01
| Área | Tema Específico | Objetivo | Dif. | Recursos | Proyecto / Validación | Criterio de Éxito |
|---|---|---|---|---|---|---|
| Fundamentos |
Modelo CIA, terminología y superficies de ataque
Confidencialidad, Integridad, Disponibilidad · threat actor · CVE/CVSS · attack surface · defence-in-depth
|
Adquirir el lenguaje preciso de la industria para comunicar riesgos con exactitud técnica y de negocio desde el primer día. | Fácil | Analizar un incidente real publicado (ej. SolarWinds, Log4Shell) y documentar: CIA afectado, vector de ataque, CVSS y lecciones aprendidas. | Informe de 1 página con clasificación CIA correcta, CVSSv3 calculado y recomendaciones de mitigación priorizadas. | |
| Linux & OS |
Linux para seguridad: permisos, procesos, logs del sistema
chmod/chown/ACL · /proc · systemd · /var/log · auditd · lsof · strace básico
|
Dominar el sistema operativo más usado en servidores para poder analizar su estado, detectar anomalías y aplicar hardening básico. | Fácil | Hardening checklist sobre una VM Ubuntu: deshabilitar servicios innecesarios, configurar auditd para registrar intentos de sudo, detectar un proceso backdoor plantado. |
Proceso malicioso identificado con lsof y ps en < 5 min; auditd registra todos los sudo; sólo puertos necesarios abiertos. |
|
| Redes |
TCP/IP, DNS, HTTP/S, modelo OSI y análisis de tráfico
Subnetting/CIDR · handshake TCP · DNS resolution · TLS handshake básico · Wireshark · tcpdump
Linux + OS
|
Leer y analizar tráfico de red con fluidez para detectar comportamientos anómalos, canales encubiertos o ataques en curso. | Fácil | Capturar tráfico con Wireshark durante un login HTTP y uno HTTPS: extraer credenciales del primero, confirmar opacidad del segundo. Documentar diferencias. | Credenciales visibles en HTTP plain text; HTTPS indesifrable sin la clave privada; filtros de Wireshark correctos aplicados. | |
| Criptografía |
Criptografía simétrica, asimétrica, hashing y PKI
AES · RSA/ECC · SHA-256/bcrypt · certificados X.509 · cadena de confianza · HTTPS/TLS · firma digital
Redes (TLS handshake)
|
Comprender los mecanismos criptográficos que protegen la confidencialidad e integridad de los datos para aplicarlos correctamente y detectar implementaciones débiles. | Medio | Implementar en Python: cifrado AES-GCM, firma RSA de un mensaje y verificación de certificado TLS de un sitio real. Detectar por qué MD5 es inseguro como hash de contraseñas. | Python
Código usa cryptography library, nunca implementa primitivas a mano; MD5 vs bcrypt explicado con timing attack demostrado. |
|
| Python Sec |
Python como herramienta de seguridad: sockets, subprocess, scripting
socket · requests · subprocess · argparse · manejo seguro de credenciales · hashlib · secrets module
Criptografía + Redes
|
Usar Python como lenguaje operativo de seguridad: automatizar reconocimiento, parsear logs, construir PoCs y orquestar herramientas externas de forma segura. | Fácil | Script Python de port scanner TCP con timeout configurable, banner grabbing y exportación de resultados en JSON — sin usar nmap ni librerías externas de scanning. | Python
Scanner funciona con asyncio para concurrencia; credenciales leídas de env vars con os.environ; resultado JSON parseable por otras herramientas. |
|
| AppSec Intro |
OWASP Top 10 (2021): introducción a las 10 categorías
A01 Broken Access Control · A03 Injection · A07 Auth failures · A08 Software integrity · contexto real de cada vulnerabilidad
Redes (HTTP) + Python scripting
|
Reconocer las clases de vulnerabilidades más frecuentes en aplicaciones web para poder identificarlas y comunicarlas correctamente en cualquier contexto. | Fácil | Completar 10 labs de PortSwigger (uno por categoría OWASP Top 10) y documentar en un reporte: vulnerabilidad, impacto CIA, payload usado y mitigación recomendada. | 10 labs completados; cada reporte con CVSS calculado, evidencia de explotación y fix concreto; lenguaje técnico preciso. | |
| Operaciones Seguras |
Git seguro: secrets en repositorios y firma de commits
pre-commit hooks · git-secrets / truffleHog · GPG commit signing · .gitignore de secretos · historial y rebase para limpiar leaks
Python scripting (hooks)
|
