Wiki de Seguridad
Guías estructuradas, ejemplos prácticos y técnicas de explotación para todos los niveles.
Fundamentos
Conceptos base del protocolo web, autenticación y arquitectura de aplicaciones
HTTP: El Protocolo de la Web
Aprende los fundamentos de HTTP: métodos, códigos de estado y cabeceras esenciales de toda comunicación web.
HTTPS, SSL y TLS
Entiende cómo funciona el cifrado en la web y por qué HTTPS es fundamental para la seguridad.
Autenticación vs Autorización
Diferencia entre autenticación (quién eres) y autorización (qué puedes hacer) con ejemplos prácticos.
Cookies y Gestión de Sesiones
Cómo las aplicaciones web mantienen el estado del usuario mediante cookies y sesiones seguras.
APIs REST y Seguridad
Principios de diseño seguro de APIs RESTful: autenticación, rate-limiting y mejores prácticas.
OWASP Top 10
Las 10 vulnerabilidades más críticas en aplicaciones web según OWASP: guía completa con ejemplos.
CORS y Same-Origin Policy
Cómo el navegador protege recursos entre orígenes y cómo configurar CORS correctamente.
Arquitectura Cliente-Servidor
Funcionamiento del modelo cliente-servidor en la web y sus implicaciones de seguridad.
Triada CIA: Confidencialidad, Integridad y Disponibilidad
Los tres pilares fundamentales de la seguridad de la información: CIA Triad. Base de cualquier política de seguridad y análisis de riesgos.
Vulnerabilidades
Estudio detallado de las vulnerabilidades web más críticas y su explotación
SQL Injection (SQLi)
Guía completa sobre inyección SQL: cómo funciona, ejemplos de payloads y cómo prevenirla.
Cross-Site Scripting (XSS)
Ataques XSS reflejado, almacenado y DOM-based: vectores de ataque y técnicas de prevención.
Cross-Site Request Forgery (CSRF)
Cómo los atacantes falsifican peticiones en nombre del usuario y cómo proteger tus aplicaciones.
Insecure Direct Object Reference (IDOR)
Acceso no autorizado a recursos cambiando IDs en URLs o peticiones API.
Broken Authentication
Fallos en mecanismos de autenticación: passwords débiles, session fixation y credential stuffing.
Command Injection
Inyección de comandos del sistema operativo en funciones que llaman a la shell del servidor.
XML External Entity (XXE)
Lectura de ficheros del sistema y SSRF mediante entidades XML externas maliciosas.
Server-Side Template Injection (SSTI)
Inyección en motores de templates para leer variables de entorno o ejecutar código remotamente.
Defensas
Técnicas y controles de seguridad para proteger aplicaciones web de ataques
Validación de Entrada
Estrategias de validación y sanitización de datos para prevenir inyecciones y ataques de entrada.
Output Encoding
Codificación de salida para prevenir XSS: HTML, JavaScript, URL y CSS encoding.
Parameterized Queries
Uso de consultas parametrizadas y prepared statements para eliminar SQL Injection.
Password Hashing
bcrypt, scrypt y Argon2: cómo almacenar contraseñas correctamente con salt y trabajo criptográfico.
Content Security Policy (CSP)
Configuración de CSP para mitigar XSS: directivas, nonces, hashes y reporting.
Security Headers
HSTS, X-Frame-Options, X-Content-Type-Options y otras cabeceras de seguridad esenciales.
OWASP ZAP — DAST Scanner
Zed Attack Proxy: spider, passive scan, active scan e integración en CI/CD con GitHub Actions. La alternativa open source a Burp Suite Pro.
Secure Session Management
Gestión segura de sesiones: HttpOnly, Secure, SameSite cookies y rotación de tokens.
Mínimo Privilegio y Zero Trust
Principio de mínimo privilegio, need-to-know y arquitectura Zero Trust: "nunca confíes, siempre verifica" como modelo de seguridad moderno.
Seguridad Empresarial
Gestión de riesgos, continuidad de negocio, SIEM, forense digital y gobierno de la seguridad en organizaciones
Gestión de Riesgos en Seguridad
Identificación, evaluación y tratamiento de riesgos: matrices de riesgo, probabilidad vs. impacto, marcos ISO 31000 y NIST RMF.
Clasificación y Etiquetado de la Información
Niveles de clasificación (Pública, Interna, Confidencial, Secreta), etiquetado de activos y políticas de manejo por categoría.
Análisis de Impacto al Negocio (BIA)
Identificar procesos críticos, calcular RTO y RPO, dependencias entre sistemas y priorizar la recuperación ante desastres.
BCP y Plan de Recuperación ante Desastres
Business Continuity Plan y Disaster Recovery Plan: estrategias hot/warm/cold standby, pruebas de DR y comunicación de crisis.
SIEM: Correlación de Logs y Detección de Amenazas
Splunk, Microsoft Sentinel y Elastic SIEM: ingesta de logs, reglas de correlación, alertas y flujos de detección de incidentes.
Forense Digital y Cadena de Custodia
Adquisición forense de evidencias: imagen bit-a-bit, hash de integridad, cadena de custodia, análisis de memoria y artefactos de Windows/Linux.
Ingeniería Social: Phishing, Vishing y Pretexting
Técnicas de manipulación psicológica: spear phishing, vishing, smishing, pretexting, baiting y programas de concienciación anti-phishing.
Malware: Tipos, Ciclo de Vida y Persistencia
Virus, gusanos, troyanos, ransomware, spyware, rootkits y APT: fases kill chain, técnicas de persistencia en Windows/Linux y análisis básico.
Segregación de Funciones y Control Dual
Separation of Duties, control dual y rotación de funciones: por qué ninguna persona debe controlar todo un proceso crítico de seguridad.
Fundamentos CS
Estructuras de datos, algoritmos, lógica y patrones de diseño nivel universidad
Complejidad Algorítmica (Big O)
Análisis de eficiencia con notación Big O, Big Ω y Big Θ. Aprende a evaluar tiempo de ejecución y consumo de memoria de tus algoritmos.
Arrays y Listas Enlazadas
Comparativa entre arrays (acceso O(1)) y listas enlazadas (inserción O(1)). Implementación en memoria y casos de uso óptimos.
Pilas y Colas (Stack & Queue)
Estructuras LIFO y FIFO: operaciones push/pop/enqueue/dequeue y aplicaciones como call stacks y job queues.
Árboles Binarios
Estructura jerárquica con hasta dos hijos. Recorridos inorder, preorder y postorder con implementación en código.
Binary Search Tree (BST)
BST y sus operaciones en O(log n). Árboles AVL y Red-Black para mantener el balance automáticamente.
Grafos: BFS y DFS
Modelado de redes con grafos dirigidos y no dirigidos. Búsqueda BFS (por capas) y DFS (en profundidad) con implementación práctica.
Algoritmos de Ordenación
QuickSort, MergeSort, HeapSort y BubbleSort: complejidad, casos mejor/peor/promedio y cuándo usar cada uno.
Tablas Hash (Hash Maps)
Función hash, manejo de colisiones con chaining y open addressing. Por qué HashMap es O(1) en media y O(n) en el peor caso.
Lógica Booleana y Álgebra de Boole
Puertas lógicas AND/OR/NOT/XOR, leyes de De Morgan y simplificación de circuitos. Fundamentos de cómo piensa tu CPU.
Vibe Coding & IA
Cursor, GitHub Copilot, Claude Code, MCP, agentes IA y arquitecturas de desarrollo asistido por IA
Cursor: Configuración y .cursorrules
Cómo configurar Cursor IDE para máxima productividad: .cursorrules, reglas de proyecto, atajos y modo agente.
GitHub Copilot: Instrucciones Personalizadas
Uso de .github/copilot-instructions.md, archivos .instructions.md y prompt files para guiar al agente Copilot.
Claude Code: CLI y Mejores Prácticas
Claude Code desde terminal: CLAUDE.md, comandos /init, gestión de contexto y estrategias para proyectos grandes.
MCP: Model Context Protocol
Arquitectura cliente-servidor de MCP: cómo conectar LLMs con herramientas, APIs y bases de datos. Servidores MCP populares.
Arquitecturas de Agentes IA
Patrones ReAct, reflexión y multi-agente. LangChain, AutoGen y arquitecturas agentic en producción con herramientas.
Skills y Prompts en GitHub Copilot
Creación de SKILL.md, archivos .prompt.md y .agent.md para especializar el comportamiento del agente Copilot en tu proyecto.
Ingeniería de Prompts
Chain-of-thought, few-shot, zero-shot, role prompting y estructuración de contexto efectivo para mejores resultados.
RAG: Retrieval Augmented Generation
Arquitectura RAG: embedding de documentos, bases de datos vectoriales (Pinecone, Qdrant, pgvector) y pipelines de recuperación.
Context Window y Gestión de Tokens
Límites de contexto de GPT-4o, Claude 3.7, Gemini 2.5. Estrategias de compresión y maximización de información útil.
Cloud & Infraestructura
AWS, Azure, GCP, costes de servicios de IA, Terraform, Kubernetes y CI/CD seguro
AWS: IAM, GuardDuty y WAF
Los servicios de seguridad más importantes de AWS: IAM para control de acceso, GuardDuty para amenazas y WAF para APIs.
Azure: Defender, Sentinel y Entra ID
Microsoft Defender for Cloud, Sentinel (SIEM/SOAR), Entra ID y gestión de identidades en Microsoft Azure.
Google Cloud: Security Command Center
Security Command Center, Cloud Armor, Identity-Aware Proxy y mejores prácticas de seguridad en GCP.
Costes OpenAI: GPT-4o, o1, o3
Precios actualizados de la API de OpenAI: GPT-4o, GPT-4o-mini, o1, o3-mini y o3 por millón de tokens de entrada/salida.
Costes Anthropic: Claude Sonnet y Opus
Precios de Claude 3.5 Haiku, Claude 3.7 Sonnet y Claude Opus 4 con comparativa de capacidades y casos de uso óptimos.
Costes Google: Gemini 2.0 y 2.5 Pro
Precios de Gemini 2.0 Flash, 2.5 Pro y Flash Thinking: coste por token, ventana de contexto y tier gratuito.
Infrastructure as Code con Terraform
HCL básico, módulos, state management y buenas prácticas de seguridad: variables sensibles, secrets y least privilege.
Kubernetes: Hardening y RBAC
Seguridad en K8s: RBAC, Pod Security Standards, Network Policies, secrets cifrados y escaneo de imágenes con Trivy.
CI/CD Seguro con GitHub Actions
Pipelines seguros: secretos, permisos mínimos, OIDC, Dependabot y SAST/DAST integrado en cada pull request.
Microsoft SDL
Security Development Lifecycle de Microsoft: fases, threat modeling, STRIDE y gestión de vulnerabilidades
SDL: Visión General y Fases
Las 7 fases del Microsoft SDL: formación, requisitos, diseño, implementación, verificación, release y respuesta post-lanzamiento.
Threat Modeling con STRIDE
STRIDE (Spoofing, Tampering, Repudiation, Info Disclosure, DoS, Elevation of Privilege) para identificar amenazas en el diseño.
Requisitos de Seguridad
Incorporar requisitos de seguridad desde el inicio: abuse cases, security stories y criterios de aceptación medibles.
Estándares de Codificación Segura
Reglas de codificación segura de Microsoft: manejo de errores, validación de entradas, criptografía aprobada y gestión de secretos.
Security Testing en el SDLC
Integración de SAST (Semgrep, CodeQL), DAST (OWASP ZAP) y SCA (Dependabot, Snyk) en el pipeline de CI/CD.
Fuzzing y Análisis Estático
Microsoft Security Risk Detection, LibFuzzer y AFL++ para encontrar vulnerabilidades de memoria antes de que lleguen a producción.
Gestión de Vulnerabilidades y CVSS
Ciclo de vida de vulnerabilidades: CVSS scoring v3.1/v4.0, priorización por riesgo real y SLAs de parcheo.
Incident Response y PSIRT
Product Security Incident Response Team: coordinación con investigadores, CVE management y comunicación de brechas de seguridad.
Bug Bounty & Red Team
Técnicas avanzadas de explotación de vulnerabilidades para Bug Bounty y Red Team
SQL Injection Manual Avanzada
Técnicas Union, Error-based y Time-blind para exfiltrar datos sin herramientas automáticas.
MongoDB Operator Injection
Uso de operadores NoSQL ($gt, $ne) para bypass de autenticación y extracción de datos.
Redis RCE via Lua Sandboxing
Ejecución remota de comandos mediante el motor de scripts Lua en Redis.
Cassandra (CQL) Injection
Bypass de filtros y extracción de keyspaces en arquitecturas NewSQL con CQL.
SQLite Local Injections
Ataques a bases de datos locales desde aplicaciones maliciosas en dispositivos rooteados.
Firebase Realtime DB Misconfiguration
Localización de bases de datos Firebase abiertas y extracción de datos sin reglas de seguridad.
SSRF Básico
Forzar al servidor a realizar peticiones internas para acceder a recursos no autorizados.
SSRF to RCE
Escalado de SSRF a ejecución de código aprovechando servicios internos vulnerables.
IDOR (Insecure Direct Object References)
Acceso no autorizado a recursos cambiando referencias directas en peticiones HTTP.
Normativas y Estándares
GDPR, NIS2, ENS, ISO 27001, PCI-DSS, NIST CSF, EU AI Act y normativas sectoriales con enlaces oficiales
ISO/IEC 27001:2022 — Sistema de Gestión de Seguridad
El estándar internacional de gestión de seguridad de la información: dominios, controles del Anexo A, proceso de certificación y diferencias con la versión 2013.
GDPR/RGPD — Reglamento General de Protección de Datos
Reglamento UE 2016/679: principios de tratamiento, derechos del interesado, DPO, notificación de brechas, multas y transferencias internacionales.
Directiva NIS2 — Seguridad de Redes y Sistemas
Directiva UE 2022/2555: entidades esenciales e importantes, obligaciones de ciberseguridad, notificación de incidentes y sanciones.
ENS — Esquema Nacional de Seguridad (España)
Real Decreto 311/2022: categorías de sistemas (Básico/Medio/Alto), medidas de seguridad, declaración de conformidad y auditorías para el sector público español.
PCI DSS 4.0 — Seguridad de Tarjetas de Pago
Payment Card Industry Data Security Standard: 12 requisitos, niveles de comerciante, SAQ, QSA, escáneres ASV y diferencias PCI DSS 3.2.1 vs 4.0.
NIST Cybersecurity Framework 2.0
Marco voluntario del NIST: 6 funciones (Govern, Identify, Protect, Detect, Respond, Recover), perfiles, niveles de implementación y uso con ISO 27001.
EU AI Act — Reglamento de Inteligencia Artificial
Reglamento UE 2024/1689: niveles de riesgo (inaceptable, alto, limitado, mínimo), requisitos para sistemas de IA de alto riesgo, conformidad y sanciones.
DORA — Resiliencia Operativa Digital (Finanzas)
Reglamento UE 2022/2554 para el sector financiero: gestión del riesgo TIC, pruebas de resiliencia, notificación de incidentes y gestión de terceros.
LOPDGDD y LSSI-CE — Marco Legal Español
Ley Orgánica 3/2018 (LOPDGDD) como adaptación del GDPR en España, y Ley 34/2002 (LSSI-CE) para servicios de la sociedad de la información.
Certificaciones
CISSP, CISM, OSCP, CompTIA, certificaciones cloud, ENS, ISO 27001 LA y certificaciones de IA con guías de preparación
Mapa de Certificaciones de Ciberseguridad
Visión global del ecosistema de certificaciones: rutas por perfil (técnico, gestor, auditor), organismos certificadores y cómo elegir según tu objetivo.
CISSP — Certified Information Systems Security Professional
(ISC)²: los 8 dominios del CBK 2024, requisito de 5 años de experiencia, formato CATS del examen, peso de los dominios y recursos de estudio.
CISM y CISA — Certificaciones ISACA
CISM (gestión de seguridad) y CISA (auditoría de sistemas): dominios de examen, diferencias, requisitos de experiencia, CPE y renovación anual.
OSCP vs CEH — Certificaciones de Pentesting
Comparativa OSCP (OffSec, práctica, examen de 24h de pentesting real) y CEH (EC-Council, teórica, múltiple opción): qué aporta cada una al mercado laboral.
Ruta CompTIA: Security+, CySA+ y CASP+
Progresión CompTIA para ciberseguridad: A+ → Network+ → Security+ (SY0-701) → CySA+ → CASP+. Reconocimiento DoD 8570/8140 y valor en Europa.
Certificaciones Cloud Security: AZ-500, AWS y GCP
AZ-500 (Microsoft Azure Security Engineer), AWS Certified Security Specialty (SCS-C02) y Google Cloud Professional Cloud Security Engineer: temarios y recomendaciones.
ISO 27001 Lead Auditor e Implementer
Certificaciones ISO 27001 de PECB, BSI y Bureau Veritas: Lead Implementer (implementar un SGSI) vs Lead Auditor (auditar terceros), prereqs y costes.
Certificación ENS y CSFP (España)
Certificación de sistemas en el ENS por entidades acreditadas (ENAC), rol del auditor ENS, y el CSFP (Certified Security for Professionals) del CCN-CERT.
Certificaciones de IA: Google, AWS, Azure y OpenAI
Panorama de certificaciones de Inteligencia Artificial: Google Professional ML Engineer, AWS Machine Learning Specialty, Azure AI Engineer (AI-102) y OpenAI courses.
¿Listo para practicar?
Aplica lo aprendido en nuestros laboratorios prácticos de vulnerabilidades