En entornos Linux, el uso del comando sudo es el vector principal de movimiento lateral y persistencia tras un compromiso inicial. A menudo, el monitoreo de seguridad se limita exclusivamente a intentos de login SSH, ignorando por completo qué ocurre una vez que el atacante ya ha ingresado al sistema. Si no tienes visibilidad sobre qué comandos ejecuta un usuario con privilegios, estás operando a ciegas frente a un atacante interno o una intrusión confirmada.
Para obtener visibilidad total, debemos integrar Auditd, el framework de auditoría del kernel, con Wazuh.
Configuración técnica:
En el endpoint, asegura que auditd esté instalado y añade la siguiente regla en /etc/audit/rules.d/audit.rules para registrar cada ejecución realizada con sudo:
-w /usr/bin/sudo -p wa -k sudo_execution
Recarga las reglas para que el cambio surta efecto: augenrules –load.
En tu manager de Wazuh, crea una regla personalizada para procesar estos logs. El evento se registrará en /var/log/audit/audit.log. Puedes implementar la siguiente lógica para generar una alerta crítica:

Mitigación y Hardening:
- La detección es fundamental para el response, pero la prevención es la base de una superficie de ataque reducida. Aplica estas medidas de inmediato:
- Auditoría estricta: No otorgues privilegios ALL=(ALL) ALL en /etc/sudoers de forma indiscriminada.
- Limitación granular: Utiliza alias en sudoers para restringir los comandos que un usuario puede ejecutar (ej: Cmnd_Alias BACKUPS = /usr/bin/rsync).
- Logging avanzado: Habilita Defaults log_output en el archivo /etc/sudoers para registrar la entrada y salida de las sesiones, permitiendo una reconstrucción forense exacta de lo que hizo el atacante.
- Integración SIEM: Centraliza todos los logs de auditoría en tu SIEM para correlacionar estas ejecuciones con comportamientos anómalos de red.
Considera que estas configuraciones, revisadas este 16 de julio de 2026, representan una base sólida para la trazabilidad en incidentes de seguridad actuales. Mantener visibilidad sobre el proceso de escalada es lo que separa a un incidente menor de una brecha de datos completa.
¿Implementas actualmente monitoreo de comandos en tiempo real o solo revisas logs de autenticación? ¿Cuál es tu mayor desafío al filtrar falsos positivos en entornos con automatización agresiva?
0 comentarios