📖 Sinopsis

El Piloto

• 📘 El Manual Táctico: Una serie narrativa que te sumerge como "cadete" en casos reales de FinTech, Salud e Industrial. Aprendes STRIDE, Kill Chain, PASTA y Zero Trust aplicándolos, no memorizándolos.
• 🛡️ El Command Center (Web): Tu cuartel general. Verifica la integridad de herramientas, descarga plantillas de informe y sigue tu progreso en el Log de Misiones.
• 🔬 Los Laboratorios Éticos: Entornos virtuales seguros donde configuras Kali Linux, investigas servidores comprometidos y construyes tus primeras herramientas de Machine Learning para detección de anomalías.

La Misión

🎯 Ruta de Carrera y Tiempos Estimados

Para quiénes

Prefacio

Del Diagrama a la Defensa: Un Viaje Universal

El Diagrama que Trasciende Fronteras

Una Brecha Global

Los Tres Compromisos Fundamentales

Una Experiencia de Aprendizaje Completa

Para la Comunidad Global de Ciberseguridad

Una Advertencia y una Promesa

Navegando Este Viaje en Dos Volúmenes

Tu Decisión como Futuro Profesional

📑 Tabla de Contenidos

VOLUMEN 1: FUNDAMENTOS UNIVERSALES

• Capítulo 00: Introducción - El Nuevo Panorama
• Capítulo 01: Configuración del Laboratorio Ético
• Capítulo 02: Fundamentos Técnicos Acelerados
• Capítulo 03: Vocabulario Esencial de IA/ML

• Capítulo 04: Modelado de Amenazas (STRIDE/MITRE)
• Capítulo 05: Análisis de Riesgos
• Capítulo 06: Diagramación de Sistemas

• Capítulo 07: Arquitecturas de Red Seguras
• Capítulo 08: IDS/IPS y Detección
• Capítulo 09: Hardening de Sistemas

• Capítulo 10: ML para Detección de Anomalías
• Capítulo 11: Threat Hunting Proactivo
• Capítulo 12: Visión Computacional en Seguridad

• Capítulo 13: LLMs para Automatización
• Capítulo 14: Scripting con Python
• Capítulo 15: SOAR y Automatización

• Capítulo 16: GRC y Ética
• Capítulo 17: Comunicación Efectiva
• Capítulo 18: Desarrollo de Carrera

VOLUMEN 2: APLICACIÓN EN SECTORES CRÍTICOS (Próximamente)

• Sección A: Robótica y Sistemas Autónomos
• Sección B: Dispositivos Médicos (IoMT)
• Sección C: Aeroespacial y Satelital

📚 Apéndices y Recursos

• Glosario Técnico
• Proyecto Capstone
• Recursos y Herramientas

🛠️ Cómo usar este libro

Capítulo 00: Introducción - El Nuevo Panorama

0.0 Inmersión: El Despertar Digital

0.1 El Panorama Actual: Un Mundo Hiperconectado y Vulnerable

0.1.1 La Nueva Realidad Digital

• Tiempo promedio para detectar una brecha: 207 días (IBM Security).
• Costo promedio de un data breach: $4.45 millones (global).
• Ataques a infraestructura crítica: Aumento del 300% desde 2020.
• Dispositivos IoT vulnerables: 75% tienen al menos una vulnerabilidad crítica.

1.1.2 Tu Primera "Vulnerabilidad": La Puerta que Olvidaste Cerrar

• Una contraseña débil (123456) es una puerta de pantalla.
• Un software sin actualizar es una ventana con el cerrojo roto.
• Hacer clic en un enlace extraño es como invitar a un desconocido a probar todas las cerraduras.

0.1.3 El Patrón Universal: La Receta del Ataque

1.1.4 Entendiendo el Diagrama: De la Receta a los Términos Técnicos

• Spoofing = Suplantar una identidad. Es como fingir ser el cartero para que te abran la puerta (Paso 1: Encontrar una puerta).
• Tampering = Alterar datos o sistemas. Es como, una vez dentro, cambiar el número de cuenta en una transferencia (Paso 2-3: Entrar y lograr el objetivo).

1.1.5 Por Qué los Principios Son Universales

0.1.6 La Brecha Entre Teoría y Práctica

📝 EJERCICIO PRÁCTICO 1.1: Análisis del Diagrama "Closure (Move)"

1.2 La Evolución Histórica: De Hackers Éticos a Ciberguerra

• Computadoras personales recién accesibles
• Internet: ARPANET con 2,000 hosts
• Comunicación: BBS (Bulletin Board Systems)
• Seguridad: Casi inexistente, "security through obscurity"

• Técnico: Demostró que el software podía autoreplicarse
• Psicológico: Creó el concepto de "virus informático"
• Legal: No había leyes contra esto en 1986

• Internet comercial explota (de 2,000 a 16 millones de hosts)
• Windows 95 lleva PC a masas
• Email se hace popular
• Primeros firewalls comerciales

• ❌ No "lanzó misiles nucleares"
• ❌ No robó millones de dólares
• ❌ No usó herramientas súper avanzadas

• Dot-com boom (y bust)
• Redes WiFi domésticas
• Smartphones emergentes
• Comercio electrónico masivo

• 45 MILLONES de tarjetas comprometidas
• $250 MILLONES en pérdidas
• Tu tarjeta podría haber sido una de ellas

• Redes sociales omnipresentes
• Cloud computing masivo
• IoT (Internet de las Cosas)
• Criptomonedas facilitan pagos anónimos

• Trabajo remoto masivo
• IA accesible (ChatGPT, etc.)
• Ataques supply chain
• Ransomware como servicio

📊 TABLA RESUMEN: 40 AÑOS EN 5 MINUTOS

🔄 PATRÓN QUE SE REPITE (Y NO CAMBIA)

• 1986: "¿Qué pasa si hago esto?" (curiosidad)
• 2024: "¿Cómo puedo ganar dinero con esto?" (crimen organizado)

🧪 EJERCICIO PRÁCTICO 1.2: Tu Línea de Tiempo Personal

• Riesgo entonces: [Ninguno - no tenía internet]
• Riesgo hoy: [Si fuera smart, podría ser hackeado]

• Riesgo entonces: [Spam básico]
• Riesgo hoy: [Phishing avanzado, robo identidad]

• Riesgo entonces: [Tarjeta podía ser robada]
• Riesgo hoy: [Perfil completo puede ser clonado]

• Riesgo entonces: [¿Me escucha?]
• Riesgo hoy: [Recolecta datos, vulnerabilidades conocidas]

⚠️ LECCIÓN CRUCIAL: LA VELOCIDAD DEL CAMBIO

📝 RESUMEN DE LA SECCIÓN

1.3 Los Tres Sectores Críticos: Donde la Seguridad Es Vida, Dinero e Infraestructura

• Llaves del banco → Puede tomar su dinero
• Acceso al hospital → Puede alterar su medicina
• Control de la fábrica → Puede detener la producción

🏦 SECTOR 1: GLOBALSECURE FINTECH - Cuando el Dinero es Digital

• Tipo: Neobanco internacional
• Clientes: 5 millones en 20 países
• Transacciones diarias: $500 millones
• Empleados: 800, mitad en tecnología

• Cliente en México: Recibió $2,000 en lugar de $100
• Banco: Perdió $2 millones en 3 minutos
• Reguladores: Multa de $5 millones por controles deficientes
• Confianza: 15% de clientes cerraron cuentas

• Logo idéntico al banco real
• Reseñas 4.8 estrellas (1,500 reseñas)
• Descripción profesional
• Funciona perfectamente

• Tratamiento: $15,000/mes no cubiertos por seguro
• Ahorros: Agotados después de 2 años
• Salario: $8,000/mes (insuficiente)
• Oferta: $500,000 por "pequeño favor"

• 34% de breaches involucran insider threat
• 75% son por empleados regulares (no TI)
• Motivo principal: Problemas financieros (62%)

