supresión silenciosa |
Huella en el endpoint | 26 MB inactivo (activación bajo demanda) | 116 MB pico | 8.8 MB pico: el más ligero del grupo | 51.7 MB estable; 0.013% promedio CPU |
Cobertura de tipos de dispositivos | Windows + Linux + macOS; sin móvil/virtual | Win/Lin/Mac + iOS/Android + Hyper-V/VMware + monitorización en la nube | Windows + Linux + macOS; sin móvil/virtual | Windows + Linux + macOS; sin móvil/virtual |
Hallazgos clave
- Automox y NinjaOne marcan vulnerabilidades según la disponibilidad del catálogo de parches, no según la coincidencia de versión CVE-NVD. Si no existe una actualización en su catálogo para una versión de software, la herramienta informa “No se conocen CVEs” independientemente del número real de CVEs. LibreOffice 7.1.8.1 (100+ CVEs documentados) y Firefox ESR 115.12.0 ambos devolvieron “No se conocen CVEs” en Automox por esta razón. ManageEngine y Action1 usan fuentes CVE independientes e informan vulnerabilidades tanto si como si no hay un parche disponible.
- Ninguna herramienta detecta software instalado fuera del gestor de paquetes. Binarios extraídos a
/opt/, compilados desde el código fuente o distribuidos por proveedores fuera de sus repositorios oficiales son invisibles para las cuatro herramientas. ManageEngine y NinjaOne hacen coincidir CVEs para paquetes listados en dpkg. Action1 inventaria paquetes dpkg pero no devuelve datos CVE para ellos en Linux. Automox no tiene detección CVE independiente en absoluto. - El módulo GM de NinjaOne no genera alertas y no tiene plantilla de informe. El marco de alertas enumera 13 categorías incluyendo Administración de parches de Windows, Bitdefender y CrowdStrike. Vulnerabilidad y CVE no están entre ellas. El catálogo de informes incluye una plantilla de Cumplimiento de parches de 10 secciones pero no tiene equivalente para gestión de vulnerabilidades.
- Automox requiere un escáner externo para detectar CVEs. La página Remediations importa exportaciones CSV de Qualys, Tenable, Rapid7 o CrowdStrike, luego hace coincidir esos CVEs con su catálogo de parches. No realiza detección independiente.
- ManageEngine y Automox no tienen canal de alerta saliente. ManageEngine no tiene configuración SMTP en ningún nivel: configuraciones globales, preferencias por usuario o entrega por informe. La documentación web de Automox enumera soporte para Slack, Teams y webhooks, pero esto no se verificó en la consola durante las pruebas.”
- NinjaOne desinstaló Automox dos minutos después de instalarlo en la misma VM de Windows. El registro de Actividades registró: “Software desinstalado: ‘Automox Agent’, Usuario: System.” La desinstalación fue incompleta: el registro del servicio y los archivos del programa permanecieron. En Linux, ManageEngine, Action1 y NinjaOne funcionaron simultáneamente sin que ningún agente eliminara a otro.
Métricas medidas
Latencia de detección: Se instaló un binario conocido como vulnerable en un endpoint limpio con la marca de tiempo de finalización de instalación registrada al segundo. El reloj se detuvo cuando el CVE apareció en el panel de vulnerabilidades del producto.
Precisión de detección: Se instaló software con historial CVE bien documentado en Windows y Linux mediante tres rutas: MSI/EXE (rastreado por registro), dpkg (gestor de paquetes) y tarball del proveedor extraído a /opt/ (fuera del gestor de paquetes).
Huella en el endpoint: Todas las mediciones usaron pidstat a nivel de proceso para capturar RSS (conjunto residente) por proceso, excluyendo la caché de página a nivel cgroup. Las mediciones en Windows usaron Get-Counter (\Process(*)\Working Set - Private) muestreado cada 5 segundos durante una ventana de 10 minutos. El motor de escaneo bajo demanda de ManageEngine se midió por separado en inactividad y durante un escaneo activo. Los cuatro agentes Linux funcionaron simultáneamente en el mismo host Ubuntu 24.04; las mediciones en Windows se tomaron en una VM separada de Windows Server 2022.
Despliegue de parches: El tiempo de despliegue se midió desde la confirmación en la interfaz hasta que el producto informó finalización. El estado posterior al despliegue se verificó directamente en el endpoint mediante el historial de Actualización de Windows para distinguir “binario escrito en disco” de “parche confirmado y activo” una distinción que importa cuando se requiere reinicio para completar la instalación.
Acceso a prueba: Cada prueba se intentó primero con una dirección Gmail, luego con una dirección institucional donde Gmail fue rechazado. Se contaron los pasos desde la página de inicio hasta un panel con instaladores de agentes visibles. Se registró el tiempo desde el envío del formulario hasta el primer agente conectado.
