La Agencia de Seguridad Nacional de Estados Unidos (NSA) mantiene cuentas oficiales en GitHub donde publica parte de su catálogo de herramientas de ciberseguridad como código abierto.
A mayo de 2026, la cuenta principal NationalSecurityAgency aloja 86 repositorios públicos, mientras que la cuenta del NSA Cybersecurity Directorate (nsacyber) suma 39. Para un profesional de ciberseguridad, esto significa acceso libre a frameworks de ingeniería inversa, herramientas de hardening, scripts forenses y guías de mitigación que durante años fueron de uso interno.
El GitHub de la NSA reúne más de 120 repositorios open source entre sus dos cuentas oficiales:
NationalSecurityAgencyynsacyber. Cubren ingeniería inversa, hardening Windows, forense, monitoreo ICS/SCADA y orquestación. Ghidra es el proyecto estrella, pero no todo el catálogo sigue mantenido: varios están archivados y al menos uno tiene un aviso de seguridad de CISA.
- Por qué la NSA publica código en GitHub
- Technology Transfer Program: el paraguas detrás de los repos
- Inventario de repos de la NSA en GitHub: qué tiene y qué vale hoy
- Ghidra de la NSA: el proyecto estrella en código abierto
- GRASSMARLIN: mapeo pasivo de redes ICS/SCADA
- WALKOFF: automatización y orquestación tipo SOAR
- La controversia: ¿se puede confiar en código publicado por la NSA?
- Nuestra recomendación práctica
Por qué la NSA publica código en GitHub
Cuando quedó claro que era imposible mantener en secreto todos sus programas de intrusión, la NSA optó por liberar parte de su tecnología bajo el marco del Technology Transfer Program. La cuenta oficial en GitHub se convirtió en uno de los canales más visibles de esa política de apertura.
Technology Transfer Program: el paraguas detrás de los repos
El Technology Transfer Program (TTP) de la NSA es el marco mediante el cual la agencia transfiere tecnología desarrollada internamente hacia la industria, la academia y otras entidades gubernamentales. El objetivo declarado es convertir descubrimientos de la NSA en productos comerciales y aplicaciones prácticas que refuercen la seguridad nacional y la economía.
Según la documentación oficial, el TTP usa varios mecanismos: licencias de patentes, releases de software open source, acuerdos cooperativos de I+D, acuerdos de colaboración educativa y acuerdos de intercambio de tecnología. GitHub es solo uno de los canales visibles del programa.
Inventario de repos de la NSA en GitHub: qué tiene y qué vale hoy
Estos son 15 proyectos útiles para profesionales de ciberseguridad, priorizando pentesting defensivo, forense, reversa, ICS/SCADA y hardening.
| Proyecto | Área | Lenguaje principal | Estado | Descripción técnica |
|---|---|---|---|---|
| Ghidra | Ingeniería inversa / malware | Java | Activo | Framework SRE para desensamblado, decompilación, graficación y scripting; soporta Windows, macOS y Linux, y fue diseñado para análisis escalable de binarios complejos. |
| datawave | Forense / búsqueda a gran escala | Java | Activo | Motor de ingestión y consulta basado en Apache Accumulo para acceso rápido y seguro a grandes volúmenes de datos, útil en análisis investigativo. |
| seabee | Hardening / control de acceso | Rust / C | Activo | Control de políticas sobre objetos eBPF, útil en entornos endurecidos y de observabilidad. |
| AppLocker-Guidance | Hardening Windows | PowerShell | Activo | Guía de configuración para implementar whitelisting de aplicaciones con AppLocker, útil para reducir superficie de ataque en endpoints Windows. |
| Hardware-and-Firmware-Security-Guidance | Hardening / firmware | C | Activo | Guía técnica para mitigaciones de Spectre, Meltdown, Foreshadow y otras vulnerabilidades de hardware/firmware. |
| BAM | Forense Windows | Python | Activo | Binary Analysis Metadata; recolecta metadatos de binarios Windows para facilitar su análisis. |
| ELITEWOLF | ICS/OT monitoring | — | Activo | Monitoreo de seguridad para OT; orientado a vigilancia de entornos industriales. |
| Mitigating-Web-Shells | Detección / defensa | YARA | Activo | Contiene reglas YARA y guía para mitigar web shells, útil para hunting y respuesta a incidentes. |
| Event-Forwarding-Guidance | Hardening / logging | PowerShell | Activo | Guía para implementar Windows Event Forwarding y recolectar eventos de seguridad de forma centralizada. |
| GRASSMARLIN | ICS/SCADA | Java | Archivado | Mapea pasivamente topologías ICS/SCADA, hace descubrimiento seguro de dispositivos y aporta conciencia situacional para evaluaciones de red. |
| serial2pcap | ICS/SCADA / forense de tráfico | Python | Archivado | Convierte datos seriales, típicos de dispositivos ICS, a PCAP para análisis en herramientas de red. |
| WALKOFF | Automatización / orquestación | Python | Archivado | Framework flexible para automatizar tareas repetitivas e integrar componentes y dispositivos; útil como SOAR de laboratorio o referencia arquitectónica. |
| unfetter | Detección de brechas defensivas | — | Archivado | Identifica brechas defensivas usando MITRE ATT&CK, útil para evaluación de postura y cobertura. |
| Windows-Secure-Host-Baseline | Hardening Windows | HTML | Archivado | Documenta configuraciones base seguras para Windows 10 y Windows Server 2016 en contexto DoD (Departamento de Defensa de EE.UU.). |
| BitLocker-Guidance | Hardening / cifrado | HTML | Archivado | Guía técnica para implementar BitLocker y endurecer cifrado de disco completo en Windows. |
Otros proyectos del catálogo histórico:
- Certificate Authority Situational Awareness (CASA): herramienta para detectar en Windows certificados digitales no previstos y no autorizados.
- Control Flow Integrity: técnica basada en hardware para la prevención de la explotación de la corrupción de memoria.
- Open Attestation: proyecto para la recuperación remota y la verificación de la integridad del sistema utilizando el Trusted Platform Module (TPM).
- RedhawkSDR: framework de sistema de radio definido por software para el desarrollo, despliegue y gestión de aplicaciones de radio en tiempo real.
El número de repositorios cambia con el tiempo: los proyectos se añaden, se archivan o desaparecen del catálogo público.
Ghidra de la NSA: el proyecto estrella en código abierto
Qué es Ghidra y qué resuelve
Ghidra es un framework de ingeniería inversa creado y mantenido por la NSA, con soporte para múltiples arquitecturas, formatos ejecutables y ejecución interactiva o automatizada. Su conjunto de capacidades incluye desensamblado, ensamblado, decompilación, graficado y scripting, además de extensibilidad con Java y Python.
Se presentó públicamente en marzo de 2019 en la RSA Conference, y las fuentes se publicaron en GitHub poco después. La adopción en la comunidad fue inmediata porque ofrecía una suite de análisis muy completa sin coste de licencia.
Ghidra democratizó capacidades antes asociadas a herramientas comerciales de alto coste. Encaja muy bien en flujos de análisis de malware, auditoría de binarios y research de vulnerabilidades.
Ghidra vs IDA Pro vs radare2
| Herramienta | Fortalezas | Limitaciones relativas |
|---|---|---|
| Ghidra | Gratis, open source, decompilador muy capaz, multiplataforma, scripting y extensibilidad. | Interfaz y flujo de trabajo menos pulido que IDA para algunos analistas veteranos. |
| IDA Pro | Estándar comercial muy maduro para reversa profesional. | Pago, modelo propietario y barrera de coste para uso amplio. |
| radare2 | Open source, muy potente y flexible, fuerte en CLI y automatización. | Curva de aprendizaje alta y UX menos amigable para muchos usuarios. |
Ghidra suele verse como una alternativa seria a IDA Pro y un complemento o competidor de radare2 dentro de la comunidad de ingeniería inversa.
Ghidra desde el ángulo ofensivo
Para un operador técnico, Ghidra es útil durante la ingeniería inversa de protocolos de red propietarios o poco documentados encontrados en la infraestructura del objetivo, el desarrollo de exploits personalizados o la auditoría de cajas negras para evadir soluciones de antivirus y EDR.
En la actualidad sigue siendo la referencia open source del sector. La release Ghidra 12.1 (mayo de 2026) demuestra que el proyecto sigue activo: motor de descompilación maduro, arquitectura colaborativa e integración constante de nuevos plugins la hacen obligatoria para cualquier operador técnico que trabaje con binarios. Es el caso más claro de herramienta NSA que pasó de ser interna a estándar de la industria.
GRASSMARLIN: mapeo pasivo de redes ICS/SCADA
Desde nuestra experiencia auditando entornos OT, GRASSMARLIN cumple una función que pocas herramientas open source cubren: generar conciencia situacional en redes de Tecnología de Operaciones y SCADA de forma estrictamente pasiva.
El detalle no es menor: los Controladores Lógicos Programables (PLCs) antiguos suelen fallar o reiniciarse ante escaneos activos tradicionales. En infraestructuras críticas, plantas de manufactura o redes energéticas, un escaneo Nmap mal calibrado puede derribar un proceso productivo entero.
GRASSMARLIN se usa en la fase de enumeración durante auditorías de infraestructuras críticas. Permite ingerir tráfico capturado (PCAP) para descubrir flujos de comunicación y mapear la topología de la red industrial sin generar ruido. Como alternativas están Wireshark, que requiere disección y correlación manual profunda; Tenable.ot; y las plataformas pasivas de Claroty.
GRASSMARLIN conserva valor técnico como mapeador pasivo ICS/SCADA en laboratorios, análisis histórico de PCAPs y entornos estrictamente controlados. Pero su repositorio está archivado, el proyecto fue declarado EOL y no se esperan parches: ya no debería presentarse como herramienta de reconocimiento de primera línea en producción.
Caso 2026: el aviso de CISA y el riesgo de las herramientas EOL
GRASSMARLIN es también una lección práctica sobre los riesgos de las herramientas archivadas. El 28 de abril de 2026, CISA publicó el aviso de seguridad ICSA-26-118-01 asociado a CVE-2026-6807 (CWE-611, CVSS 3.1 con vector AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N, severidad media 5.5) que afecta a todas las versiones de GRASSMARLIN, incluida la última (v3.2.1).
La vulnerabilidad es de tipo XXE (XML External Entity): datos de sesión XML manipulados referencian entidades externas en el DTD, logrando exfiltración out-of-band de archivos sensibles —contenido codificado en base64 y enviado en múltiples chunks para evadir filtros de logs—. La prueba de concepto pública fue publicada por Anna Quinn (Rapid7) y requiere el JRE empaquetado con el instalador más la apertura de un archivo de sesión malicioso mediante phishing dirigido.
Según el aviso, la NSA confirmó a CISA que GRASSMARLIN alcanzó EOL en 2017, que el proyecto está archivado y que no hay parches ni actualizaciones previstas. La comunidad infosec lo usa como recordatorio de la deuda técnica en OT y de que ni la NSA se libra de bugs.
Para un equipo que todavía dependa de GRASSMARLIN, la mitigación realista no es “seguir usándolo con cuidado” en producción, sino aislar su ejecución, restringir los archivos de sesión a fuentes confiables, tratar sus outputs como sensibles y planificar migración hacia alternativas mantenidas.
WALKOFF: automatización y orquestación tipo SOAR
WALKOFF es un framework flexible para automatizar tareas repetitivas e integrar componentes y dispositivos. Permite conectar múltiples herramientas, scripts y APIs para ejecutar secuencias lógicas complejas sin intervención manual continua, en una arquitectura tipo SOAR (Security Orchestration, Automation and Response).
En ejercicios de red team, WALKOFF es útil para la gestión dinámica de la infraestructura de ataque. Permite encadenar la recolección de inteligencia de fuentes abiertas (OSINT), automatizar la rotación de direcciones IP en despliegues de Command and Control (C2) o ejecutar ataques coordinados de fuerza bruta reaccionando a las defensas perimetrales del objetivo. Como alternativas están n8n, Ansible y Cortex XSOAR.
Hoy su adopción es circunstancial. El repositorio fue archivado por nsacyber el 14 de abril de 2023 y quedó en modo read-only, sin nuevos commits ni parches. Muchos operadores prefieren escribir sus propios scripts modulares en Python o usar n8n por su extrema agilidad en la nube.
Si estás montando un SOAR de laboratorio, recuperando flujos de trabajo existentes o usándolo como referencia arquitectónica, sigue teniendo valor; para despliegues nuevos en producción, mejor evaluar alternativas mantenidas.
La controversia: ¿se puede confiar en código publicado por la NSA?
Snowden y la crisis de confianza
Las revelaciones de Edward Snowden en 2013 expusieron programas masivos de vigilancia de la NSA: PRISM, XKeyscore, recolección de metadatos, entre otros. Esto generó una crisis global de confianza. Se acusó a Estados Unidos de espiar a aliados, ciudadanos y empresas, dañando la imagen de la NSA como agencia defensiva y exponiendo su enorme capacidad ofensiva y su secretismo.