🏥 SECTOR 2: MEDITECH SOLUTIONS - Cuando la Salud es Digital

• Tipo: Grupo hospitalario con 12 hospitales
• Dispositivos IoT médicos: 50,000+ (monitores, bombas, scanners)
• Historias clínicas digitales: 8 millones de pacientes
• Cirugías robotizadas: 500/mes

• Sensor mide glucosa cada 5 minutos
• Bomba administra insulina automáticamente
• Médico ajusta parámetros remotamente
• Familiar recibe alertas en app

• Cáncer que no aparece en la imagen
• "Tumor" que aparece donde no hay
• Diagnósticos erróneos que cambian tratamientos
• Demandas por mala práctica médica (cuando fue sabotaje)

• Pantallas se bloquean
• Aparece mensaje de rescate
• Hospital paga o restaura backups

• Desprestigiar al hospital
• Beneficiar a hospital competidor
• Bajar valor de acciones (si es público)
• Demostrar capacidad para vender servicios después

🏭 SECTOR 3: AUTOMANUFACT INC. - Cuando las Máquinas Piensan

• Tipo: Fabricante automotriz
• Robots industriales: 2,500 en línea de producción
• Sensores IoT: 50,000 monitoreando producción
• Personal: 8,000 empleados, 500 en sistemas

• Robot suelda punto A → punto B (precisión 0.1mm)
• 1,200 autos/día sin errores
• Calibración automática cada 24h

• En fábrica: Autos pasan control
• En carretera: 6 meses después, fallas estructurales
• Consecuencia: Retiro masivo de 100,000 vehículos

• Retiro: $500/auto = $50 millones
• Multas: $30 millones
• Daño reputación: Incalculable

• Apaga luces en áreas no usadas
• Ajusta temperatura por horarios
• Reduce consumo en picos de tarifa

• Producción perdida: $15 millones
• Materia prima dañada: $3 millones
• Contratos incumplidos: $20 millones en penalidades

• "Tenemos backup completo cada 6 horas"
• "Se guarda en cinta y en la nube"
• "Podemos restaurar en 4 horas máximo"

• Último backup real: 11 meses antes
• Datos perdidos: $40 millones en diseño e ingeniería
• Tiempo de recuperación: 3 semanas (no 4 horas)

📊 TABLA COMPARATIVA: ¿QUÉ PASA CUANDO FALLA?

🧪 EJERCICIO PRÁCTICO 1.3: ¿EN QUÉ SECTOR TRABAJARÍAS?

• [ ] ¡Adrenalina! Me encantan las decisiones rápidas
• [ ] Estrés. Prefiero más tiempo para pensar
• [ ] Indiferente. El dinero se puede recuperar

• [ ] Responsabilidad. Una vida depende de mi decisión
• [ ] Presión. Demasiada carga emocional
• [ ] Técnico. Es solo un problema de sistemas

• [ ] Analítico. Me gusta diagnosticar sistemas complejos
• [ ] Pragmático. El costo económico importa
• [ ] Cauteloso. La seguridad primero siempre

• Mayoría A → FinTech:

• Mayoría B → Salud:

• Mayoría C → Industrial:

• Mixto → Consultor/Generalista:

⚠️ ADVERTENCIA COMÚN: EL ERROR DEL "COPY-PASTE" DE SEGURIDAD

🔄 PATRÓN UNIVERSAL: LOS 3 PILARES DE PROTECCIÓN

• Prevenir: Validación transacciones, MFA
• Detectar: Anomalías en transacciones
• Responder: Reversión inmediata, notificación clientes

• Prevenir: Segmentación red, control acceso físico
• Detectar: Monitoreo dispositivos médicos
• Responder: Protocolos de emergencia médica + IT

• Prevenir: Air gap, control acceso OT
• Detectar: Anomalías en procesos industriales
• Responder: Paradas controladas, backup de configuraciones

📝 RESUMEN DE LA SECCIÓN

1.4 Fundamentos Técnicos: Lo Que Todos Deben Saber (Sin Volverse Ingenieros)

• ¿Dónde están los cimientos?
• ¿El techo tiene goteras?
• ¿Las instalaciones eléctricas son seguras?

🔐 CONCEPTO 1: LA TRÍADA CID - EL "ABC" DE LA SEGURIDAD

• Alguien adivina tu contraseña "password123"
• Lee tus mensajes privados
• Solución: Contraseña fuerte + verificación en dos pasos

• Alguien entra y cambia tu foto de perfil
• Publica en tu nombre
• Solución: Registro de actividad, alertas de cambios

• Facebook "se cae" por ataque
• No puedes acceder por horas
• Solución: Servidores redundantes, protección DDoS

• Confidencialidad: ¿Alguien más podría leerlo? ______
• Integridad: ¿Podrían cambiar un email que enviaste? ______
• Disponibilidad: ¿Podrías acceder si Gmail/Outlook cae? ______

🛡️ CONCEPTO 2: AUTENTICACIÓN vs AUTORIZACIÓN - LA DIFERENCIA QUE SALVA

• Autenticación (La Puerta): ¿Tienes la llave correcta? (DNI, Password).
• Autorización (El Permiso): Una vez dentro, ¿tienes permiso para entrar a la bóveda o solo al lobby?

• ✅ Entrada 1: Ticket válido + DNI que coincide → PASAS
• ❌ Entrada 2: Ticket falso → NO PASAS
• ❌ Entrada 3: Ticket válido pero DNI diferente → NO PASAS

• ✅ Ticket General: Puedes estar en pista
• ✅ Ticket VIP: Puedes entrar a backstage
• ❌ Ticket General intentando backstage: NO PUEDES

• Usuario: `maria.garcia`
• Contraseña: ``
• Código SMS: `123456`
• Resultado: Sistema CONFIRMA que eres María

• María como cliente: Transferir hasta $1,000/día
• María como administradora: Transferir cualquier monto
• Sistema: Verifica permisos ANTES de cada acción

🔍 CONCEPTO 3: DEFENSA EN PROFUNDIDAD - COMO UNA CEBOLLA

🔄 CONCEPTO 4: CICLO DE VIDA DE LA SEGURIDAD - NO ES "UNA VEZ"

• Instalar antivirus
• No hacer clic en enlaces sospechosos
• Usar contraseñas fuertes
• Actualizar Windows regularmente

• Antivirus detecta malware
• Te das cuenta que la PC está lenta
• Recibes alerta de inicio de sesión sospechoso

• Desconectar de internet
• Ejecutar escaneo completo
• Cambiar contraseñas importantes

• Restaurar archivos de backup
• Reinstalar sistema si es necesario
• Verificar que todo esté limpio

• Implementar MFA en todas las cuentas
• Hacer backups automáticos
• Educarse sobre nuevos tipos de ataques

• PREVENCIÓN: 80% del presupuesto, 20% del tiempo
• DETECCIÓN: 207 días para descubrir un breach 😱
• RESPUESTA: 73 días para contenerlo 😱😱
• RECUPERACIÓN: $1.5 millones promedio
• MEJORA: Solo 30% implementa lecciones aprendidas

🧠 CONCEPTO 5: MODELO DE CONFIANZA CERO - "NO CONFÍES, VERIFICA"

• Viejo Modelo: "Si tienes la llave de la entrada, eres de confianza."
• Nuevo Modelo (Zero Trust): "No me importa que tengas llave, demuéstrame quién eres CADA VEZ que toques algo."

• "Si pasaste la puerta, eres amigo"
• Puedes ir a cualquier habitación
• Puedes usar la computadora de la casa
• Problema: ¿Y si trajiste a alguien que no conozco?

• "Pasaste la puerta, OK"
• "¿Quieres ir al baño? Demuestra que necesitas ir"
• "¿Quieres usar mi compu? Demuestra que sabes usarla"
• "¿Quieres ir a mi habitación? Aquí no entras NADIE"
• Ventaja: Cada acceso se verifica INDIVIDUALMENTE

• Seguridad: Si comprometen una cuenta, no acceden a todo
• Flexibilidad: Trabajo desde cualquier lugar seguro
• Control: Acceso granulado (no "todo o nada")

📊 TABLA RESUMEN: 5 CONCEPTOS CLAVE

🧪 EJERCICIO PRÁCTICO 1.4: AUDITA TU VIDA DIGITAL

• Confidencialidad: [1 2 3 4 5] (¿Contraseña fuerte? ¿MFA?)
• Integridad: [1 2 3 4 5] (¿Alguien podría enviar desde tu cuenta?)
• Disponibilidad: [1 2 3 4 5] (¿Backup de emails importantes?)

• Confidencialidad: [1 2 3 4 5] (¿Bloqueo de pantalla?)
• Integridad: [1 2 3 4 5] (¿Apps solo de stores oficiales?)
• Disponibilidad: [1 2 3 4 5] (¿Backup de fotos/contactos?)

• Autenticación: [1 2 3 4 5] (¿Solo contraseña? ¿MFA?)
• Autorización: [1 2 3 4 5] (¿Límites de transferencia?)

• Autenticación: [1 2 3 4 5] (¿Cómo proteges acceso?)
• Autorización: [1 2 3 4 5] (¿Qué pueden ver amigos vs público?)

• Capa 1 (prevención): [1 2 3 4 5] (antivirus, updates)
• Capa 2 (detección): [1 2 3 4 5] (¿monitoreas actividad?)
• Capa 3 (respuesta): [1 2 3 4 5] (¿sabes qué hacer si hay virus?)

• 15-25 puntos: ¡Alerta roja! Necesitas mejorar urgente
• 26-35 puntos: Regular. Algunas áreas fuertes, otras débiles
• 36-45 puntos: Bueno. Bien protegido en la mayoría de áreas

• < 30 puntos: Comienza con MFA en email y banco
• 30-40 puntos: Implementa backups automáticos
• > 40 puntos: Considera gestor de contraseñas + encriptación

⚠️ ADVERTENCIA: LOS 3 MITOS PELIGROSOS

• Realidad: 43% de los ataques son a pequeñas empresas.
• Por qué: Son "blanco fácil", menos protegidos, a veces puente a empresas grandes.

• Realidad: Antivirus detecta ~40% de amenazas nuevas.
• Por qué: Nuevo malware tarda horas/días en ser identificado.

• Realidad: 95% de breaches involucran error humano.
• Por qué: Clic en enlace malicioso, contraseña débil, dispositivo perdido.

🔄 CONEXIÓN CON NUESTROS TRES SECTORES

• Tríada CID: Confidencialidad (datos clientes), Integridad (transacciones), Disponibilidad (servicio 24/7)
• Zero Trust: Cada transacción verifica múltiples factores
• Ciclo de vida: Prevención (validaciones), Detección (fraude), Respuesta (reversión)

• Defensa en profundidad: Firewall + segmentación + encriptación + backups
• Autenticación: Balance entre seguridad y emergencias médicas
• Confianza cero: Verificar cada acceso a historiales médicos

• Ciclo de vida: Largo (sistemas OT duran 20+ años)
• Defensa en profundidad: Air gap + segmentación + monitoreo OT
• Tríada CID: Disponibilidad crítica (parada producción = millones perdidos)

📝 RESUMEN DE LA SECCIÓN

1.5 Mindset y Ética: Cómo Pensar (y Actuar) Como Protector Digital

🧠 PRINCIPIO 1: PENSAMIENTO DE SISTEMAS - VER EL BOSQUE, NO SOLO LOS ÁRBOLES

• Ver solo un engranaje → No entiendes la hora.
• Ver cómo interactúan 50 engranajes → Entiendes el sistema completo.

• Técnico Junior (solo ve árboles): "Parche soluciona vulnerabilidad X. Lo instalo en todos los servidores. Tarea completada ✅".
• Técnico Senior (ve el bosque): Antes de instalar, pregunta: "¿Afecta dispositivos médicos? ¿Hay backup? ¿Es el mejor horario?".

• ¿Cuántos "puntos de fallo" tiene TU sistema personal? (Nota los elementos coloreados: WiFi inseguro, Router desactualizado, Nube de terceros).
• Reflexiona: Si cae un solo eslabón (ej: se corta tu WiFi), ¿se detiene toda tu operación bancaria?

⚖️ PRINCIPIO 2: ÉTICA EN ACCIÓN - NO ES "QUÉ PUEDO", ES "QUÉ DEBO"

🛡️ PRINCIPIO 3: HUMILDAD TÉCNICA - EL PELIGRO DE CREERSE "INHACKEABLE"

• La caída: Un empleado descontento tenía credenciales en un post-it en su monitor. Una limpiadora lo fotografió y vendió.
• Resultado: Todos los clientes comprometidos. Quiebra en 3 meses.
• La ironía: No fue un 0-day avanzado. Fue un post-it.

• [ ] ¿Alguna vez has dicho "eso no me pasará a mí"?
• [ ] ¿Postpones actualizaciones "porque funcionan bien así"?
• [ ] ¿Usas la misma contraseña en múltiples sitios?
• [ ] ¿Crees que los ataques son solo a "otros"?

🔄 PRINCIPIO 4: APRENDIZAJE CONTINUO - LA CARRERA QUE NUNCA TERMINA

• Nuevas vulnerabilidades: 65 por día.
• Nuevo malware: 450,000 muestras diarias.

• Diariamente (15 min): Noticias, CVEs críticos.
• Semanalmente (2 h): Probar 1 herramienta, laboratorio.
• Mensualmente (8 h): Curso online, meetup.
• Anualmente (40 h): Certificación, conferencia.

💡 PRINCIPIO 5: COMUNICACIÓN CLARA - DE TÉCNICO A HUMANO

⚠️ LOS 5 PECADOS CAPITALES DEL PROFESIONAL

📊 TEST DE MINDSET: ¿QUÉ TIPO DE PROFESIONAL ERES?

• Mayoría A: Técnico Profundo (Investigador).
• Mayoría B: Estratega/Puente (CISO, Consultor).
• Mayoría C: Pragmático (Gestor de Riesgo).

📝 RESUMEN DE LA SECCIÓN

1.6 Primeros Pasos Prácticos: Tu Plan de Acción Personal

🎯 Introducción: Del "Saber" al "Hacer"

• Persona A: Lee 10 libros de fitness, nunca hace ejercicio.
• Persona B: Lee 1 capítulo, empieza con 10 minutos diarios.

📋 PASO 0: EL "SCORECARD" INICIAL - SABER DÓNDE ESTÁS

• [ ] 1. ¿Usas contraseñas diferentes en cada cuenta importante?
• [ ] 2. ¿Tienes verificación en dos pasos (MFA) en email y banco?
• [ ] 3. ¿Haces backups automáticos de fotos/documentos importantes?
• [ ] 4. ¿Actualizas sistema y apps regularmente?
• [ ] 5. ¿Sabes reconocer phishing básico?

• [ ] 6. ¿Tienes clara tu ruta de aprendizaje en ciberseguridad?
• [ ] 7. ¿Has practicado en entornos controlados/laboratorios?
• [ ] 8. ¿Conoces las certificaciones básicas de tu área de interés?
• [ ] 9. ¿Sigues al menos 3 expertos/recursos confiables del sector?
• [ ] 10. ¿Has aplicado conceptos de seguridad en proyectos reales?

• 0-3 SÍ: Principiante total → Comienza con PASO 1.
• 4-7 SÍ: Conocimiento básico → Refuerza áreas débiles.
• 8-10 SÍ: Base sólida → Enfócate en especialización.

🚀 PASO 1: PROTECCIÓN PERSONAL INMEDIATA (PRIMERAS 24 HORAS)

• Cómo: Configuración → Seguridad → Verificación en dos pasos.
• Método recomendado: App authenticator (Google/Microsoft Authenticator).

• Beneficio: Aún con contraseña robada, necesitan tu teléfono.

📚 PASO 2: TU PRIMERA SEMANA DE APRENDIZAJE

• Descarga Wireshark (gratis).
• Captura 5 minutos de tu tráfico.
• Resultado: ¿A qué sitios se conecta tu PC sin que lo sepas?

• Ve a shodan.io.
• Busca: `city:Madrid port:22` (o tu ciudad).
• Reflexión: Así comienzan muchos ataques.

• Activo: Gmail (Riesgo Alto - sin MFA).
• Acción: Activar MFA el lunes.

🗺️ PASO 3: TU RUTA DE LOS PRÓXIMOS 90 DÍAS

• Completar ruta "Beginner" en TryHackMe
• Leer "The Web Application Hacker's Handbook" (primeros 3 capítulos)
• Seguir 1 incidente de seguridad en tiempo real (ej: nuevo CVE crítico)
• Asistir a 1 webinar gratuito (SANS, BlackHat, etc.)

• Completar 5 "rooms" de dificultad media en TryHackMe
• Configurar laboratorio virtual (VirtualBox + Kali Linux)
• Practicar comandos básicos de Linux (30 minutos/día)
• Unirte a comunidad (Discord de TryHackMe/HackTheBox)

• Red Team/Pentesting: HackTheBox starting point
• Blue Team/SOC: Blue Team Labs Online
• Forensics: Autopsy/Sleuth Kit práctica
• GRC: Curso gratis de NIST CSF framework

• Elegir 1 área y profundizar
• Completar 1 certificación básica (ej: eJPT, Security+ si tienes presupuesto)
• Contribuir a 1 proyecto open source (ej: documentación, testing)
• Crear perfil en LinkedIn con nuevas habilidades

🎯 PASO 4: TU PRIMER "CASO DE ESTUDIO" APLICADO

• [ ] 1. Obtener copia del email (sin abrir adjuntos)
• [ ] 2. Extraer: Remitente, asunto, enlaces, adjuntos
• [ ] 3. Verificar: ¿Es cliente real? ¿Cuándo recibió?

• [ ] 4. Verificar dominio remitente: ¿Coincide con dominio oficial?
• [ ] 5. Analizar enlaces: ¿A dónde redirigen realmente? (usar urlscan.io)
• [ ] 6. Verificar adjuntos: ¿Hash conocido como malicioso? (VirusTotal)
• [ ] 7. Buscar patrones: ¿Similar a campañas conocidas?

• [ ] 8. Determinar: ¿Phishing legítimo o falso positivo?
• [ ] 9. Acciones: ¿Bloquear dominio? ¿Alertar otros clientes?
• [ ] 10. Documentar: Reporte básico con evidencias

• Dominio similar pero no idéntico
• Enlace a sitio no oficial
• Técnica conocida de suplantación

• Dominio agregado a lista de bloqueo
• Alerta enviada a clientes potencialmente afectados
• Reporte a autoridades si aplica

💼 PASO 5: TU PORTAFOLIO INICIAL (LO QUE CONSEGUIRÁ TU PRIMER TRABAJO)

• Título: "Aspirante a [área]" (ej: "Aspirante a Analista de SOC")
• Resumen: 3-4 frases de lo que sabes Y lo que buscas aprender
• Proyectos: Incluir tu análisis de "GlobalSecure FinTech"
• Certificaciones: Las que tengas (aunque sean gratuitas/cursos online)

• Qué incluir:

• No incluir: Herramientas/scripts que no entiendas completamente

• 3 personas a conectar esta semana:

• [Ejemplo: Completé ruta "Pre Security" en TryHackMe]
• [Ejemplo: Realicé análisis básico de incidentes como practicante virtual]
• [Ejemplo: Mantengo blog con aprendizajes en [tu blog]]

⚠️ LOS 5 ERRORES QUE DEBES EVITAR (APRENDIDOS DE EXPERIENCIA)

• Mala idea: Empezar con Metasploit sin entender redes
• Buena idea: Dominar TCP/IP, luego herramientas

• Realidad: Certificación + cero experiencia = dificultad para primer trabajo
• Solución: Certificación + proyectos prácticos = mejor combinación

• Problema: En 6 meses no recordarás qué aprendiste
• Solución: Blog/notion/github para notas (aunque sea privado)

• Verdad: Ellos también empezaron desde cero
• Métrica: Compararte contigo mismo de hace 1 mes

• Estadística: 90% de principiantes tienen mismas dudas
• Acción: Preguntar en comunidades (TryHackMe Discord es excelente para esto)

🎯 TU CHECKLIST FINAL DE ACCIÓN INMEDIATA

• [ ] 1. Cambiar 3 contraseñas críticas (email, banco, red social)
• [ ] 2. Activar MFA en email y banco
• [ ] 3. Crear cuenta en TryHackMe
• [ ] 4. Programar 1 hora esta semana para comenzar aprendizaje

• [ ] 1. Completar primer "room" en TryHackMe
• [ ] 2. Hacer backup físico de archivos importantes
• [ ] 3. Leer resumen OWASP Top 10
• [ ] 4. Crear perfil LinkedIn optimizado

• [ ] 1. Completar ruta "Beginner" en TryHackMe
• [ ] 2. Configurar laboratorio básico (VirtualBox + Kali)
• [ ] 3. Asistir a 1 webinar/meetup (virtual cuenta)
• [ ] 4. Conectar con 3 profesionales en LinkedIn

• [ ] 1. Elegir área inicial de especialización
• [ ] 2. Completar 1 certificación básica
• [ ] 3. Tener portafolio con 3 proyectos/documentaciones
• [ ] 4. Aplicar a primeras 5 posiciones entry-level/junior

📝 RESUMEN FINAL DEL CAPÍTULO 01

Concepto 6: El Internet de las Cosas (IoT) y la Privacidad

¿Tus Dispositivos te Escuchan?

Los Vectores de Riesgo

Visualizando el Riesgo

Mini-diagrama visual: del dispositivo al actor malicioso

Capítulo 01: Configuración de Tu Laboratorio Ético

1.1 Por qué necesitas un laboratorio (y no "practicar" en sistemas reales)

1.2 Opciones de virtualización: VirtualBox vs VMware vs Hyper-V

1.3 Instalación paso a paso de Kali Linux

1.4 Configuración de red segura (modos NAT, Host-Only, Bridged)

1.5 Las 10 herramientas esenciales que instalarás primero

1.6 Creación de máquinas víctimas (Windows 10 vulnerable, Metasploitable)

• Descarga la imagen de SourceForge.
• Impórtala en VirtualBox.
• Advertencia: NUNCA la pongas en modo "Bridged" o con acceso directo a internet.

• Descarga una ISO oficial de Windows 10 (Consulta la sección Recursos para el enlace oficial del Centro de Evaluación).
• Instálala en una nueva VM.
• Desactiva Windows Defender y Firewall (solo para propósitos de este laboratorio, para simular un entorno sin parches o probar evasión).

1.7 Snapshots y backups: Tu botón de "deshacer"

• Snapshot: Guarda el estado exacto de la máquina (memoria y disco). Si rompes el sistema, restauras el snapshot en segundos.
• Regla: Toma un snapshot "Base Limpia" justo después de instalar y configurar todo.

1.8 Buenas prácticas y consideraciones legales

🔬 LABORATORIO: LAB_01

LABORATORIO 01: CONFIGURACIÓN DE ENTORNO SEGURO

Objetivo: Configurar un entorno funcional con Kali Linux (Atacante) y Windows 10 (Víctima) conectados en red segura.

📦 HERRAMIENTAS NECESARIAS

> 🛑 PARADA OBLIGATORIA:

📸 (Clic aquí) Ver GUÍA VISUAL PASO A PASO para descargar y editar plantillas

Si eres nuevo, sigue estos pasos visuales para descargar archivos `.md` y editarlos:

1. Descargar: Haz clic derecho en el enlace del archivo (plantilla) y selecciona "Guardar enlace como...". 2. Abrir: Ve a tu carpeta de descargas, clic derecho en el archivo `.md` > Abrir con > Bloc de notas (o VS Code). 3. Editar: Rellena los datos entre corchetes y guarda el archivo. 4. Visualizar: Así se ve el archivo en el editor, listo para trabajar.