Entrega de alertas: Se creó una regla de alerta personalizada en cada producto y se activó mediante un evento de instalación de software. Se registró el tiempo de entrega y la estructura del contenido del correo. Cuando las alertas dejaron de activarse, se inspeccionaron los registros del lado del agente para identificar la causa.
Las mejores herramientas de gestión de vulnerabilidades
1. NinjaOne Gestión de Vulnerabilidades
NinjaOne es una plataforma UEM/RMM que añadió un módulo GM en marzo de 2026. Su gestión de parches es madura; la capa de detección de vulnerabilidades no lo es.
Acceso a prueba: NinjaOne es guiado por ventas. Tras enviar el formulario de prueba, la respuesta fue “Nos pondremos en contacto contigo pronto”. El acceso llegó como un Técnico añadido a un inquilino compartido existente (“Hiwell Test Org”) en lugar de un entorno nuevo y aislado.
La pantalla de incorporación mostró inmediatamente: “No tienes permisos para gestionar Dispositivos. Por favor, contacta con tu Administrador del Sistema para obtener ayuda.” La implementación de dispositivos no estaba disponible bajo el rol de Técnico.
Cobertura de dispositivos: El menú Añadir dispositivo cubre más que cualquier otra herramienta probada: ordenadores (Windows, Linux, Mac), dispositivos móviles (Apple, Android), infraestructura virtual (Hyper-V, VMware), monitores en la nube (ping, escaneo de puertos, DNS, HTTP/HTTPS) y descubrimiento de red. Ninguna otra herramienta en esta comparación se acerca.
Detalles del dispositivo: Cada dispositivo tiene gráficos horarios en vivo para CPU, memoria, disco y red junto con un inventario completo del hardware.
La sección Detalles enumera puertos abiertos en línea RDP en 3389, SMB en 445, y otros 10 fueron visibles sin ejecutar un escaneo separado.
El menú Herramientas proporciona Registro remoto, Administrador de tareas, Explorador de archivos y Administrador de servicios accesibles desde el navegador, todo en vivo. El escritorio remoto completo requiere una descarga de cliente nativo separada.
Detección CVE: El inventario de software detectó Firefox en 35 segundos. La pestaña Vulnerabilidades mostró 0 resultados a los 5 minutos, a los 30 minutos y a las 3 horas, en ambos dispositivos Windows y Linux y con todos los filtros despejados. El archivo de lista CVE del lado del agente permaneció en 44 bytes desde la instalación hasta más de 5 horas, sin cambios.
La correlación CVE del lado del servidor nunca se activó durante la prueba. No se pudo determinar si esto refleja una restricción del nivel de prueba o un requisito de configuración que no se cumplió. La pestaña Vulnerabilidades se llenó con 85 CVEs aproximadamente 24 horas después de la instalación del agente, con la columna Fuentes mostrando “NinjaOne Patching” el propio catálogo de parches de la herramienta, no el NVD.
Integración de alertas: La sección Actividades de la política enumera 13 categorías de alertas: Bitdefender, CrowdStrike, SentinelOne, Webroot, ImageManager, Backup, ShadowProtect, Software, System, User, Windows, Windows Patch Management y Raid. No hay categoría de Vulnerabilidad o CVE. El módulo GM no produce alertas.
Informes: El catálogo de plantillas de informes incluye una plantilla de Cumplimiento de parches con 10 secciones que cubren parches fallidos, parches pendientes, porcentajes de parches instalados y habilitación de parches del SO. No hay plantilla de Gestión de Vulnerabilidades.
Comportamiento del agente hacia otras herramientas: NinjaOne se registró en la VM de prueba de Windows. A las 11:31, el registro de Actividades registró: “Software desinstalado: ‘Automox Agent’, Versión: ‘2.5.70’, Usuario: ‘<System>'” dos minutos después del registro, mediante una acción automatizada del sistema. La eliminación fue incompleta; véanse los Hallazgos clave para más detalles.
Huella en el endpoint: Memoria pico del agente Linux: 116 MB. Windows: cuatro procesos que suman aproximadamente 127 MB de conjunto de trabajo, 92 segundos de CPU durante tres horas.
NinjaOne es una plataforma UEM/RMM que añadió un módulo GM. La capa de inventario de software del agente funciona bien; la capa de correlación CVE depende del procesamiento del lado del servidor que estuvo inactiva durante el período de prueba.
