Qué es el monitoreo de integridad de archivos (FIM)

El File Integrity Monitoring (FIM) es una técnica de seguridad que establece una fotografía de referencia de tus archivos críticos —su contenido, permisos, propietario y fecha de modificación— y dispara una alerta cada vez que algo cambia sin autorización.

La idea es deceptivamente simple: si nadie debería modificar el archivo httpd.conf de tu servidor web entre el lunes y el viernes, y el miércoles su hash cambia, algo ha pasado. El FIM lo detecta en segundos.

197 días de media que un atacante permanece oculto antes de ser detectado
68% de las brechas implican modificación silenciosa de archivos del sistema
4,5M€ coste medio de una brecha de datos en Europa (IBM Cost of a Data Breach 2024)
<5s tiempo de detección de ChacalWatcher ante un cambio no autorizado

El FIM no es una tecnología nueva: bancos, hospitales y administraciones públicas lo usan desde hace décadas. Lo que ha cambiado en 2025 es que la directiva NIS2 lo hace obligatorio para miles de empresas españolas que antes no estaban en el radar regulatorio.

Cómo funciona: hashes criptográficos en tiempo real

El principio técnico se basa en funciones hash criptográficas. Una función hash toma un archivo de cualquier tamaño y produce una cadena de longitud fija —una huella digital— que cambia completamente si se modifica un solo byte del archivo.

Archivo: config.ini — Estado original (íntegro)
SHA-256: a3f8c2d1e9b4071f6a5c8e3d2b1094f7a6e5d4c3b2a1908f7e6d5c4b3a2910f
↓ Un atacante modifica una línea del archivo ↓
Archivo: config.ini — Estado modificado (ALERTA)
SHA-256: 7d4e2a1b9c8f3e6d5c4b3a2091f8e7d6c5b4a3921f0e8d7c6b5a4930f2e1d0c

ChacalWatcher calcula estos hashes de forma continua sobre las rutas que tú configuras. Cuando detecta una discrepancia, registra el evento con timestamp, ruta completa, tipo de cambio (modificación, creación, eliminación) y envía una alerta inmediata.

Qué monitoriza exactamente

Un buen FIM no monitoriza todo el disco —eso generaría miles de alertas irrelevantes cada día. ChacalWatcher te permite definir con precisión qué rutas son críticas para tu negocio:

⚙️
Archivos de configuración
Configuraciones de servidor web, base de datos, firewall. Cualquier cambio aquí puede abrir puertas traseras.
📂
Directorios de aplicación
Código de tu web, scripts PHP, aplicaciones internas. Detección inmediata de webshells o código inyectado.
📋
Logs del sistema
Los atacantes borran logs para ocultar su actividad. El FIM detecta eliminaciones y truncados sospechosos.
🔐
Archivos de credenciales
Ficheros de contraseñas, certificados SSL, claves SSH. Modificaciones aquí son señal de compromiso activo.
📄
Documentos sensibles
Contratos, datos de clientes, informes financieros. Detecta exfiltración o modificación no autorizada.
🛡️
Binarios del sistema
Ejecutables críticos del sistema operativo. Modificados pueden ser backdoors o rootkits.

Qué amenazas detecta que el antivirus no ve

El antivirus y el FIM son complementarios, no sustitutos. Cada uno ve cosas que el otro ignora. La confusión más común en PYMEs es creer que el antivirus ya lo cubre todo.

Antivirus — qué NO detecta

Malware de día cero sin firma conocida
Modificaciones manuales de un insider con acceso legítimo
Cambios en archivos de configuración (no son malware)
Eliminación o alteración de logs para cubrir rastros
Instalación de herramientas legítimas usadas maliciosamente (living off the land)
Exfiltración gradual de documentos

FIM — qué SÍ detecta

Cualquier cambio en archivos críticos, sea malware o no
Modificaciones por usuarios internos con acceso autorizado
Cambios en configuraciones que abren vulnerabilidades
Eliminación o truncado de archivos de log
Nuevos archivos creados en directorios sensibles
Cambios de permisos que elevan privilegios
⚠️
El ataque insider es el más difícil de detectar. Un empleado con acceso legítimo que modifica archivos de configuración para abrir un acceso trasero no genera ninguna alerta en el antivirus. El FIM lo detecta porque el cambio ocurre fuera del horario de mantenimiento o en rutas que no deberían modificarse.

El problema del dwell time: intrusos que pasan desapercibidos

El dwell time es el tiempo que un atacante permanece dentro de una red sin ser detectado. La media global en 2024 es de 197 días. Casi siete meses.

Durante ese tiempo, el atacante no suele actuar de forma ruidosa. Estudia la red, escala privilegios gradualmente, establece persistencia y espera el momento oportuno. Cada una de esas acciones deja rastros en el sistema de archivos.

D1
Acceso inicial
Phishing, credencial robada o vulnerabilidad explotada. El atacante entra. Crea un archivo en un directorio temporal para establecer persistencia.
D7
Reconocimiento interno
Explora la red, identifica sistemas de valor. Modifica archivos de configuración para facilitar el movimiento lateral.
D30
Escalada de privilegios
Modifica archivos de permisos o instala herramientas adicionales. Altera logs para borrar su actividad de las últimas semanas.
D90
Exfiltración o ataque final
Extrae datos, despliega ransomware o vende el acceso. En este punto el daño ya está hecho.
FIM
Con ChacalWatcher: detección en D1
El archivo de persistencia creado el primer día genera una alerta inmediata. El atacante no llega al día 7.
Cada fase del ataque deja huella en el sistema de archivos. La creación de archivos de persistencia, la modificación de configuraciones, el borrado de logs: todo es detectable con FIM. La clave es tenerlo activo desde el principio, no después del incidente.

