Talos es una nueva herramienta de auditoría de bastionado para servidores Linux y Windows que busca resolver un problema muy habitual en administración de sistemas: saber, de forma rápida y local, qué puntos de seguridad básica están mal configurados y qué conviene corregir antes de que el servidor quede expuesto.
El proyecto, publicado en GitHub por Shotafry bajo el nombre Talos by Argos, está escrito en Go y se distribuye como un único binario, sin dependencias, sin servidor central y sin necesidad de crear cuentas. Su enfoque es deliberadamente conservador: audita, puntúa y genera recomendaciones, pero no modifica el sistema. Esa decisión reduce riesgos en entornos donde una remediación automática mal aplicada puede provocar una caída de servicio.
Un auditor rápido, local y solo lectura
Talos se presenta como un motor de auditoría de hardening capaz de revisar la postura de seguridad de un equipo y devolver una nota de 0 a 100. La puntuación se calcula con un sistema ponderado en el que los controles “no aplica” no penalizan, y el resultado se organiza por bandas de riesgo: rojo para puntuaciones inferiores a 50, amarillo entre 50 y 79, y verde a partir de 80.
La herramienta recoge el estado del host, evalúa las comprobaciones definidas en su catálogo y entrega informes en consola, JSON o HTML interactivo. Todo ocurre en local y, según la documentación del proyecto, nada sale a la red. Esto resulta especialmente relevante para equipos de sistemas que quieren revisar servidores sensibles sin enviar inventario, configuración o resultados a servicios externos.
El diseño también evita la ejecución arbitraria de comandos. Talos trabaja con una lista blanca de lecturas, como parámetros del kernel, ficheros de configuración, registro de Windows, cmdlets o versiones de paquetes. La remediación se ofrece como texto explicativo, no como una acción automática.
Esa arquitectura sitúa la herramienta más cerca de un auditor de postura que de un producto de respuesta o parcheo. Puede ayudar a encontrar problemas, priorizarlos y documentar el estado de un servidor, pero la decisión de corregir sigue en manos del administrador.
141 comprobaciones en fichas YAML
Uno de los aspectos más interesantes de Talos es que los checks son datos. El catálogo actual incluye 141 comprobaciones, divididas entre 105 para Linux y 36 para Windows, escritas en fichas YAML. Cada ficha define qué debe leerse, qué se considera correcto, su severidad, peso, criticidad, controles ENS y recomendación de remediación.
En Linux, las comprobaciones se agrupan en 12 categorías: SSH, kernel, firewall, usuarios, puertos, actualizaciones, MAC con SELinux o AppArmor, auditoría, sistema de ficheros, servicios, tiempo y vulnerabilidades. En Windows, cubre firewall, SMB, credenciales, Defender, sistema, usuarios, RDP, servicios, auditoría, resolución de nombres y TLS.
La ventaja de este enfoque es que ampliar el catálogo no exige tocar el motor principal. Añadir una comprobación significa crear una nueva ficha. Para un proyecto de este tipo, esa separación entre motor y datos facilita el mantenimiento, la revisión por terceros y la evolución progresiva del catálogo.
Talos también incorpora perfiles de ejecución. El perfil core, activado por defecto, ejecuta lo esencial de forma rápida. El perfil full lanza el catálogo completo, incluido el paquete de vulnerabilidades por versión en Linux. También existen opciones para limitar categorías, exportar resultados a fichero y utilizar el código de salida en scripts o pipelines de CI.
Vulnerabilidades críticas por versión
La parte de vulnerabilidades es una de las más ambiciosas del proyecto. Talos incluye un repertorio propio de reglas para detectar vulnerabilidades críticas en Linux comparando la versión instalada de determinados paquetes con la versión corregida por distribución y release.
La documentación menciona detecciones para casos como PwnKit, Looney Tunables, regreSSHion, sudoedit, polkit o glibc iconv, entre otros. El autor indica que estas reglas han sido verificadas manualmente contra los security trackers de Debian y Ubuntu, con el objetivo de evitar falsos positivos derivados de backports.
Este punto es importante porque en distribuciones Linux empresariales o estables no basta con comparar números de versión “aguas arriba”. Debian, Ubuntu, RHEL y otras distribuciones aplican parches de seguridad a versiones antiguas manteniendo el número base del paquete, lo que puede confundir a herramientas más simples. Una detección útil debe tener en cuenta la versión corregida para cada distribución y release.
Aun así, este tipo de catálogo necesitará mantenimiento constante. Las vulnerabilidades críticas cambian, las versiones corregidas se actualizan y el soporte por distribución requiere precisión. Ahí la colaboración de la comunidad puede marcar la diferencia si el proyecto consigue atraer revisiones, nuevas reglas y pruebas en más sistemas.
Informes HTML y uso práctico en sistemas
Talos puede generar informes visuales en HTML con filtros, buscador y tema claro u oscuro. También permite imprimir esos informes a PDF. Esta capa visual puede ser útil para documentar auditorías internas, entregar evidencias a responsables de seguridad o comparar el estado de varios sistemas antes y después de aplicar correcciones.
En el uso diario, un administrador podría ejecutar Talos tras desplegar un servidor, antes de pasar una máquina a producción, después de una actualización importante o como revisión periódica. También puede integrarse en procesos de validación más amplios, aunque su enfoque local y de solo lectura lo hace especialmente cómodo para auditorías puntuales.
No sustituye a herramientas como EDR, gestión de vulnerabilidades, SIEM, escáneres de red, configuración centralizada o cumplimiento normativo completo. Tampoco reemplaza a soluciones veteranas como Lynis en todos los escenarios. Su interés está en ofrecer una alternativa rápida, portable y comprensible, con un catálogo declarativo y salida lista para leer.
La licencia, según el repositorio, permite uso sin coste, pero prohíbe la comercialización y la copia o redistribución del código sin permiso. Es un matiz relevante para empresas o integradores que quieran incorporarlo a procesos propios.
Talos llega en un momento en el que muchos equipos necesitan herramientas sencillas para medir la postura de seguridad de servidores sin montar plataformas complejas. Su propuesta es directa: descargar un binario, ejecutarlo, revisar la puntuación y corregir lo que de verdad importa. En administración de sistemas, esa simplicidad puede ser una virtud siempre que se mantenga el rigor del catálogo y la calidad de las comprobaciones.
Preguntas frecuentes
¿Qué es Talos?
Talos es una herramienta de auditoría de hardening para Linux y Windows. Revisa la configuración del sistema, calcula una puntuación de seguridad y propone remediaciones, pero no modifica el equipo.
¿Cómo se diferencia de una herramienta de remediación automática?
Talos trabaja en modo solo lectura. Detecta problemas y explica cómo corregirlos, pero no aplica cambios automáticamente.
¿Qué sistemas soporta?
El proyecto indica soporte para Linux, con cobertura en Debian, Ubuntu, RHEL y Alpine, y para Windows 10, Windows 11 y Windows Server en modo auditoría.

