KAPE
Kroll Artifact Parser and Extractor (KAPE) es una herramienta forense gratuita para la recolección y procesamiento rápido de artefactos en sistemas Windows. Permite extraer evidencia crítica en minutos, siendo esencial en respuesta a incidentes donde el tiempo es crucial.
¿Qué es KAPE?
KAPE (Kroll Artifact Parser and Extractor) es una herramienta de triage forense desarrollada por Eric Zimmerman y mantenida por Kroll. Permite recolectar y procesar artefactos forenses de sistemas Windows de forma rápida y eficiente.
A diferencia de crear una imagen forense completa (que puede llevar horas), KAPE puede extraer los artefactos más relevantes en minutos, lo que lo hace invaluable en respuesta a incidentes.
Filosofía KAPE
“Recolectar solo lo que necesitas, procesarlo inmediatamente.” KAPE sigue el principio de triage: obtener la información crítica lo más rápido posible para tomar decisiones informadas.
Arquitectura: Targets y Modules
KAPE funciona con dos conceptos fundamentales:
Targets (Recolección)
Los targets definen qué archivos y artefactos recolectar:
| Categoría | Ejemplos de Targets |
|---|---|
| Sistema | $MFT, Registry hives, Event logs |
| Usuario | NTUSER.DAT, Recent files, Jump lists |
| Navegadores | Chrome history, Firefox, Edge |
| Aplicaciones | Office recent, Teams, Outlook |
| Antimalware | Windows Defender, logs AV |
Modules (Procesamiento)
Los modules definen cómo procesar los artefactos recolectados:
| Module | Función |
|---|---|
| EvtxECmd | Parsear logs de eventos Windows |
| MFTECmd | Analizar $MFT |
| RECmd | Extraer información del registro |
| LECmd | Procesar archivos LNK |
| PECmd | Analizar Prefetch |
Casos de Uso Forense
Respuesta a Incidentes de Ransomware
Cuando una empresa sufre ransomware, cada minuto cuenta:
Ejecutar KAPE con targets de eventos y registro
kape.exe --tsource C: --tdest D:\Evidence --target EventLogs,RegistryProcesar inmediatamente
kape.exe --msource D:\Evidence --mdest D:\Processed --module EvtxECmd,RECmdAnalizar timeline para identificar vector de entrada y propagación
Tiempo total: 15-30 minutos vs. 4-8 horas de imagen completa.
Investigación de Insider Threat
Para investigar actividad sospechosa de un empleado:
kape.exe --tsource C: --tdest E:\Case001 \
--target UserActivity,USBDevices,CloudStorage,BrowserHistoryTriage de Múltiples Sistemas
En incidentes que afectan a decenas de equipos, KAPE permite:
- Desplegar en múltiples sistemas simultáneamente
- Recolectar artefactos clave de todos
- Centralizar y procesar en un servidor de análisis
Integración con Velociraptor
KAPE se integra perfectamente con Velociraptor para recolección remota a escala en toda la organización.
Artefactos Clave que Recolecta KAPE
Sistema de Archivos
| Artefacto | Información que Proporciona |
|---|---|
| $MFT | Todos los archivos del sistema, incluidos eliminados |
| $UsnJrnl | Cambios recientes en archivos |
| $LogFile | Transacciones NTFS |
| $I30 | Índices de directorios |
Registro de Windows
| Hive | Información Clave |
|---|---|
| SYSTEM | Configuración de hardware, servicios, timezone |
| SOFTWARE | Programas instalados, políticas |
| SAM | Cuentas de usuario locales |
| SECURITY | Políticas de seguridad |
| NTUSER.DAT | Configuración por usuario, MRUs |
| UsrClass.dat | ShellBags, asociaciones de archivos |
Logs de Eventos
| Log | Eventos Relevantes |
|---|---|
| Security.evtx | Logons, accesos, cambios de privilegios |
| System.evtx | Servicios, drivers, errores del sistema |
| Application.evtx | Errores de aplicaciones |
| PowerShell | Comandos ejecutados |
| TaskScheduler | Tareas programadas |
Uso Básico
Recolección con GUI
KAPE incluye interfaz gráfica (gkape.exe) para seleccionar:
- Disco origen
- Destino de evidencia
- Targets deseados
- Modules a ejecutar
Recolección por Línea de Comandos
# Recolección básica de artefactos comunes
kape.exe --tsource C: --tdest E:\Evidence --target KapeTriage
# Recolección específica de logs de eventos
kape.exe --tsource C: --tdest E:\Evidence --target EventLogs
# Recolección + Procesamiento
kape.exe --tsource C: --tdest E:\Evidence --target KapeTriage ^
--mdest E:\Processed --module !EZParserOpciones Importantes
| Opción | Descripción |
|---|---|
--tsource | Disco o carpeta origen |
--tdest | Destino de archivos recolectados |
--target | Targets a ejecutar |
--msource | Origen para procesamiento |
--mdest | Destino de archivos procesados |
--module | Modules a ejecutar |
--vss | Incluir Volume Shadow Copies |
--debug | Logging detallado |
Ventajas de KAPE
Frente a Imagen Forense Completa
| Aspecto | KAPE | Imagen Completa |
|---|---|---|
| Tiempo | 10-30 minutos | 2-8 horas |
| Espacio | 1-10 GB típico | Tamaño del disco |
| Procesamiento | Inmediato | Requiere montaje |
| Selectividad | Solo lo relevante | Todo |
| Validez judicial | Válido con documentación | Estándar oro |
Limitaciones
- No reemplaza imagen completa para análisis exhaustivo
- Requiere sistema operativo funcional (no desde disco muerto)
- Puede perder datos no incluidos en targets seleccionados
Cadena de Custodia
Aunque KAPE es más rápido, la cadena de custodia sigue siendo crítica. Documenta: quién ejecutó KAPE, cuándo, con qué parámetros, y verifica hashes de los archivos recolectados.
