Velociraptor
Plataforma open source de endpoint monitoring, hunting y forense digital que permite recolectar artefactos, ejecutar consultas y responder a incidentes en miles de endpoints simultáneamente. Combina capacidades de EDR con análisis forense avanzado.
¿Qué es Velociraptor?
Velociraptor es una plataforma open source diseñada para respuesta a incidentes, threat hunting y forense digital a escala. Desarrollada originalmente por Mike Cohen (ex-Google), permite a los equipos de seguridad y peritos forenses:
- Recolectar artefactos de miles de endpoints simultáneamente
- Ejecutar consultas en tiempo real sobre sistemas en vivo
- Hunting de amenazas con lenguaje de consulta flexible (VQL)
- Monitorizar eventos en tiempo real
- Automatizar respuesta a incidentes
El Nombre
El nombre “Velociraptor” evoca velocidad y precisión: la capacidad de cazar amenazas rápidamente a través de toda la infraestructura, como el dinosaurio cazador del que toma su nombre.
Arquitectura
Componentes Principales
| Componente | Función |
|---|---|
| Server | Servidor central que gestiona clientes y almacena datos |
| Client | Agente ligero desplegado en endpoints |
| GUI | Interfaz web para análisis y hunting |
| VQL | Lenguaje de consulta para artefactos |
Modelo de Despliegue
┌─────────────┐
│ Server │
│ (Central) │
└──────┬──────┘
│
┌──────────────────┼──────────────────┐
│ │ │
┌────▼────┐ ┌────▼────┐ ┌────▼────┐
│ Client │ │ Client │ │ Client │
│ (Win) │ │ (Linux) │ │ (Mac) │
└─────────┘ └─────────┘ └─────────┘VQL: Velociraptor Query Language
VQL es el corazón de Velociraptor. Es un lenguaje de consulta similar a SQL pero diseñado para forense:
Ejemplos de Consultas
Listar procesos en ejecución:
SELECT Pid, Name, Exe, CommandLine
FROM pslist()Buscar archivos por hash:
SELECT FullPath, Hash.SHA256
FROM glob(globs="C:/Users/*/Downloads/*")
WHERE Hash.SHA256 = "a3f2b9c4..."Buscar conexiones de red sospechosas:
SELECT Pid, Name, RemoteAddr, RemotePort
FROM netstat()
WHERE RemotePort IN (4444, 5555, 6666)Timeline de ejecución de programas (Prefetch):
SELECT Name, LastRunTimes, RunCount
FROM Artifact.Windows.Forensics.Prefetch()
ORDER BY LastRunTimes DESCPotencia de VQL
VQL permite combinar múltiples fuentes de datos, filtrar, transformar y correlacionar información de forma que sería imposible con herramientas tradicionales.
Artefactos Disponibles
Velociraptor incluye cientos de artefactos predefinidos:
Windows
| Categoría | Artefactos |
|---|---|
| Sistema | MFT, Registry, Event Logs, Prefetch |
| Usuario | Shellbags, Recent Files, Jump Lists |
| Red | Netstat, DNS Cache, ARP |
| Memoria | Process List, Handles, DLLs |
| Malware | YARA scans, Autoruns, Services |
Linux
| Categoría | Artefactos |
|---|---|
| Sistema | /var/log/*, crontabs, services |
| Usuario | bash_history, SSH keys, home dirs |
| Red | netstat, iptables, connections |
| Contenedores | Docker, Kubernetes artifacts |
macOS
| Categoría | Artefactos |
|---|---|
| Sistema | Unified Logs, Launch Agents |
| Usuario | Safari history, Keychain |
| Aplicaciones | App usage, quarantine events |
Casos de Uso Forense
Investigación de Ransomware a Escala
Desplegar agente en todos los sistemas (si no está ya)
Hunt inicial para identificar sistemas afectados:
SELECT * FROM Artifact.Windows.Detection.Ransomware()Recolectar artefactos de sistemas afectados:
SELECT * FROM Artifact.Windows.KapeFiles.Targets( Target="EventLogs,Registry,Prefetch" )Buscar IOCs en toda la infraestructura:
SELECT * FROM Artifact.Generic.Detection.Yara.Process( YaraUrl="https://rules/ransomware.yar" )Timeline de la propagación:
SELECT * FROM Artifact.Windows.Timeline.MFT() WHERE Created > "2026-01-15"
Hunting de Persistencia
Buscar mecanismos de persistencia en todos los endpoints:
-- Tareas programadas sospechosas
SELECT * FROM Artifact.Windows.System.TaskScheduler()
WHERE Command =~ "powershell|cmd|wscript"
-- Servicios anómalos
SELECT * FROM Artifact.Windows.System.Services()
WHERE PathName =~ "temp|appdata|public"
-- Autoruns sospechosos
SELECT * FROM Artifact.Windows.Sysinternals.Autoruns()
WHERE NOT SignerInvestigación de Insider Threat
-- Archivos accedidos recientemente
SELECT * FROM Artifact.Windows.Forensics.RecentApps()
-- Dispositivos USB conectados
SELECT * FROM Artifact.Windows.Forensics.USB()
-- Cloud storage sincronizado
SELECT * FROM glob(globs=[
"C:/Users/*/Dropbox/**",
