Herramientas DFIR Open Source: Guia Completa 2026

El ecosistema de herramientas DFIR open source

El campo de DFIR tiene un ecosistema de herramientas open source excepcionalmente maduro. Muchos profesionales prefieren las herramientas open source sobre las comerciales porque son transparentes (puedes verificar que hacen exactamente), extensibles, y su uso es defendible en tribunales ya que cualquier perito puede reproducir el analisis con las mismas herramientas.

Este articulo cataloga las herramientas open source mas relevantes, organizadas por funcion, con sus casos de uso, fortalezas y limitaciones.

Adquisicion de imagenes forenses

FTK Imager (gratuita, no open source)

FTK Imager de AccessData (ahora Exterro) es la herramienta de adquisicion mas utilizada en DFIR. Aunque no es open source, es gratuita y ampliamente aceptada en entornos judiciales.

Soporta adquisicion de discos fisicos y logicos, particiones individuales, y memoria RAM. Los formatos de salida incluyen E01 (Expert Witness), AFF, y RAW (dd). Calcula hashes MD5 y SHA1 durante la adquisicion para verificar la integridad.

Tambien permite montar imagenes como unidades de solo lectura para explorar su contenido, y exportar ficheros individuales desde imagenes.

dc3dd y dcfldd

dc3dd y dcfldd son versiones mejoradas de dd diseñadas para forense. Anadeen hash on-the-fly, logging, y verificacion de la copia.

# Adquisicion con dc3dd
dc3dd if=/dev/sda of=evidencia.dd hash=sha256 log=adquisicion.log

# Adquisicion con dcfldd
dcfldd if=/dev/sda of=evidencia.dd hash=sha256 hashlog=hashes.txt

Arsenal Image Mounter

Arsenal Image Mounter permite montar imagenes forenses (E01, RAW, VMDK, VHD) como discos de solo lectura en Windows. A diferencia de FTK Imager, monta la imagen como un disco real con letra de unidad, permitiendo usar herramientas que requieren acceso a una letra de unidad (como las herramientas de Eric Zimmerman).

Analisis de disco y sistema de ficheros

Autopsy

Autopsy es la plataforma forense open source mas completa. Desarrollada por Basis Technology, incluye una interfaz grafica que facilita el analisis de imagenes de disco con multiples modulos:

Analisis de timeline: genera una timeline de la actividad del sistema a partir de los metadatos del sistema de ficheros.

Keyword search: busqueda por palabras clave en el contenido de todos los ficheros, incluyendo espacio libre y ficheros eliminados.

Hash filtering: compara los hashes de los ficheros contra bases de datos de hashes conocidos (NSRL para ficheros legítimos, bases de datos de malware para ficheros maliciosos).

Extraccion de artefactos web: historial de navegacion, cookies, descargas y cache de Chrome, Firefox, Edge e Internet Explorer.

Analisis de registro de Windows: parsea las hives del registro extrayendo los artefactos forenses relevantes.

Recuperacion de ficheros eliminados: carving de ficheros basado en firmas de cabecera.

Comunicaciones: extraccion de emails, mensajes SMS y contactos de bases de datos de aplicaciones.

Autopsy soporta imagenes E01, RAW, VMDK, VHD y otros formatos. Es extensible mediante modulos Python y Java, y tiene un sistema de reporting que genera informes en HTML.

# Autopsy se instala como aplicacion GUI
# Disponible para Windows, Linux y macOS
# https://www.autopsy.com/download/

The Sleuth Kit (TSK)

The Sleuth Kit es la libreria de linea de comandos subyacente a Autopsy. Proporciona herramientas individuales para cada tipo de analisis:

fls: lista ficheros y directorios (incluyendo eliminados) de una imagen.

icat: extrae el contenido de un fichero por numero de inodo.

mmls: muestra la tabla de particiones.

fsstat: muestra las estadisticas del sistema de ficheros.

tsk_recover: recupera ficheros eliminados.

# Listar ficheros incluyendo eliminados
fls -r -p evidencia.dd

# Extraer un fichero por numero de inodo
icat evidencia.dd 12345 > fichero_recuperado.dat

# Mostrar tabla de particiones
mmls evidencia.dd

Triage rapido: KAPE

KAPE (Kroll Artifact Parser and Extractor) es una herramienta de triage que recolecta artefactos forenses especificos de un sistema vivo o de una imagen montada. A diferencia de Autopsy que procesa la imagen completa, KAPE extrae solo lo relevante, lo que lo hace mucho mas rapido.

KAPE funciona con dos conceptos:

Targets: definen que ficheros recolectar (MFT, event logs, prefetch, registry hives, browser data, etc.). Hay cientos de targets predefinidos.

