IntermediogithubYARAdetecciónreglas

YARA Rules: las mejores colecciones en GitHub

Guía de los mejores repositorios de reglas YARA en GitHub: colecciones curadas, reglas de vendors, community rules y cómo integrarlas en tu pipeline de detección.

MalwareIntel Research··4 min lectura
Serie: Repositorios GitHub — Parte 2

Por qué YARA es fundamental

YARA es el lenguaje estándar para escribir reglas de detección de malware basadas en patrones. Si el análisis de malware es la investigación, YARA es la herramienta que convierte tus hallazgos en detección automatizada. Una buena regla YARA puede detectar variantes de una familia de malware que no has visto antes.

En 2026, YARA (y su sucesor YARA-X, reescrito en Rust por VirusTotal) se usa en antivirus, sandboxes, plataformas CTI, SIEM y pipelines de CI/CD de seguridad. Dominar YARA y tener acceso a buenas colecciones de reglas es una habilidad diferenciadora.

Top repositorios de YARA rules

1. YARA-Rules/rules (comunidad)

Repo: YARA-Rules/rules Stars: 4,000+ | Reglas: 500+ | Estado: activo

La colección comunitaria más grande. Organizada por categorías: antidebug, crypto, CVE, email, exploit_kits, malware, packers, webshells. La calidad es variable (contribuciones de la comunidad), pero el volumen la hace valiosa como punto de partida.

Uso: baseline de detección. Testear contra tu entorno antes de activar en producción.

2. Neo23x0/signature-base (Florian Roth)

Repo: Neo23x0/signature-base Stars: 2,500+ | Reglas: 800+ | Estado: activo (Nextron Systems)

Las reglas de Florian Roth son de las más respetadas en la industria. Incluye reglas para APTs, exploits, herramientas de hacking, webshells y threat actors específicos. Calidad profesional con muy pocos falsos positivos.

Uso: producción directa. La referencia de calidad para reglas YARA.

3. elastic/protections-artifacts

Repo: elastic/protections-artifacts Stars: 1,500+ | Reglas: YARA + EQL + KQL | Estado: muy activo

Las reglas de detección de Elastic Security. No solo YARA: incluye EQL queries y reglas KQL para Elasticsearch. Las reglas YARA están en yara/rules/ organizadas por sistema operativo y tipo de amenaza.

Uso: si usas Elastic SIEM, integración directa. Si no, las reglas YARA funcionan standalone.

4. ReversingLabs/reversinglabs-yara-rules

Repo: ReversingLabs/reversinglabs-yara-rules Stars: 200+ | Reglas: 300+ | Estado: activo

Reglas de grado empresarial del equipo de ReversingLabs. Foco en familias de malware específicas con metadata detallada: author, description, hash de referencia, MITRE ATT&CK mapping.

Uso: alta calidad, baja tasa de falsos positivos. Excelente para validar detecciones.

5. bartblaze/Yara-rules

Repo: bartblaze/Yara-rules Stars: 400+ | Reglas: 200+ | Estado: activo

Colección personal de Bart Blaze (Nextron Systems). Reglas bien documentadas con foco en malware reciente, commodity malware y herramientas de ataque.

6. InQuest/yara-rules

Repo: InQuest/yara-rules Stars: 300+ | Reglas: 150+ | Estado: activo

Foco en documentos maliciosos (Office, PDF, RTF) y exploits en archivos. Si analizas phishing y adjuntos maliciosos, esta colección es imprescindible.

7. YARA-X (VirusTotal/Google)

Repo: VirusTotal/yara-x Stars: 1,000+ | Estado: muy activo

No es una colección de reglas, sino el sucesor de YARA. Reescrito en Rust con mejor rendimiento, mejor manejo de errores y compatibilidad con reglas YARA existentes. En 2026 ya es estable para producción.

Cómo integrar reglas YARA en tu workflow

Pipeline básico

1. Descarga: clonar repos de reglas
2. Test: ejecutar contra corpus benigno (Office docs, PDFs limpios)
3. Filtrar: eliminar reglas con falsos positivos en tu entorno
4. Deploy: integrar en scanner (ClamAV, sandbox, endpoint)
5. Monitor: alertar y revisar matches
6. Actualizar: pull semanal de repos + merge manual

Herramientas de gestión

  • yarGen (Neo23x0): genera reglas YARA automáticamente a partir de muestras
  • yaraQA (Neo23x0): valida calidad de reglas (performance, FP risk)
  • YARA CI (VirusTotal): ejecuta reglas contra VirusTotal en CI/CD
  • yara-python: scripting de escaneo con YARA en Python

Errores comunes

  1. Activar todas las reglas sin testear: garantía de falsos positivos masivos
  2. No actualizar: las reglas de hace 6 meses no detectan las amenazas de hoy
  3. Ignorar el performance: reglas con regex complejos pueden ralentizar el escaneo
  4. Solo strings estáticos: los atacantes cambian strings. Usa condiciones estructurales (tamaño PE, secciones, entropy) además de strings

Veredicto

Para un analista que empieza: clona Neo23x0/signature-base y Elastic. Son las más fiables. Añade YARA-Rules/rules como complemento pero testea antes. Para producción enterprise, ReversingLabs ofrece la mejor relación calidad/falsos positivos. Y migra a YARA-X cuando puedas.

Preguntas frecuentes

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.