¿Buscas un escáner de vulnerabilidades de código abierto, gratuito, completo y fiable para auditar tus sistemas? Entonces OpenVAS, el escáner integrado en la suite GVM (Greenbone Vulnerability Management), debería gustarte.
En este artículo, descubrirás todo lo que necesitas saber sobre esta herramienta y comprenderás por qué OpenVAS es especialmente apreciado por los profesionales de la ciberseguridad.
¿Qué es OpenVAS? (GVM)
OpenVAS, acrónimo de Open Vulnerability Assessment System, es un escáner de vulnerabilidades de código abierto desarrollado por la empresa Greenbone e integrado en la suite GVM (Greenbone Vulnerability Management).
Con OpenVAS, podrás detectar las fallas de seguridad y las vulnerabilidades de tus equipos y redes. Para ello, solo tendrás que iniciar un escaneo que te proporcionará:
- La lista de las vulnerabilidades detectadas y su nivel de criticidad.
- Una descripción más detallada de estas vulnerabilidades.
- Soluciones para corregir estos problemas.
OpenVAS y GVM (Greenbone Vulnerability Management): ¿Qué diferencia hay?
Greenbone Vulnerability Management es una suite completa de herramientas de ciberseguridad, de las cuales OpenVAS es el escáner de vulnerabilidades.
Para poder usar OpenVAS, tendrás que instalar toda la suite GVM, cuyos componentes trabajan en sinergia. Si es OpenVAS el que se encargará de analizar tus sistemas para detectar sus vulnerabilidades, las otras herramientas de GVM te permitirán planificar tus escaneos, gestionar las configuraciones de tus equipos, centralizar los resultados u obtener informes de análisis detallados.
Para resumir, se podría comparar OpenVAS a un motor y GVM a un coche entero: OpenVAS es un componente esencial, pero solo es realmente útil cuando está integrado en el ecosistema completo de GVM.
¿Quién utiliza la herramienta OpenVAS?
Aunque OpenVAS es un software libre y de código abierto, no está reservado a los aficionados. Hoy en día, es utilizado principalmente por:
- Los Pentesters, que lo utilizan para auditar la seguridad de las infraestructuras informáticas e identificar sus fallas antes de que sean utilizadas de manera indebida.
- Los SysAdmins y los ingenieros de ciberseguridad, que lo utilizan para corregir las vulnerabilidades de los sistemas de información para mantener su integridad.
- Las empresas en general, y especialmente sus equipos de TI, que utilizan OpenVAS para asegurarse de que sus sistemas cumplen con los requisitos reglamentarios en materia de ciberseguridad (ISO 27001, RGPD…).
- Los hackers maliciosos, que desvían este software gratuito para preparar sus ciberataques y detectar las fallas explotables para penetrar en los sistemas de sus objetivos.
¿Es legal usar el escáner de vulnerabilidades OpenVAS?
Si tienes la autorización explícita del propietario del sistema escaneado, es totalmente legal usar OpenVAS, y de hecho, es por eso que muchos profesionales de la ciberseguridad lo usan a diario.
En España, el uso de herramientas como OpenVAS para la exploración de vulnerabilidades es legal siempre que se cuente con el permiso expreso del propietario del sistema analizado. Esta práctica es común entre empresas de ciberseguridad que realizan auditorías de seguridad autorizadas para identificar y corregir vulnerabilidades en sistemas digitales.
Sin embargo, utilizar OpenVAS para escanear sistemas de terceros sin autorización constituye un acceso no autorizado, lo cual es ilegal. En España, según el Código Penal, las penas por este tipo de actividades se regulan principalmente en los artículos 197 y siguientes, que abordan los delitos informáticos, como el acceso ilícito a sistemas y la interceptación no autorizada de datos. Las sanciones pueden incluir:
- Hasta 3 años de prisión y multas (calculadas según el perjuicio causado, que pueden superar los 100.000 euros) por acceder a un sistema sin autorización.
- Hasta 5 años de prisión y multas más elevadas si se explota una vulnerabilidad para alterar, dañar o interrumpir el funcionamiento del sistema.
- Hasta 7 años de prisión y multas significativas (potencialmente superiores a 300.000 euros) si el ataque afecta a infraestructuras críticas del Estado, como sistemas gubernamentales o servicios esenciales.
Estas penas pueden variar según la gravedad del delito, el daño causado y si se trata de una infraestructura crítica. Además, la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, y sus reformas recientes, refuerzan la protección de los sistemas digitales frente a accesos no autorizados.
¿OpenVAS es gratuito?
Como todas las herramientas de la suite GVM, sí, OpenVAS es totalmente gratuito y de código abierto. Podrás descargarlo, usarlo e incluso modificarlo sin tener que sacar tu tarjeta de crédito.
Ten en cuenta, sin embargo, que Greenbone también ofrece versiones comerciales de pago de estos productos, con las que dispondrás de más funcionalidades, acceso prioritario a las actualizaciones y un soporte más rápido. Pero en la mayoría de los casos, las versiones gratuitas de OpenVAS y de la suite GVM deberían serte más que suficientes.
¿Cómo funciona Greenbone Vulnerability Management (GVM)?
Para poder producir un chequeo completo del estado de salud de tus sistemas de información, Greenbone Vulnerability Management suele seguir 3 pasos:
- Identificación del objetivo a analizar: determinas el objetivo que deseas auditar (un rango IP, un dominio, una subred…), y GVM establece entonces la cartografía de las máquinas visibles y listas para ser escaneadas.
- Lanzamiento del escaneo de vulnerabilidades con OpenVAS: a continuación, inicias el escaneo propiamente dicho para detectar las fallas de las que sufren tus sistemas, así como las configuraciones o los softwares obsoletos.
- Informe y recomendaciones: una vez finalizado el análisis, GVM genera un informe claro y detallado que enumera las vulnerabilidades encontradas, su gravedad e incluso te propone soluciones para corregirlas.
¡Y eso no es todo! Para obtener informes periódicos, puedes automatizar y planificar este proceso. Gracias a ello, ya no tendrás que pensar en iniciar el escaneo y podrás detectar posibles problemas antes de que sea demasiado tarde.
¿Para qué sirve OpenVAS para el Ethical Hacking?
OpenVAS permite a los profesionales del pentesting ver un sistema como lo vería un hacker. En este sentido, esta herramienta es una de sus imprescindibles, y la utilizan especialmente para:
- Evaluar la seguridad de una red para poder reforzarla si es necesario.
- Probar un servidor web contra vulnerabilidades conocidas.
- Verificar la conformidad de los equipos de una empresa con los estándares de ciberseguridad a los que está sujeta (RGPD, ISO 27001…).
- Identificar software obsoleto o mal configurado, a menudo vulnerable, que podría poner en peligro una infraestructura informática.
- Simular un ciberataque para probar la resistencia de un sistema de información determinado.
¿OpenVAS sigue manteniéndose?
Dado que OpenVAS forma parte integral de la suite GVM, sigue siendo mantenido por Greenbone Networks. Por lo tanto, se beneficia de actualizaciones periódicas, alimentadas por una comunidad activa y por los expertos de Greenbone. Se integran regularmente nuevas pruebas de vulnerabilidades al escáner, lo que le permite mantenerse actualizado para detectar las nuevas amenazas y las fallas más recientes.
¿Cómo instalar Greenbone Vulnerability Management en tu ordenador?
Podrás instalar OpenVAS y la suite Greenbone Vulnerability Management en tu ordenador a través del sitio web de Greenbone o de su repositorio GitHub oficial. Pero el procedimiento variará considerablemente en función de tu sistema operativo.
Instalar OpenVAS y GVM en Windows y macOS
Dado que OpenVAS y GVM solo funcionan de forma nativa en Linux, para instalarlos y usarlos en macOS o Windows, deberás utilizar una máquina virtual, como VirtualBox con Kali Linux.
Una vez configurada tu máquina virtual, podrás ejecutar los comandos adecuados para la distribución de Linux elegida para instalar OpenVAS y GVM en Windows o macOS.
¿Cuáles son las alternativas para instalar OpenVAS?
Si no deseas utilizar una máquina virtual, también puedes instalar OpenVAS:
- En una distribución nativa de Linux, como Debian, Ubuntu o Kali Linux.
- A través de Docker, que coloca OpenVAS en un entorno aislado del resto de tu sistema, lo que te permite evitar conflictos con otros softwares e instalarlo o desinstalarlo muy rápidamente.
- En un Raspberry Pi, un miniordenador de bajo coste que puedes transformar en un escáner de vulnerabilidades portátil con un poco de paciencia.
- Compilando el código fuente de OpenVAS desde su repositorio oficial de GitHub.
¿Cómo convertirse en un experto en ciberseguridad?
Mientras la ciberdelincuencia no deja de crecer, cada vez más empresas buscan expertos en ciberseguridad capaces de protegerlas. Hoy más que nunca, si buscas reconvertirte, la ciberdefensa te abre los brazos. Pero para trabajar en ella, deberás formarte para dominar herramientas como OpenVAS, pero también Metasploit, Wireshark o Burp Suite.
Preguntas frecuentes sobre la herramienta de Pentest OpenVAS
¿Cuáles son las diferencias entre OpenVAS y Nessus?
Nessus y OpenVAS son escáneres de vulnerabilidades potentes, pero tienen una diferencia fundamental: OpenVAS es una herramienta gratuita y de código abierto, mientras que Nessus es un software propietario y de pago. Esta diferencia implica otra distinción notable:
OpenVAS dispone de una comunidad activa para ayudarte en caso de problemas.
Nessus apuesta más por un soporte al cliente rápido.
¿Qué habilidades son necesarias para usar bien OpenVAS?
Para poder utilizar OpenVAS y la suite Greenbone Vulnerability Management a su máximo potencial, deberás:
Comprender qué son las redes y sus diferentes componentes (IP, puertos, protocolos…) para saber qué es lo que escaneas.
Dominar un mínimo de Linux, ya que OpenVAS solo está disponible en este sistema operativo.
Conocer los principios básicos de la ciberseguridad (cuáles son los principales tipos de vulnerabilidades, cómo gestionar los riesgos informáticos…).
Pingback: Los Mejores Escáneres de Vulnerabilidades en 2025 » CM
Pingback: 10 Herramientas Utilizadas por Pentesters en 2025 » CyberMentor
Pingback: Hardening: ¿Qué es y Cómo Protegerte? » CyberMentor