Diferencias clave:
- El inventario de software es preciso y rápido: Firefox 115.12.0 apareció en el panel en 35 segundos desde la instalación
- La correlación CVE estuvo inactiva durante todas las pruebas. El archivo
NinjaWPM-cve-patch-list.jsonpermaneció en 44 bytes durante más de 5 horas; la pestaña Vulnerabilidades se llenó con 85 CVEs aproximadamente 24 horas después de la instalación del agente — inconsistente con la posición de “en tiempo real impulsado por IA” - El soporte más amplio para tipos de dispositivos: Windows, Linux, macOS, iOS, Android, Hyper-V, VMware, monitoreo de ping en la nube y descubrimiento de red
- El módulo GM no genera alertas (no hay categoría “Vulnerabilidad” en el marco de alertas de Actividades) y no tiene plantilla de informe dedicada
- En Windows, el agente eliminó Automox 2 minutos después de la instalación mediante una regla de Política de Servidor de Windows, dejando archivos huérfanos; no hay comportamiento equivalente en Linux
2. ManageEngine Vulnerability Manager Plus
ManageEngine VMP es el único escáner de vulnerabilidades especializado en esta comparación. La detección se realiza independientemente de la disponibilidad de parches; se informan vulnerabilidades incluso cuando no existe un parche.
Acceso a prueba. Autoservicio, no se requiere contacto de ventas. El formulario de registro acepta Gmail. Tras enviarlo, el panel se carga inmediatamente con un contador de 30 días. Aparece un modal de solicitud de demostración pero tiene un botón Visible Saltar; no es una barrera. La interfaz se carga en turco según la dirección IP, la única herramienta en esta comparación con localización no en inglés. Se asigna automáticamente una instancia de región de la UE.
Incorporación: La pantalla de Introducción muestra cuatro pasos de flujo de trabajo: Requisitos previos, Configuración de parches, Implementación y Flujo de trabajo de gestión de parches. Tres de los cuatro se centran en parches. El enfoque es detectar y luego parchear, no detección en tiempo real.
Panel: Se abre en una pestaña de Vulnerabilidades con una Matriz de antigüedad de vulnerabilidades (grupos de gravedad × antigüedad) que muestra cuánto tiempo han estado abiertos los hallazgos. Un flujo de Noticias de seguridad más recientes extrae avisos de seguridad de proveedores directamente al panel derecho.
La vista Sistemas (panel izquierdo) segmenta dispositivos por estado operativo: Altamente vulnerable, Vulnerable, Saludable, Reinicio pendiente, Despliegue de parches fallido, Sistemas sin contacto del agente, Sistemas EOL y Cero día encontrado. El dispositivo apareció en la lista en segundos tras la instalación del agente.
El escaneo inicial se realiza en dos pasos. Un banner confirma que se muestran resultados limitados primero; el escaneo completo finaliza en minutos. Los parches faltantes aumentaron de 0 a 8 entre los dos pasos.
Detalles del dispositivo: La vista de detalles del dispositivo cubre más terreno que cualquier otra herramienta probada.
La pestaña Resumen muestra cuatro gráficos circulares de gravedad de amenaza uno al lado del otro: Parche, Vulnerabilidades de software, Configuraciones incorrectas del sistema y Configuraciones incorrectas del servidor web. El endpoint de prueba de Windows Server 2022 mostró 7 parches faltantes, 28 vulnerabilidades de software y 54 configuraciones incorrectas.
La pestaña Software y componentes enumera cada componente instalado con recuentos de Parches faltantes, Parches instalados y Vulnerabilidades por fila. Windows Server 2022 en sí mismo tenía 16 vulnerabilidades; Curl para Windows, incluido con la imagen del SO, no instalado por el usuario, tenía 10.
La pestaña Vulnerabilidades es una lista a nivel CVE con Estado de explotación, Disponibilidad de parche, Puntuación CVSS 3.0, Versión detectada, Fecha de publicación y Fecha de soporte por fila. Las puntuaciones CVSS oscilaron entre 4.3 y 9.9 en el endpoint básico.
La pestaña Parches categoriza los parches faltantes en Actualizaciones de seguridad, Opcionales, Terceros, Controladores, Service Pack y BIOS, con acciones Instalar/Publicar Parches y Rechazar parche en línea.
La pestaña Configuración de seguridad es una lista de verificación de endurecimiento estilo CIS/STIG. Cada fila corregible tiene un enlace “Implementar configuración segura”; los hallazgos se conectan directamente a la remediación con un clic. El endpoint de prueba tenía 30 elementos, incluyendo TLSv1.1 habilitado, BitLocker deshabilitado, Firewall de Windows no detectado, umbrales de bloqueo de cuenta sin configurar y nivel de autenticación LAN Manager mal configurado.
La pestaña Auditoría de puertos asigna cada puerto abierto al binario responsable con la ruta completa del ejecutable. El puerto 3389 se asigna a svchost.exe, el puerto 445 a ntoskrnl.exeChrome y Edge se listan por separado en 5353.
Vista de amenazas a nivel de flota: Las amenazas de navegación cubren ocho subsecciones en toda la flota.
Las vistas Vulnerabilidades y CVE detectados muestran puntuaciones CVSS 3.0 y CVSS 2.0 en columnas paralelas. El producto conserva el CVSS 2.0 heredado para organizaciones que aún lo usan como referencia.
