Skip to content
Breachfolio
Ilustración de cabecera para: Tenable Nessus vs OpenVAS: escáneres de vulnerabilidades cara a cara.
ESCÁNERES COMPARATIVAS

Tenable Nessus vs OpenVAS: escáneres de vulnerabilidades cara a cara.

Un pulido feed de plugins comercial frente a uno gratuito e impulsado por la comunidad. La diferencia real aparece en la precisión, el tiempo de puesta en marcha y lo que tu auditor de cumplimiento espera ver.

9 min de lectura Breachfolio Research

El escaneo de vulnerabilidades es uno de los pocos controles de seguridad que aparece por su nombre en una lista de verificación de auditoría, lo que hace que la elección del escáner parezca más decisiva de lo que suele ser. En la práctica hay dos caminos: pagar por Tenable Nessus, o autoalojar OpenVAS — ahora desarrollado como parte del stack de gestión de vulnerabilidades de código abierto de Greenbone (GVM). Ambos encontrarán vulnerabilidades reales. Las diferencias están en el feed que hay detrás del escaneo, en el ruido del informe y en lo que pasa cuando algo se rompe a las 2 de la madrugada.

Veredicto rápido

Caso de usoElige
Sector regulado, el auditor espera una herramienta comercial reconocidaNessus
Presupuesto ajustado, laboratorio o equipo pequeñoOpenVAS/Greenbone
Necesitas el feed de plugins/CVE más grande y actualizado con soporte del fabricanteNessus
Te sientes cómodo autoalojando y manteniendo tú mismo las actualizaciones del feedOpenVAS
Quieres el camino más rápido desde la instalación hasta el primer escaneoNessus

En qué se diferencian de verdad

Nessus es software comercial de Tenable, licenciado por escáner o por número de activos según el nivel que contrates. Lo que realmente estás pagando es el feed de plugins que hay detrás: decenas de miles de comprobaciones, refrescadas continuamente por un equipo de investigación dedicado, vinculadas a los CVE casi en cuanto aparecen. Esa curación se refleja directamente en los números que le importan a un analista — Nessus tiene fama de una tasa de falsos positivos más baja que la de la mayoría de alternativas gratuitas, y la interfaz y la capa de informes están lo bastante pulidas como para que un equipo de cumplimiento reconozca la herramienta por su nombre y por la forma de su exportación en PDF. La instalación es casi llave en mano: descargas, activas una clave de licencia, la apuntas a un objetivo y tienes un primer escaneo en menos de una hora.

OpenVAS — ahora parte del stack de código abierto de Greenbone y, con más precisión, llamado Greenbone Vulnerability Management (GVM), aunque «OpenVAS» sigue siendo el nombre que todo el mundo usa en realidad para el componente de escaneo — es gratuito y totalmente autoalojable. El feed lo mantienen la comunidad y Greenbone, y el motor en sí es genuinamente capaz; no es una reimplementación de juguete de Nessus, es un escáner independiente con su propia historia, que se remonta al código original de Nessus 2 antes de que aquel proyecto pasara a ser de código cerrado. El compromiso honesto es operativo: OpenVAS históricamente requiere más esfuerzo para ponerlo en marcha correctamente, necesita que su feed de vulnerabilidades se sincronice y se mantenga al día por quien sea dueño del despliegue, y arrastra una fama persistente — no siempre del todo justa, pero persistente — de tener una relación señal-ruido más ruidosa nada más salir de la caja en comparación con un feed comercial afinado.

Lanzar un escaneo desde la CLI

Ambas herramientas se manejan normalmente desde una interfaz web, pero las dos exponen además una vía por línea de comandos para la automatización. Aquí tienes un escaneo de GVM lanzado a través de su interfaz de línea de comandos, apuntando a un único host con la configuración de escaneo full-and-fast por defecto:

$ gvm-cli --gmp-username admin --gmp-password '***' socket \
    --xml '<create_target><name>web-01</name><hosts>10.0.0.42</hosts></create_target>'
<create_target_response id="9f2c1a4e-..." status="201" status_text="OK, resource created"/>

$ gvm-cli --gmp-username admin --gmp-password '***' socket \
    --xml '<create_task><name>web-01 full-fast</name><target id="9f2c1a4e-..."/><config id="daba56c8-73ec-11df-a475-002264764cea"/></create_task>'
<create_task_response id="6b7e02d0-..." status="201" status_text="OK, resource created"/>

$ gvm-cli --gmp-username admin --gmp-password '***' socket \
    --xml '<start_task task_id="6b7e02d0-..."/>'
<start_task_response status="202" status_text="OK, request submitted"/>

El protocolo XML sobre socket (GMP, el Greenbone Management Protocol) es verboso pero automatizable, y es la misma interfaz que la propia UI web usa por debajo — cualquier cosa que puedas pulsar, la puedes automatizar.

Dónde se queda corto cada uno

La mayor debilidad de Nessus es el escalado de costes. La licencia está atada al número de activos o de escáneres, y un despliegue que parecía razonable con 200 hosts puede convertirse en una partida de presupuesto real cuando cubre unos cuantos miles. Algunas de las capacidades más avanzadas — módulos de auditoría de cumplimiento más amplios, ciertas integraciones, un mayor número de escáneres — quedan detrás de licencias de nivel superior, así que el precio de catálogo del nivel de entrada no siempre es el número que acabas pagando.

Las debilidades de OpenVAS son sobre todo de mano de obra, no de capacidad. La configuración inicial y la gestión continua del feed consumen tiempo real de ingeniería — alguien tiene que hacerse cargo del calendario de sincronización, del crecimiento del almacenamiento y de la actualización rota ocasional. Los resultados suelen exigir más triaje manual antes de estar listos para auditoría, ya que el afinado de fábrica es menos agresivo a la hora de suprimir probables falsos positivos. Y cuando algo se rompe, la red de seguridad es la comunidad y los foros de Greenbone en lugar de un contrato de soporte del fabricante con un SLA.

El veredicto que sobrevive a una auditoría

Para una organización guiada por el cumplimiento, la decisión no suele ir realmente sobre la calidad del escaneo. Un auditor que ha visto un centenar de informes SOC 2 o PCI espera ver una herramienta comercial reconocible y con nombre y un informe limpio y estandarizado — y Nessus es esa herramienta, independientemente de si OpenVAS habría encontrado los mismos hallazgos por debajo. En ese contexto, Nessus es la elección pragmática por puras razones de fricción de auditoría, incluso antes de comparar recuentos de plugins.

Para laboratorios, equipos pequeños y cualquiera limitado por el presupuesto en lugar de por las expectativas de un auditor, OpenVAS es una alternativa gratuita genuinamente capaz — siempre que estés dispuesto a invertir el tiempo de configuración y de mantenimiento del feed que pide a cambio. Las dos herramientas no compiten en realidad por el mismo comprador: una se compra para satisfacer un requisito de cumplimiento con la mínima fricción, la otra la adoptan equipos que prefieren gastar horas de ingeniería antes que un presupuesto de licencias. Ten claro cuál eres tú antes de elegir.