Splunk vs Wazuh vs ELK: qué SIEM encaja con tu presupuesto.
Tres modelos de coste realmente distintos que llevan la misma etiqueta de «SIEM». La elección acertada depende mucho más de tu presupuesto y del tamaño de tu equipo que de cualquier lista de funciones.
Pregunta a tres ingenieros de seguridad qué SIEM comprar y obtendrás tres respuestas, expresadas con la misma seguridad, por tres razones completamente distintas. Y es que «SIEM» es una etiqueta que abarca demasiado. Splunk, Wazuh y el stack ELK / Elastic prometen todos centralizar tus logs y ayudarte a detectar cosas malas ocurriendo en tu red — pero están construidos sobre supuestos opuestos acerca de quién paga, quién opera la herramienta y cuánta experiencia interna hay disponible para mantenerla en marcha. Compararlos solo por funciones no va al grano. Compararlos por modelo de coste y encaje con el equipo es la comparativa que de verdad sobrevive a una revisión de presupuesto.
Veredicto rápido
| Caso de uso | Elección |
|---|---|
| Presupuesto empresarial, necesitas soporte de fabricante y acabado profesional | Splunk |
| Gratis/código abierto, además quieres detección de intrusiones basada en host integrada | Wazuh |
| Ya usas el stack Elastic para logs y quieres añadir seguridad | ELK / Elastic Security |
| Equipo pequeño, presupuesto ajustado, quieres algo listo para producción rápido | Wazuh |
| Sector regulado que necesita el nombre de un fabricante conocido y aceptado por auditores | Splunk |
En qué se diferencian de verdad
Splunk es software comercial, y su modelo de precios es el dato más determinante de todos: se te licencia principalmente por el volumen de datos que ingieres al día, no por usuarios ni por hosts. Ese modelo escala de maravilla cuando eres pequeño y de forma dolorosa cuando dejas de serlo — unas pocas fuentes de log a nivel de depuración de más, una nueva flota de endpoints enviando telemetría verbosa, y tu ingesta diaria puede duplicarse sin que te des cuenta. A cambio obtienes un ecosistema de apps y complementos realmente enorme (Splunkbase tiene miles de integraciones ya construidas), un lenguaje de búsqueda, SPL, que los analistas con experiencia consideran de lo mejor para la investigación ad hoc, y un soporte de fabricante que los sectores regulados y los auditores reconocen por su nombre. Nada de eso es gratis, y la conversación sobre precios con el departamento de compras suele producirse después de que el equipo técnico ya se haya enamorado del producto.
Wazuh hace la apuesta opuesta: es gratuito y de código abierto a cualquier escala, sin excepciones. Está construido sobre OpenSearch (un fork de Elasticsearch) y combina el análisis centralizado de logs al estilo SIEM con la detección de intrusiones basada en host ejecutándose directamente en el mismo agente ligero — monitorización de integridad de archivos, detección de rootkits, evaluación de configuración y detección de vulnerabilidades vienen todas en un único despliegue, en lugar de requerir un producto HIDS aparte atornillado junto a tu pipeline de logs. La contrapartida es el tamaño del ecosistema: la comunidad de Wazuh y su catálogo de integraciones de terceros son menores que los de Splunk, y la empresa que hay detrás es considerablemente más pequeña que Splunk Inc. o que Elastic. Lo que obtienes a cambio es una curva de coste que se mantiene plana a medida que crece tu volumen de datos, algo que importa enormemente en cuanto tu volumen de logs es precisamente lo que dispara el modelo de precios del resto del sector.
ELK / stack Elastic — Elasticsearch, Logstash y Kibana, con Elastic Security por encima — se sitúa en un punto intermedio con el modelo open-core. El stack básico es gratuito y autogestionado, y es genuinamente potente: pipelines de ingesta flexibles, un lenguaje de consulta maduro y un motor de búsqueda que escala a volúmenes de datos serios cuando está bien afinado. Sin embargo, las funciones de detección más avanzadas de Elastic Security viven detrás de niveles de pago, y operar bien el stack completo — estrategia de sharding, gestión del ciclo de vida de índices, dimensionamiento del clúster — exige verdadera experiencia operativa interna con Elasticsearch que muchos equipos infravaloran hasta la tercera semana de un despliegue.
# Manager de Wazuh: comprobar qué agentes están reportando de verdad
$ sudo /var/ossec/bin/agent_control -lc
Wazuh agent_control. List of agents:
ID: 000, Name: wazuh-manager (server), IP: 127.0.0.1, Active
ID: 003, Name: web-01, IP: 10.0.1.12, Active
ID: 007, Name: db-02, IP: 10.0.1.30, Active
ID: 011, Name: jump-host, IP: 10.0.1.5, Disconnected
Wazuh agent_control: Number of agents: 4
Ese único comando funciona también como lección de costes: el mismo agente que reporta telemetría de host es a la vez el sensor de integridad de archivos y de rootkits, sin coste de licencia adicional — el tipo de consolidación que tanto Splunk como Elastic cobran aparte por aproximar.
Dónde se queda corto cada uno
- Splunk: los precios basados en ingesta pueden provocar un buen susto en la factura a medida que el volumen de logs crece de forma orgánica — una nueva aplicación, un firewall más ruidoso, una migración a la nube que duplica la telemetría — y es fácil subestimar la cifra real en el momento de la compra, antes de conocer los patrones de tráfico en producción.
- Wazuh: una comunidad y un ecosistema de soporte comercial más pequeños que los otros dos significan menos integraciones listas para usar en fuentes de log nicho o heredadas, y de vez en cuando escribirás tu propio decoder o regla en lugar de encontrar uno ya mantenido upstream.
- ELK / Elastic Security: operarlo bien a escala exige verdadera habilidad operativa interna con Elasticsearch — la salud del clúster, el dimensionamiento de shards y el ajuste de la retención no son deberes opcionales — y el nivel gratuito autogestionado por sí solo carece de algunas de las funciones de detección específicas de seguridad (ciertas analíticas, reglas de detección predefinidas, acciones de respuesta en endpoints) que viven detrás de las suscripciones de pago de Elastic.
El veredicto que sobrevive a la revisión de presupuesto
Ajusta la herramienta al tamaño de tu equipo, a tu presupuesto y a la experiencia que ya tienes — no a cuál sea el producto con la lista de funciones más larga en su página de inicio. A un equipo de seguridad de cinco personas casi siempre le sirve mejor el modelo gratuito y todo-en-uno de Wazuh que un despliegue de Splunk que nadie financió como es debido, donde la renovación de licencia se convierte en una pelea cada año y el equipo acaba filtrando fuentes de log solo para no pasarse del tope de ingesta. A la inversa, una empresa regulada con experiencia en Splunk ya en plantilla y una necesidad real de soporte descubrirá que el coste de licencia es el precio de una herramienta que de verdad se usa como es debido, en lugar de la falsa economía de una plataforma gratuita que nadie tiene tiempo de operar correctamente. Y si ya ejecutas Elastic para los logs de aplicación, extenderte a Elastic Security es a menudo el camino de menor resistencia — siempre que alguien del equipo entienda de verdad cómo funciona el clúster por debajo. El SIEM que encaja es el que tu equipo y tu presupuesto pueden sostener más allá del primer año, no el que gana la comparativa de funciones.