Las configuraciones incorrectas del sistema agregan brechas de endurecimiento a nivel de flota con una acción “Implementar configuración segura” por fila.
El software de alto riesgo rastrea fechas de fin de vida. Windows Server 2022 apareció con su fecha de EOL del 13 de octubre de 2031 y un contador restante de 1.990 días.
Las excepciones permiten aceptar amenazas específicas por grupo de dispositivos. No se definieron excepciones en las pruebas; la infraestructura está presente.
Sección Parches: La barra lateral izquierda muestra recuentos en vivo: Faltantes 9, Instalados 3, Aplicables 12, Soportados 106.973, Más recientes 2.195. Cada página de parche tiene enlaces rápidos en línea con Cómo hacerlo, Base de conocimientos y documentación de Preguntas frecuentes integrada en el flujo de trabajo en lugar de accederse por separado.
El catálogo de parches soportados cubre 106.973 entradas de Adobe, Microsoft, Mozilla, Splunk, Oracle y otros. La vista de parches más recientes muestra 2.195 entradas recientemente añadidas ordenadas por fecha de lanzamiento. Rechazar parche bloquea parches específicos por grupo de dispositivos. Cargar pendiente acepta parches personalizados para software fuera del catálogo.
Despliegue de parches: El asistente de despliegue cubre: operación Instalar vs Desinstalar (reversión integrada), Desplegar directamente vs Publicar en Portal de autoservicio, selector de política de despliegue, fecha “Forzar despliegue después de” para cumplimiento de SLA y destino específico por Oficina remota y ordenador individual.
Se desplegó una actualización de definiciones de Defender en la prueba, completada con Estado: Exitoso y Comentarios: “Esta versión ya existe”. El producto detectó que el parche ya se había aplicado y no lo reinstaló. El reintento automático en caso de fallo tiene por defecto 2 intentos.
Gestión de flota de agentes. La sección Agente muestra el estado de salud de la flota de agentes, incluyendo actualización de versión, última hora de contacto, estado de sincronización AD, gestión de oficina remota y política de ordenadores inactivos.
Huella en el endpoint: Cinco procesos en inactividad, RAM combinada en inactividad aproximadamente 83 MB. El motor de escaneo dcpatchscan se activa solo durante escaneos no visible en inactividad. Durante un escaneo, consumió aproximadamente 160 MB de RAM y 100% de un núcleo CPU en Windows, comparado con aproximadamente 144 MB y 16% de un núcleo en Linux. El diseño bajo demanda significa que la huella en inactividad permanece bien por debajo de las bases continuas de NinjaOne (116–127 MB) y Action1 (51 MB).
Latencia de detección: Escaneo manual ahora: 5 a 6 minutos. Ciclo automático: fijo en 90 minutos, no configurable por el usuario. Las nuevas entradas de fuente CVE se propagan en hasta 25 horas (sincronización diaria de DB más un ciclo de actualización de 90 minutos). La página Admin > Configuración del agente no tiene campo de intervalo de actualización; las solicitudes para añadirlo han estado abiertas en el foro oficial sin resolución.
Alerta y notificación: No existe canal de alerta saliente en ningún nivel: no hay SMTP en Configuraciones globales, no hay preferencia de notificación por usuario, no hay programación de informes ni entrega por correo. La página Auditoría > Alertas registra eventos internos (pérdida de contacto del agente, parches fallidos, nuevos endpoints) pero no puede enrutarlos externamente.
Informes: Más de 16 informes predefinidos en seis categorías (Parche, Sistema, APD, Configuración, SSP, Amenaza). Sin generador de informes personalizado. Selector de columnas y filtros disponibles dentro de informes predefinidos. Sin preajustes de rango de fechas. Exportar: PDF, CSV, XLSX. Un modal de descargo de responsabilidad GDPR requiere confirmación antes de cada exportación. Sin entrega programada o por correo.
Diferencias clave:
- 11 módulos en un solo producto: Evaluación de vulnerabilidad, Cumplimiento, Gestión de parches, Escaneo de dispositivos de red, Gestión de configuración de seguridad, Mitigación de día cero, Endurecimiento de servidor web, Auditoría de software de alto riesgo, Auditoría de antivirus, Auditoría de puertos e Informes
- Catálogo de 106.973 parches; opciones de despliegue en la nube y local; instancia SaaS de región de la UE
- El ciclo de escaneo automático está fijo en 90 minutos y no es configurable por el usuario (solicitudes de funciones en foro sin resolver); las nuevas entradas de fuente CVE tardan hasta 25 horas en propagarse (sincronización DB + un ciclo de actualización)
- Sin canal de alerta saliente: SMTP ausente en todos los niveles de configuración
3. Automox
Automox es una plataforma de automatización de parches, no un escáner de vulnerabilidades. Su capacidad de gestión de vulnerabilidades se basa en importar resultados de escáneres de Qualys, Tenable, Rapid7 o CrowdStrike en lugar de realizar detección CVE independiente.
