120426PAECISIFIAA PROGRAMA DE ALTA ESPECIALIZACION EN CIBERDEFENSA, INGENIERIA DE SEGURIDAD E INFORMATICA FORENSE CON IA APLICADA

INTRODUCCIÓN E INFRAESTRUCTURA TECNOLÓGICA SEGURA

Objetivo
Comprender la arquitectura tecnológica moderna, el panorama actual de
amenazas y los principios fundamentales de protección digital, estableciendo la
base técnica del programa.

1. Evolución y Contexto de la Ciberseguridad

• Transformación digital y expansión del perímetro
• Evolución del cibercrimen y ransomware
• Tendencias actuales: APT, cadena de suministro, IA

2. Panorama de Amenazas

• Malware, ransomware, DDoS, ingeniería social
• Superficie de ataque: on-premise, cloud, móvil, IoT
• Impacto financiero, legal y reputacional

3. Actores del Ecosistema

• Hackers éticos y cibercriminales
• Grupos APT y hacktivistas
• Insider threats
• Introducción a Threat Intelligence y TTPs

4. Infraestructura Tecnológica

• Fundamentos de redes (IP, puertos, segmentación)
• Sistemas operativos (Windows y Linux)
• Virtualización y laboratorios
• Cloud Computing (IaaS, PaaS, SaaS)
• Modelo de responsabilidad compartida

5. Principios Fundamentales

• Triada CIA
• Autenticidad y trazabilidad
• Controles preventivos, detectivos y correctivos
• Clasificación de activos y mínimo privilegio

6. Tecnologías Emergentes

• Riesgos en IoT y OT
• Protección en Big Data
• IA ofensiva y defensiva

7. Roles y Certificaciones

• Analista SOC, Pentester, Forense, DevSecOps
• CISO y Arquitecto de Seguridad
• Certificaciones clave: Security+ , CEH, CISSP, ISO 27001

FUNDAMENTOS DE CIBERSEGURIDAD Y GOBIERNO DIGITAL

Objetivo
Comprender la seguridad desde una perspectiva estratégica y organizacional, alineada a estándares internacionales, gobierno digital y arquitectura empresarial. Este módulo forma la base para perfiles de arquitecto de seguridad y CISO junior.

1. Principios Modernos de Seguridad
1.1 Evolución del modelo tradicional al modelo moderno

• Seguridad perimetral vs seguridad distribuida
• Cambio de enfoque: prevenir vs detectar y responder

1.2 Principios fundamentales ampliados

• Confidencialidad, Integridad y
• Disponibilidad
• Autenticidad y no repudio
• Principio de mínimo privilegio
• Segregación de funciones
• Gestión de identidad y acceso (IAM)

1.3 Seguridad basada en riesgo

• Identificación de activos críticos
• Evaluación de impacto
• Prioridad basada en criticidad

2. Zero Trust
2.1 Concepto central

• “Never trust, always verify”
• Eliminación del perímetro tradicional

2.2 Componentes clave

• Autenticación multifactor (MFA)
• Microsegmentación
• Verificación continua
• Control de acceso contextual

2.3 Implementación práctica

• Zero Trust en redes corporativas
• Zero Trust en entornos cloud
• Beneficios y desafíos organizacionales

3. Defensa en Profundidad
3.1 Capas de protección

• Seguridad física
• Seguridad de red
• Seguridad de endpoints
• Seguridad de aplicaciones
• Seguridad de datos

3.2 Controles preventivos, detectivos y correctivos
3.3 Integración con SOC y monitoreo continuo
4. Gobierno Digital y Soberanía de Datos
4.1 Gobierno digital

• Transformación digital del Estado
• Protección de servicios públicos digitales
• Interoperabilidad segura

4.2 Soberanía tecnológica

• Protección de datos nacionales
• Dependencia tecnológica extranjera
• Regulación y jurisdicción de datos