Targets Recomendados por Escenario
Ransomware/Malware
--target EventLogs,Registry,Prefetch,AmCache,SRUM,AntivirusExfiltración de Datos
--target USBDevices,CloudStorage,BrowserHistory,RecentFiles,JumplistsAcceso No Autorizado
--target EventLogs,Registry,RDPCache,TerminalServicesActividad de Usuario
--target UserActivity,BrowserHistory,OfficeRecent,ShellbagsIntegración con Otras Herramientas
| Herramienta | Integración con KAPE |
|---|---|
| Timeline Explorer | Visualizar CSVs generados |
| Autopsy | Importar artefactos |
| Velociraptor | Despliegue remoto |
| AXIOM | Análisis complementario |
Validez Judicial
KAPE es ampliamente aceptado en procedimientos judiciales siempre que:
- Se documente el proceso: Comando exacto ejecutado, versión de KAPE.
- Se mantenga cadena de custodia: Quién, cuándo, desde dónde.
- Se verifiquen hashes: Integridad de archivos recolectados.
- Se preserve el original: KAPE no modifica el sistema origen.
Documentación Recomendada
DOCUMENTACIÓN DE RECOLECCIÓN KAPE
Fecha/Hora: 2026-02-01 10:23:45 UTC
Perito: Jonathan Izquierdo Galán
Sistema origen: DESKTOP-ABC123 (192.168.1.45)
Versión KAPE: 1.3.0.2
Comando ejecutado:
kape.exe --tsource C: --tdest F:\Case2026-001 --target KapeTriage --vss
Destino: F:\Case2026-001
Hash del contenedor: SHA256: a3f2b9c4e8d1...
Observaciones: Sistema Windows 11 Pro, usuario activo jperezRecursos y Aprendizaje
- Documentación oficial: KAPE Documentation
- Targets actualizados: Comunidad mantiene targets en GitHub
- Cursos: SANS FOR508, FOR498 incluyen KAPE
Conclusión
KAPE es una herramienta esencial en el arsenal del perito forense moderno. Su capacidad de recolectar artefactos críticos en minutos lo hace invaluable para respuesta a incidentes, donde el tiempo es el factor más crítico. Aunque no reemplaza una imagen forense completa para análisis exhaustivo, KAPE permite tomar decisiones informadas rápidamente y es completamente válido para uso judicial con la documentación adecuada.
Última actualización: 1 de febrero de 2026 Categoría: Herramienta Código: KAP-001
Preguntas Frecuentes
¿Qué es KAPE y para qué sirve?
KAPE (Kroll Artifact Parser and Extractor) es una herramienta forense gratuita para recolectar y procesar rápidamente artefactos de sistemas Windows, como logs de eventos, registros, archivos de usuario y más.
¿KAPE es gratuito?
Sí, KAPE es gratuito para uso personal, académico y profesional. Fue desarrollado por Eric Zimmerman y es mantenido por Kroll.
¿Cuándo usar KAPE en vez de una imagen forense completa?
KAPE es ideal para respuesta a incidentes donde el tiempo es crítico, triage inicial de múltiples sistemas, o cuando solo necesitas artefactos específicos. Para análisis exhaustivo, una imagen forense completa sigue siendo preferible.
Términos Relacionados
Imagen Forense
Copia exacta bit a bit de un dispositivo de almacenamiento que preserva toda la información original, incluyendo archivos borrados y espacio no asignado, para su análisis forense.
Cadena de Custodia
Procedimiento documentado que garantiza la integridad, autenticidad y trazabilidad de la evidencia digital desde su recolección hasta su presentación en juicio.
Timeline Forense
Representación ordenada cronológicamente de todos los eventos relevantes extraídos de sistemas digitales, permitiendo reconstruir qué ocurrió, cuándo y en qué secuencia.
Análisis Forense Digital
Proceso científico de identificación, preservación, análisis y presentación de evidencia digital en procedimientos legales.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita