Velociraptor en DFIR & CSIRT: visibilidad, velocidad y control absoluto
En el ecosistema moderno de la ciberseguridad, la velocidad es la diferencia entre contener un incidente o protagonizar un informe de brecha.
Mientras los atacantes automatizan cada etapa del compromiso, los equipos DFIR (Digital Forensics & Incident Response) y CSIRT (Computer Security Incident Response Team) necesitan plataformas de recolección, correlación y respuesta centralizada.
En este contexto, Velociraptor emerge como un proyecto open-source que democratiza el análisis forense a escala: rápido, transparente y totalmente auditable.
🧩 Qué es Velociraptor y por qué importa
Desarrollado por Velocidex, Velociraptor es una herramienta diseñada para la recolección forense, monitoreo y hunting remoto en múltiples plataformas (Windows, Linux y macOS).
A diferencia de herramientas monolíticas o cerradas, Velociraptor usa un lenguaje de consultas propio (VQL) que permite definir artefactos personalizados, correlacionar eventos y ejecutar acciones sin romper la cadena de custodia.
Su arquitectura cliente-servidor facilita un despliegue rápido y escalable: el servidor central administra artefactos, tareas y resultados, mientras los agentes (clientes) ejecutan las consultas de forma segura en los endpoints.
🧪 Laboratorio DFIR: despliegue de entorno cliente-servidor
Para este laboratorio práctico se utilizó:
- 🧠 Velociraptor 0.75.2 (Windows build)
- 💻 Servidor en localhost (127.0.0.1:8889)
- 🧩 Cliente Windows 10 Pro 22H2
- 🔒 Conexión segura TLS con configuración YAML personalizada
🦎 1️⃣ Bienvenida al panel del servidor
La consola web es el punto central de operaciones DFIR: desde aquí se crean artefactos, se orquestan hunts, se visualizan agentes y se auditan acciones.
📸 Figura 1 – Pantalla de bienvenida del servidor Velociraptor

El panel izquierdo concentra la navegación principal: dashboard, artefactos, hunts, administración, configuración y logs del servidor.
⚙️ 2️⃣ Inicialización del servidor backend
El backend es el corazón del sistema: gestiona artefactos, almacenamiento, usuarios, API y conexión con los clientes.
📸 Figura 2 – Servidor Velociraptor inicializando servicios principales

Cada módulo (Frontend, API, Audit, Scheduler, UserManager) se inicia independientemente, garantizando estabilidad y resiliencia.
💡 3️⃣ Configuración del cliente Windows
El cliente se ejecuta con su archivo client.config.yaml, que contiene certificados, rutas y el endpoint del servidor.
📸 Figura 3 – Cliente Velociraptor conectando al servidor

Una vez en ejecución, el cliente crea su espacio temporal, inicia los servicios y establece la comunicación cifrada con el servidor.
📈 4️⃣ Dashboard: visibilidad y telemetría
El servidor comienza a reflejar en el dashboard la llegada de los primeros clientes.
📸 Figura 4 – Gráficas de estado del servidor y detección de clientes activos

A la derecha, el gráfico “Currently Connected Clients” muestra en tiempo real los agentes comunicándose con el servidor.
🧭 5️⃣ Listado y verificación de clientes
Una vez conectado, el cliente aparece en la tabla de endpoints administrados.
📸 Figura 5 – Cliente Windows detectado por el servidor

Cada endpoint incluye:
- ID único
- Hostname
- Sistema operativo y versión
- Estado de conexión
📸 Figura 6 – Detalle del cliente conectado con metadatos forenses

Esto permite validar arquitectura, IP, MAC y versión del agente — imprescindible para la trazabilidad forense.
🧠 6️⃣ Ejecución remota de comandos
Velociraptor permite lanzar comandos o scripts sin acceso directo al endpoint.
En este caso, ejecutamos netstat -anob vía PowerShell para listar conexiones activas y procesos asociados.
📸 Figura 7 – Ejecución remota de PowerShell desde el panel de Velociraptor

