Si quieres proteger tu sistema Linux, ya sea porque lo tengas configurado como un servidor o simplemente es un cliente al que quieres proteger, aquí te muestro las mejores herramientas de seguridad que deberías tener instaladas para estar más seguro.
Índice de contenidos
Lynis
Lynis es la herramienta de auditoría de seguridad más completa para sistemas Unix-like. A diferencia de un simple escáner, Lynis realiza una inspección profunda de la configuración del sistema, el software instalado y los parámetros del kernel. Tras el análisis, te ofrece un Hardening Index (índice de endurecimiento) y una lista detallada de sugerencias para mejorar la seguridad. Es imprescindible porque te permite conocer el estado real de tu sistema frente a las mejores prácticas de la industria (como ISO 27001 o NIST) sin necesidad de ser un experto en ciberseguridad.
UFW (Uncomplicated Firewall)
Aunque el kernel de Linux usa iptables o nftables para gestionar el tráfico, su sintaxis puede ser complicada para algunos usuarios. UFW simplifica esta tarea de activar el firewall. Es la primera línea de defensa para bloquear puertos innecesarios y controlar qué aplicaciones pueden comunicarse con el exterior. Su filosofía de «denegar todo por defecto y permitir solo lo necesario» es la base de un sistema seguro. Si prefieres algo visual, existe GUFW, pero aprender los comandos básicos de UFW es una de las habilidades más valiosas para cualquier usuario de Linux.
Te puede interesar leer sobre más herramientas de hacking y protección
Fail2ban
Si tienes un servidor o incluso si usas SSH en tu escritorio, Fail2ban es vital. Esta herramienta monitoriza constantemente los archivos de registro (logs) del sistema en busca de patrones sospechosos, como múltiples intentos fallidos de inicio de sesión. Cuando detecta un ataque de fuerza bruta, actualiza las reglas del firewall para banear la dirección IP del atacante durante un tiempo determinado. Es la forma más eficiente de mitigar el problema constante de bots que intentan adivinar contraseñas en internet, protegiendo tus servicios críticos de forma automatizada.
ClamAV
Aunque los virus de escritorio son menos comunes en Linux que en Windows, ClamAV sigue siendo el estándar de código abierto para detectar malware. Es especialmente útil si manejas servidores de correo o si compartes archivos frecuentemente con usuarios de otros sistemas operativos. Su motor de escaneo es potente y se actualiza varias veces al día. En Linux, funciona de maravilla para limpiar memorias USB infectadas o para asegurar que no estás reenviando archivos maliciosos sin saberlo a tus contactos. Y lo mejor es que puedes instalar tus propias firmas de virus…
Te recomiendo leer nuestro artículo sobre el mejor hardware para Linus
Rkhunter (Rootkit Hunter)
Los rootkits son herramientas maliciosas diseñadas para ocultar la presencia de procesos o archivos, permitiendo a un atacante mantener el control total del sistema sin ser detectado. Rkhunter es una utilidad que escanea tu sistema en busca de estos «inquilinos» invisibles, verificando comandos del sistema modificados, permisos incorrectos en archivos críticos y firmas de rootkits conocidos. Es una herramienta de diagnóstico esencial para ejecutar periódicamente y asegurar que el núcleo de tu sistema operativo no ha sido comprometido silenciosamente por un exploit local o remoto.
USBGuard
Uno de los vectores de ataque más olvidados es el puerto físico. USBGuard protege tu sistema contra dispositivos USB maliciosos (como los ataques «BadUSB» que simulan ser teclados para ejecutar comandos). Esta herramienta implementa una política de autorización para dispositivos USB basada en una lista blanca. Por defecto, puedes configurar que ningún dispositivo nuevo funcione a menos que tú lo apruebes explícitamente. Es una capa de seguridad física imprescindible si sueles dejar tu ordenador en lugares públicos o si trabajas en entornos donde la seguridad de los periféricos es crítica.
Firejail
Firejail es un programa de seguridad que reduce el riesgo de brechas de seguridad al aislar aplicaciones sospechosas o vulnerables en un «sandbox» o caja de arena. Utiliza perfiles preconfigurados y características del kernel (namespaces y seccomp) para limitar el acceso de una aplicación a tus archivos personales y a la red. Si un atacante logra explotar una vulnerabilidad en tu navegador, Firejail evitará que ese atacante pueda ver tus documentos o tomar el control del resto del sistema operativo.
Wireshark
Para entender qué está pasando realmente en tu red, necesitas Wireshark. Es el analizador de protocolos de red más famoso del mundo. En el ámbito de la seguridad, es imprescindible para detectar exfiltración de datos, conexiones sospechosas a servidores desconocidos o tráfico cifrado inusual. Aunque tiene una curva de aprendizaje, su capacidad para desgranar cada paquete que entra y sale de tu tarjeta de red es inigualable. Es la herramienta definitiva para auditorías de red y para verificar que tus aplicaciones no están enviando telemetría no deseada.
VeraCrypt
Mientras que Linux suele ofrecer LUKS para el cifrado de disco completo, VeraCrypt es la herramienta ideal para crear contenedores cifrados o cifrar particiones específicas. Utiliza algoritmos de cifrado de grado militar (como AES-256 o Twofish) y permite la «negación plausible» mediante volúmenes ocultos. Es imprescindible para proteger archivos sensibles que sincronizas en la nube o que llevas en discos externos. Si pierdes tu portátil o tu pendrive, VeraCrypt garantiza que nadie, ni siquiera con herramientas forenses avanzadas, pueda acceder a tu información personal sin la contraseña.
AIDE (Advanced Intrusion Detection Environment)
AIDE es un comprobador de integridad de archivos que actúa como un sistema de detección de intrusos. Funciona creando una base de datos con las huellas digitales (hashes) de los archivos importantes del sistema cuando este se encuentra «limpio». Periódicamente, AIDE vuelve a calcular esas huellas y las compara con la base de datos original. En caso de que un archivo de configuración o un binario del sistema haya sido alterado, te avisará de inmediato. Es la forma más fiable de saber si un atacante ha modificado el sistema tras saltarse otras medidas de seguridad anteriores.
No olvides dejar tus comentarios…