"C:/Users/*/OneDrive/**",
"C:/Users/*/Google Drive/**"
])Ventajas sobre Herramientas Tradicionales
| Aspecto | Velociraptor | Herramientas Tradicionales |
|---|---|---|
| Escala | Miles de endpoints | Un sistema a la vez |
| Velocidad | Consultas en segundos | Horas por sistema |
| Flexibilidad | VQL personalizable | Artefactos fijos |
| Coste | Gratuito, open source | Licencias costosas |
| Integración | API, exportación | Limitada |
Integración con Otras Herramientas
| Herramienta | Integración |
|---|---|
| KAPE | Ejecutar KAPE remotamente vía Velociraptor |
| YARA | Escaneos YARA en memoria y disco |
| Sigma | Reglas Sigma para detección |
| TheHive | Gestión de casos |
| Elastic/Splunk | Exportación de resultados |
Consideraciones Forenses
Validez Judicial
Velociraptor es válido para uso forense siempre que:
- Se documente la consulta exacta ejecutada
- Se preserve la cadena de custodia de los datos recolectados
- Se verifiquen hashes de archivos extraídos
- Se mantenga el servidor seguro contra manipulación
Documentación de Hunt
DOCUMENTACIÓN DE HUNTING VELOCIRAPTOR
Caso: INC-2026-0142
Fecha: 2026-02-01 14:30 UTC
Analista: Jonathan Izquierdo
Hunt ID: H.ABC123
Descripción: Búsqueda de IOCs relacionados con ransomware LockBit
Consulta VQL:
SELECT * FROM Artifact.Windows.Detection.Yara.Glob(
PathGlob="C:/Windows/Temp/*",
YaraUrl="https://rules/lockbit.yar"
)
Endpoints consultados: 1,247
Endpoints con hallazgos: 3
Resultados exportados: hunt_results_ABC123.csv
Hash resultados: SHA256: a3f2b9c4...Impacto en Sistemas
A diferencia de una imagen forense pasiva, Velociraptor ejecuta código en los endpoints. Documenta siempre el impacto potencial y obtén autorización antes de ejecutar artefactos que modifiquen estado.
Despliegue Básico
Instalación del Server
# Descargar binario
wget https://github.com/Velocidex/velociraptor/releases/latest/download/velociraptor-linux-amd64
# Generar configuración
./velociraptor config generate -i
# Iniciar server
./velociraptor --config server.config.yaml frontendCrear Instalador de Cliente
# Generar MSI para Windows
./velociraptor config repack --msi client.config.yaml output.msi
# Generar DEB para Linux
./velociraptor config repack --deb client.config.yaml output.debRecursos y Comunidad
- Documentación: docs.velociraptor.app
- GitHub: Velocidex/velociraptor
- Discord: Comunidad activa de usuarios
- Cursos: SANS FOR508 incluye Velociraptor
Conclusión
Velociraptor ha revolucionado la respuesta a incidentes y el forense digital al permitir operaciones que antes requerían días en cuestión de minutos. Su combinación de potencia, flexibilidad y coste cero lo convierte en una herramienta imprescindible para cualquier equipo de seguridad o perito forense que trabaje con incidentes a escala. VQL proporciona la capacidad de hacer preguntas específicas y obtener respuestas inmediatas de toda la infraestructura.
Última actualización: 1 de febrero de 2026 Categoría: Herramienta Código: VEL-001
Preguntas Frecuentes
¿Qué es Velociraptor?
Velociraptor es una plataforma open source para recolección forense, threat hunting y monitorización de endpoints. Permite ejecutar consultas y recolectar artefactos en miles de sistemas simultáneamente.
¿Velociraptor es gratuito?
Sí, Velociraptor es completamente open source y gratuito. Fue creado por Mike Cohen (ex-Google) y tiene una comunidad activa de desarrollo.
¿Cuál es la diferencia entre Velociraptor y un EDR?
Velociraptor se centra en hunting y forense bajo demanda, mientras que los EDR tradicionales se enfocan en detección continua. Velociraptor es más flexible para investigaciones profundas y recolección de artefactos específicos.
Términos Relacionados
KAPE
Kroll Artifact Parser and Extractor (KAPE) es una herramienta forense gratuita para la recolección y procesamiento rápido de artefactos en sistemas Windows. Permite extraer evidencia crítica en minutos, siendo esencial en respuesta a incidentes donde el tiempo es crucial.
Análisis Forense Digital
Proceso científico de identificación, preservación, análisis y presentación de evidencia digital en procedimientos legales.
Timeline Forense
Representación ordenada cronológicamente de todos los eventos relevantes extraídos de sistemas digitales, permitiendo reconstruir qué ocurrió, cuándo y en qué secuencia.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita