v2.4 · open core · Linux

Detección de intrusiones en tiempo real, sin la complejidad de un SIEM

Q: ¿Qué diferencia a PULPO de Snort, Suricata o Wazuh?

Snort y Suricata inspeccionan paquetes de red; PULPO trabaja sobre logs del sistema, donde viven los brute-force, escaladas de privilegios y accesos anómalos. Frente a Wazuh, PULPO es un único binario sin agentes pesados ni Elastic que mantener: instalado y detectando en minutos, no en días.

Q: ¿Funciona sin conexión a internet?

Sí. Detección, correlación, respuesta y dashboard funcionan completamente offline. Solo las integraciones opcionales (threat intel, Slack, Telegram) requieren salida a internet, y siempre las configuras tú.

Q: ¿Qué sistemas operativos soporta?

Linux: Debian/Ubuntu, RHEL/Rocky/Alma y Arch, en x86-64 y ARM64. Se distribuye como AppImage, paquete .deb/.rpm e imagen Docker. La respuesta automática usa iptables/nftables.

Q: ¿Puedo escribir mis propias reglas?

Sí, en todos los planes — incluido Community. Las reglas son ficheros YAML con patrón (regex), umbral, ventana temporal, severidad y acción. Se recargan en caliente sin reiniciar el servicio.

Q: ¿Cómo se cuenta un «host»?

Un host es cualquier máquina (física, VM o contenedor persistente) cuyos logs analiza PULPO. Los contenedores efímeros del mismo nodo no cuentan aparte. La licencia se ajusta mes a mes si tu número de hosts cambia.

Q: ¿Hay prueba gratuita del plan Pro?

Sí: 14 días con todas las funciones Pro, sin tarjeta de crédito. Al terminar, puedes pasar a pago o seguir en Community sin perder tus datos ni tu configuración.

PULPO analiza tus logs en streaming, aplica reglas de detección, correlaciona eventos por IP y sesión, y responde automáticamente — todo desde un dashboard en vivo, dentro de tu propia red.

Empezar gratis

$ curl -sSL get.pulpo.sh | bash — desplegado en < 5 min

Dashboard de PULPO en vivo: pipeline de detección, resumen de actividad, análisis de severidad, top reglas y eventos en tiempo real — Dashboard real de PULPO — pulsa para ampliar

14reglas de detección preconfiguradas

<50mslatencia de detección

ATT&CKmapeo MITRE en cada alerta

100%on-premise — tus datos no salen de tu red

Características

Todo lo que necesita un SOC pequeño. Nada de lo que no.

Un único binario que ingiere, detecta, correlaciona y responde. Sin clústeres que mantener ni licencias por volumen de datos.

Análisis de logs en streaming

Ingesta continua de syslog, auth.log, journald y ficheros arbitrarios. Cada línea se evalúa en el momento en que se escribe.

Motor de reglas YAML

14 reglas listas para usar y un DSL en YAML para escribir las tuyas: regex, umbrales, ventanas temporales y severidad.

Correlación inteligente

Agrupa eventos por IP, sesión y ventana temporal para distinguir un ataque real de ruido: 50 logins fallidos no son 50 alertas.

Respuesta automática

Bloqueo inmediato del origen vía iptables con expiración configurable, listas blancas y modo solo-detección (IDS).

Dashboard en tiempo real

Alertas, gráficos y estado del sistema empujados por WebSocket al navegador. Sin refrescar, sin esperar al cron.

API REST + SQLite

Consulta alertas y métricas desde tus herramientas con una API documentada. Persistencia embebida en SQLite, cero dependencias.

Cómo funciona

Del log a la respuesta en cinco etapas

Un pipeline lineal y auditable: cada evento puede rastrearse de extremo a extremo.

Ingesta

Logs en streaming desde syslog, journald y ficheros

Motor de Reglas

Evaluación de cada línea contra reglas YAML

Correlación

Agrupación por IP, sesión y ventana temporal

Respuesta

Bloqueo automático vía iptables o modo IDS

Alertas

Dashboard, Slack, Telegram, email y API

Precios

Precio por host. Sin sorpresas por volumen de datos.

Empieza gratis con el core open source y escala cuando tu red lo haga.

Mensual Anual –20%

Community

Estudiantes, homelab, 1 host

0€· open source

licencia MIT, para siempre

IDS/IPS core completo
14 reglas de detección preconfiguradas
Dashboard local en tiempo real
Reglas YAML personalizadas
Soporte de la comunidad (GitHub)

Más popular

Pro

Pymes y equipos pequeños

19€/ host / mes

facturación mensual, cancela cuando quieras

Todo lo de Community, más:
Monitorización multi-host centralizada
Threat intel: AbuseIPDB y VirusTotal
Notificaciones Slack, Telegram y email
API REST con autenticación
Retención de eventos 90 días
Soporte por email < 24 h

Enterprise

SOC y grandes organizaciones

A medida

contrato anual · facturación por volumen

Todo lo de Pro, más:
Hosts ilimitados
Correlación avanzada multi-fuente
Integración SIEM: Splunk y Elastic
SSO / LDAP y reportes PDF
SLA 24/7 y despliegue asistido
Gestor de cuenta dedicado

Comparativa detallada

Característica	Community	Pro	Enterprise
Detección y respuesta
Motor IDS/IPS en streaming	✓	✓	✓
Reglas YAML personalizadas	✓	✓	✓
Bloqueo automático (iptables)	✓	✓	✓
Correlación IP / sesión / tiempo	✓	✓	✓
Correlación avanzada multi-fuente	—	—	✓
Hosts monitorizados	1	por licencia	ilimitados
Integraciones
Threat intel (AbuseIPDB / VirusTotal)	—	✓	✓
Slack / Telegram / email	—	✓	✓
API REST autenticada	—	✓	✓
SIEM (Splunk / Elastic)	—	—	✓
SSO / LDAP	—	—	✓
Datos y soporte
Retención de eventos	7 días	90 días	a medida
Reportes PDF programados	—	—	✓
Soporte	comunidad	email < 24 h	SLA 24/7
Despliegue on-prem asistido	—	—	✓

Confianza

Hecho para gente que no se fía de nadie. Con razón.

Si tu trabajo es proteger una red, no deberías tener que confiar a ciegas en tus herramientas.

100% on-premise

Tus logs nunca salen de tu infraestructura. PULPO funciona aislado de internet, sin nube intermedia ni dependencias externas.

Código auditable, open core

El motor de detección es open source bajo licencia MIT. Audita cada línea antes de darle acceso a tus logs.

Sin telemetría oculta

Cero llamadas a casa. Las únicas conexiones salientes son las que tú configuras: threat intel y notificaciones.

auditoría de red · soc-01

$ netstat -tupn | grep pulpo
tcp  0.0.0.0:8080   LISTEN   pulpo-dashboard   # solo escucha en local
tcp  0.0.0.0:8443   LISTEN   pulpo-api         # API REST, tu red
✓ 0 conexiones salientes no configuradas

FAQ

Preguntas frecuentes

¿Qué diferencia a PULPO de Snort, Suricata o Wazuh?

Snort y Suricata inspeccionan paquetes de red; PULPO trabaja sobre logs del sistema, donde viven los brute-force, escaladas de privilegios y accesos anómalos. Frente a Wazuh, PULPO es un único binario sin agentes pesados ni Elastic que mantener: instalado y detectando en minutos, no en días.

¿Funciona sin conexión a internet?

Sí. Detección, correlación, respuesta y dashboard funcionan completamente offline. Solo las integraciones opcionales (threat intel, Slack, Telegram) requieren salida a internet, y siempre las configuras tú.

¿Qué sistemas operativos soporta?

Linux: Debian/Ubuntu, RHEL/Rocky/Alma y Arch, en x86-64 y ARM64. Se distribuye como AppImage, paquete .deb/.rpm e imagen Docker. La respuesta automática usa iptables/nftables.

¿Puedo escribir mis propias reglas?

Sí, en todos los planes — incluido Community. Las reglas son ficheros YAML con patrón (regex), umbral, ventana temporal, severidad y acción. Se recargan en caliente sin reiniciar el servicio.

¿Cómo se cuenta un «host»?

Un host es cualquier máquina (física, VM o contenedor persistente) cuyos logs analiza PULPO. Los contenedores efímeros del mismo nodo no cuentan aparte. La licencia se ajusta mes a mes si tu número de hosts cambia.

¿Hay prueba gratuita del plan Pro?

Sí: 14 días con todas las funciones Pro, sin tarjeta de crédito. Al terminar, puedes pasar a pago o seguir en Community sin perder tus datos ni tu configuración.

Despliega PULPO en tu red en menos de 5 minutos

Ocho tentáculos vigilando tu red. Cero puntos ciegos.

Leer la documentación

$ curl -sSL get.pulpo.sh | bash