1. VirtualBox (Hipervisor)

• Propósito: Ejecutar máquinas virtuales aisladas.
• Versión: 7.0.x o superior.

2. Kali Linux (Sistema de pruebas)

• Propósito: Distribución especializada para ciberseguridad.
• Opción recomendada: "Kali Linux VirtualBox Images".

3. Windows 10 Vulnerable (Máquina víctima)

• Propósito: Entorno seguro para practicar.
• Alternativa: Metasploitable (Linux vulnerable).

---

⚠️ ADVERTENCIAS CRÍTICAS

1. Solo descargas oficiales: Nunca descargues ISOs de Kali desde torrents o sitios no oficiales. 2. Verifica hashes: Compara el SHA256 después de descargar (instrucciones en la sección de Recursos). 3. Conexión segura: Asegúrate de estar en HTTPS.

---

Parte A: Instalación y Configuración

1. VirtualBox y Extension Pack

1. Instala VirtualBox y el Extension Pack siguiendo las instrucciones oficiales.

2. Máquina Atacante (Kali Linux)

1. Importa la imagen `.ova` o `.vbox` descargada en VirtualBox (Archivo > Importar). 2. Configuración de Red: Ve a Configuración > Red. Asegúrate de que esté en "Red NAT" (si no existe, crea una en Archivo > Herramientas > Network Manager > Redes NAT). 3. Inicia la máquina (usuario/pass: `kali`/`kali`). 4. Actualiza repositorios: `sudo apt update`.

3. Máquina Víctima (Windows 10)

1. Crea una nueva VM en VirtualBox para Windows 10. 2. Instala usando la ISO descargada. 3. Configuración de Red: Ponla en la misma "Red NAT" que Kali. 4. Desactivar Defensas (SOLO EN ENTORNO DE PRUEBAS): * Desactiva Windows Defender Real-time protection. * Desactiva Firewall de Windows (Público y Privado).

---

Parte B: Conectividad y Pruebas Básicas

1. Verificar Direcciones IP

• En Kali, abre una terminal y escribe: `ip addr` (busca la interfaz `eth0`). Anota tu IP.
• En Windows, abre CMD y escribe: `ipconfig`. Anota tu IP.

2. Prueba de Ping

• Desde Kali, haz ping a Windows: `ping `
• Desde Windows, haz ping a Kali: `ping `

3. Snapshot Base (¡Importante!)

• Apaga ambas máquinas.
• Toma un Snapshot llamado "Instalación Limpia" en cada una. Esto es tu botón de "deshacer".

---

🔄 ¿Y SI LOS ENLACES FALLAN?

1. Primero: Verifica que escribiste bien la URL. 2. Segundo: Busca "Kali Linux download" en Google. 3. Tercero: Revisa la sección de Recursos actualizada en este manual.

---

📝 ENTREGABLE: INFORME DEL LABORATORIO (Plantilla)

Descarga la Plantilla Informe Lab 01 desde el Command Center (archivo `.md`) y ábrela en un editor de texto (Bloc de notas o VS Code).

# Informe del Laboratorio 01
**Cadete:** [Tu Nombre o Alias]
**Fecha:** [Fecha de realización]

### 1. Verificación de Integridad
*   **Resultado de Verificación Hash de Kali:** [✅ EXITOSA / ❌ FALLIDA]
    *   *(Si falló, describe la acción tomada)*:

### 2. Configuración de Red
*   **IP de Kali (Atacante):** [Ej: 10.0.2.15]
*   **IP de Windows (Víctima):** [Ej: 10.0.2.16]
*   **Resultado del Ping (Kali -> Víctima):** [✅ Éxito / ❌ Fracaso]

### 3. Persistencia
*   **Snapshot Creados:** [Nombres de los snapshots, ej: "Base Kali - 2025-10-27"]

### 4. Bitácora de Errores
*   **Problemas Encontrados y Soluciones:**
    *   [Describe cualquier error y cómo lo resolviste. Ej: "El modo de red NAT no funcionaba, cambié a una Red NAT personalizada y funcionó."]

Capítulo 02: Fundamentos Técnicos Acelerados

2.0 Inmersión: El Día que TechSafeLock se Quedó Ciega

🧠 Tu decisión en 60 segundos

2.1 Redes: El Sistema Nervioso Digital

La Analogía del Edificio de Apartamentos

Protocolos: El Idioma

• TCP (Transmission Control Protocol): Es como una llamada telefónica formal. "Hola, ¿me oyes?", "Sí, te oigo", "Vale, te envío el archivo". Es fiable pero lento. Ideal para webs, emails, transferencias de archivos.
• UDP (User Datagram Protocol): Es como gritar un mensaje a una multitud. No te importa si todos lo escucharon, solo quieres que salga rápido. Usado en streaming, videojuegos, VoIP (como WhatsApp calls).

DNS: La Guía Telefónica

🧪 Prueba Rápida: ¿Entendiste los puertos de TechSafelock?

2.2 Linux: El Arsenal del Hacker

El Sistema de Archivos: No existe "C:\"

• `/bin`: Binarios (programas básicos como `ls`, `cat`).
• `/home`: Donde viven los usuarios (como "Mis Documentos"). Tu carpeta personal es `/home/kali` (o tu usuario).
• `/etc`: Configuración del sistema (aquí vive la magia, archivos de usuarios, contraseñas hasheadas, configs de red).
• `/var`: Archivos variables (logs de sistema, bases de datos, servidores web).
• `/tmp`: Archivos temporales (se borran al reiniciar).

Comandos de Supervivencia (Tu Primer Cheat Sheet)

Permisos: El Portero de la Discoteca

• r (Read): Leer.
• w (Write): Escribir/Modificar.
• x (eXecute): Ejecutar (si es un programa o script).

🧪 Ejercicio en Terminal: Tu Primera Auditoría

2.3 Introducción a la Nube (La Computadora de Otro)

Pizza as a Service (La Mejor Explicación que Existirá)

• On-Premises (Cocinar en casa): Tú compras los ingredientes, tienes el horno, cocinas, pones la mesa y lavas los platos. (Tú gestionas TODO: Red, Servidores, SO, Aplicación).
• IaaS - Infraestructura como Servicio (Pizza congelada): El proveedor te da la infraestructura (horno/electricidad), tú pones la pizza y la cocinas. (Ej: Amazon EC2. Ellos dan la máquina virtual, tú administras el Sistema Operativo y todo lo de arriba).
• PaaS - Plataforma como Servicio (Pizza a domicilio): Te traen la pizza hecha, tú solo pones la mesa y refrescos. (Ej: Google App Engine, Heroku. Tú solo subes tu código, ellos manejan el SO y el servidor).
• SaaS - Software como Servicio (Ir a la pizzería): Todo está hecho. Tú solo comes. (Ej: Gmail, Salesforce, Dropbox. Solo usas la aplicación).

El Modelo de Responsabilidad Compartida (Donde Muchos Fracasan)

• ¿Falló la seguridad física del centro de datos? → Culpa de AWS.
• ¿Dejaste la contraseña de tu base de datos en blanco en un servidor EC2? → Culpa TUYA.

📋 Responsabilidad en el Desastre de TechSafelock

• ❌ AWS no tuvo la culpa: No hubo fallo en sus centros de datos, redes o hipervisores.
• ✅ La culpa fue de TechSafelock: El error estaba en su código de conversión de moneda y en la falta de validación en su aplicación.

🎯 Resumen Práctico del Capítulo

• Las IPs son direcciones, los Puertos son puertas. Para atacar o defender, primero debes saber a qué puerta llamar.
• Linux es tu mejor amigo y tu peor enemigo. La terminal no muerde, pero no perdona errores. Aprende a hablar su idioma.
• La Nube es cómoda, pero no es mágica. Te quita la carga de gestionar hardware, pero te aumenta la responsabilidad sobre tu software y configuración.

📊 CyberSentinel Tracker – Evaluación de Conceptos

¿Listo para ensuciarte las manos? 👐

    whoami
    

    pwd
    

    ls -la
    

    ls -la /etc | head -20
    

    ls -la /var/log
    

    ls -la /home
    

find /home /tmp -type f -mtime -1 2>/dev/null | head -15

find / -type f -perm 777 2>/dev/null | head -10

sudo grep -i "failed\|accepted" /var/log/auth.log | tail -30

ps aux --sort=-%cpu | head -20

sudo ss -tulnp

Capítulo 03: Vocabulario Esencial de IA/ML

3.0 Inmersión: El Caja Negra que Nadie se Atrevía a Apagar

💭 El dilema del cadete

3.1 La Matrioska: IA vs. ML vs. DL

Diagrama 3.1: La Matrioska de la IA

3.2 Tipos de Aprendizaje (El Enfoque Táctico)

1. Aprendizaje Supervisado (El Profesor Estricto)

• Cómo funciona: Le das al modelo un archivo y le dices: "Esto es Malware". Le das otro y le dices: "Esto es benigno".
• Uso en Ciberseguridad: Detección de malware conocido, clasificación de correos de Phishing.
• Limitación: Si aparece un ataque nuevo que nunca ha visto (Zero-Day), probablemente fallará.

2. Aprendizaje No Supervisado (El Detective Solitario)

• Cómo funciona: Le das al modelo 1TB de logs de red y le dices: "Agrúpalos por similitud". El modelo te dirá: "El 99% del tráfico se ve así, pero este 1% es muy raro y diferente".
• Uso en Ciberseguridad: Detección de anomalías (User Behavior Analytics - UBA). "Juan de Contabilidad nunca se conecta a las 3 AM desde Ucrania. Esto es raro".
• Poder: Es excelente para encontrar cosas que no sabías que debías buscar.

3. Aprendizaje Por Refuerzo (El Videojuego)

• Uso en Ciberseguridad: Agentes autónomos de Red Teaming que intentan penetrar una red y aprenden qué técnicas funcionan mejor para evadir el firewall.

3.3 Métricas de Vida o Muerte

• Falso Positivo (La Falsa Alarma): El sistema dice que es un ataque, pero es tráfico legítimo.

• Falso Negativo (El Silencio Mortal): El sistema dice que todo está bien, pero hay un ataque real ocurriendo.

3.4 Entrenamiento vs. Inferencia (El Gimnasio vs. La Pelea)

• Entrenamiento (Training): Es la fase pesada. Requiere GPUs potentes y horas/días de cómputo para enseñar al modelo. Es como el boxeador entrenando durante meses en el gimnasio.
• Inferencia (Inference): Es cuando pones el modelo a trabajar en producción. Es rápido. El modelo toma una decisión basada en lo que aprendió. Es el boxeador en el ring dando el golpe en milisegundos.

Diagrama 3.2: Flujo de Trabajo de un Modelo

🎯 Resumen Práctico del Capítulo

📝 Checklist de Comprensión

mkdir -p ~/labs_ml/lab03_intro_ml
cd ~/labs_ml/lab03_intro_ml
python3 -m venv venv
source venv/bin/activate

pip install jupyter pandas scikit-learn

jupyter notebook

import pandas as pd

data = {
    "ip": [
        "192.168.1.10", "192.168.1.11", "192.168.1.12", "192.168.1.13",
        "45.33.22.11", "45.33.22.11", "10.0.0.5", "10.0.0.5",
        "192.168.1.15", "192.168.1.16"
    ],
    "hora": [9, 10, 11, 12, 3, 3, 2, 2, 14, 15],
    "intentos_login_fallidos": [0, 1, 0, 2, 10, 12, 8, 9, 0, 1],
    "bytes_transferidos": [200, 350, 180, 220, 5000, 5200, 4500, 4700, 300, 260],
    "es_ataque": [0, 0, 0, 0, 1, 1, 1, 1, 0, 0],
}

df = pd.DataFrame(data)
df

from sklearn.cluster import KMeans

features = df[["intentos_login_fallidos", "bytes_transferidos"]]
features

kmeans = KMeans(n_clusters=2, random_state=42, n_init="auto")
kmeans.fit(features)

df["cluster"] = kmeans.labels_
df

df.groupby("cluster")[["intentos_login_fallidos", "bytes_transferidos"]].mean()

cluster_sospechoso = df.groupby("cluster")["intentos_login_fallidos"].mean().idxmax()
cluster_sospechoso

df["pred_ml_es_ataque"] = (df["cluster"] == cluster_sospechoso).astype(int)
df[["ip", "hora", "intentos_login_fallidos", "bytes_transferidos", "es_ataque", "pred_ml_es_ataque"]]

from collections import Counter

pares = list(zip(df["es_ataque"], df["pred_ml_es_ataque"]))
conteo = Counter(pares)
conteo

# Informe del Laboratorio 03: Intro Práctica a ML

**Cadete:** [Tu Nombre o Alias]
**Fecha:** [Fecha de realización]
**Entorno:** [Kali / Otra distro]

### 1. Configuración del Experimento
- Librerías utilizadas: [Ej: pandas, scikit-learn]
- Features utilizadas: [Ej: intentos_login_fallidos, bytes_transferidos]
- Número de clusters (n_clusters): [2 / 3 / otro]

### 2. Resultados del Modelo
- Verdaderos Positivos (1,1): [cantidad]
- Verdaderos Negativos (0,0): [cantidad]
- Falsos Positivos (0,1): [cantidad]
- Falsos Negativos (1,0): [cantidad]

### 3. Análisis del Dilema del Analista
- ¿Qué te preocupa más en este modelo: Falsos Positivos o Falsos Negativos?
- Explica en 3–5 líneas cómo ajustarías el sistema (reglas adicionales, revisión humana, thresholds) para compensar las limitaciones del modelo.

### 4. Experimentos Adicionales (si aplicaste)
- Cambios que probaste (features, n_clusters, etc.):
- Efecto observado en los resultados:

### 5. Conclusión Personal
En 3–4 líneas, describe qué aprendiste sobre:
- La diferencia entre teoría de ML y práctica.
- Por qué **no basta** con "entrenar un modelo" y confiar ciegamente en él.

Capítulo 04: Modelado de Amenazas - El Arte de Sistematizar la Paranoia

🎯 Objetivo de la Misión

• ⏱️ Tiempo Estimado de Estudio: 75-90 minutos.
• 🛡️ Frameworks Clave: STRIDE, Kill Chain de Lockheed Martin, PASTA, Diagramas de Flujo de Datos (DFD).

4.0 El Detective Ciego: Encuentra el Patrón en el Caos

🕵️‍♂️ CASO ALFA - El Login que Cualquiera Podía Usar

🕵️‍♂️ CASO BETA - El Reporte que Mintió

🕵️‍♂️ CASO GAMMA - La Base de Datos en la Calle

🔗 CONEXIÓN DE PATRONES: Tu Primer Framework

• Caso Alfa = Suplantación de identidad (usar credenciales que no son tuyas).
• Caso Beta = Manipulación de datos + Negación de acciones.
• Caso Gamma = Filtración de información confidencial.

4.1 Por Qué el Modelado (Y No Solo un Firewall Más Potente)

• Enfoque del Amateur: Pones un guardia más fornido en la puerta, subes el muro unos metros. Reaccionas a la última amenaza que viste.

4.2 STRIDE: El "ABC" de las Amenazas (Aplicado a Nuestros Casos)

4.3 El Ciclo de Vida del Atacante: La "Kill Chain"

La Magia está en la Interrupción:

• Fase 1 (Pre-Infracción): La defensa más barata y efectiva. ¿Cómo? Concienciación anti-phishing (romper la Entrega), hardening de sistemas (reducir vectores de Preparación).
• Fase 2 (Infiltración): El territorio del SOC y los EDR. Detectar la Explotación con firmas/heurísticas, bloquear el tráfico de Comando y Control (C2).
• Fase 3 (Objetivo): La última línea. Encriptación de datos (minimizar el daño de la Acción), segmentación de red (limitar el movimiento lateral).