Prevenir la fuga de credenciales en repositorios —la causa más común de brechas en startups— y firmar commits para garantizar autenticidad. | Fácil | Configurar pre-commit hooks con Detect-Secrets en un repo; escanear un repo histórico con TruffleHog; limpiar un secret plantado del historial con git filter-branch. |
Hook bloquea commit con secret antes de que llegue al repo; TruffleHog no detecta secretos reales tras la limpieza; commits firmados con GPG key. | |
| Reconocimiento |
OSINT y reconocimiento pasivo: enumeración de superficies
Shodan · Censys · WHOIS · subfinder · theHarvester · Google Dorks · Maltego · OSINT Framework
Redes (DNS, HTTP) + Python scripting
|
Mapear la superficie de ataque de un objetivo usando sólo fuentes públicas, replicando lo que hace un atacante antes de cualquier interacción directa. | Medio | Realizar reconocimiento pasivo de un dominio propio o de un bug bounty program: enumerar subdominios, emails expuestos, tecnologías y servicios con Python + theHarvester. | Python Reporte de reconocimiento estructurado; script Python que automatiza subfinder + Shodan API y consolida resultados en JSON; 0 interacción directa con el objetivo. | |
| Reconocimiento |
Escaneo activo: Nmap, detección de servicios y OS fingerprinting
TCP SYN scan · versión de servicios (-sV) · OS detection (-O) · scripts NSE · python-nmap binding
OSINT pasivo + Redes (TCP/IP)
|
Enumerar servicios activos de forma metódica para construir un inventario de activos y su exposición — siempre en entornos autorizados. | Medio | Escanear una red de laboratorio (TryHackMe/HackTheBox) con Nmap y python-nmap; generar reporte automatizado en Python con severidad por servicio expuesto y versión. | Python Script Python parsea output XML de nmap y clasifica servicios por riesgo; 0 escaneos fuera del entorno autorizado; reporte reproducible. |
02
| Área | Tema Específico | Objetivo | Dif. | Recursos | Proyecto / Validación | Criterio de Éxito |
|---|---|---|---|---|---|---|
| Autenticación |
Protocolos de autenticación: sesiones, JWT, OAuth2 / OIDC
session fixation · JWT alg:none · OAuth misconfig · PKCE · token leakage · SSRF via redirect_uri
Criptografía (firma) + OWASP Top 10 A07
|
Comprender cómo se implementan y cómo se rompen los mecanismos de autenticación modernos para auditar y construir auth segura. | Medio | Explotar en laboratorio: JWT con alg:none, session fixation y un OAuth misconfiguration. Luego fixear cada vulnerabilidad en una API FastAPI de Python. |
Python 3 exploits documentados con evidencia; API corregida usando RS256 + PKCE + SameSite=Strict; tests que verifican que los exploits ya no funcionan. | |
| AppSec |
OWASP Top 10 en profundidad: SQLi, XSS, IDOR, SSRF
Blind SQLi · stored/reflected XSS · IDOR vs BOLA · SSRF interno · path traversal · command injection
OWASP intro + Autenticación
|
Explotar y remediar las vulnerabilidades más críticas en aplicaciones web con comprensión profunda de causa raíz, no sólo de síntoma. | Medio | Completar 20 labs de PortSwigger (SQLi, XSS, IDOR, SSRF, path traversal); fijar cada una en un servidor Flask/FastAPI propio con mitigaciones adecuadas. | Python 20 labs completados; cada fix usa ORM/parameterized queries, output encoding, y validación de entrada; ninguna mitigación es regex-based solamente. | |
| Herramientas Ofensivas |
Burp Suite: proxy, Repeater, Intruder y Scanner
Interceptar requests · manipular parámetros · fuzzing con Intruder · extensiones (Autorize, Param Miner)
OWASP Top 10 en profundidad
|
Usar el proxy de auditoría estándar de la industria para descubrir vulnerabilidades en aplicaciones web de forma metódica y reproducible. | Medio | Usar Burp en un bug bounty program de HackerOne/Intigriti: documentar al menos 1 IDOR o 1 auth bypass con reporte de calidad apto para submission. | Reporte con: descripción, pasos de reproducción, impacto, CVSS y proof-of-concept; scope respetado; submission realizada (resultado no es criterio). | |
| AppSec Defensiva |
Análisis estático (SAST) con Bandit, Semgrep y revisión manual
Bandit (Python) · Semgrep rules · falsos positivos · CWE mapping · secure code review checklist
OWASP Top 10 (causa raíz) + Python scripting
|
Detectar vulnerabilidades en el código fuente antes del deploy, triando resultados con criterio para no bloquear al equipo de desarrollo con ruido. | Medio | Ejecutar Bandit + Semgrep sobre un proyecto Python open source real; clasificar hallazgos por severidad; escribir 3 reglas Semgrep custom para vulnerabilidades específicas del dominio. | Python Reglas Semgrep custom detectan al menos 1 vuln real en el proyecto objetivo; falso positivo rate documentado; resultados en formato SARIF para integración CI. | |
| Blue Team / SOC |
Incident Response básico: triaje, SIEM y gestión de alertas
Kill Chain · MITRE ATT&CK intro · Splunk/Elastic · reglas de detección · SIEM alert triage · IOCs
Linux (logs del sistema) + Redes (tráfico)
|
Detectar, clasificar y escalar incidentes de seguridad usando un SIEM con la mentalidad de "assume breach" que exigen los SOC modernos. | Medio | Investigar un dataset de logs de seguridad (Boss of the SOC) en Splunk: identificar la Kill Chain completa de un ataque real, desde reconocimiento hasta exfiltración. | Kill Chain documentada en 7 fases con evidencia de log en cada fase; TTPs mapeados a MITRE ATT&CK; timeline del incidente reconstruido. | |
| Blue Team / SOC |
Automatización de respuesta a incidentes con Python
parseo de logs · enrichment con VirusTotal/AbuseIPDB APIs · alerting · IOC correlation · MISP básico
IR básico + Python scripting (requests, subprocess)
|
Reducir el tiempo de respuesta a incidentes automatizando el enriquecimiento y correlación de IOCs para que el analista tome decisiones informadas en segundos. | Medio | Script Python que recibe una lista de IPs/hashes, los enriquece con VT + AbuseIPDB, calcula un score de riesgo y genera alerta automática si supera un umbral. | Python Script maneja rate limits de APIs; output en JSON estructurado; tiempo de enriquecimiento de 100 IOCs < 30s con asyncio; 0 API keys en código. | |
| Cloud Security |
Cloud Security fundamentos: IAM, políticas y configuración segura
AWS IAM least privilege · S3 bucket misconfigs · metadata endpoint (SSRF → IMDS) · Security Hub · CloudTrail
Redes (HTTP/API) + OWASP (SSRF) + Linux
|
Identificar y remediar las misconfiguraciones cloud más comunes — responsables del 80% de los incidentes en cloud según CrowdStrike 2025 Cloud Report. | Medio | Explotar CloudGoat para obtener credenciales vía SSRF → metadata endpoint; luego remediar con IMDSv2, SCPs y auditar con Prowler vía script Python. | Python Exploit documentado paso a paso; Prowler (Python) confirma 0 findings críticos post-remediación; IMDSv2 enforced; CloudTrail habilitado en todas las regiones. | |
| Pentest |
Metodología de pentest: PTES, enumeración y explotación básica
PTES phases · Metasploit básico · privilege escalation Linux/Windows · post-exploitation · shell reverso
Escaneo activo (Nmap) + OWASP Top 10 profundo + Burp Suite
|
Ejecutar pruebas de penetración con metodología documentada para reproducir el comportamiento de un atacante real en entornos de laboratorio autorizados. | Difícil | Comprometer 5 máquinas de HackTheBox (Easy-Medium): documentar cada una con metodología PTES completa, CVE explotado y remediación recomendada. | 5 writeups con: reconocimiento → explotación → escalada de privilegios → post-explotación; TTPs mapeados a MITRE ATT&CK; remediación concreta por cada vector. | |
| Criptografía Aplicada |
TLS/mTLS, PKI interna y gestión de secretos
openssl CLI · cert-manager · rotación de secretos · HashiCorp Vault básico · python-cryptography · HSTS/HPKP
Criptografía fundamentos + Autenticación + Python
|
Implementar y operar infraestructura de PKI y gestión de secretos que garantice que las credenciales nunca reposen estáticas en texto plano. | Medio | Montar una PKI interna con openssl; configurar mTLS entre dos servicios Python; rotar certificados automáticamente con un script Python + Vault sin downtime. | Python
Rotación de cert sin reiniciar servicios; Vault audita cada acceso al secret; script maneja el ciclo completo de renovación con cryptography library. |
03
| Área | Tema Específico | Objetivo | Dif. | Recursos | Proyecto / Validación | Criterio de Éxito |
|---|---|---|---|---|---|---|
| Threat Modeling |
STRIDE, PASTA y pytm: modelado de amenazas sistemático