4.3 Modelos de madurez digital
5. Marcos Normativos y Cumplimiento ISO 27001

• Estructura del SGSI
• Ciclo PHVA
• Gestión de riesgos
• Controles del Anexo A

ISO 27002

• Buenas prácticas de controles
• ENS (Esquema Nacional de Seguridad)
• Niveles de seguridad
• Categorías de sistemas

GDPR y protección de datos

• Principios de tratamiento
• Derechos del titular
• Sanciones y cumplimiento

6. Cultura Organizacional de Seguridad
6.1 Concientización y capacitación

• Programas de awareness
• Simulaciones de phishing

6.2 Roles y responsabilidades

• CISO
• Comité de seguridad
• Responsables de procesos

6.3 Gestión del cambio y resistencia organizacional
7. Protección de Infraestructuras Críticas
7.1 Sectores críticos

• Energía
• Salud
• Finanzas
• Telecomunicaciones

7.2 Riesgos en entornos OT

• Sistemas industriales (ICS/SCADA)
• Interrupción de servicios esenciales

7.3 Resiliencia y continuidad operativa
8. Arquitectura Básica de Defensa
8.1 Componentes fundamentales

• Firewall
• IDS/IPS
• SIEM
• EDR/XDR

8.2 Segmentación de redes
8.3 Monitoreo y respuesta temprana

FUNDAMENTOS TÉCNICOS AVANZADOS PARA RED TEAM

Objetivo
Desarrollar dominio técnico de redes, protocolos y arquitectura de sistemas desde una perspectiva ofensiva, comprendiendo cómo los atacantes explotan configuraciones, servicios y debilidades estructurales. Este módulo construye la base técnica para explotación real en módulos posteriores.

1. OSI y TCP/IP Aplicado a Ataques
1.1 Modelo OSI aplicado a vectores de ataque

• Capa 2: ARP spoofing, VLAN hopping (conceptual)
• Capa 3: IP spoofing
• Capa 4: Escaneo de puertos (TCP SYN, FIN)
• Capa 7: Ataques a aplicaciones web

1.2 TCP/IP en escenarios ofensivos

• Handshake TCP y manipulación
• Estados de conexión
• Flags TCP y su uso en evasión
• Concepto de socket

1.3 Análisis de tráfico

• Identificación de tráfico sospechoso
• Reconocimiento pasivo vs activo

2. Protocolos Críticos y su Explotabilidad
2.1. HTTP / HTTPS

• Métodos HTTP
• Códigos de estado
• Manipulación de headers
• Enumeración de directorios
• Concepto de interceptación

2.2. DNS

• Resolución y recursividad
• DNS enumeration
• Transferencias de zona (AXFR)
• DNS tunneling (conceptual)

2.3. SMB

• Compartición de recursos
• Enumeración de shares
• SMB signing
• Riesgos de versiones antiguas

2.4. Kerberos

• Autenticación basada en tickets
• TGT y TGS
• Concepto de Kerberoasting (introductorio)
• Importancia en entornos Active Directory

3. Subnetting Ofensivo y Movimiento en Red

3.1 Identificación de redes internas

• CIDR
• Segmentación de red
• Detección de hosts activos

3.2 Escaneo estratégico

• Identificación de subredes mal segmentadas
• Reconocimiento interno

3.3 Movimiento lateral (base conceptual)

• Pivoting (concepto)
• Importancia de segmentación

4. Hardening Linux y Windows (Perspectiva Ofensiva)
4.1 Linux

• Gestión de permisos
• SUID/SGID
• Servicios expuestos
• Cron jobs mal configurados

4.2 Windows

• Políticas de contraseña
• Servicios vulnerables
• Permisos NTFS
• Usuarios privilegiados

4.3 Análisis de configuración insegura

• Superficie de ataque local
• Principio de mínimo privilegio

5. Introducción Práctica a MITRE ATT&CK
5.1 Estructura del framework

• Tácticas
• Técnicas
• Subtécnicas

5.2 Mapeo de actividades ofensivas

• Reconnaissance
• Initial Access
• Privilege Escalation
• Lateral Movement

5.3 Uso práctico

• Relacionar técnicas vistas en clase con MITRE
• Entender cómo documentar un ataque

