📁 ACADEMIA SI360

Ruta de Aprendizaje en Ciberseguridad

Una guía estructurada para principiantes absolutos que quieren entrar al mundo de la ciberseguridad. 5 módulos progresivos, desde los fundamentos hasta las herramientas profesionales de un analista SOC.

🔐

Módulo 1
Fundamentos

🌐

Módulo 2
Redes

🎯

Módulo 3
Amenazas

⚡

Módulo 4
Respuesta IR

🛠️

Módulo 5
Herramientas

🔐

Módulo 1 — Principiante

Fundamentos de Ciberseguridad

¿Qué protegemos y por qué? La base conceptual de toda la disciplina: CIA Triad, tipos de amenazas y actores maliciosos.

🔺 La CIA Triad — Los 3 pilares de la ciberseguridad

🔒 Confidencialidad

Solo las personas autorizadas pueden acceder a la información. Mecanismos: cifrado, control de acceso, autenticación multifactor.

✅ Integridad

Los datos no han sido modificados de forma no autorizada. Mecanismos: hashing (SHA-256), firmas digitales, control de versiones.

🟢 Disponibilidad

Los sistemas están accesibles cuando se necesitan. Mecanismos: redundancia, backups, balanceo de carga, protección DDoS.

⚠️ Tipos de amenazas

🦠 Malware

Software malicioso: virus, troyanos, gusanos, spyware. Se infiltra en el sistema para robar datos, espiar o destruir.

🎣 Phishing

Engaño por email, SMS o web falsa para robar credenciales. Técnica #1 de entrada de atacantes (82% de brechas).

💰 Ransomware

Cifra archivos y exige rescate. Variantes: Wannacry, Ryuk, LockBit. Costo promedio: $1.85M (Sophos, 2023).

🌊 DoS / DDoS

Saturar un servicio con tráfico para hacerlo inaccesible. DDoS usa miles de bots coordinados (botnet).

👥 Actores de amenaza

🎓 Script Kiddies

Sin habilidades reales, usan herramientas prefabricadas. Motivación: reconocimiento. Bajo impacto individual, alto volumen.

💸 Cibercriminales

Motivación económica: robo de datos, ransomware, fraude. Organizados, con infraestructura profesional (RaaS).

🏴 APT

Advanced Persistent Threat: atacantes patrocinados por estados. Objetivos estratégicos, sigilo extremo, meses en la red.

🏢 Insiders

Empleados maliciosos o negligentes. Tienen acceso legítimo. Son la amenaza más difícil de detectar y la más costosa.

💡 Dato Curioso

El 82% de las brechas de datos involucran un elemento humano (error, robo de credenciales o ingeniería social), según el Verizon DBIR 2023. La tecnología no es suficiente — la educación del usuario es la primera línea de defensa.

🌐

Módulo 2 — Principiante/Intermedio

Redes y Protocolos

Cómo funciona Internet, los protocolos que usamos todos los días, y cómo los firewalls protegen la red.

🌍 Cómo funciona Internet (simplificado)

📍 Dirección IP

Identificador único de cada dispositivo en red. IPv4: 4 octetos (192.168.1.1). IPv6: 128 bits (::1). Publica vs privada (RFC 1918).

📖 DNS

Traduce nombres (google.com) a IPs (142.250.80.46). Un atacante que controla DNS puede redirigirte a sitios falsos (DNS Spoofing).

🔓 HTTP vs HTTPS

HTTP envía datos en texto plano. HTTPS usa TLS para cifrar la comunicación. Nunca ingresar credenciales en HTTP puro.

📦 TCP / UDP

TCP: orientado a conexión, garantiza entrega (HTTP, SSH, FTP). UDP: sin conexión, más rápido pero sin garantía (DNS, VoIP, juegos).

🔌 Puertos importantes en seguridad

22	SSH — Secure Shell TCP	Acceso remoto cifrado a servidores Linux	Alto riesgo
80	HTTP TCP	Web sin cifrar — nunca para datos sensibles	Medio
443	HTTPS / TLS TCP	Web cifrada con certificado SSL/TLS	Bajo
3389	RDP — Remote Desktop TCP	Escritorio remoto Windows — blanco frecuente de ataques	Crítico
445	SMB — File Sharing TCP	Compartición de archivos Windows — vector de WannaCry	Crítico
53	DNS UDP/TCP	Resolución de nombres — usado en DNS tunneling por attackers	Monitorear

🛡️ Qué es un Firewall y cómo funciona

🧱 Firewall de Paquetes

Primera generación. Filtra por IP de origen/destino y puerto. Rápido pero sin contexto de la sesión ni del contenido.

🔍 Stateful Inspection

Rastrea el estado de las conexiones TCP. Permite respuestas legítimas y bloquea paquetes fuera de secuencia. El estándar actual.

🧠 NGFW (Next-Gen)

Inspección profunda de paquetes (DPI), identificación de aplicaciones, IPS integrado, sandboxing. Ej: Palo Alto, Fortinet.

☁️ WAF

Web Application Firewall: protege apps web de SQLi, XSS, CSRF. Trabaja en capa 7 (HTTP). Cloudflare WAF, AWS WAF.

💡 Dato Curioso

Shodan.io escanea internet constantemente y registra todos los servicios expuestos. Hay actualmente más de 131,000 dispositivos con RDP (puerto 3389) accesible desde internet sin autenticación multifactor. Si el tuyo está en esa lista, ya estás siendo atacado.

🎯

Módulo 3 — Intermedio

Análisis de Amenazas

Los frameworks que usan los analistas SOC para clasificar, rastrear y anticipar los movimientos de los atacantes.

🎯 MITRE ATT&CK Framework

Base de conocimiento de tácticas y técnicas usadas por atacantes reales, documentadas por el MITRE Corporation. Organiza el comportamiento adversarial en 14 tácticas.

TA0001

Initial Access — Cómo entra el atacante

TA0002

Execution — Ejecutar código malicioso

TA0003

Persistence — Mantener acceso

TA0004

Privilege Escalation — Obtener admin

TA0005

Defense Evasion — Evitar detección

TA0008

Lateral Movement — Moverse en la red

TA0010

Exfiltration — Robar datos

TA0040

Impact — Ransomware, destrucción

→ Ver el framework completo en attack.mitre.org

🔎 IOCs — Indicadores de Compromiso

🌐 IOC de Red

IPs maliciosas, dominios C2 (Command & Control), URLs de phishing. Se bloquean en firewall o proxy.

💻 IOC de Host

Hashes de archivos maliciosos (MD5, SHA-256), nombres de procesos sospechosos, claves de registry de persistencia.

📧 IOC de Email

Dominios de phishing, asuntos frecuentes, IPs de envío de spam, patrones de cabeceras.

📊 IOC Conductual

Accesos en horarios inusuales, movimientos laterales masivos, exfiltración de grandes volúmenes de datos. Detectado por UBA/UEBA.

⚔️ Cyber Kill Chain — Lockheed Martin (7 fases)

Reconnais-sance

Weaponiz-ation

Delivery

Exploita-tion

Installa-tion

Command & Control

Actions on Objectives

💡 Dato Curioso

El tiempo promedio de permanencia de un atacante en una red antes de ser detectado es de 197 días (IBM Cost of a Data Breach 2023). Eso significa que un atacante puede haber estado en tu red por 6 meses antes de que lo descubras.

⚡

Módulo 4 — Intermedio

Respuesta a Incidentes (IR)

El proceso estructurado para detectar, contener y recuperarse de un incidente de ciberseguridad según el estándar NIST 800-61.

📋 Ciclo NIST SP 800-61 Rev.2

FASE 1

Preparación

Equipo entrenado, playbooks definidos, herramientas instaladas, contactos de escalación documentados. Sin esta fase, todo lo demás falla.

FASE 2

Detección & Análisis

Identificar el incidente, determinar su alcance y severidad. ¿Qué sistemas afectados? ¿Qué datos en riesgo? Recolectar evidencia forense.

FASE 3

Contención

Aislar sistemas afectados para evitar propagación. Contención a corto plazo (apagar, desconectar) y a largo plazo (parches, cambio de credenciales).

FASE 4

Erradicación

Eliminar la causa raíz: borrar malware, cerrar backdoors, parchear la vulnerabilidad explotada, revocar cuentas comprometidas.

FASE 5

Recuperación

Restaurar sistemas desde backups limpios, verificar integridad, monitoreo intensivo post-incidente. Validar que no persista el threat actor.

FASE 6

Lecciones Aprendidas

Post-mortem 24-72h después. ¿Qué falló? ¿Qué funcionó? Actualizar playbooks. La única forma de mejorar las defensas.

👥 Roles en el Equipo de IR

🎯 Incident Commander

Coordina toda la respuesta. Toma decisiones de contención. Comunica con dirección. No necesariamente el más técnico.

🔍 Analista Forense

Preserva y analiza evidencia digital. Reconstruye la línea de tiempo del ataque. Usa Autopsy, Volatility, Wireshark.

🛡️ Threat Hunter

Busca activamente al atacante en sistemas no detectados aún. Verifica si el threat actor tiene acceso a otros sistemas.

📝 Documentador

Registra cada acción con timestamp. Cronología precisa. Esencial para el post-mortem legal y la mejora de playbooks.

📄 Cómo documentar un incidente

                    INC-2026-0514 | Severidad: CRÍTICA

                    Detectado: 2026-05-22 03:22 UTC

                    Detectado por: SIEM (Regla: Brute_Force_SSH_Success)

                    Sistemas afectados: srv-web (10.0.5.15)

                    Tipo: Brute Force SSH + Acceso No Autorizado (T1110.001)

                    IOCs: IP 185.220.101.42, user "deploy"

                    Acciones tomadas: [03:25] IP bloqueada FW-01 | [03:27] Cuenta deshabilitada AD

                    Estado: Contenido — Pendiente erradicación y forense

💡 Dato Curioso

El costo promedio de una brecha de datos en 2023 fue de $4.45 millones USD (IBM). Las organizaciones con equipos de IR bien entrenados reducen ese costo en promedio un 54%. Invertir en el equipo humano tiene el mayor ROI en ciberseguridad.

🛠️

Módulo 5 — Avanzado

Herramientas SOC y Carrera Profesional

El stack tecnológico de un analista SOC moderno y el camino de certificaciones para construir una carrera en ciberseguridad.

🖥️ SIEM — Security Information and Event Management

📊 Splunk Enterprise

Líder del mercado. Potente lenguaje SPL para búsquedas. Alto costo pero máxima flexibilidad. Base para el rol de Splunk Admin/Developer.

🔍 Elastic (ELK Stack)

Open source. Elasticsearch + Logstash + Kibana. El SIEM más usado en startups y MiPyMEs por su costo. Elastic SIEM es la capa de seguridad.

☁️ Microsoft Sentinel

SIEM nativo en Azure. Integración directa con el ecosistema Microsoft. KQL como lenguaje de consulta. Crecimiento acelerado en empresas con Azure.

🏢 IBM QRadar

Muy utilizado en grandes corporaciones y gobierno. Potente motor de correlación. Requiere especialización para administración y tuning.

🛡️ EDR — Endpoint Detection & Response

🦅 CrowdStrike Falcon

Líder en EDR. Detección basada en comportamiento, IA/ML. Falcon Prevent (AV), Falcon Insight (EDR), Falcon X (Threat Intel).

🤖 Microsoft Defender

Integrado en Windows 10/11. MDE (Defender for Endpoint) es la versión enterprise. Gratuito para entornos Microsoft — gran ROI.

🌟 SentinelOne

EDR autónomo que puede responder sin intervención humana. Purple AI para análisis asistido. Fuerte en automatización de respuesta.

🔬 Palo Alto Cortex

Plataforma XDR que unifica EDR, red y nube. Cortex XSOAR para automatización. Muy presente en empresas grandes de América Latina.

🌍 Threat Intelligence Gratuita

🦠 VirusTotal

Analiza archivos, URLs, IPs y hashes con 70+ motores antivirus. Gratis para consultas básicas. Esencial en cualquier investigación SOC.

🚨 AbuseIPDB

Base de datos global de IPs maliciosas reportadas. Score de abuso 0-100%. 1,000 consultas/día gratis. Integrado en SI360 Cyber Range.

🔍 Shodan.io

Buscador de dispositivos conectados a internet. Fundamental para reconocimiento defensivo: ver qué servicios tuyos son visibles.

🌐 AlienVault OTX

Plataforma comunitaria de threat intelligence. Pulsos con IOCs compartidos por la comunidad. API gratuita para integración con SIEM.

🏆 Ruta de Certificaciones Recomendada

Nivel Entrada

CompTIA Security+

CompTIA · $300-400 · Reconocida por el gobierno de EE.UU.

Nivel Medio

CEH (v12)

EC-Council · Ethical Hacking conceptual · Muy demandada en LATAM

SOC Especializado

GCIH / GCIA

GIAC (SANS) · Incident Handler / Analyst · Muy técnicas

Nivel Avanzado

OSCP

Offensive Security · Penetration Testing · Certificación práctica #1

Cloud Security

AWS Security Specialty

Amazon · Seguridad en infraestructura cloud AWS

Gestión

CISSP

ISC² · Chief Information Security Officer · Requiere experiencia

💡 Dato Curioso

Hay más de 3.5 millones de posiciones de ciberseguridad sin cubrir en el mundo en 2023 (ISC² Workforce Study). En América Latina la brecha es especialmente grande. El déficit de talento es tu oportunidad: el salario promedio de un analista SOC certificado en Colombia supera los $8 millones COP/mes.

📚 Recursos y Documentos

📄

Manual Auditoría Linux

Guía de comandos, revisión de logs y hardening básico en sistemas Linux/Unix.

PDF · Descarga

📄

Guía Palo Alto Cortex XDR

Uso de la plataforma Cortex XDR para detección y respuesta a incidentes en endpoints.

PDF · Descarga

📄

Protocolo NIST 800-61

Procedimiento completo de respuesta a incidentes basado en el estándar NIST SP 800-61 Rev.2.