CyberChef: Qué Es, Cómo Usarlo y Casos de Uso Reales

Los desarrolladores que trabajan con datos «sucios» se enfrentan regularmente a tareas que, por sí mismas, no son complejas, pero requieren pequeñas herramientas auxiliares.

Es necesario decodificar una cadena Base64 de un log, verificar el hash de un archivo, probar rápidamente una clave XOR, analizar un fragmento binario o entender qué se oculta dentro de una cadena extraña de un dump de red.

Usualmente, para esto se tiene que combinar varias utilidades, escribir scripts cortos o buscar una biblioteca adecuada. En algún momento, alrededor de tales tareas se acumula todo un conjunto de herramientas auxiliares, cada una de las cuales resuelve solo una pequeña parte del problema.

CyberChef es la respuesta a ese problema. Frecuentemente se le llama la «navaja suiza de la ciberseguridad» para trabajar con datos.

CyberChef es una aplicación web gratuita desarrollada por el GCHQ que permite codificar, decodificar, cifrar, descifrar y transformar datos mediante una interfaz visual de arrastrar y soltar. Sin instalación y con procesamiento completamente local en el navegador, admite cientos de operaciones combinables en cadenas llamadas recetas.

En una sola interfaz se han reunido varios cientos de operaciones: codificación y decodificación de cadenas, algoritmos criptográficos, trabajo con formatos binarios, estructuras de red, marcas de tiempo, análisis de certificados y muchas otras transformaciones. Además, la herramienta no requiere instalación y funciona directamente en el navegador, aunque si es necesario, se puede descargar y usar localmente.

En esta guía aprenderás:

¿Qué es CyberChef?

CyberChef es una aplicación web desarrollada por el GCHQ (Government Communications Headquarters), el principal servicio de seguridad de la información del Reino Unido. Que una agencia de inteligencia haya creado y publicado abiertamente esta herramienta es en sí mismo un dato llamativo; su repositorio oficial de CyberChef en GitHub está disponible para cualquiera.

Permite aplicar muy fácilmente funciones de codificación, decodificación, compresión, descompresión, cifrado y descifrado sobre un dato. Así, ya no es necesario recordar el nombre del comando y las opciones para descomprimir un .gzip, generar un hash bcrypt o cifrar una cadena de caracteres en AES; todo eso es factible directamente en CyberChef.

Características principales

Interfaz intuitiva. Todas las operaciones se pueden realizar arrastrando y soltando, y es posible utilizarla sin conocimientos de programación.

Multifuncional. Ofrece numerosas funciones en una sola herramienta: Encode/Decode, cifrado/descifrado, análisis de datos, conversión de archivos, entre otros. En la biblioteca de CyberChef hay varios cientos de operaciones disponibles, cubriendo desde transformaciones básicas hasta parsing de estructuras complejas y manipulación binaria avanzada.

Ligera y rápida. Funciona en el navegador y se puede utilizar incluso sin conexión a internet (es posible descargar una versión offline).

Workflow con alto grado de libertad. Se pueden personalizar las operaciones combinándolas en el orden deseado. Las recetas que crees pueden guardarse para reutilizarlas más tarde sin tener que reconstruir manualmente toda la cadena.

La idea clave de CyberChef no reside tanto en el conjunto de operaciones, sino en la forma de aplicarlas. En lugar de ejecutar comandos individuales, el usuario arma una llamada «receta»: una cadena de transformaciones que se aplica a los datos de entrada. Tal enfoque convierte a la herramienta en una especie de pipeline interactivo de procesamiento.

Cómo acceder e instalar CyberChef

CyberChef es ante todo una aplicación web. La versión online de CyberChef está alojada en la instancia Github.io del GCHQ:

Versión online: https://gchq.github.io/CyberChef/

De acuerdo con las advertencias de su diseñador —y se ha verificado—: no se transmiten datos a ningún servidor de terceros cuando se utiliza la versión en línea de CyberChef. Todo el procesamiento sucede del lado del cliente, en JavaScript, lo que significa que la herramienta se puede usar de forma segura incluso para el análisis de logs confidenciales o archivos internos.