6. Modelado de Amenazas (STRIDE)
6.1 Concepto de threat modeling

• Identificación de activos
• Identificación de amenazas

6.2 Modelo STRIDE

• Spoofing
• Tampering
• Repudiation
• Information Disclosure
• Denial of Service
• Elevation of Privilege

6.3 Aplicación práctica

• Modelado simple de una aplicación web
• Identificación de posibles vectores

OSINT Y GESTIÓN PROFESIONAL DE VULNERABILIDADES

Objetivo
Desarrollar la capacidad de identificar, analizar y priorizar vulnerabilidades a través de técnicas de reconocimiento estratégico (OSINT), enumeración avanzada y evaluación técnica, generando reportes profesionales alineados a estándares internacionales.

1. OSINT Estratégico
1.1 Fundamentos de OSINT

• Diferencia entre reconocimiento pasivo y activo
• Marco legal y límites éticos
• Importancia del footprinting en Red Team

1.2 Recolección de información pública

• Dominios y subdominios
• WHOIS y DNS records
• Metadata en documentos públicos
• Correos electrónicos expuestos
• Filtraciones y data leaks

1.3 OSINT corporativo

• Identificación de empleados clave
• Infraestructura expuesta
• Tecnologías utilizadas
• Huella digital organizacional

1.4 Herramientas OSINT

• theHarvester
• Amass
• Maltego (conceptual)
• Shodan (búsqueda de servicios expuestos)
• Google Dorking

2. Enumeración Avanzada
2.1 Diferencia entre escaneo y enumeración
2.2 Enumeración de servicios

• HTTP
• SMB
• FTP
• SSH
• DNS

2.3 Enumeración de usuarios

• Identificación de cuentas válidas
• Exposición de recursos compartidos

2.4 Banner Grabbing

• Identificación de versiones de servicios
• Detección de software vulnerable

2.5 Enumeración interna vs externa

3. Nmap Avanzado
3.1 Técnicas de escaneo

• SYN scan
• UDP scan
• Version detection (-sV)
• OS detection (-O)

3.2 Scripts NSE

• Escaneo de vulnerabilidades básicas
• Enumeración SMB
• Detección de configuraciones débiles

3.3 Interpretación de resultados

• Identificación de riesgo real
• Servicios críticos expuestos
• Puertos innecesarios abiertos

4. Escáneres de Vulnerabilidades

• Nessus / OpenVAS

4.1 Fundamentos de escaneo autenticado vs no autenticado

4.2 Clasificación automática de vulnerabilidades
4.3 Interpretación de hallazgos
4.4 Falsos positivos
4.5 Priorización técnica
5. CVE y CVSS
5.1 ¿Qué es un CVE?

• Identificador único
• Base de datos NVD

5.2 Sistema CVSS

• Base Score
• Temporal Score
• Environmental Score

5.3 Priorización basada en riesgo real

• No todo CVSS 9 es crítico para tu entorno
• Contextualización del riesgo

6. Attack Surface Management (ASM)
6.1 Concepto de superficie de ataque

• Activos expuestos
• Shadow IT
• Subdominios olvidados

6.2 Identificación de activos no documentados
6.3 Gestión continua de exposición
6.4 Relación con programas de Bug Bounty
7. Reportes Técnicos y Ejecutivos
7.1 Estructura de reporte técnico

• Resumen ejecutivo
• Alcance
• Metodología
• Hallazgos
• Evidencias
• Impacto
• Recomendaciones

7.2 Diferencia entre reporte técnico y ejecutivo
7.3 Comunicación para directivos
7.4 Métricas de riesgo

• Nivel de criticidad
• Impacto en negocio
• Tiempo estimado de remediación

EXPLOTACIÓN, ACTIVE DIRECTORY Y POSTEXPLOTACIÓN

Objetivo
Desarrollar la capacidad de explotar vulnerabilidades en entornos controlados, mantener
acceso, escalar privilegios y comprender cómo operan los equipos Red Team en escenarios
corporativos reales.

1. Metodología PTES (Penetration Testing Execution Standard)
1.1 Fases del Pentesting Profesional

• Pre-engagement (alcance y reglas)
• Intelligence Gathering
• Threat Modeling
• Vulnerability Analysis
• Exploitation
• Post-Exploitation
• Reporting

1.2 Reglas de compromiso (RoE)

• Autorización formal
• Limitaciones legales
• Manejo responsable de hallazgos

1.3 Diferencia entre:

• Pentest
• Red Team
• Vulnerability Assessment
• Metasploit Avanzado

2.1 Arquitectura de Metasploit

• Exploits
• Payloads
• Encoders
• Auxiliary modules

2.2 Configuración de exploits

• Selección de payload
• Reverse vs Bind shell
• Configuración de LHOST y LPORT

2.3 Uso práctico

• Explotación de servicios vulnerables
• Generación de sesiones Meterpreter
• Gestión de múltiples sesiones

2.4 Post-explotación con Meterpreter

• Enumeración de sistema
• Dump básico de información
• Pivoting introductorio

3. Explotación Manual
3.1 Identificación de vulnerabilidades explotables

• Versiones vulnerables
• Servicios mal configurados

3.2 Explotación sin framework

• Uso básico de netcat
• Manipulación manual de servicios
• Exploits públicos (conceptual)

3.3 Importancia del entendimiento técnico

• Qué hace realmente un exploit
• Cómo funciona una vulnerabilidad

4. Reverse Shells
4.1 Concepto técnico

• Diferencia entre bind shell y reverse shell
• Flujo de comunicación

4.2 Generación de reverse shells

• Netcat
• Bash reverse shell
• Payloads simples

4.3 Manejo de sesiones

• Estabilización de shell
• Obtención de información del sistema

5. Privilege Escalation
5.1 Escalada en Linux

• SUID mal configurado
• Permisos débiles
• Servicios vulnerables
• Cron jobs inseguros

5.2 Escalada en Windows

• Servicios vulnerables
• Permisos inseguros
• Usuarios con privilegios excesivos

5.3 Identificación de vectores locales

• Enumeración post-explotación
• Herramientas automatizadas (introductorio)

6. Fundamentos de Active Directory
6.1 Arquitectura básica

• Dominio
• Controlador de dominio
• Usuarios y grupos
• Políticas de grupo (GPO)

6.2 Autenticación en AD

• Kerberos
• NTLM

6.3 Riesgos comunes en AD

• Usuarios privilegiados mal gestionados
• Contraseñas débiles
• Permisos excesivos

7. Movimiento Lateral (Conceptual)
7.1 ¿Qué es movimiento lateral?

• Acceso a otros sistemas dentro de la red

7.2 Técnicas comunes (introductorio)

• Uso de credenciales comprometidas
• Pivoting
• Uso de sesiones activas

7.3 Importancia de segmentación de red
8. Introducción a Red Team Operations
8.1 Diferencia entre Pentest y Red Team

• Objetivo técnico vs objetivo estratégico

8.2 Simulación adversarial

• Emulación de amenazas reales
• Persistencia
• Evasión básica (conceptual)

8.3 Coordinación con Blue Team (Purple Teaming)

ANÁLISIS Y GESTIÓN DE VULNERABILIDADES

1. Arquitectura de Aplicaciones Modernas

• Arquitectura monolítica vs microservicios
• Frontend vs Backend vs API
• SPA (Single Page Applications)
• Flujo real de autenticación moderna
• Seguridad en arquitectura web
• Laboratorio:
  • Mapear arquitectura de una app real
  • Identificar superficie de ataque

2. OWASP Top 10 Aplicado

• Broken Access Control (profundo)
• Injection
• Security Misconfiguration
• Insecure Design
• Laboratorio:
  • Identificación en OWASP Juice Shop
  • Clasificación por impacto real

3. SQL Injection Avanzado

• Blind SQLi avanzada
• Time-based
• Bypass WAF (conceptual)
• Data exfiltration estratégica
• Laboratorio:
  • Explotación manual
  • Automatización con SQLMap
  • Extracción controlada

4. XSS Avanzado & Client-Side Attacks

• DOM-based XSS
• Stored vs Reflected
• XSS chaining
• Cookie hijacking
• CSP bypass (conceptual)
• Laboratorio:
  • Crear payload personalizado
  • Robo de sesión controlado

5. Broken Access Control & IDOR (Profundo)

• Escalada horizontal
• Escalada vertical
• Mass assignment
• Manipulación de parámetros
• Laboratorio:
  • Enumeración automatizada
  • Exfiltración de datos sensibles

6. Seguridad en APIs REST (OWASP API Top 10)

• BOLA (Broken Object Level Authorization)
• Broken Authentication
• Excessive Data Exposure
• Rate limiting
• API fuzzing
• Laboratorio:
  • Testeo con:
    • Burp
    • Postman
    • Intruder
    • Ataque a API vulnerable

7. JWT y OAuth2 Ataques Reales

• Anatomía JWT
• Ataque alg:none
• Key confusion attack
• JWT brute forcing
• OAuth2 flows inseguros
• Token replay
• Laboratorio:
  • Modificar JWT
  • Crackear firma débil
  • Simular bypass de autenticación

8. SSRF y Vulnerabilidades Modernas

• SSRF hacia metadata AWS
• Server-side template injection
• Deserialización insegura (intro)
• File upload exploitation
• Laboratorio:
  • Explotación SSRF
  • Enumeración interna

9. Seguridad en Aplicaciones Móviles

• Análisis estático APK
• Reverse básico
• Extracción de secretos
• Almacenamiento inseguro
• Interceptación de tráfico móvil
• Laboratorio:
  • Decompilar APK
  • Buscar API keys
  • Interceptar tráfico HTTPS con proxy

10. Web Pentest End-to-End (Proyecto final del Módulo)

• Pentest completo a:
  • Aplicación web vulnerable
  • API vulnerable
  • Mini evaluación móvil
  • Debe incluir:
    • Recon específico web
    • Explotación
    • Prueba de impacto
    • Evidencias técnicas

CIBERATAQUES, MÉTODOS OFENSIVOS Y DEFENSA ACTIVA

Objetivo
Desarrollar la capacidad de monitorear, detectar, analizar y responder a incidentes de seguridad en un entorno SOC real, utilizando SIEM, técnicas de correlación y marcos como MITRE ATT&CK. Este módulo forma el núcleo operativo defensivo del programa.

1. Arquitectura SOC
1.1 ¿Qué es un SOC?

• Función estratégica y operativa
• Diferencia entre SOC interno y SOC externalizado (MSSP)

1.2 Estructura del SOC

• SOC Tier 1 (monitorización y triage)
• SOC Tier 2 (análisis profundo)
• SOC Tier 3 (threat hunting y respuesta avanzada)

1.3 Componentes tecnológicos

• SIEM
• EDR/XDR
• Firewalls
• IDS/IPS
• Threat Intelligence Feeds

1.4 Flujos de trabajo

• Gestión de alertas
• Triage
• Escalamiento
• Documentación de incidentes

2. SIEM – Splunk / Wazuh
2.1 Fundamentos de un SIEM

• Recolección de logs
• Normalización
• Indexación
• Correlación
• Generación de alertas

2.2 Tipos de logs

• Logs de autenticación
• Logs de firewall
• Logs de servidor
• Logs de endpoints
• Logs de aplicaciones

2.3 Consultas básicas

• Búsqueda por IP
• Búsqueda por usuario
• Identificación de múltiples intentos fallidos
• Detección de patrones anómalos

2.4 Dashboards y visualización

• Creación de paneles de monitoreo
• Métricas de seguridad
• Indicadores clave (KPIs SOC)

3. Correlación de Eventos
3.1 ¿Qué es correlación?

• Relación entre múltiples eventos
• Detección de comportamiento anómalo

3.2 Casos prácticos

• Múltiples intentos fallidos + login exitoso
• Descarga sospechosa + ejecución de proceso
• Movimiento lateral detectado por múltiples logs

3.3 Creación de reglas

• Umbrales
• Reglas basadas en comportamiento
• Reducción de falsos positivos

4. MITRE ATT&CK Aplicado
4.1 Uso del framework en SOC

• Mapear alertas a tácticas y técnicas
• Identificar fase del ataque

4.2 Tácticas relevantes en defensa

• Initial Access
• Execution
• Persistence
• Privilege Escalation
• Lateral Movement
• Exfiltration

4.3 Creación de casos de uso basados en MITRE

• Detectar brute force
• Detectar escalada de privilegios
• Detectar ejecución sospechosa

5. Threat Hunting
5.1 Diferencia entre monitoreo reactivo y hunting proactivo
5.2 Hipótesis de búsqueda

• Actividad sospechosa en cuentas privilegiadas
• Conexiones inusuales
• Procesos anómalos

5.3 Hunting basado en MITRE
5.4 Análisis de comportamiento

• Baseline de usuario
• Anomalías en horarios
• Comportamientos atípicos

6. EDR / XDR
6.1 ¿Qué es un EDR?

• Monitoreo de endpoints
• Telemetría avanzada
• Detección basada en comportamiento

6.2 XDR

• Integración multi-capa
• Visibilidad extendida

6.3 Casos de uso

• Identificación de malware
• Bloqueo de ejecución sospechosa
• Aislamiento de equipo comprometido

7. Threat Intelligence
7.1 Concepto de inteligencia de amenazas

• IOC (Indicators of Compromise)
• TTP (Tácticas, Técnicas y Procedimientos)

7.2 Fuentes de inteligencia

• Feeds abiertos
• Bases de datos públicas
• Comunidad de seguridad

7.3 Integración con SIEM

• Enriquecimiento de alertas
• Correlación con IOCs conocidos

RESPUESTA A INCIDENTES E INFORMÁTICA FORENSE

Objetivo
Aplicar un proceso estructurado de respuesta a incidentes, preservar evidencia digital correctamente y realizar análisis forense técnico para reconstruir ataques y elaborar informes profesionales.

1. Marco NIST de Incident Response (IR)

• Fases del ciclo de vida:
  • Preparación
  • Detección y análisis
  • Contención
  • Erradicación
  • Recuperación
  • Lecciones aprendidas
  • Clasificación de incidentes (malware, ransomware, acceso no autorizado, exfiltración)
  • Uso de playbooks y escalamiento interno
  • Coordinación entre SOC, TI y dirección

2. Cadena de Custodia

• Principios de integridad y trazabilidad
• Procedimiento de recolección de evidencia digital
• Generación y validación de hashes (MD5 / SHA256)
• Documentación formal de evidencias
• Errores comunes que comprometen validez legal

3. Análisis de Memoria (Volatility)

• Identificación de procesos activos y ocultos
• Detección de malware en ejecución
• Análisis de conexiones de red activas
• Identificación de persistencia en memoria
• Extracción básica de artefactos relevantes
• Análisis de Disco (Autopsy / FTK)
• Creación de imagen forense (bit a bit)
• Recuperación de archivos eliminados
• Análisis de artefactos del sistema (logs, historial, registros)
• Construcción de línea de tiempo del incidente
• Identificación de actividad sospechosa

5. Forense de Red

• Análisis de archivos PCAP
• Identificación de tráfico malicioso
• Detección de exfiltración de datos
• Reconocimiento de comunicación con servidores C2
• Correlación con otros artefactos forenses

6. Informe Técnico y Pericial

• Estructura de informe profesional:
  • Resumen ejecutivo
  • Alcance
  • Metodología
  • Evidencias técnicas
  • Línea de tiempo del ataque
  • Impacto y recomendaciones
  • Diferencia entre informe interno y pericial judicial
  • Redacción clara, objetiva y técnicamente sustentada

7. Comunicación en Crisis

• Gestión de incidentes a nivel directivo
• Comunicación con stakeholders y clientes
• Coordinación con área legal
• Manejo reputacional
• Laboratorio:
  • Caso ransomware simulado con extracción de evidencia

CLOUD SECURITY Y DEVSECOPS

Objetivo
Diseñar, proteger y automatizar infraestructuras en la nube integrando seguridad en todo el ciclo de desarrollo, bajo un enfoque moderno de Cloud Security Engineering y DevSecOps.

1. Seguridad en AWS / Azure

• Fundamentos de seguridad en la nube
• Modelo de responsabilidad compartida
• Principios de arquitectura segura
• Segmentación y aislamiento en cloud
• Controles de seguridad nativos
• Security Groups y NSG
• CloudTrail / Azure Monitor
• Logging y auditoría
• Protección contra configuraciones inseguras
• Riesgos comunes
• Buckets públicos
• Claves expuestas
• Permisos excesivos
• Recursos sin monitoreo

2. IAM Avanzado

• Principio de mínimo privilegio
• Roles vs usuario
• Políticas basadas en roles (RBAC)
• Gestión de identidades federadas
• MFA y acceso condicional
• Gestión segura de credenciales y secretos

3. Seguridad en Kubernetes

• Arquitectura de Kubernetes
• Riesgos en clústeres mal configurados
• Seguridad en API Server
• Control de acceso (RBAC)
• Network Policies
• Protección de secretos
• Hardening de nodos

4. Seguridad en Contenedores

• Riesgos en imágenes Docker
• Escaneo de vulnerabilidades en imágenes
• Imágenes mínimas y seguras
• Gestión segura de registros
• Protección en runtime
• Aislamiento y namespaces

5. Compliance en Cloud

• ISO 27017 / 27018
• SOC 2
• GDPR en entornos cloud
• Evidencias de cumplimiento
• Auditoría y monitoreo continuo

6. Secure SDLC

• Seguridad desde la fase de diseño
• Threat Modeling en desarrollo
• Revisión segura de código
• Integración temprana de controles
• DevSecOps como cultura organizacional

7. SAST / DAST

• SAST (Static Application Security Testing)
• Análisis de código fuente
• Identificación de vulnerabilidades antes del despliegue
• DAST (Dynamic Application Security Testing)
• Evaluación en ejecución
• Detección de vulnerabilidades en aplicaciones activas
• Interpretación y priorización de hallazgos

8. SBOM (Software Bill of Materials)

• Concepto y relevancia
• Identificación de dependencias vulnerables
• Gestión de librerías de terceros
• Reducción de riesgo en la cadena de suministro

9.Supply Chain Attacks

• Ataques a dependencias
• Compromiso de repositorios
• Manipulación de paquetes
• Casos reales de ataques a cadena de suministro
• Estrategias de mitigación

10. CI/CD Seguro

• Integración de controles de seguridad en pipelines
• Validación automática de código
• Escaneo de dependencias
• Gestión segura de secretos en pipelines
• Control de versiones seguro

11. Automatización con Python

• Scripts para validación de configuraciones
• Automatización de escaneo
• Consumo de APIs cloud
• Integración con pipelines
• Automatización de tareas repetitivas de seguridad
• Laboratorio:
  • Infraestructura cloud segura y pipeline protegido.

INTELIGENCIA ARTIFICIAL APLICADA A LA CIBERSEGURIDAD

Objetivo
Aplicar técnicas de Machine Learning e Inteligencia Artificial para detectar amenazas, automatizar procesos defensivos y diseñar mecanismos de defensa adaptativa en entornos corporativos.

