aws seguridad

GuardDuty vs Security Hub: ¿Cuál es la diferencia y cómo usarlos juntos?

GuardDuty es tu sistema de alarmas inteligente; Security Hub es tu centro de monitoreo central. Entiende la diferencia y por qué activarlos por separado es un error común.

📅 03 abr 2026 ⏱ 8 min de lectura Byron Lainez

Si alguna vez has entrado a la consola de AWS buscando "cómo asegurar mi cuenta", te habrás topado con estos dos servicios. A primera vista parecen hacer lo mismo: "ayudarte con la seguridad". Pero en la práctica, cumplen roles totalmente distintos y complementarios.

GuardDuty: El detective que nunca duerme

Piensa en GuardDuty como un sistema de detección de intrusiones (IDS) basado en logs. No mira si tu bucket S3 es público; lo que mira es si alguien desde una IP sospechosa está intentando acceder a él o si tus instancias EC2 están minando criptomonedas.

Utiliza Machine Learning y feeds de inteligencia de amenazas para analizar:

⚠️ Importante
GuardDuty es reactivo: te avisa cuando algo malo ya está pasando o está por pasar.

Security Hub: El auditor y panel de control

Security Hub es un servicio de CSPM (Cloud Security Posture Management). Su trabajo principal es medir tu postura de seguridad frente a estándares como el AWS Foundational Security Best Practices o CIS Foundations Benchmark.

Te dirá cosas como: "Tienes el usuario root sin MFA" o "Tus bases de datos no están cifradas". Pero lo más potente de Security Hub no es solo su auditoría, sino su capacidad de ser el agregador central.

La diferencia clave

Característica Amazon GuardDuty AWS Security Hub
Tipo Detección de Amenazas (Threat Detection) Gestión de Postura (Compliance)
Foco Comportamientos maliciosos actuales. Configuraciones erróneas y mejores prácticas.
Acción Analiza logs en tiempo real. Realiza escaneos periódicos de recursos.
💡 El Combo Perfecto
La mejor configuración es habilitar ambos y configurar Security Hub como el punto único de visibilidad. Security Hub puede importar automáticamente todos los "Findings" de GuardDuty.

Cómo activarlos juntos vía CLI

Si manejas varias regiones, habilitarlos manualmente es una tortura. Aquí te dejo cómo empezar con GuardDuty:

# Habilitar GuardDuty en la región actual
aws guardduty create-detector --enable

Y para Security Hub:

# Habilitar Security Hub
aws securityhub enable-security-hub

Conclusión

No elijas uno. GuardDuty detecta al atacante que está dentro; Security Hub cierra las puertas que dejaste abiertas para que no entre. Si solo usas uno, tienes un punto ciego gigante en tu arquitectura cloud.