Sin embargo, si quieres manejar datos que puedan contener información secreta o sensible (contraseñas, nombres de usuario o servidores internos), siempre es preferible tener tu propia instancia local.

Las opciones recomendadas son:

• Descargar la versión standalone (ZIP) desde una release del repositorio para entornos air-gapped.
• Usar la imagen Docker oficial.

# Descarga de la imagen CyberChef e inicio de un contenedor
docker run -it -p 8080:80 ghcr.io/gchq/cyberchef:latest

Después de ejecutar este comando, una instancia local de CyberChef estará disponible y accesible en el puerto 8080 de tu host: http://localhost:8080/

CyberChef también se suministra como una única página web empaquetada: desde la interfaz online o desde las releases del repositorio puedes descargar el ZIP completo, guardarlo localmente y usarlo incluso sin conexión a internet.

Esto resulta especialmente útil dentro de un laboratorio aislado de análisis de malware, aunque esta versión no se actualiza automáticamente y puede quedar desfasada respecto a nuevas operaciones, correcciones o cambios en algoritmos soportados.

Interfaz de CyberChef: las cuatro áreas clave

La interfaz está organizada de forma sumamente sencilla. Al mirar el panel de la izquierda, verás que las operaciones están convenientemente divididas en grupos y equipadas con una barra de búsqueda y una sección de «Favoritos».

Área 1 — Input. Es el lugar en el que vas a insertar los datos a cifrar/descifrar, codificar/decodificar, etc. Puede tratarse de texto o de un archivo completo; también es posible arrastrar y soltar archivos directamente. CyberChef admite binarios como datos de entrada: simplemente toma el archivo y arrástralo al campo Input.

Área 2 — Output. Será el resultado del tratamiento de los datos según lo que le pidas a CyberChef hacer. Aquí también podrás recuperar texto o guardar el resultado en un archivo fácilmente.

Área 3 — Recipe. Es la columna central donde se coloca la cadena de operaciones a aplicar. Tras encontrar el comando necesario en el panel de operaciones, arrástralo a esta columna y elige los parámetros. Para quitar una operación, debes arrastrarla de vuelta.

Área 4 — Operations. Es el panel donde seleccionas las diversas modificaciones que deseas aplicar a tu cadena de caracteres, para luego arrastrarlas y soltarlas en el área Recipe.

Una vez configurada la receta, presiona el botón verde Bake y el resultado caerá en el campo Output. Los resultados también se actualizan en tiempo real mientras construyes la receta.

También puedes acceder a las operaciones rápidamente utilizando la sección «Favourites», donde simplemente arrastras y sueltas las operaciones a las que deseas acceder con frecuencia, o bien utilizando el espacio de búsqueda. La herramienta incluye además posibilidades de personalización, como el tema oscuro.

El concepto de receta (Recipe)

Por ejemplo, una receta puede aplicar una codificación Base64 sobre una cadena de caracteres y después tomar el contenido y convertirlo en hexadecimal. Nota el «To» de «To Base64» y «To Hex»: significa «hacia». Si por el contrario quieres decodificar esa cadena, deberías utilizar «From Hex» y luego «From Base64», ¡y en el orden correcto!

Puedes intercambiar las diferentes operaciones de tu receta arrastrando cada una de ellas al lugar deseado. Si tomamos el ejemplo más simple, la cadena SGVsbG8gd29ybGQh con gran probabilidad es Base64. En CyberChef es suficiente añadir la operación de decodificación y el resultado aparecerá instantáneamente: el clásico «Hello world!».

A primera vista esto parece trivial, pero la fuerza de la herramienta se vuelve evidente cuando los datos pasan a través de varias capas de transformaciones. En tareas reales, las cadenas rara vez resultan estar codificadas de una sola manera.

Por ejemplo, el payload de un script malicioso puede estar primero codificado en Base64, luego comprimido con gzip y después cifrado adicionalmente con XOR. En una situación ordinaria, para tal análisis habría que escribir un pequeño script.