Modules: definen que herramientas ejecutar sobre los ficheros recolectados (MFTECmd, PECmd, EvtxECmd, etc.).

# Recolectar artefactos de un sistema Windows vivo
kape.exe --tsource C: --tdest D:\Triage --target KapeTriage

# Recolectar y procesar con modulos
kape.exe --tsource C: --tdest D:\Triage --target KapeTriage \
  --mdest D:\Processed --module !EZParser

KAPE es la herramienta ideal para el primer paso de una investigacion: recolectar los artefactos criticos en minutos, analizarlos para obtener una vision general, y decidir si se necesita un analisis mas profundo con Autopsy.

Herramientas de Eric Zimmerman

Eric Zimmerman (SANS instructor y forense digital) ha desarrollado un conjunto de herramientas gratuitas que se han convertido en estandar de facto para el analisis de artefactos de Windows. Todas son de linea de comandos con opcion de salida CSV para procesamiento posterior.

MFTECmd

Parsea la Master File Table de NTFS, extrayendo los 8 timestamps (SI y FN) de cada entrada.

MFTECmd.exe -f "$MFT" --csv output --csvf mft.csv

PECmd

Parsea ficheros Prefetch, extrayendo timestamps de ejecucion, contadores, y lista de ficheros accedidos.

PECmd.exe -d "C:\Windows\Prefetch" --csv output --csvf prefetch.csv

EvtxECmd

Parsea event logs de Windows (EVTX), extrayendo eventos con sus datos en formato CSV o JSON.

EvtxECmd.exe -d "C:\Windows\System32\winevt\Logs" --csv output --csvf events.csv

AmcacheParser

Parsea la hive AmCache.hve, extrayendo evidencia de ejecucion de programas con hashes SHA1.

AmcacheParser.exe -f "Amcache.hve" --csv output --csvf amcache.csv

AppCompatCacheParser

Parsea ShimCache/AppCompatCache de la hive SYSTEM.

AppCompatCacheParser.exe -f SYSTEM --csv output --csvf shimcache.csv

Registry Explorer y RECmd

Registry Explorer es una GUI para explorar hives de registro. RECmd es su version de linea de comandos con batch processing.

RECmd.exe -d "C:\evidence\registry" --csv output --csvf registry.csv --bn BatchExamples\AllRegExecutablesQuery.reb

ShellBags Explorer (SBECmd)

Analiza ShellBags para reconstruir la navegacion por directorios del usuario.

Timeline Explorer

Visor de CSV de alto rendimiento disenado para trabajar con las salidas de las herramientas anteriores y con super timelines de plaso.

Descarga y actualizacion

Todas las herramientas de Eric Zimmerman se descargan y actualizan con un unico script:

# Descargar todas las herramientas
# https://ericzimmerman.github.io/#!index.md
# Get-ZimmermanTools.ps1 (PowerShell)

Analisis de memoria RAM

Volatility 3

Volatility es el framework de referencia para analisis de memoria RAM. Volatility 3 (la version actual) soporta Windows, Linux y macOS.

# Listar procesos
vol -f memory.raw windows.pslist

# Listar conexiones de red
vol -f memory.raw windows.netscan

# Detectar inyeccion de codigo
vol -f memory.raw windows.malfind

# Listar DLLs cargadas
vol -f memory.raw windows.dlllist

# Extraer un proceso como ejecutable
vol -f memory.raw windows.dumpfiles --pid 1234

# Listar servicios
vol -f memory.raw windows.svcscan

# Buscar strings en un proceso
vol -f memory.raw windows.strings --pid 1234

Volatility es especialmente valioso para detectar malware que reside solo en memoria (fileless malware), procesos inyectados, rootkits que ocultan procesos del sistema operativo, y credenciales en cache.

Captura de memoria

DumpIt: herramienta de captura de memoria para Windows. Se ejecuta con doble click y genera un volcado RAW de la memoria.

WinPMem: herramienta de captura de memoria de codigo abierto para Windows.

LiME (Linux Memory Extractor): modulo del kernel para capturar memoria en Linux.

# Captura de memoria en Linux con LiME
insmod lime.ko "path=/evidence/memory.lime format=lime"

Timeline analysis

plaso (log2timeline)

Plaso es la herramienta de referencia para crear super timelines, cubierta en detalle en el articulo 4 de esta serie. Procesa multiples tipos de artefactos y genera una timeline unificada.

Timesketch

Timesketch (Google) es una plataforma web para analisis colaborativo de timelines. Permite importar timelines de plaso, buscar eventos, crear anotaciones, compartir hallazgos con el equipo y generar graficas temporales.

Endpoint monitoring y threat hunting

Velociraptor

Velociraptor es una plataforma open source de endpoint monitoring y DFIR que permite:

Recolectar artefactos forenses de multiples endpoints simultaneamente.

Ejecutar consultas en tiempo real usando VQL (Velociraptor Query Language).

Realizar threat hunting en toda la organizacion.

Monitorizar endpoints de forma continua con event queries.

Automatizar la respuesta con notebooks y flujos de trabajo.

# VQL: buscar ficheros ejecutables en directorios temporales
SELECT * FROM glob(globs="C:/Users/*/AppData/Local/Temp/*.exe")

# VQL: buscar procesos con conexiones a IPs externas
SELECT * FROM connections()
WHERE RemoteAddr NOT =~ "^(10\.|172\.(1[6-9]|2|3[0-1])\.|192\.168\.)"

Velociraptor se despliega como un servidor con agentes en los endpoints. En un incidente, permite recolectar artefactos de cientos de endpoints en minutos, algo que manualmente llevaria dias.

YARA

YARA es el lenguaje de reglas de facto para identificar y clasificar malware. Las reglas YARA describen patrones binarios, strings y condiciones que identifican ficheros maliciosos.

rule Cobalt_Strike_Beacon
(
    meta:
        description = "Detects Cobalt Strike beacon"
        author = "MalwareIntel"

    strings:
        $s1 = "beacon.dll" ascii
        $s2 = "ReflectiveLoader" ascii
        $s3 = "%02d/%02d/%02d %02d:%02d:%02d" ascii

    condition:
        uint16(0) == 0x5A4D and 2 of ($s*)
)

YARA puede usarse con Autopsy, Velociraptor, plaso y como herramienta standalone para escanear ficheros y directorios.

Analisis de red

Wireshark y tshark

Wireshark (GUI) y tshark (linea de comandos) para analisis de capturas PCAP, cubiertos en detalle en el articulo 9 de esta serie.

Zeek

Zeek para generacion de logs estructurados a partir de trafico de red.

NetworkMiner

NetworkMiner para extraccion de ficheros, imagenes y credenciales del trafico de red. La version gratuita soporta la mayoria de funciones de extraccion.

Suricata

Suricata como motor IDS para procesar PCAPs offline y detectar trafico malicioso usando reglas de la comunidad (Emerging Threats).

Analisis de malware

Capa

Capa (Mandiant) identifica automaticamente las capacidades de un ejecutable analizando sus strings, imports y llamadas API. Mapea las capacidades a MITRE ATT&CK.

capa malware_sample.exe
# Output:
# ATT&CK Tactic: Defense Evasion
# ATT&CK Technique: T1055 Process Injection
# Capability: inject code via CreateRemoteThread

FLOSS

FLOSS (FireEye Labs Obfuscated String Solver) extrae strings ofuscadas de ejecutables, decodificando XOR, Base64 y otras tecnicas de ofuscacion comunes.

floss malware_sample.exe

CyberChef

CyberChef (GCHQ) es una herramienta web para decodificacion, conversion y analisis de datos. Especialmente util para decodificar payloads ofuscados en Base64, XOR, hex y otros formatos.

Flujo de trabajo recomendado

Un flujo de trabajo practico para una investigacion DFIR tipica:

Triage rapido con KAPE: recolectar artefactos criticos del sistema comprometido en 15-30 minutos.

Parsear artefactos con herramientas de Eric Zimmerman: MFTECmd, PECmd, EvtxECmd, AmcacheParser, ShellBags Explorer, generando CSVs.

Revisar los CSVs con Timeline Explorer: identificar los eventos clave y formular las primeras hipotesis.

Crear super timeline con plaso: si el triage inicial revela actividad sospechosa que requiere contexto temporal completo.

Analizar memoria con Volatility: si se capturo un volcado de memoria, buscar procesos maliciosos, conexiones de red y artefactos volatiles.

Analizar red con Wireshark/Zeek: si hay capturas de trafico disponibles.

Threat hunting con Velociraptor: si se necesita verificar si otros endpoints estan comprometidos.

Identificar malware con YARA y capa: clasificar los ejecutables maliciosos encontrados.

Conclusion

El ecosistema de herramientas DFIR open source es lo suficientemente maduro como para cubrir la totalidad de una investigacion forense sin herramientas comerciales. La clave esta en conocer las fortalezas de cada herramienta y combinarlas en un flujo de trabajo eficiente.

Las herramientas de Eric Zimmerman para parsear artefactos individuales, KAPE para triage rapido, Autopsy para analisis profundo, plaso para timelines, Volatility para memoria, Velociraptor para endpoint hunting, y Wireshark/Zeek para red forman un kit completo que cubre los escenarios mas comunes en investigaciones DFIR.

La inversion no es en licencias de software, sino en el conocimiento del analista. Saber que herramienta usar, cuando usarla y como interpretar sus resultados es lo que diferencia una investigacion competente de una superficial.