Data Flow Diagrams · trust boundaries · STRIDE por elemento · threat trees · pytm (Python Threat Modeling)
OWASP Top 10 profundo + Metodología de pentest
|
Anticipar vectores de ataque durante el diseño del sistema para eliminar vulnerabilidades antes de que existan en código — el control de mayor ROI en seguridad. | Difícil | Modelar con pytm un sistema de pagos real (3 servicios, 2 DBs, 1 API gateway): generar DFD automático, listar amenazas STRIDE, priorizar por DREAD y proponer mitigaciones. | Python pytm genera el DFD y el reporte de amenazas programáticamente; al menos 15 amenazas identificadas; top 5 priorizadas con mitigación concreta y verificable. | |
| API Security |
OWASP API Security Top 10 (2023): auditoría y hardening de APIs
Broken Object Level Auth · Mass Assignment · Unrestricted Resource Consumption · Security Misconfiguration · fuzzing con ffuf/Python
OWASP Top 10 profundo + Burp Suite + Autenticación
|
Auditar y asegurar APIs REST/GraphQL contra los vectores de ataque específicos de APIs — responsables de la mayoría de brechas en empresas tech-first en 2025. | Difícil | Auditar una API GraphQL pública de un bug bounty program: documentar BOLA, Mass Assignment o rate limit bypass; escribir un fuzzer Python personalizado para el endpoint. | Python Fuzzer Python con corpus de payloads por categoría API OWASP Top 10; hallazgo documentado con CVSS ≥ 5.0; submission en HackerOne/Intigriti. | |
| DevSecOps |
Pipeline de seguridad: SAST + DAST + SCA integrados en CI/CD
Semgrep · OWASP ZAP (DAST) · Safety/pip-audit (SCA) · SARIF · GitHub Advanced Security · gates de calidad
SAST con Bandit/Semgrep + IR/Alerting + Git seguro
|
Automatizar la detección de vulnerabilidades en cada commit para que la seguridad sea una propiedad emergente del proceso de entrega, no un bloqueo al final. | Difícil | Pipeline GitHub Actions con 4 gates: pip-audit (SCA) → Bandit + Semgrep (SAST) → ZAP headless (DAST) → Trivy (container scan); merge bloqueado ante hallazgo crítico. | Python CVE crítica en dependencia bloquea el merge en < 3 min; SARIF exportado a GitHub Security tab; 0 falsos negativos en suite de prueba plantada. | |
| Cloud-Native Security |
Seguridad de contenedores y Kubernetes: hardening y runtime defense
Pod Security Admission · Falco runtime · Trivy · seccomp/AppArmor profiles · OPA Gatekeeper · no-root containers
Cloud Security fundamentos + DevSecOps pipeline
|
Asegurar workloads en contenedores contra las técnicas de escape y movimiento lateral más usadas en entornos cloud-native según el CNCF Security Whitepaper 2024. | Difícil | Clúster k8s con PSA en modo Restricted; Falco alertando ante exec en pods de prod; OPA Gatekeeper rechazando imágenes sin digest; Trivy en CI sin CVEs críticas. |
Pod privilegiado rechazado en < 500ms; alert Falco en < 30s ante proceso inesperado; script Python que parsea Falco events y escala a PagerDuty. | |
| Cloud Security |
Cloud Security Posture Management (CSPM) y detección de drift
AWS Security Hub · GuardDuty · Prowler · ScoutSuite · GCP Security Command Center · drift detection con Python
Cloud Security fundamentos (IAM, CloudTrail)
|
Detectar y remediar automáticamente misconfiguraciones cloud antes de que sean explotadas, manteniendo una postura de seguridad medible y reportable al negocio. | Difícil | Ejecutar Prowler (Python) sobre una cuenta AWS real o de práctica; reducir el score de riesgo en >50%; configurar GuardDuty y automatizar remediation de findings via Lambda Python. | Python Lambda Python remedia automáticamente S3 buckets públicos en < 60s tras alerta; Prowler score documentado antes/después; 0 findings críticos sin remediación en 24h. | |
| Detection Engineering |
Detection Engineering: Sigma rules, MITRE ATT&CK y threat hunting
Sigma rule syntax · ATT&CK navigator · hypothesis-driven hunting · detection-as-code · Python para correlación de logs
IR básico + SIEM + MITRE ATT&CK intro + Python (log parsing)
|
Construir detecciones basadas en comportamiento adversario documentado en ATT&CK — no en firmas de malware — para detectar actores sofisticados que evitan IOCs estáticos. | Difícil | Escribir 5 reglas Sigma que detecten técnicas ATT&CK reales (T1059, T1078, T1003...); validarlas contra un dataset de Atomic Red Team; convertirlas a Splunk SPL/Elastic automáticamente. | Python Script Python usa sigmac para convertir reglas a múltiples backends; 0 falsos positivos en dataset clean; todas las técnicas detectadas con evidencia de log. | |
| Malware Analysis |
Análisis de malware estático y dinámico básico
strings · file · PE headers · sandbox (Any.run/Cuckoo) · Wireshark C2 traffic · YARA rules · Python para automatizar análisis
Linux (procesos) + Redes (tráfico C2) + Python scripting
|
Analizar muestras de malware para extraer IOCs, comprender el comportamiento y construir reglas de detección reproducibles — pilar del threat intelligence. | Difícil | Analizar 3 muestras de malware de MalwareBazaar (estático + sandbox): extraer IOCs, tráfico C2 y escribir 3 reglas YARA detectoras, validadas con Python + yara-python. | Python Reglas YARA escritas con yara-python detectan las muestras originales; 0 falsos positivos en directorio de binarios limpios; IOCs exportados en formato STIX 2.1. | |
| Identity & Access |
Zero Trust y gestión avanzada de identidad: RBAC, ABAC, SPIFFE
Zero Trust principles · Workload identity · SPIFFE/SPIRE SVIDs · RBAC vs ABAC · OPA para autorización · MFA avanzado
Autenticación (OAuth2/JWT) + Cloud Security + Criptografía aplicada (PKI)
|
Implementar un modelo de acceso Zero Trust donde ningún servicio ni usuario es implícitamente confiable, con identidad criptográfica verificable por workload. | Difícil | Servicio Python que obtiene su identidad de SPIRE, presenta SVID para autenticarse con otro servicio; política OPA que evalúa ABAC (atributos de contexto) para autorizar. | Python Identidad de workload rotada cada hora sin downtime; SVID revocado inmediatamente al escalar el pod; OPA rechaza request fuera del horario de negocio. | |
| Compliance |
Compliance técnico: SOC 2, PCI-DSS e ISO 27001 desde la práctica
Control mapping · evidencia técnica · logging para auditoría · encriptación en reposo/tránsito · vulnerability management program
Cloud Security avanzado + DevSecOps pipeline + Criptografía aplicada
|
Traducir requisitos normativos en controles técnicos implementables y generables como evidencia automática para auditorías, sin que sea una iniciativa de última hora. | Medio | Mapear controles SOC 2 Trust Service Criteria a implementaciones técnicas del stack; generar evidencia automatizada con Prowler (Python) en formato listo para auditor. | Python Script Python genera reporte de compliance con % de controles pasados; CloudTrail y S3 logging evidencian CC7 (System Operations); 0 controles críticos sin evidencia. |
04
| Área | Tema Específico | Objetivo | Dif. | Recursos | Proyecto / Validación | Criterio de Éxito |
|---|---|---|---|---|---|---|
| Arquitectura |
Security Architecture: diseño de sistemas con seguridad por defecto
Secure by Design · defence-in-depth · blast radius minimization · ADRs de seguridad · SABSA framework
Threat Modeling + Zero Trust + Cloud Security avanzado + Compliance
|
Diseñar sistemas donde la seguridad sea una propiedad emergente del diseño —no un add-on— reduciendo el blast radius de cualquier componente comprometido. | Experto | Diseñar la arquitectura de seguridad de un sistema de pagos multi-tenant: documentar trust boundaries, blast radius de cada componente, controles compensatorios y ADRs de seguridad. | Arquitectura validada por threat model STRIDE completo; ADRs aprobados con alternativas consideradas; blast radius de cualquier servicio comprometido < 1 tenant. | |
| Red Team |
Adversarial simulation: Red Team operations y C2 frameworks
Cobalt Strike / Sliver / Havoc · C2 infra · lateral movement · persistence · OPSEC · ATT&CK emulation plans
Pentest metodológico + Detection Engineering (ATT&CK) + Malware Analysis
|
Emular actores de amenaza avanzados (APT) para validar que las detecciones y controles defensivos resisten ataques reales, no sólo scans automatizados. | Experto | Ejecutar un ATT&CK emulation plan de APT29 (Cozy Bear) en un entorno de laboratorio: medir qué % de TTPs son detectados por el blue team sin previo aviso; documentar gaps. | Reporte de red team con cobertura ATT&CK < 40% detectado (gap real a mejorar); acciones remediadoras priorizadas por facilidad de detección vs impacto. | |
| Threat Intelligence |
Threat Intelligence: programa CTI, STIX/TAXII y hunting proactivo
Diamond Model · Threat Intel lifecycle · MISP · STIX 2.1 · TAXII · intel-driven hunting · Python para CTI automation
Detection Engineering + Malware Analysis (IOCs, YARA) + IR básico
|
Construir un ciclo de inteligencia que transforme datos de amenazas externos e internos en detecciones accionables antes de que el adversario logre su objetivo. | Experto | Pipeline Python que ingesta feeds TAXII, normaliza a STIX 2.1, correlaciona con IOCs propios en MISP y genera automáticamente reglas Sigma y bloqueos de firewall. | Python IOC nuevo en feed → regla Sigma generada en < 5 min; pipeline procesa 10k IOCs/hora; tasa de falsos positivos < 2% en producción durante 30 días. | |
| AI Security |
Seguridad de sistemas LLM: OWASP LLM Top 10 y MITRE ATLAS
Prompt injection · insecure output handling · training data poisoning · model inversion · jailbreaking · indirect prompt injection · EU AI Act
OWASP Top 10 (AppSec mindset) + Threat Modeling (STRIDE para AI) + API Security
|
Auditar y asegurar sistemas basados en LLMs contra las 10 vulnerabilidades más críticas específicas de IA — la mayor superficie de ataque emergente de 2025-2026. | Experto | Auditar un sistema RAG en Python: ejecutar ataques de prompt injection directa e indirecta, data exfiltration y model inversion; documentar mitigaciones con guardrails Python. | Python Al menos 3 de OWASP LLM Top 10 explotados con PoC en Python; guardrails implementados con input/output validation que bloquean los ataques; reporte con MITRE ATLAS mapping. | |
| Supply Chain |
Software Supply Chain Security: SLSA, SBOM, Sigstore y dependencias
SLSA levels · cosign · SBOM (CycloneDX/SPDX) · Syft · pip-audit · dependency confusion · typosquatting · GitHub OIDC
DevSecOps pipeline + Git seguro + Cloud (IAM/OIDC)
|
Garantizar la integridad del software desde el commit hasta producción para resistir ataques de supply chain como SolarWinds o xz-utils que comprometen la cadena de build. | Experto | Pipeline SLSA Level 2 para un proyecto Python: SBOM con Syft, artefactos firmados con cosign via GitHub OIDC, pip-audit en CI; simular dependency confusion y verificar la defensa. | Python Imagen prod sólo si firma cosign verificable; SBOM publicado en cada release; dependency confusion bloqueado por private registry config; OSSF Scorecard > 7/10. | |
| DFIR |
Digital Forensics & Incident Response avanzado
Memory forensics (Volatility) · disk imaging · network forensics · timeline analysis · chain of custody · Python para automatizar DFIR
IR básico + Malware Analysis + Detection Engineering
|
Investigar incidentes complejos preservando la cadena de custodia forense y extrayendo evidencia admisible que permita atribución y acciones legales si corresponde. | Experto | Investigar un escenario DFIR de HackTheBox/CyberDefenders: memory dump con Volatility3 (Python), timeline con Plaso, identificar el artefacto de persistencia y reconstruir la línea de tiempo completa. | Python Timeline reconstructed en < 2h con evidencia en cada fase ATT&CK; proceso malicioso identificado en memory dump con Volatility3; informe forense con cadena de custodia documentada. | |
| Secure SDLC |
Secure SDLC: security champions program y shift-left en la práctica
Security gates en PRs · security user stories · developer security training · paved roads · friction vs fast feedback
SAST/DAST en CI/CD + Threat Modeling + Compliance
|
Escalar la seguridad a equipos de 10+ devs sin ser un cuello de botella: crear el entorno donde los developers encuentren y resuelvan vulnerabilidades sin esperar al equipo de seguridad. | Difícil | Diseñar e implementar un Security Champions program para un equipo de 15 developers: formar 3 champions, reducir Mean Time To Remediate (MTTR) de findings críticos en >40%. | MTTR de críticos reducido de >10 días a <5 días medido en 90 días; developers resuelven >60% de findings de SAST sin escalar al security team; SAMM score aumenta un nivel. | |
| Vulnerability Research |
Bug Bounty avanzado y vulnerability research con Python
Fuzzing (AFL++, Atheris) · race conditions · deserialization · prototype pollution · PoC writing · responsible disclosure
Pentest metódico + OWASP profundo + Burp Suite + API Security
|
Descubrir vulnerabilidades originales en sistemas reales usando fuzzing y técnicas de investigación avanzadas, contribuyendo a la seguridad del ecosistema con responsible disclosure. | Experto | Usar Atheris (Python fuzzer de Google) para fuzzear una librería Python open source; encontrar y reportar al menos 1 bug explotable con PoC siguiendo responsible disclosure policy. | Python Atheris corpus genera crash reproducible; PoC documentado con impacto; responsible disclosure enviado al maintainer; bug corregido o CVE asignado. |
05
| Área | Tema Específico | Objetivo | Dif. | Recursos | Proyecto / Validación | Criterio de Éxito |
|---|---|---|---|---|---|---|
| Security Program |
Security program management: risk-based prioritization y CISO mindset
FAIR risk model · risk register · business-aligned priorities · security KPIs/KRIs · board reporting · budget justification
Security Architecture + Compliance + DFIR + todo el Senior
|
Gestionar el programa de seguridad como un activo de negocio: cuantificar riesgos en términos financieros (FAIR), priorizar inversiones por ROI y comunicar a nivel ejecutivo con claridad. | Experto | Construir un risk register con FAIR para los 10 riesgos principales; presentar al CTO/board un plan de mitigación con ROI estimado; establecer KPIs mensuales del programa de seguridad. | Riesgo expresado en pérdida anual esperada (ALE) con rangos de confianza; inversión de seguridad aprobada con justificación de ROI; dashboard de KPIs actualizado mensualmente. | |
| AI Security |
AI Security Engineering: securitización de pipelines ML/LLM a escala
Model provenance · training data integrity · adversarial ML · guardrails en producción · LLM agent security · MITRE ATLAS a escala · EU AI Act compliance
AI/LLM Security (Senior) + Supply Chain Security + Security Architecture
|
Diseñar la infraestructura de seguridad para sistemas de IA en producción, incluyendo defensa contra ataques adversariales, integridad del ciclo de entrenamiento y compliance con el EU AI Act 2026. | Experto | Framework de seguridad para un pipeline ML en Python: provenance tracking de datasets, firma de modelos con cosign, guardrails de output y auditoría continua de EU AI Act High-Risk requirements. | Python Modelo en producción sólo con provenance verificable y firma cosign; guardrail bloquea >95% de ataques adversariales del test set; mapa de compliance EU AI Act aprobado por legal. | |
| Platform Security |
Security Platform Engineering: herramientas internas y paved roads
Security tooling como producto interno · ASPM (Application Security Posture Management) · Python security frameworks · developer-first security UX
Secure SDLC + DevSecOps + Detection Engineering + Security Architecture
|
Construir la plataforma de seguridad interna que permite a 100+ developers escribir código seguro por defecto sin fricción — sub-lineal scaling del equipo de seguridad. | Experto | Plataforma Python que agrega resultados de SAST/DAST/SCA/containers/CSPM en una vista unificada (ASPM); auto-asigna findings al owner correcto; mide MTTR por equipo y tipo de vulnerabilidad. | Python MTTR críticos < 3 días en promedio; >80% de findings auto-asignados correctamente; developer NPS de la plataforma > 30; 0 duplicados entre herramientas. | |
| Purple Team |
Purple Team program: adversary emulation continua y detection coverage
ATT&CK coverage analysis · MITRE Caldera automation · continuous purple teaming · detection gap closure · SOAR playbooks
Red Team operations + Threat Intelligence + Detection Engineering
|
Operar un programa continuo de purple teaming donde las detecciones se validan automáticamente contra las técnicas de los adversarios más relevantes para el sector. | Experto | Pipeline de purple teaming con Caldera: emulación automática semanal de top-10 TTPs del sector; métricas de cobertura ATT&CK publicadas al equipo; SOAR playbooks para los gaps detectados. | Cobertura ATT&CK > 70% de técnicas relevantes al sector detectadas; gap nuevo identificado → regla Sigma + SOAR playbook en < 48h; reporte ejecutivo mensual con trending. | |
| Regulatory |
Estrategia regulatoria: GDPR, NIS2, EU AI Act, DORA y PCI-DSS 4.0
Cross-regulation control mapping · regulación como ventaja competitiva · DPO collaboration · breach notification SLAs · audit automation
Compliance técnico (SSR) + Security Program + AI Security Engineering
|
Diseñar un programa de compliance que cumpla múltiples regulaciones con un conjunto mínimo de controles compartidos, usando automatización para reducir el overhead de auditoría al mínimo. | Experto | Control framework unificado que mapea GDPR, NIS2 y PCI-DSS 4.0 a <80 controles compartidos; automatizar la generación de evidencia con Python; reducir tiempo de preparación de auditoría en >50%. | Python Script Python genera reporte multi-regulación desde fuente única de evidencia; auditoría preparada en < 2 semanas (vs >4 anteriores); 0 findings críticos en auditoría externa. | |
| Security Culture |
Security culture: métricas de madurez, formación y cambio organizacional
BSIMM / OWASP SAMM maturity levels · phishing simulation programs · security awareness metrics · gamification · psychological safety
Secure SDLC + Security Program + Security Champions (Senior)
|
Transformar la cultura de seguridad de la organización para que cada empleado sea un sensor activo de amenazas, no sólo un riesgo a gestionar. | Experto | Medir madurez BSIMM/SAMM al inicio; implementar programa de awareness con simulaciones de phishing, CTF interno y Security Champions en 5 equipos; re-medir a 6 meses. | Tasa de click en phishing simulado reducida del baseline en >60%; SAMM maturity sube 1 nivel en >3 dominios; Security Champions activos en >80% de los equipos de producto. | |
| Zero Trust |
Zero Trust Architecture a escala de empresa: BeyondProd, BeyondCorp
Google BeyondProd model · device trust · continuous verification · microsegmentación · SASE · identity-first security · ZTA NIST SP 800-207
Zero Trust SSR (SPIFFE/SPIRE) + Security Architecture + IAM avanzado
|
Diseñar la transición de un modelo de seguridad perimetral a Zero Trust para una organización de 500+ personas, eliminando la noción de red de confianza interna. | Experto | Roadmap de ZTA para una empresa de 200+ devs: eliminar VPN en 12 meses usando BeyondCorp, migrar todos los servicios internos a identity-aware proxy, implementar device trust continuo. | 0 VPN sessions tras migración; 100% servicios internos con identity-aware access; tiempo de detección de credential compromise reducido de días a minutos via continuous verification. | |
| Community & Research |
Investigación original, open source y thought leadership en seguridad
CVE research · tool release (Python) · DEF CON / Black Hat CFP · OWASP contributions · mentoring program · security blog técnico
Vulnerability Research + AI Security + todo el Senior
|
Amplificar el impacto técnico más allá de la organización construyendo reputación en la comunidad de seguridad que atrae talento, genera credibilidad y retroalimenta con inteligencia del ecosistema. | Experto | Publicar una herramienta de seguridad Python open source con >200 stars; presentar en DEF CON, Black Hat o conferencia regional; mentorear 2 ingenieros a nivel Senior; artículo técnico con >1000 lecturas. | Python Tool en GitHub con >200 stars y >3 contribuidores externos; charla aceptada por CFP con revisión ciega; mentorado alcanza nivel Senior en < 18 meses. | |
| Incident Command |
Incident Command: liderazgo en crisis, comunicación y blameless postmortems
ICS structure · executive communication bajo presión · war room facilitation · blameless postmortem culture · public disclosure (breach notification)
DFIR + IR avanzado + Security Program + Regulatory (GDPR breach notification)
|
Liderar la respuesta a incidentes de seguridad críticos con estructura ICS, comunicación ejecutiva clara bajo presión y transformar cada incidente en aprendizaje organizacional documentado. | Experto | Facilitar un GameDay de incidente de seguridad crítico (data breach simulado) con 3 equipos: aplicar ICS, redactar comunicado de crisis y postmortem blameless con acciones trazables en 24h. | GameDay con timeline documentado; comunicado de crisis aprobado por legal/comms en < 2h; postmortem publicado en < 5 días; cada acción con owner y fecha de resolución asignada. |