Cómo usar CyberChef: operaciones paso a paso

1. Pegar los datos en el área de entrada. Pegas texto o datos binarios en el área Input. También es posible arrastrar y soltar archivos.
2. Seleccionar la operación (Recipe). Seleccionas la operación deseada (ejemplo: Base64 Decode, Hex to Text, etc.) del panel «Operations» y la arrastras al área «Recipe» en el centro.
3. Confirmar el resultado. El resultado de la operación aplicada se muestra en tiempo real en el área «Output».

Flow Control: Fork, Jump y Conditional Jump

Si necesitas algo más intrincado que una cadena lineal de operaciones, presta atención a las funciones de la sección Flow Control.

Fork aplica las operaciones posteriores a cada subcadena; tú mismo puedes establecer el separador. Esto permite procesar múltiples elementos de forma individual dentro de un mismo bloque de datos.

Jump traslada el punto de ejecución un número determinado de comandos hacia atrás o hacia adelante dentro de la receta.

Conditional Jump hace lo mismo que Jump, pero solo si una expresión regular encuentra una coincidencia en los datos de entrada.

Estas funciones permiten crear flujos de trabajo con operaciones condicionales, bucles y gestión de la ejecución de las diferentes etapas, convirtiendo a CyberChef en algo más cercano a un lenguaje de procesamiento que a una simple calculadora de conversiones.

Categorías de operaciones disponibles

Las dos grandes fortalezas de CyberChef son su facilidad de uso y la gran cantidad de algoritmos, manipulaciones, transformaciones y funciones de hashing, cifrado, codificación y compresión que admite. A continuación, todas las categorías presentes en el menú «Operations»:

Data format. Convierte datos entre diferentes formatos, como JSON, XML, CSV, YAML, etc.

Encryption / Encoding. Proporciona herramientas para cifrar y codificar datos, incluyendo AES, DES, ROT13, Base64, URL encoding, etc.

Public Key. Contiene operaciones relacionadas con la criptografía de clave pública, como RSA, ECDSA, generación de claves, cifrado y descifrado.

Arithmetic / Logic. Permite realizar operaciones aritméticas y lógicas, tales como la adición, la sustracción, las operaciones bit a bit, los cálculos de CRC, etc.

Network. Ofrece herramientas para analizar y manipular representaciones de datos de red, tales como la conversión IP, resolución DNS, parsing de estructuras relacionadas y transformación de artefactos de red. No sustituye herramientas de análisis de tráfico como parsers de PCAP, sino que opera sobre datos ya extraídos.

Language. Incluye operaciones de conversión de texto entre diferentes formatos (unicode, UTF-8, etc.).

Utils / Utilities. Diversos utilitarios como la generación de números aleatorios, las operaciones de reemplazo de texto, de conteo de ocurrencias, las conversiones de bases, etc.

Date / Time. Permite manipular fechas y horas; incluye convertidores de timestamp, el cálculo de diferencias entre fechas, etc.

Extractors. Herramientas para extraer informaciones específicas de los datos, como las direcciones de email, los números de teléfono, las URL, las IP, etc.

Compression. Proporciona herramientas para comprimir y descomprimir datos con algoritmos como gzip, zip, bzip2, etc.

Hashing. Contiene un gran número de algoritmos de hash para generar hashs a partir de las cadenas de caracteres proporcionadas. Importante: no realiza ruptura de hashes. Incluye igualmente una función que analiza los hashs para intentar determinar su tipo.

Code tidy. Permite limpiar y formatear código para hacerlo más legible, incluyendo el minify y beautify de HTML, CSS, JavaScript, etc.

Forensics. Herramientas para la investigación digital, como la extracción de metadatos, el análisis de archivos, la identificación de un formato de archivo, etc.

Multimedia. Contiene herramientas para manipular archivos multimedia, como la conversión de imágenes, la extracción de metadatos de archivos de audio/video, etc.

Other. Contiene las herramientas que no entran en las otras categorías, como los generadores de códigos QR, las pruebas de regex, etc.

