DEV Community

Byron Antonio Lainez Sasvin
Byron Antonio Lainez Sasvin

Posted on

GuardDuty vs Security Hub: ¿Cuál es la diferencia y cómo usarlos juntos?

#aws #seguridad

Si alguna vez has entrado a la consola de AWS buscando "cómo asegurar mi cuenta", te habrás topado con estos dos servicios. A primera vista parecen hacer lo mismo: "ayudarte con la seguridad". Pero en la práctica, cumplen roles totalmente distintos y complementarios.

GuardDuty: El detective que nunca duerme

Piensa en GuardDuty como un sistema de detección de intrusiones (IDS) basado en logs. No mira si tu bucket S3 es público; lo que mira es si alguien desde una IP sospechosa está intentando acceder a él o si tus instancias EC2 están minando criptomonedas.

Utiliza Machine Learning y feeds de inteligencia de amenazas para analizar:

  • VPC Flow Logs (tráfico de red).

  • CloudTrail Events (acciones en la API).

  • DNS Logs (consultas a dominios maliciosos).

⚠️

⚠️ Importante
GuardDuty es reactivo: te avisa cuando algo malo ya está pasando o está por pasar.

Security Hub: El auditor y panel de control

Security Hub es un servicio de CSPM (Cloud Security Posture Management). Su trabajo principal es medir tu postura de seguridad frente a estándares como el AWS Foundational Security Best Practices o CIS Foundations Benchmark.

Te dirá cosas como: "Tienes el usuario root sin MFA" o "Tus bases de datos no están cifradas". Pero lo más potente de Security Hub no es solo su auditoría, sino su capacidad de ser el agregador central.

La diferencia clave 

      Característica
      Amazon GuardDuty
      AWS Security Hub




      **Tipo**
      Detección de Amenazas (Threat Detection)
      Gestión de Postura (Compliance)


      **Foco**
      Comportamientos maliciosos actuales.
      Configuraciones erróneas y mejores prácticas.


      **Acción**
      Analiza logs en tiempo real.
      Realiza escaneos periódicos de recursos.

💡 El Combo Perfecto
La mejor configuración es habilitar ambos y configurar Security Hub como el punto único de visibilidad. Security Hub puede importar automáticamente todos los "Findings" de GuardDuty.

Cómo activarlos juntos vía CLI

Si manejas varias regiones, habilitarlos manualmente es una tortura. Aquí te dejo cómo empezar con GuardDuty:

# Habilitar GuardDuty en la región actual
> aws guardduty create-detector --enable
Enter fullscreen mode Exit fullscreen mode

Y para Security Hub:

# Habilitar Security Hub
> aws securityhub enable-security-hub
Enter fullscreen mode Exit fullscreen mode

Conclusión

No elijas uno. GuardDuty detecta al atacante que está dentro; Security Hub cierra las puertas que dejaste abiertas para que no entre. Si solo usas uno, tienes un punto ciego gigante en tu arquitectura cloud.

Compartir

  🐦 Twitter/X
  💼 LinkedIn

¿Te fue útil?

Mando contenido así cuando tengo algo que vale la pena.

    Suscribirse





    ← Anterior
    Cómo iniciar en AWS desde cero


    Siguiente →
    Mapa de Ciberseguridad en AWS








byron.lainez
© 2026 · Guatemala 🇬🇹

Top comments (0)