En entornos Linux, el uso del comando sudo es el vector principal de movimiento lateral y persistencia tras un compromiso inicial. A menudo, el monitoreo de seguridad se limita exclusivamente a intentos de login SSH, ignorando por completo qué ocurre una vez que el atacante ya ha ingresado al sistema. Si no tienes visibilidad sobre qué comandos ejecuta un usuario con privilegios, estás operando a ciegas frente a un atacante interno o una intrusión confirmada.

Para obtener visibilidad total, debemos integrar Auditd, el framework de auditoría del kernel, con Wazuh.

Configuración técnica:

En el endpoint, asegura que auditd esté instalado y añade la siguiente regla en /etc/audit/rules.d/audit.rules para registrar cada ejecución realizada con sudo:

-w /usr/bin/sudo -p wa -k sudo_execution

Recarga las reglas para que el cambio surta efecto: augenrules –load.

En tu manager de Wazuh, crea una regla personalizada para procesar estos logs. El evento se registrará en /var/log/audit/audit.log. Puedes implementar la siguiente lógica para generar una alerta crítica:

Mitigación y Hardening:

  • La detección es fundamental para el response, pero la prevención es la base de una superficie de ataque reducida. Aplica estas medidas de inmediato:
  • Auditoría estricta: No otorgues privilegios ALL=(ALL) ALL en /etc/sudoers de forma indiscriminada.
  • Limitación granular: Utiliza alias en sudoers para restringir los comandos que un usuario puede ejecutar (ej: Cmnd_Alias BACKUPS = /usr/bin/rsync).
  • Logging avanzado: Habilita Defaults log_output en el archivo /etc/sudoers para registrar la entrada y salida de las sesiones, permitiendo una reconstrucción forense exacta de lo que hizo el atacante.
  • Integración SIEM: Centraliza todos los logs de auditoría en tu SIEM para correlacionar estas ejecuciones con comportamientos anómalos de red.

Considera que estas configuraciones, revisadas este 16 de julio de 2026, representan una base sólida para la trazabilidad en incidentes de seguridad actuales. Mantener visibilidad sobre el proceso de escalada es lo que separa a un incidente menor de una brecha de datos completa.

¿Implementas actualmente monitoreo de comandos en tiempo real o solo revisas logs de autenticación? ¿Cuál es tu mayor desafío al filtrar falsos positivos en entornos con automatización agresiva?


Daniel Maldonado

¡Hola! Soy Daniel Maldonado, Sr. Analista de Seguridad Informática y me dedico al hacking desde hace más de 10 años.

0 comentarios

Deja una respuesta

Marcador de posición del avatar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Daniel Maldonado
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.