Flow Control. Permite crear flujos de trabajo con operaciones condicionales, bucles y la gestión de la ejecución de las diferentes etapas (ver sección anterior).

Se pueden pasar literalmente horas simplemente recorriendo, comprendiendo y probando las diferentes operaciones presentes en CyberChef; las hay para todos los usos y todos los oficios: administrador de sistemas, pentester, analista forense, desarrollador, etc. Al dejar el cursor sobre cada operación, podrás obtener una breve descripción de esta.

El interés es, por supuesto, tener todo en el mismo lugar, sin tener que acordarse de las opciones de tal herramienta o de la URL del sitio que permite minificar código HTML y JavaScript.

La operación Magic

Especialmente útil resulta la situación cuando el formato de los datos es desconocido. Al analizar tráfico de red o logs sospechosos, con frecuencia se encuentran cadenas cuya estructura no es evidente. Para tales casos, en CyberChef existe la operación Magic, que intenta determinar automáticamente las posibles codificaciones.

El algoritmo analiza la cadena de entrada, verifica los signos característicos de diversos formatos y propone una probable cadena de decodificación.

Por ejemplo, si la cadena es una representación en Base64 de un archivo gzip, la herramienta propondrá primero decodificar Base64 y luego descomprimir gzip. Para el investigador, esto a menudo se convierte en el punto de partida de un análisis posterior.

Análisis paso a paso de recetas

Una característica interesante de CyberChef es la posibilidad del análisis paso a paso de las recetas. Cuando la cadena de transformaciones se vuelve larga, a veces es difícil entender de inmediato en qué etapa los datos dejan de verse correctos.

Para esto, en la herramienta se han previsto pasos: permiten ejecutar la receta solo hasta una operación determinada y ver el resultado intermedio. En esencia, CyberChef se convierte en un depurador visual para el procesamiento de datos.

Casos de uso y ejemplos de CyberChef

Decodificación de cadenas multicapa y análisis de malware

Los escenarios de uso de CyberChef salen rápidamente de los marcos de la simple decodificación de cadenas. La herramienta soporta una gran cantidad de algoritmos criptográficos: desde los clásicos MD5 y la familia SHA hasta AES, DES, Blowfish y RC4. Gracias a esto, es conveniente usarla para experimentos rápidos.

Por ejemplo, si durante el análisis surge la sospecha de que la cadena fue cifrada con una clave XOR simple, se pueden probar las posibles variantes directamente en la interfaz. Tal enfoque se utiliza a menudo en tareas de CTF o al analizar código malicioso, donde la ofuscación se construye sobre la combinación de varios métodos simples.

Ejemplo práctico: descubres una cadena sospechosa en formato Base64 en los logs del servidor. Aplicas «Base64 Decode» en CyberChef. Confirmas que la cadena decodificada es un comando de un atacante.

Ejemplo con datos cifrados: arrastras y sueltas los datos recibidos en CyberChef, intentas descifrar aplicando varios algoritmos de cifrado y, tras dar con el correcto, descubres que hay una clave de acceso no autorizada incrustada.

Reorganizar y mejorar la estructura de código

No es raro encontrarse con bloques de código mal indentados o incluso completamente minificados. Depurar este tipo de código puede ser muy complejo, ya que es difícil aislar los elementos interesantes, la estructura y el orden de las instrucciones. CyberChef propone diferentes operaciones que permiten reorganizar e indentar diferentes lenguajes de programación o código fuente.

Por ejemplo, puedes proporcionar a CyberChef una consulta SQL compleja escrita en una sola línea. Utilizando la operación «Code tidy > SQL Beautify», el resultado es una consulta mucho más legible y fácil de depurar.

Extraer direcciones IP de un texto

CyberChef contiene un montón de expresiones regulares que permiten fácilmente extraer o aislar ítems específicos en un bloque de texto. Mediante la operación «Extractors > Extract IP addresses» se extraen todas las direcciones IP presentes en un texto. Esta operación incluye opciones que permiten ordenarlas, suprimir las direcciones localhost, etc.