1. Machine Learning en Detección de Anomalías

• Aprendizaje supervisado y no supervisado
• Detección de comportamiento anómalo en logs y tráfico de red
• Modelos como Random Forest, Isolation
• Forest y K-Means
• Métricas de evaluación: Precision, Recall, F1 Score
• Aplicación: identificación de usuarios, procesos
  • Conexiones sospechosas.

2. Detección de Malware con IA

• Clasificación de archivos maliciosos vs benignos
• Extracción de características (hashes, imports, strings)
• Modelos de clasificación para análisis estático
• Limitaciones y evasión adversarial
• Aplicación: modelo básico de detección automatizada de malware.

3. Redes Neuronales (CNN y LSTM)

• CNN para reconocimiento de patrones en binarios
• LSTM para análisis secuencial de eventos y logs
• Detección de ataques persistentes basados en comportamiento temporal

4. Automatización Defensiva

• Integración de modelos ML en SOC
• Reducción de falsos positivos
• Generación automática de alertas inteligentes
• Respuesta automatizada basada en reglas y comportamiento

5. IA Generativa y Simulación de Ataques

• Generación de escenarios de ataque
• Simulación avanzada de phishing
• Riesgos y ética de la IA ofensiva
• Uso de IA para pruebas de resiliencia

6. Defensa Adaptativa

• Sistemas que aprenden del comportamiento normal
• Ajuste dinámico ante nuevas amenazas
• Integración con Zero Trust y monitoreo continuo
• Seguridad basada en comportamiento en tiempo real
• Laboratorio:
  • Entrenamiento de modelo de detección de intrusiones.

ARQUITECTURA ESTRATÉGICA Y CISO TRACK

Objetivo
Diseñar, dirigir y gobernar la estrategia de ciberseguridad de una organización alineada a estándares internacionales, gestión de riesgos y arquitectura empresarial.

1. Implementación de SGSI – ISO 27001

• Estructura y alcance del Sistema de Gestión
• de Seguridad de la Información
• Identificación y clasificación de activos
• Análisis y tratamiento de riesgos
• Declaración de Aplicabilidad (SoA)
• Ciclo PHVA (Plan–Do–Check–Act)
• Auditoría interna y mejora continua

2. Gestión de Riesgos – ISO 31000

• Identificación de riesgos estratégicos y operativos
• Evaluación de probabilidad e impacto
• Matriz de riesgos y priorización
• Riesgo residual y apetito de riesgo
• Integración de riesgos tecnológicos con riesgos del negocio

3. NIST CSF 2.0

• Funciones: Govern, Identify, Protect, Detect, Respond, Recover
• Evaluación de madurez organizacional
• Creación de roadmap de mejora
• Alineación con estrategia corporativa

4. BCP / DRP (Continuidad y Recuperación)

• Análisis de impacto al negocio (BIA)
• RTO y RPO
• Estrategias de continuidad
• Plan de recuperación ante desastres
• Pruebas y simulacros

5. Zero Trust Estratégico

• Principios de arquitectura Zero Trust
• Segmentación lógica y control de acceso continuo
• Integración con IAM y monitoreo
• Implementación progresiva en entornos corporativos

6. Arquitectura Empresarial de Seguridad

• Diseño de arquitectura defensiva multicapa
• Integración de SOC, EDR, SIEM y Cloud
• Seguridad en entornos híbridos
• Gobernanza tecnológica y control transversal

7. Gestión de Crisis

• Activación de comité de crisis
• Toma de decisiones bajo presión
• Coordinación con área legal y comunicación
• Gestión reputacional y regulatoria

8. Reporte Ejecutivo a Junta Directiva

• Traducción del riesgo técnico a impacto financiero
• Métricas y KPIs estratégicos
• Presentación clara y ejecutiva
• Justificación de inversiones en seguridad