FIM y cumplimiento normativo: ENS, NIS2 y PCI DSS

El monitoreo de integridad ya no es opcional para muchas empresas españolas. Tres marcos regulatorios clave lo exigen explícitamente:

Esquema Nacional de Seguridad (ENS)

El ENS, obligatorio para empresas que prestan servicios a la Administración Pública española, exige en su medida MP.SI.3 el monitoreo continuo de la integridad de los archivos del sistema para categorías media y alta. Operar sin FIM implica no superar la auditoría ENS.

Directiva NIS2 (2024)

La NIS2, transpuesta en España en 2024, amplía el perímetro de entidades obligadas a miles de PYMEs en sectores como salud, energía, transporte, finanzas, infraestructura digital y administración pública. Su artículo 21 exige medidas técnicas de detección de incidentes que incluyen expresamente la monitorización de la integridad de sistemas. El incumplimiento puede suponer multas de hasta 10 millones de euros o el 2% de la facturación global.

PCI DSS v4.0

Si tu empresa procesa, almacena o transmite datos de tarjetas de crédito, el estándar PCI DSS en su versión 4.0 exige en el Requerimiento 11.5 el despliegue de mecanismos de detección de cambios en archivos críticos con generación de alertas ante modificaciones no autorizadas.

💡
ChacalWatcher genera registros de auditoría con timestamp, ruta, tipo de cambio y hash anterior/posterior que pueden exportarse para acreditar el cumplimiento en auditorías ENS, NIS2 y PCI DSS.

ChacalWatcher: FIM diseñado para PYMEs españolas

Las soluciones de FIM empresariales como Tripwire o OSSEC están pensadas para equipos de seguridad con recursos dedicados. Requieren semanas de configuración, servidores adicionales y conocimientos avanzados de administración de sistemas.

ChacalWatcher parte de una premisa diferente: una PYME española no tiene un equipo de ciberseguridad interno. Necesita una herramienta que funcione desde el primer día, sin complejidad innecesaria, y que avise cuando algo importante cambia.

Instalación en 5 minutos
Descarga, instala y activa tu licencia. La línea base de hashes se genera automáticamente. Sin configuración de servidores.
🖥️
Panel web centralizado
Consulta todos los eventos desde watcher.chacalsecurity.com. Historial completo con filtros por fecha, ruta y tipo de cambio.
🔔
Alertas en tiempo real
Notificación inmediata ante cualquier cambio no autorizado. Menos de 5 segundos desde el evento hasta la alerta.
📊
Registros de auditoría
Logs exportables con toda la información necesaria para auditorías ENS, NIS2 y PCI DSS.
🗂️
Rutas personalizables
Tú decides qué monitorizar. Añade y elimina rutas desde la aplicación sin reiniciar ni reconfigurar.
🔒
SHA-256 + licencia por dispositivo
Hashes SHA-256 para máxima fiabilidad. Activación online con fallback offline si el servidor no responde.
⚠️
ChacalWatcher es una aplicación de escritorio Windows. Monitoriza los archivos locales del equipo donde está instalado. Para proteger múltiples equipos necesitas una licencia por dispositivo (plan Empresa o Corporativa).

Planes y precios

ChacalWatcher se adquiere con un único pago. Sin suscripciones ni costes recurrentes ocultos. Actualizaciones incluidas durante el primer año.

Individual
29€
pago único
1 dispositivo
Empezar →
Empresa ⭐
89€
pago único
5 dispositivos
Empezar →
Corporativa
199€
pago único
20 dispositivos
Empezar →

Preguntas frecuentes

¿Qué es un monitor de integridad de archivos?

Un monitor de integridad de archivos (FIM) es una herramienta que calcula y almacena una huella digital (hash) de cada archivo crítico. Cuando un archivo es modificado, creado o eliminado, el sistema detecta el cambio comparando el hash actual con el original y emite una alerta inmediata.

¿Qué diferencia hay entre un antivirus y un monitor de integridad?

El antivirus busca malware conocido analizando el contenido de los archivos. El FIM no analiza el contenido sino el estado: detecta cualquier cambio, sea malware o no. Son complementarios: el antivirus bloquea amenazas conocidas, el FIM detecta todo lo demás.

¿Es obligatorio el monitoreo de integridad por normativa?

Sí, en varios marcos. El ENS lo exige para sistemas de nivel medio y alto. La NIS2 lo requiere para miles de empresas en sectores críticos desde 2024. El PCI DSS lo exige en su requerimiento 11.5 para empresas que procesan pagos con tarjeta.

¿Cuánto tarda en configurarse ChacalWatcher?

Menos de 5 minutos. La instalación es un ejecutable estándar de Windows. La línea base de hashes se genera automáticamente al activar la licencia. No requiere servidores adicionales ni conocimientos de administración de sistemas.

¿ChacalWatcher funciona sin conexión a internet?

El monitoreo local funciona siempre, con o sin conexión. La sincronización de eventos con el panel web y las alertas requieren conexión. La activación de licencia tiene un modo fallback offline para entornos sin acceso a internet.

Empieza a monitorizar tu empresa hoy

Descarga ChacalWatcher, instala en menos de 5 minutos y recibe alertas en tiempo real ante cualquier cambio no autorizado en tus archivos críticos.

Ver ChacalWatcher → Calcular mi riesgo