Trabajo con datos binarios y reverse engineering

Un área de aplicación aparte es el trabajo con datos binarios. En CyberChef hay operaciones que permiten convertir hex dumps a vista binaria, extraer cadenas de texto de bloques binarios, cambiar el orden de los bytes, analizar la estructura de los datos y realizar otras transformaciones de bajo nivel.

Esto convierte a la herramienta en un asistente conveniente para los especialistas en reverse engineering. Por ejemplo, teniendo un fragmento de un dump binario, se pueden extraer rápidamente todas las cadenas contenidas dentro de él y descubrir en ellas URLs, comandos u otros artefactos útiles.

Operación directa: abres un archivo binario con CyberChef, lo representas en formato hexadecimal o binario y aplicas operaciones como «Strings», «Extract» o conversiones controladas (por ejemplo, «From Hex») teniendo en cuenta encoding, offsets y posibles alineaciones, para extraer datos de texto incrustados de forma fiable.

Análisis de certificados X.509, JWT y estructuras ASN.1

La herramienta también sabe analizar estructuras más complejas. Si insertas un certificado PEM y aplicas la operación de análisis X.509, CyberChef mostrará los parámetros principales: emisor, propietario, periodo de validez, algoritmos de firma y fingerprint.

De manera similar, se pueden analizar JWT tokens, estructuras ASN.1 o diversos formatos de red. Tales operaciones se utilizan con frecuencia en la investigación de incidentes, cuando se necesita entender rápidamente qué contiene exactamente un objeto sospechoso.

Gracias a la operación «Public Key > Parse X.509 certificate», ya no hay necesidad de recordar las opciones del comando openssl para realizar esta operación en una terminal. Es posible proporcionar un archivo de entrada directamente en lugar de un bloque de texto.

CyberChef vs. línea de comandos

Se puede comparar a CyberChef con la línea de comandos de UNIX, o mejor dicho, con lenguajes como Bash. Por supuesto, CyberChef les será inferior en potencia y flexibilidad, pero tiene sus propias ventajas importantes: todo está reunido en una sola interfaz; para usar los comandos, no es necesario leer man de muchas páginas, y además el drag and drop es mucho más amigable que la consola.

Notas de precaución al usarlo

Cuidado con el manejo de información confidencial. Aunque el procesamiento es estrictamente client-side en el navegador, para datos altamente sensibles (muestras de malware, logs de producción, material clasificado) se recomienda descargar la versión standalone desde una release oficial o utilizar Docker en un entorno aislado, preferiblemente air-gapped. La versión online, aunque segura, expone el código JS a posibles modificaciones del navegador o extensiones.

Prestar atención al orden del Recipe. El orden de las operaciones puede afectar el resultado. Cambia el orden según sea necesario arrastrando cada operación al lugar deseado.

Los Recipes complejos se pueden guardar. Puedes guardar y reutilizar un Recipe que combine múltiples operaciones, evitando tener que reconstruirlo manualmente cada vez. Las recetas también admiten deep linking vía URL.

CyberChef en el arsenal del especialista en seguridad

CyberChef es un ejemplo raro de una herramienta que es igualmente útil tanto para ingenieros principiantes como para especialistas en seguridad experimentados. Su interfaz intuitiva y sus numerosas funcionalidades permiten tratar eficazmente datos, desde la codificación al cifrado, de la conversión de formatos a la compresión, pasando por el hash y el análisis de estructuras complejas.

No reemplaza a los lenguajes de programación completos ni a las utilidades especializadas, pero acelera significativamente la etapa de investigación. Cuando se necesita entender rápidamente la estructura de los datos, quitar varias capas de codificación o verificar una hipótesis sobre un método de cifrado, la interfaz interactiva resulta ser considerablemente más conveniente que la escritura de scripts temporales.

Precisamente por eso, CyberChef se ha convertido desde hace mucho tiempo en una herramienta estándar en el arsenal de los especialistas en seguridad de la información, reverse engineering y análisis de datos de red.