Los 100 repos que todo analista debe conocer
GitHub es la mayor biblioteca de herramientas de seguridad del mundo. Pero encontrar los repositorios que realmente importan entre millones de repos requiere experiencia. Esta serie filtra el ruido y presenta los repositorios que los analistas profesionales usan a diario.
Cada artículo analiza una categoría de repositorios: qué hace cada uno, cuándo usarlo, cómo integrarlo en tu workflow y qué alternativas existen. No son listas de enlaces. Son guías prácticas que explican el contexto y el valor real de cada herramienta.
| Categoría | Repos | Foco |
|---|---|---|
| Awesome lists y meta-repos | 5-10 | Índices curados de la comunidad |
| YARA rules | 10-15 | Reglas de detección por firma |
| Sigma rules | 5-10 | Detección en logs (SIEM) |
| Malware source code (educativo) | 5-10 | Código fuente para estudio (no uso ofensivo) |
| Threat hunting | 5-10 | Playbooks, queries, hipótesis |
| DFIR tools | 10-15 | Volatility, KAPE, Velociraptor, etc. |
| Red team (valor defensivo) | 5-10 | Herramientas ofensivas con perspectiva blue team |
| Windows kernel research | 5-10 | Drivers, callbacks, hooks |
| CTF writeups | 5 | Desafíos de malware resueltos |
| ML para detección | 5-10 | Clasificadores, features, datasets |
| Threat actor catalogs | 5 | WhoIsWhoAPT, MITRE groups |
| Honeypots | 5-10 | Captura de malware en producción |
Un repositorio entra en esta lista solo si cumple al menos 3 de estos criterios:
Los repos abandonados o sin documentación se mencionan solo si son históricamente relevantes (ejemplo: la implementación original de Mimikatz).
12 artículos, uno por categoría de repositorios.
| # | Artículo | Repos cubiertos |
|---|---|---|
| 1 | awesome-malware-analysis: el índice maestro | 1 meta-repo + 10 highlights |
| 2 | YARA rules: las mejores colecciones | 10-15 repos |
| 3 | Sigma rules y detection engineering | 8-10 repos |
| 4 | Malware source code educativo | 5-8 repos |
| 5 | Threat hunting repos y playbooks | 8-10 repos |
| 6 | DFIR tools: Volatility, KAPE, Velociraptor | 10-12 repos |
| 7 | Red team tools con valor defensivo | 8-10 repos |
| 8 | Windows kernel research repos | 5-8 repos |
| 9 | CTF writeups de malware challenges | 5-6 repos |
| 10 | ML para malware detection | 5-8 repos |
| 11 | WhoIsWhoAPT y threat actor catalogs | 5 repos |
| 12 | Honeypots y deception repos | 5-8 repos |
Guía del repositorio awesome-malware-analysis: el meta-índice definitivo de herramientas, frameworks y recursos para análisis de malware. Cómo navegarlo y qué herramientas priorizar.
Guía de los mejores repositorios de reglas YARA en GitHub: colecciones curadas, reglas de vendors, community rules y cómo integrarlas en tu pipeline de detección.
Los mejores repositorios de reglas Sigma en GitHub: SigmaHQ oficial, reglas comunitarias, backends para SIEM y herramientas de detection engineering.
Repositorios de código fuente de malware con fines educativos: Conti leaks, malware histórico, PoC de técnicas y frameworks de investigación. Qué estudiar y qué evitar.
Los mejores repositorios de threat hunting en GitHub: playbooks, hipótesis, datasets, queries y frameworks para cazar amenazas proactivamente en tu red.
Los repositorios GitHub imprescindibles para Digital Forensics e Incident Response: Volatility 3, KAPE, Velociraptor, AVML, Autopsy y herramientas de triaje forense.
Repositorios de herramientas de red team que todo blue teamer debe conocer: Cobalt Strike alternativas, C2 frameworks, inyección de procesos, evasión y cómo usarlos para mejorar tus defensas.
Repositorios GitHub de investigación del kernel de Windows: drivers de ejemplo, PoCs de técnicas de kernel, herramientas de kernel debugging y documentación no oficial del kernel.
Los mejores repositorios de CTF writeups enfocados en malware analysis y reverse engineering: Flare-On, MalwareTech, CyberDefenders y cómo usarlos para mejorar tus skills.
Repositorios de machine learning aplicado a detección de malware: clasificadores, features engineering, datasets públicos y frameworks de investigación.
Repositorios que documentan grupos APT y actores de amenaza: MITRE Groups, Malpedia, APT Groups Sheet y catálogos de la comunidad. Cómo usarlos para CTI.
Los mejores repositorios de honeypots en GitHub: T-Pot, Cowrie, Dionaea, HoneyDB y frameworks de deception. Cómo desplegar honeypots para capturar malware y generar CTI.