Una evaluación de vulnerabilidad es un examen metódico de la infraestructura de la red, los sistemas informáticos y el software con el objetivo de identificar y abordar las vulnerabilidades de seguridad conocidas. Una vez que se identifican las vulnerabilidades, se clasifican según la importancia de solucionarlas o mitigarlas más temprano que tarde. Por lo general, la herramienta de exploración también proporciona instrucciones sobre cómo remediar o mitigar las vulnerabilidades descubiertas.

Los equipos de seguridad pueden utilizar los resultados de una evaluación de vulnerabilidades para comprender mejor la postura de seguridad de su red y establecer medidas de protección.

Todas las herramientas de evaluación de vulnerabilidades de código abierto que se enumeran a continuación se pueden descargar y utilizar de forma gratuita.

Aqua Trivy

Aqua Trivy es una herramienta de código abierto que detecta vulnerabilidades y proporciona una explicación del riesgo para que los desarrolladores puedan decidir qué componentes quieren usar en sus aplicaciones y contenedores. Trivy tiene diferentes escáneres que buscan diferentes problemas de seguridad y diferentes objetivos donde puede encontrar esos problemas.

Clair

Clair es un proyecto de código abierto para el análisis estático de vulnerabilidades en contenedores de aplicaciones (actualmente incluye OCI y docker). Los clientes usan la API de Clair para indexar las imágenes de sus contenedores y luego pueden compararlas con las vulnerabilidades conocidas.

Tsunami

Tsunami es un escáner de seguridad de red de propósito general con un sistema de complemento extensible para detectar vulnerabilidades de alta gravedad con alta confianza. Tsunami es fácil de escalar, se ejecuta rápido y escanea de forma no intrusiva.

Vaf

Vaf es un fuzzer web multiplataforma con características como: subprocesamiento rápido, fuzzing de encabezado HTTP y proxy.

Zed Attack Proxy (ZAP)

Zed Attack Proxy (ZAP) es una herramienta gratuita de prueba de penetración de código abierto que se mantiene bajo el paraguas de OWASP. ZAP está diseñado específicamente para probar aplicaciones web y es flexible y extensible, incluso puede ejecutarlo en una raspberry pi.

Atul Narula

Es especialista en ciberseguridad con más de 16 años de experiencia en seguridad de la información. Conoce muy bien la inteligencia de amenazas, la gestión de riesgos, la evaluación de vulnerabilidades y las pruebas de penetración, el análisis forense cibernético y la tecnología de seguridad en la nube (AWS, Azure, Google Cloud). Ocupó varios puestos de investigador de ciberseguridad en diferentes empresas. Tiene experiencia en diferentes industrias como finanzas, atención médica, marketing, gobierno, finanzas turísticas, aerolíneas, telecomunicaciones y biometría.

5 herramientas de evaluación de vulnerabilidades de código abierto para probar

Aqua Trivy

Clair

Tsunami

Vaf

Zed Attack Proxy (ZAP)

Exploits de WinRAR y archivos ZIP: este hackeo de archivos ZIP podría permitir que el malware eluda su antivirus

5 técnicas que utilizan los hackers para hacer jailbreak a los sistemas de inteligencia artificial de ChatGPT, Gemini y Copilot

Este kit de herramientas para hackers puede vulnerar cualquier sistema o red aislado: así es como funciona

Desde el hackeo de buscapersonas hasta las explosiones: ¡la operación de sabotaje ciberfísico de Israel contra Hezbolá!

Cinco técnicas para hackear Microsoft SmartScreen y Smart App Control (SAC) y ejecutar malware en Windows

Cómo se enviaron millones de correos de phishing desde dominios de confianza: explicación de EchoSpoofing

Cómo implementar el principio de privilegio mínimo (seguridad en la nube) en la nube de AWS, Azure y GCP

CANAL DE NOTICIAS DE CIBERSEGURIDAD