Acceso a prueba: Prueba de 15 días, sin tarjeta de crédito requerida. Gmail es rechazado; se requiere un correo empresarial. Tras enviarlo, el flujo añade dos pasos extra antes del panel: una pantalla de inicio de sesión separada y 2FA obligatorio por correo. El mínimo de contraseña es 12 caracteres, el más estricto de las cuatro herramientas. Instancia global única en console.automox.com, sin opciones regionales.
Instalación del agente: El modal Añadir dispositivos muestra el UUID de clave de acceso, un menú desplegable de SO, un botón Descargar instalador y la línea de comando equivalente para instalación silenciosa: Automox_Installer-2.5.70.msi ACCESSKEY=<uuid>. Un solo binario, una sola clave, el flujo de instalación más simple de las cuatro herramientas probadas.
El instalador ejecuta una comprobación de salud posterior a la instalación en línea antes de cerrarse: inicio del servicio, prueba del daemon, informe IRS (Servicio de resultado de instalación). No se cierra hasta que confirma “¡Configuración exitosa!” eliminando la ambigüedad de si el agente realmente se conectó.
El dispositivo apareció en la lista de Dispositivos en 1 a 2 minutos con una etiqueta “Añadido recientemente”.
Detalles del dispositivo: Los detalles del dispositivo tienen cuatro pestañas: Resumen, Salud, Red y Sistema. No se asignó ninguna política en la instalación; el agente se registró en el grupo Predeterminado sin horario de parches adjunto. ManageEngine aplica un ámbito de escaneo predeterminado automáticamente; Automox requiere asignación de política explícita antes de que algo se ejecute.
Inventario de software y lenguaje de gravedad: La lista de software a nivel de dispositivo usa valores de gravedad tomados del catálogo de actualizaciones de Microsoft: Crítico, Desconocido o “No se conocen CVEs”. No hay puntuación CVSS NVD. La columna Versión más reciente está vacía en todas las filas; Automox rastrea si existe una actualización, no la versión superior. Días expuesto mide cuánto tiempo ha estado pendiente un parche, no cuánto tiempo ha pasado desde que se publicó un CVE.
Panel: El KPI principal es la matriz de recuento de parches pendientes: filas de gravedad (Crítico / Alto / Medio / Bajo / Desconocido) × columnas de antigüedad (90+ días, 61-89, 31-60, 16-30, ≤15 días). Solución de problemas de dispositivos marca: Necesita reinicio, Intentos de actualización fallidos, Desconectado 30+ días, No compatible. No hay recuento CVE, ni puntuación de gravedad de vulnerabilidad en ningún lugar del panel.
Arquitectura de política: Tres tipos de política: Política de parches (con subtipos Avanzado, Parchear todo, Parchear todo excepto, Parchear solo, Aprobaciones manuales, Gravedad), Política de software requerido y Worklet. No hay política de escaneo de vulnerabilidades ni tipo de política basado en CVE. La sección Programación ofrece un botón de radio Patch Tuesday que se auto-alinea al ciclo de lanzamiento del segundo martes de Microsoft.
Catálogo de Worklets: Los Worklets son plantillas de scripts de shell para tareas de configuración. Las categorías son Preferencias del sistema, Seguridad y Ciclo de vida del software. No existe categoría de Vulnerabilidad.
Página Remediations: la señal arquitectónica central. La página Remediations bajo Automatizar tiene una acción: Importar. El filtro Proveedor CSV enumera Informe genérico, CrowdStrike, Qualys, Rapid7 y Gestión de vulnerabilidades de Tenable. Las columnas de la tabla son Vulnerabilidades parcheables, Vulnerabilidades no coincidentes y Dispositivos desconocidos. Automox asigna la salida de un escáner de terceros a su propio catálogo de parches y muestra qué CVEs puede remediarse. No realiza su propia detección CVE.
Gestionar > Software: inventario global de flota. La vista de software a nivel de flota añade un filtro “Vulnerabilidad o ID CVE”, confirmando que los datos CVE existen en el sistema a algún nivel. Sin embargo, la columna Gravedad aún muestra categorías KB-meta, no puntuaciones CVSS. Las columnas Días expuesto, Ignorado e Impactado están disponibles para triaje a nivel de flota.
Agente Linux: El agente Linux inventarió 746 paquetes. La lista de software muestra Versión instalada, Versión disponible, Días expuesto, Gravedad, lista KEV y columnas EPSS. Las columnas KEV y EPSS están vacías para todas las entradas; las columnas existen en el esquema pero no se rellenan. La gravedad refleja la señal del catálogo de parches, no el NVD.
Puntos ciegos del catálogo de parches: Firefox ESR 115.12.0 en Windows mostró Instalado 115.12.0, Disponible 140.10.2, Días expuesto 9, Gravedad “No se conocen CVEs” aproximadamente 25 versiones de lanzamiento y miles de CVEs separan esos dos, pero el catálogo no lleva señal CVE para esa brecha de versión. LibreOffice 7.1.8.1 en Linux (14 paquetes instalados, 100+ CVEs documentados NVD) mostró todos los paquetes como “Instalados” con Versión disponible vacía y Gravedad vacía. El proveedor saltó de la rama 7.1 a la serie 24.x, por lo que no existe entrada de actualización en el catálogo, y la herramienta no devuelve señal de vulnerabilidad.
Huella en el endpoint: Pico del agente Linux: 8.8 MB, el más ligero de las cuatro herramientas probadas, a pesar de no hacer reclamo de marketing sobre la huella. La huella en Windows no se midió: la política de NinjaOne eliminó el agente Automox 2 minutos después de que NinjaOne se registrara en la misma VM, por lo que no se capturó línea base de Windows.
Diferencias clave:
- Automatizar → Remediations: acepta exportaciones CSV de Qualys, Tenable, Rapid7, CrowdStrike o un formato genérico; asigna CVEs a elementos parcheables y muestra recuentos Parcheables vs. No coincidentes
- Las etiquetas de gravedad se toman de las clasificaciones del catálogo de actualizaciones de Microsoft (Crítico / Desconocido / No se conocen CVEs), no de las puntuaciones CVSS NVD
- La detección por catálogo de parches produce puntos ciegos sistemáticos: LibreOffice 7.1.8.1 y Firefox ESR 115.12.0 ambos devolvieron “No se conocen CVEs” a pesar de tener cientos de CVEs documentados, porque no existe actualización de catálogo para esas ramas de versión
- Agente más ligero del grupo con 8.8 MB pico en Linux — a pesar de no hacer reclamo de marketing sobre la huella
- Tres tipos de política: Política de parches (con programación consciente del Patch Tuesday), Política de software requerido y Worklet (plantillas de script shell/PowerShell)
- La prueba requiere una dirección de correo empresarial; Gmail rechazado
4. Action1
Action1 es un RMM nativo en la nube con una canalización de vulnerabilidades para Windows capaz. En Linux, inventaria paquetes y rastrea deltas de versión pero no produce salida CVE. Los comportamientos de los dos SO son arquitectónicamente diferentes y deben evaluarse por separado.
Acceso a prueba: Autoservicio, Gmail aceptado, sin contacto de ventas. Tras el envío del formulario, un código de confirmación llega por correo; al introducirlo se accede directamente al panel con instaladores de agentes listos. Sin asistente de incorporación, sin formulario de solicitud de prueba, sin período de espera.
Instalación del agente Windows: El instalador es de 6.9 MB y se completa en 67 segundos. Un correo de confirmación llega inmediatamente después, y el panel muestra: “El agente se ha instalado correctamente. Tu endpoint ahora está conectado a la nube de Action1.”
Instalación del agente Linux: El agente Linux es de 2.3 MB (.deb) y se instala en 5 a 6 segundos mediante un solo comando curl + apt. El ID de organización está incrustado en el paquete; no se necesita configuración posterior a la instalación. Se ofrecen tres rutas de implementación: Interactiva (para usuarios por primera vez), Sin intervención y Directa. También está disponible RPM para sistemas de la familia Red Hat. Tras la instalación, el agente detectó una actualización de kernel pendiente y marcó correctamente el endpoint Linux como ‘Reinicio requerido’ leyendo el estado del SO específico de la distribución en lugar de aplicar lógica de Windows a Linux.
Panel: Sin ningún desencadenante de escaneo manual, aparecieron 114 vulnerabilidades y 3 actualizaciones faltantes en minutos tras la conexión del agente Windows. El panel se centra en dos widgets de triaje: un indicador de cumplimiento de remediación de vulnerabilidades con bandas SLA (Crítico: 1-7 días, Alto: 8-30 días, Medio: 31-90 días, Bajo: 90+ días) y una matriz de desglose de plazos de remediación de vulnerabilidades que muestra gravedad × estado de vencimiento SLA. El mismo diseño se repite para actualizaciones. También aparece un banner de marketing de nivel free y botones de compartir en redes sociales en el panel.
Lista de vulnerabilidades y priorización CVE: La página de vulnerabilidades muestra ID CVE, Puntuación CVSS, marca CISA KEV, Fecha de publicación, Estado de remediación, Software vulnerable (con ruta completa de versión) y recuento de endpoints afectados. CISA KEV es una columna de primera clase que destaca CVEs que están siendo explotados activamente en la práctica, una señal de triaje más fuerte que solo CVSS. EPSS está ausente.
Panel de detalles CVE: Cada CVE abre un panel lateral con tres pestañas: Endpoints (máquinas afectadas con un botón Iniciar remediación), Software vulnerable (software afectado por plataforma) y Detalles. La pestaña Detalles incluye puntuación base CVSS, Puntuación de impacto, Puntuación de explotabilidad, desglose del subvector CVSS en forma legible, marca de asociación con ransomware, enlaces multi-fuente (NVD, NVD++ vía VulnCheck, aviso del proveedor) y un plazo de remediación auto-calculado según la gravedad. Los CVE críticos obtienen un SLA de 7 días; Medio-Alto obtienen 30 días, calculado retroactivamente desde la fecha de publicación del CVE.
Latencia de detección: Se instaló Firefox ESR 115.0esr con una bandera silenciosa, y la marca de tiempo de finalización de instalación se registró al segundo. El agente subió el inventario de software a la nube en T+4 minutos 33 segundos; la nube lo reconoció 1 segundo después; la lista de vulnerabilidades se pobló con CVEs de Firefox en menos de 11 minutos desde la instalación. El agente usa un intervalo de sondeo de 5 minutos. La etiqueta de marketing “en tiempo real” es inexacta; “casi en tiempo real / sondeo cada 5 minutos” es la descripción correcta. No se requiere desencadenante de escaneo manual, lo que lo diferencia de herramientas con escaneo programado.
Detección CVE en Linux (ausente): Se instaló deliberadamente un paquete de Firefox ESR 102.15.1 vulnerable (EOL desde septiembre de 2023, 50+ CVEs sin parche) mediante dpkg. El agente detectó la instalación en 66 segundos y envió la versión correcta a la nube. La carga útil de la nube mostró: "CVE": "", "Security Severity": "Unspecified". La página de vulnerabilidades mostró “No hay software vulnerable”. La misma versión de Firefox en Windows produjo 11+ CVEs con puntuaciones CVSS de 9.8 a 10. El agente Linux de Action1 es un rastreador de delta de versión: registra versión instalada, versión más reciente y disponibilidad de actualización, pero no realiza búsqueda en base de datos CVE para paquetes Linux.
Despliegue de parches: Existen dos flujos paralelos. El flujo basado en vulnerabilidad va: Detalles CVE > Iniciar remediación > asistente de 3 pasos. Están disponibles tres estrategias: Desplegar actualizaciones, Desinstalar software y Documentar controles compensatorios. El tercero es notable; permite documentar la aceptación de riesgo para software que no puede parchearse. El flujo basado en actualización mediante Aprobación de actualización añade compartición de archivos P2P basada en LAN para oficinas remotas, orquestación de reinicio (reinicio automático con popup configurable para el usuario y tiempo de espera) y la opción de deshabilitar completamente las actualizaciones nativas de Windows para que solo se desplieguen parches aprobados por Action1. Estas capacidades existen solo en el flujo basado en actualización; el asistente basado en vulnerabilidad no las ofrece.
Tiempo de despliegue de parches para KB5082142: 1 minuto desde Ejecutar ahora hasta estado Éxito. Sin embargo, “Éxito” en el motor de automatización significa que el binario se escribió en disco, no que el parche esté activo. Sin un reinicio, la página de vulnerabilidades continuó mostrando el CVE parcheado como Pendiente porque el SO aún no había confirmado el cambio. El motor de automatización etiquetó la operación como éxito; el escáner de vulnerabilidades continuó mostrando el CVE como Pendiente el comportamiento correcto, ya que el parche requiere reinicio para hacer efecto. Tras el reinicio, el CVE se eliminó de la lista.
Alertas y notificaciones: Las alertas se basan en informes: un usuario se suscribe a cambios (Creado / Eliminado / Modificado) en los datos de un informe con nombre. Los correos de alerta llegan rápidamente e incluyen campos estructurados: Proveedor, Versión, Tipo de instalación e Instalado para. El campo de destinatario acepta solo una dirección de correo; no hay canal Slack, Teams o webhook. Existe un mecanismo de supresión silenciosa: tras el enésimo desencadenamiento de la misma regla dentro de una ventana de tiempo, la regla deja de activarse sin indicación en la interfaz. El estado de supresión solo es visible en el registro local del agente. Los usuarios que esperan alertas tras superar el umbral de supresión no tienen forma de descubrir la causa desde la interfaz.
Huella en el endpoint: Medido durante 10 minutos durante un ciclo de instalación de Firefox, escaneo y evaluación de alertas: promedio CPU 0.013%, pico CPU 1.56% en el momento en que se disparó el ciclo de sondeo, RAM estable en 51.7 MB con una banda de 0.14 MB durante toda la ventana, IO de disco casi cero excepto por breves escrituras de caché de escaneo. La afirmación de “impacto cero en el endpoint” está respaldada por la medición. No se realizaron pruebas de carga sintética intensa.
Informes: El generador de informes ofrece dos tipos (Resumen con agrupación, Simple para tablas planas), selector de columnas, paso de filtro, entrega programada, Suscribir, exportación CSV y exportación PDF. Cinco categorías de informes integradas incluyen Gestión de vulnerabilidades con cinco subinformes: Vulnerabilidades seleccionadas, Todas las vulnerabilidades críticas, Controles compensatorios documentados, Vulnerabilidades explotadas conocidas y Resumen de vulnerabilidades. Todos son vistas del estado actual. No hay informe integrado “CVEs arreglados con el tiempo” o “Historial de parches por CVE”. Un CVE parcheado se elimina de la lista; no pasa a un estado resuelto. Reconstruir qué CVE se cerró en qué fecha requiere cruzar manualmente el Historial de automatización, que a su vez tiene un problema de contaminación de historial por entradas duplicadas de Ejecutar ahora.
Diferencias clave:
- Detección en Windows en ≤11 minutos desde la instalación del agente (sondeo cada 5 minutos); carga de instalación a nube medida en 4 minutos 33 segundos
- Panel de detalles CVE: CVSS + marca CISA KEV + asociación con ransomware + SLA basado en gravedad (Crítico 7 días, Medio/Alto 30 días, auto-calculado desde fecha de publicación) + enlaces multi-fuente (NVD, NVD++, aviso del proveedor)
- Agente Linux: 2.3 MB .deb, se instala en 5–6 segundos, auto-habilitado systemd; también disponible RPM. Inventaria paquetes dpkg en ~66 segundos pero no produce salida CVE; la carga útil del agente devuelve
"CVE": "", "Security Severity": "Unspecified". Instalar Firefox 102 EOL en Linux dejó la lista de vulnerabilidades vacía. - Huella del agente verificada por pidstat: 51.7 MB estable, promedio 0.013% CPU, pico 1.56% durante escaneo
- Notificaciones de alertas limitadas a una sola dirección de correo; sin Slack, Teams o webhook; las reglas de alertas dejan de activarse silenciosamente tras N activaciones sin indicación en la interfaz
- Informes: Generador personalizado + 5 categorías de subinformes GM (Seleccionar / Crítico / Compensatorio / KEV / Resumen) + Programar + Suscribir; sin informe integrado “CVEs arreglados con el tiempo”
Metodología
Endpoints: Windows Server 2022 Standard 21H2 (Build 20348.3207) y Ubuntu 24.04.4 LTS (kernel 6.8.0-111). Los cuatro agentes funcionaron simultáneamente en el host Linux. En Windows, NinjaOne y Automox se instalaron secuencialmente en la misma VM.
Software vulnerable: Firefox ESR 115.12.0, 7-Zip 19.00, Edge 148 (Windows); Node.js 18.19.1, vsftpd 3.0.5, Apache 2.4.58, LibreOffice 7.1.8.1, /opt/firefox-115.0esr/ tarball del proveedor (Linux).
Medición: pidstat (RSS a nivel de proceso y CPU), Get-Counter (contadores de rendimiento de Windows), pywinrm y paramiko (ejecución remota de comandos). Métricas a nivel cgroup excluidas para evitar inflación por caché de página.
Alcance: macOS excluido. Las pruebas siguieron la secuencia: incorporación a prueba → instalación del agente → panel inicial → detalles del dispositivo → política/escaneo → inventario de vulnerabilidades → flujo de parches → configuración de alertas → rendimiento del endpoint → informes.
Preguntas frecuentes
Las herramientas de gestión de vulnerabilidades detectan vulnerabilidades de software y del sistema operativo en endpoints gestionados, las priorizan por gravedad y conectan los hallazgos con flujos de trabajo de parches. El objetivo es reducir la ventana entre la publicación de un CVE y el parcheo de la versión afectada.
En la práctica, estas herramientas difieren sustancialmente en cómo detectan vulnerabilidades. Algunas consultan directamente el NVD; otras infieren riesgo a partir de la disponibilidad del catálogo de parches. Esta diferencia arquitectónica determina lo que pueden y no pueden encontrar.
Cita esta investigación
Elige el formato que se ajuste al lugar donde vas a publicar. Pegar la versión con enlace en tu CMS conserva el enlace de retroceso.
@misc{dogan2026,
author = {Dogan, Sedat and Sezer, Sena},
title = {{Las mejores herramientas de gestión de vulnerabilidades}},
year = {2026},
month = jun,
howpublished = {\url{https://aimultiple.com/vulnerability-management-tools}},
note = {AIMultiple. Recuperado el 2 de Junio de 2026}
}








































Sé el primero en comentar
Tu dirección de correo electrónico no será publicada. Todos los campos son obligatorios. Los comentarios se dejan en su idioma original.