Shadow Brokers, EternalBlue y WannaCry
En 2016 y 2017 llegó el golpe de los Shadow Brokers, un grupo de hackers cuyo origen nunca se atribuyó oficialmente pero sobre el que circularon hipótesis vinculadas a Rusia. Filtraron herramientas reales del Equation Group, asociado a la unidad Tailored Access Operations (TAO) de la NSA. Los leaks incluyeron zero-days como EternalBlue, un exploit SMB para Windows, DoublePulsar como backdoor, y herramientas para Cisco, Fortinet y otros firewalls y routers.
Expertos y documentos de Snowden confirmaron su origen NSA. El impacto fue devastador. EternalBlue impulsó WannaCry en mayo de 2017, con cientos de miles de sistemas infectados en 150 países, y posteriormente NotPetya. La comunidad criticó duramente a la NSA por acumular vulnerabilidades en lugar de aplicar divulgación responsable vía el Vulnerabilities Equities Process (VEP), y por su propia opsec deficiente, ya fuera por filtración interna o por hackeo.
La apuesta de la NSA por la transparencia
En este clima de desconfianza, la NSA comenzó a liberar herramientas open source en GitHub bajo la cuenta NationalSecurityAgency. Ghidra y GRASSMARLIN fueron las más destacadas. La agencia presentó esa liberación como una forma de nivelar el campo de juego, promover la educación en ciberseguridad y atraer talento.
Los defensores (mayoritarios entre profesionales de malware analysis, RE, DFIR, vuln research y CTFs) sostienen que Ghidra es estándar de facto hoy. Es gratis, potente —en muchos casos superior a IDA Pro en decompilación y scripting— y la comunidad lo ha auditado intensamente durante años sin encontrar backdoors ni telemetría maliciosa.
En la presentación pública de Ghidra en RSA 2019, Rob Joyce (entonces senior advisor de la NSA) dijo: “No hay backdoor en Ghidra. Esta es la última comunidad a la que querrías lanzar algo con un backdoor instalado, gente que caza este tipo de cosas para desarmarlas”.
La transparencia open source más la revisión comunitaria lo hace más seguro que muchas herramientas propietarias. Si la NSA introdujera un backdoor o telemetría oculta, su reputación se destruiría y la herramienta se volvería inútil, o un arma en su contra.
Los críticos (más fuertes en círculos privacy-focused, anti-gobierno o paranoicos sanos de infosec) responden con una pregunta directa: después de Snowden por vigilancia masiva y de Shadow Brokers por la NSA hackeada o el leak interno con exploits que dañaron al mundo, ¿por qué fiarte? Podría haber backdoors sutiles, exfiltración de datos de uso, o riesgos legales y de atribución (si usas herramientas de la NSA, ¿te vigilan más?).
La recomendación típica de este sector es compilar desde fuente, auditar el código uno mismo o con herramientas, ejecutarlo solo en VMs aisladas, y evitarlo para operaciones de alto riesgo.
Nuestra recomendación práctica
Ghidra: imprescindible. Si trabajas en RE, análisis de malware, desarrollo de exploits o auditoría de binarios, no usarla hoy en día es absurdo. Compílala desde fuente si tu threat model incluye a la propia NSA, ejecútala en una VM aislada si te quedas más tranquilo, pero úsala.
GRASSMARLIN: legacy con valor limitado. Aún tiene utilidad para entender mapeo pasivo ICS/SCADA o revisar PCAPs y sesiones en entornos controlados, pero no debería tratarse como primera opción en producción. Está EOL desde 2017, archivado y tiene un aviso de CISA. Aíslalo, no lo expongas a tráfico no controlado, y planifica migración si lo usas en producción.
WALKOFF: opcional. Si ya tienes scripts propios o usas n8n, no aporta. Si estás armando un SOAR de laboratorio o necesitas estandarizar procedimientos en equipo, evalúalo.
El resto del catálogo: las guías de hardening (AppLocker, BitLocker, Event Forwarding, Hardware and Firmware Security) son material de referencia útil incluso si no estás en entorno DoD. BAM y Mitigating-Web-Shells valen revisión si haces forense Windows o respuesta a incidentes con web shells. Si buscas explorar más, también revisa otros repositorios de GitHub que vale la pena conocer.
Ningún código es 100% confiable por origen. Compila desde fuente lo crítico, audita lo que importa y aísla lo que dudes — la misma regla que aplicas con cualquier otra herramienta.