📸 Figura 8 – Resultados de conexiones activas obtenidos desde el cliente

El resultado muestra procesos (svchost.exe, velociraptor.exe, etc.) con sus puertos y PID, lo que permite correlacionar tráfico de red con actividad en memoria en vivo.
🎯 7️⃣ Creando un “Hunt” forense: Process Hunt
Los Hunts son operaciones paralelas que ejecutan artefactos sobre múltiples sistemas al mismo tiempo.
Aquí se creó un Process Hunt para mapear el árbol de procesos activos.
📸 Figura 9 – Configuración del nuevo Hunt “Process Hunt”

El hunt se configuró para ejecutarse sobre todos los clientes conocidos, con expiración programada y artefacto Generic.System.Pstree.
📸 Figura 10 – Selección del artefacto VQL Generic.System.Pstree

Este artefacto genera un árbol jerárquico de procesos, permitiendo identificar relaciones sospechosas (por ejemplo, un PowerShell hijo de Word o un navegador lanzando scripts no firmados).
🧩 8️⃣ Lanzando y gestionando el Hunt
Una vez configurado, el Hunt puede pausarse o iniciarse desde la interfaz.
📸 Figura 11 – Ejecución del Hunt desde el panel de control

El estado “PAUSED” indica que el hunt está listo. Al presionar ▶️, Velociraptor despliega las consultas a todos los clientes objetivo.
📁 9️⃣ Descarga y validación de resultados
Tras la ejecución, los resultados pueden descargarse en distintos formatos: completo, resumen, CSV o JSON.
📸 Figura 12 – Descarga de resultados del Hunt con opciones de exportación

Esto garantiza compatibilidad con herramientas de análisis adicionales (Excel, ELK, Splunk, etc.), manteniendo siempre un hash SHA-256 para asegurar la integridad de los datos exportados.
📸 Figura 13 – Resultados CSV del Hunt Generic.System.Pstree

En la muestra se observan procesos como svchost.exe, msegdewebview2.exe y velociraptor.exe, junto a su jerarquía y contexto temporal.
Esta trazabilidad permite reconstruir líneas de ejecución, detectar herencias anómalas y aislar actividades maliciosas persistentes.
🛡️ 10️⃣ Beneficios operativos para DFIR y CSIRT
Velociraptor ofrece ventajas tácticas y estratégicas:
- ⚡ MTTD/MTTR reducidos — detección y respuesta en minutos.
- 📂 Evidencia auditable y verificable — cada artefacto tiene hash y metadatos.
- 🧠 Hunting repetible y versionado — con VQL, tus consultas se convierten en código reutilizable.
- 🧩 Integración fluida con SIEM/SOAR — puede activar hunts en base a alertas o eventos correlacionados.
🔧 Buenas prácticas de implementación
- Define artefactos base por MITRE ATT&CK.
Crea plantillas alineadas a TTPs para cada vector (persistencia, ejecución, exfiltración). - Integra con tu pipeline de alertas.
Usa Velociraptor como backend de validación o respuesta automática. - Asegura los accesos.
Gestiona roles, auditoría, cifrado TLS y retención de evidencias. - Prueba antes de desplegar masivamente.
Usa entornos de staging para evitar sobrecargar endpoints.
📊 Resultados del laboratorio
- 🚀 Visibilidad total sobre los procesos, conexiones y metadatos del cliente.
- ⏱️ Reducción del tiempo de respuesta ante un potencial compromiso.
- 📜 Recolección estructurada de evidencia con integridad verificable.
- ♻️ Playbooks reutilizables para futuras investigaciones.
🔚 Conclusión
Velociraptor no es solo una herramienta, es un marco operativo de visibilidad total.
Combina la filosofía open-source con la precisión del análisis forense y la agilidad de respuesta de un CSIRT moderno.
Su transparencia (VQL), su auditabilidad y su potencia en escala lo convierten en un pilar esencial para estrategias DFIR del futuro.
“Velociraptor devuelve el poder al analista: control total, ejecución remota y evidencia verificable.”