📋 Aplicación al Caso TJX:

4.4 PASTA: Un Proceso Paso a Paso para No Perderte

Caso de Estudio Sencillo (PASTA Lite): La "App Oficial Falsa" del Banco

4.5 Laboratorio 04: Tu Primer Modelo de Amenazas (Threat Modeling)

cat > validator_dfd.sh << 'EOF'
#!/bin/bash
echo "🛡️  CYBERSENTINEL DFD HELPER v0.1"
echo "================================"
echo "Este script no califica, sino que hace preguntas críticas."
echo ""
echo "1. SOBRE ENTIDADES EXTERNAS:"
echo "   ¿Tu DFD incluye al 'PACIENTE' como entidad? (Sí/No)"
echo "   ¿Incluye algo del 'MUNDO EXTERNO' que podría ser malicioso?"
echo ""
echo "2. SOBRE FLUJOS DE DATOS:"
echo "   ¿Etiquetaste el flujo 'DATOS DE LATIDOS'? ¿Qué tecnología usaste (Bluetooth/HTTP)?"
echo "   ¿Hay un flujo de 'CREDENCIALES' hacia la nube? ¿Está etiquetado como 'encriptado'?"
echo ""
echo "3. SOBRE ACTIVOS CRÍTICOS:"
echo "   ¿Qué TRES activos en tu DFD son más sensibles?"
echo "   Ejemplo: 1) Historial clínico en DB, 2) Datos en tránsito, 3) Claves de API."
echo ""
echo "4. COMPARACIÓN CON REFERENCIA:"
echo "   La diferencia más grande entre tu DFD y el de referencia es:"
echo "   [ ] Agregué componentes     [ ] Simplifiqué algo     [ ] Cambié flujos"
echo ""
echo "📌 Reflexión final: Si un atacante viera tu DFD, ¿cuál es el primer componente que atacaría?"
echo "   Escribe tu respuesta en una línea:"
echo "   ________________________________________________________"
EOF

chmod +x validator_dfd.sh
./validator_dfd.sh

📊 Autoevaluación: El Modelador de Amenazas

Capítulo 05: Análisis de Riesgos - El Arte de la Priorización

🎯 Objetivo de la Misión

• ⏱️ Tiempo Estimado de Estudio: 60 minutos.
• 🛡️ Frameworks Clave: Matriz de Riesgo, DREAD, Fórmula de Riesgo Cuantitativo.

5.0 El Triaje de Emergencia: Salva la Nave

🚨 SITUACIÓN DE CRISIS

🧩 EL CÓDIGO DEL RIESGO

• Caso A: Impacto Bajo x Probabilidad Baja = Riesgo Trivial. (Nadie muere si no hay Netflix).
• Caso B: Impacto Crítico (Invasión) x Probabilidad Alta (Puerta abierta) = Riesgo Crítico.
• Caso C: Impacto Medio x Probabilidad Muy Baja = Riesgo Bajo.

5.1 Amenaza vs. Vulnerabilidad vs. Riesgo

5.2 Midiendo el Riesgo: La Matriz de Calor

Caso Práctico: MediTech (Del Lab 04)

• Amenaza A (Bluetooth sin cifrar):

• Amenaza B (Servidor se cae por tráfico):

5.3 DREAD: Un Método para Desempatar

• Damage (Daño): ¿Qué tan malo es el ataque?
• Reproducibility (Reproducibilidad): ¿Es fácil de repetir o funciona una de mil veces?
• Exploitability (Explotabilidad): ¿Se requiere un genio o un script kiddie?
• Affected Users (Usuarios Afectados): ¿Afecta a uno o a todos?
• Discoverability (Descubribilidad): ¿Es fácil encontrar la vulnerabilidad?

5.4 Las 4 Estrategias de Tratamiento

📊 CyberSentinel Tracker – Evaluación de Riesgos

Autoevaluación de Dominio

nano risk_calc.py

#!/usr/bin/env python3

def obtener_valor(prompt):
    while True:
        try:
            val = int(input(prompt + " (1-5): "))
            if 1 <= val <= 5:
                return val
            print("❌ Error: Debe ser un número entre 1 y 5.")
        except ValueError:
            print("❌ Error: Ingresa un número válido.")

print("🛡️  CYBERSENTINEL RISK CALCULATOR v1.0")
print("=======================================")

impacto = obtener_valor("💥 Nivel de IMPACTO")
probabilidad = obtener_valor("🎲 Nivel de PROBABILIDAD")

riesgo = impacto * probabilidad

print(f"\n📊 RESULTADO:")
print(f"   Puntaje de Riesgo: {riesgo}/25")

if riesgo >= 15:
    print("   🔴 CLASIFICACIÓN: CRÍTICO - ¡Actuar de inmediato!")
elif riesgo >= 8:
    print("   🟡 CLASIFICACIÓN: ALTO - Planificar mitigación.")
else:
    print("   🟢 CLASIFICACIÓN: BAJO - Aceptable por ahora.")

chmod +x risk_calc.py
./risk_calc.py

cat > validator_risk.sh << 'EOF'
#!/bin/bash
echo "🛡️  CYBERSENTINEL RISK TRAINER"
echo "=============================="
echo "Pregunta 1: En el Escenario A (Servidor desconectado), ¿cuál es el riesgo?"
echo "a) 25 (Crítico porque la vulnerabilidad es técnica)"
echo "b) 1 (Bajo porque no hay amenaza ni impacto real)"
read -p "Tu respuesta (a/b): " r1

if [ "$r1" == "b" ]; then
    echo "✅ Correcto. Sin exposición, el riesgo es mínimo aunque el bug sea feo."
else
    echo "❌ Incorrecto. Recuerda: Riesgo = Amenaza x Vulnerabilidad. Si Amenaza es 0..."
fi

echo ""
echo "Pregunta 2: ¿Qué estrategia usarías para el Escenario C (Laptop cifrada)?"
echo "a) Tratar (Instalar GPS)"
echo "b) Tolerar (El cifrado ya mitiga el impacto de datos, solo pierdes el hardware)"
read -p "Tu respuesta (a/b): " r2

if [ "$r2" == "b" ]; then
    echo "✅ Correcto. A veces es más barato reemplazar la laptop que ponerle seguridad militar."
else
    echo "⚠️  Debatible. Pero considera el costo-beneficio."
fi
EOF
chmod +x validator_risk.sh
./validator_risk.sh

Capítulo 06: Diagramación de Arquitecturas y Proyecto Final

De los Diagramas a la Decisión Ejecutiva

6.0 Inmersión: El Arquitecto vs. El Hacker – La Misma Imagen, Distinto Lente

• Como HACKER (Red Team): ¿Cuál es el primer componente que probarías atacar y por qué?
• Como ARQUITECTO DE SEGURIDAD (Blue Team): ¿Cuál es el primer control que implementarías y dónde?

6.1 DFDs Avanzados: Límites de Confianza y Niveles de Profundidad

Límites de Confianza (Trust Boundaries)

• Ejemplo: Todo lo dentro de tu data center privado es una zona. Internet es otra. El smartphone del paciente es otra.
• Cada vez que un flujo de datos cruza un límite de confianza, es un punto de ataque potencial.

Niveles de DFD: Del Panorama al Detalle

• Nivel 0 (Contexto): La caja negra. "El sistema se comunica con el usuario y la nube".
• Nivel 1 (Funciones Principales): Los principales procesos y almacenes.
• Nivel 2+ (Detalle de Proceso): Desglosas un proceso específico. Ejemplo: `(Servidor Web)` se convierte en `(Autenticar Usuario)`, `(Servir Contenido)`, `(Registrar Log)`.

6.2 PASTA en Acción: Recorriendo las 7 Etapas con un Caso Guiado

6.3 El Arte del Informe Ejecutivo: De lo Técnico a lo Accionable

Estructura de un Informe Ejecutivo de Modelado de Amenazas (1–2 páginas)

• Propósito: "Evaluar riesgos de la nueva función 'Pagos Rápidos'".
• Hallazgo Principal: "El riesgo más alto es la suplantación de contactos, lo que podría llevar a pérdidas financieras directas y daño reputacional".
• Recomendación Clave: "Implementar verificación de doble factor para agregar nuevos beneficiarios, con un costo estimado de X horas de desarrollo".
• Riesgo General: "Medio-Alto. Mitigable con controles planeados".

• "Se utilizó el framework PASTA, analizando componentes con STRIDE y priorizando con matriz de riesgo".

• "1. Diseñar MFA (Sprint 24). 2. Auditar logs de transacciones (2 semanas)".

6.5 Laboratorio 06: Proyecto Final – Asesor de Seguridad para "AutoManufact Inc."

Escenario: La Fábrica 4.0 Desprotegida

• Sensores IoT en robots que envían datos de vibración y temperatura.
• Una pasarela (gateway) industrial en la fábrica que recibe datos y los envía.
• La plataforma cloud de AutoManufact (AWS) que analiza datos para predicción de mantenimiento.
• Una aplicación web para que los ingenieros de planta vean alertas y manuales.
• Tablets en la fábrica que acceden a esa app web.

📊 CyberSentinel Tracker – Evaluación de Proyecto

6.6 Informe de Estado de Misión: Fin de Fase 01

🛑 Checkpoint Estratégico: ¿Estás listo para la Defensa?

📊 Tablero de Disponibilidad Operativa (Readiness)

• Verde (>80%): Tienes luz verde. Tu mentalidad es predictiva. Estás listo para diseñar arquitecturas defensivas.
• Amarillo/Rojo (<50%): ALTO. No avances. Si construyes defensas ahora, dejarás brechas. Regresa al capítulo débil (clic en la barra) y refuerza los conceptos o repite el laboratorio.

Capítulo 07: Diseñando Arquitecturas Seguras - De la Amenaza a la Defensa

7.0 Inmersión: El Rediseño de TechSafelock - Cuando $2M en 3 Minutos Cambió Todo

00:00 - $0
00:30 - $124,850
01:00 - $512,300
01:30 - $987,450
02:00 - $1,520,800
02:30 - $1,998,750
03:00 - $2,047,100  ⚠ ALERTA CRÍTICA

# Lo que tenían:
firewall: "Security Groups AWS básicos"
waf: "No implementado"
rate_limiting: "Ninguno"

# Lo que el atacante vio:
# "Puerta abierta. Sin guardias. Sin alarmas."

app.post('/api/convert', (req, res) => {
  const { amount, from, to } = req.body
  // Procesar transacción...
})

7.1 Defensa en Profundidad Aplicada a TechSafelock

CAPA 1: PERÍMETRO (La Muralla)

• Problema Anterior: Ataque DDoS de capa de aplicación y bots saturando el login.
• Solución: Cloudflare WAF con reglas específicas para APIs financieras.
• Configuración Concreta:

    waf_rules:
      - action: block
        target: "/api/v1/login"
        condition: "requests_per_second > 5 OR country != 'ALLOWED_LIST'"
      - action: challenge
        target: "/*"
        condition: "bot_score > 0.5"
    

CAPA 2: RED (El Laberinto)

• Problema Anterior: Movimiento lateral libre. Si entraban al servidor web, llegaban a la DB.
• Solución: Segmentación con Micro-VLANs.
• Diseño:

CAPA 3: ENDPOINT (Los Soldados)

• Problema Anterior: Servidores web sin hardening, ejecutando servicios innecesarios.
• Solución: Hardening CIS Level 1 + EDR.
• Checklist de Implementación:

CAPA 4: APLICACIÓN (La Lógica)

• Problema Anterior: Validación de inputs débil (SQL Injection).
• Solución: Validación en 3 puntos (Frontend -> Gateway -> Backend).
• Código de Ejemplo (Python):

    def procesar_transaccion(monto):
        # Validación estricta de tipo y rango
        if not isinstance(monto, (int, float)):
            raise SecurityError("Tipo de dato inválido")
        if monto <= 0 or monto > 10000:
            raise SecurityError("Monto fuera de rango permitido")
        return True
    

CAPA 5: DATOS (El Tesoro)

• Problema Anterior: Datos de tarjetas en texto plano.
• Solución: Cifrado AES-256 + Enmascaramiento.
• Configuración: La base de datos cifra el disco (TDE) y la aplicación cifra campos sensibles (PAN) antes de insertar.

7.2 API Gateway: Flujo Zero Trust

Diagrama de Flujo Zero Trust

Secuencia Detallada

7.3 Zero Trust en la Práctica: Configuración del API Gateway

# api_gateway_config.yaml
api_gateway:
  name: "techsafelock-payments"
  authentication:
    required: true
    method: "JWT"
    issuer: "auth.techsafelock.com"
  rate_limiting:
    requests_per_minute: 1000
    burst_limit: 100
    per_user: true
  validation:
    - validate_json_schema: "payment_schema.json"
    - sanitize_inputs: true
    - block_sql_injection: true

7.4 Segmentación Industrial OT/IT: Conectando con AutoManufact

7.5 Laboratorio 07: Diseñando la Arquitectura de MediTech 2.0

7.6 Herramienta: architecture_designer.py

# 1. De amenazas (Cap 06) a controles sugeridos (Cap 07)
python architecture_designer.py \
  --threats mis_amenazas_cap6.json \
  --suggest-controls

# 2. Generar diagrama de arquitectura en Mermaid
python architecture_designer.py \
  --components componentes_meditech.json \
  --generate-diagram > diagrama_meditech.mmd

# 3. Calcular ROI de tu arquitectura propuesta
python architecture_designer.py \
  --controls controles_meditech.json \
  --ale 750000 \
  --calculate-roi

# 4. Exportar configuración completa para detección (Cap 08)
python architecture_designer.py \
  --components componentes_meditech.json \
  --controls controles_meditech.json \
  --export-config mi_arquitectura.json

7.7 Conectando los Puntos: Del Capítulo 6 al Capítulo 8

⬅️ Con Capítulo 06 (Análisis de Riesgos)

➡️ Con Capítulo 08 (Detección de Intrusos)

# 1. Exporta tu arquitectura desde Cap 07
python architecture_designer.py \
  --components componentes_automantufact.json \
  --controls controles_automantufact.json \
  --export-config mi_arquitectura.json

# 2. Genera reglas IDS a partir de tu arquitectura (Cap 08)
python LIBRO_BORRADOR/volumen_01/parte_02_defensa/capitulo_08_ids_ips/threat_to_detection.py \
  --config mi_arquitectura.json \
  --output cybersentinel.rules

📊 Autoevaluación

Capítulo 08: Sistemas de Detección y Prevención - La Conciencia de la Red

🎯 OBJETIVOS DE LA MISIÓN

8.0 Inmersión: Lo Que el Firewall de TJX No Vio

192.168.1.50 → 192.168.10.100:80   (HTTP interno, “normal”)
192.168.1.50 → 192.168.10.200:1433 (SQL Server, “normal”)
192.168.1.50 → 45.33.22.11:443     (HTTPS saliente, “backup” permitido)

8.1 Cámaras (IDS) vs Guardias Armados (IPS): Aplicado a Nuestros Casos

8.2 El Lenguaje del Cazador: Reglas para Nuestros Casos

Caso 1: TechSafelock – Detectando la Tormenta de $2M

alert tcp $FINTECH_NET any -> $API_SERVERS 8443 \
 (msg:"CYBERSENTINEL - TechSafelock - Ráfaga de transacciones de conversión anómala"; \
  flow:established,to_server; \
  content:"POST /api/convert"; nocase; http_uri; \
  content:"amount"; nocase; http_client_body; \
  threshold:type threshold, track by_dst, count 100, seconds 10; \
  classtype:denial-of-service; \
  reference:case,cybersentinel-techsafelock-001; \
  sid:1000101; rev:1;)

Caso 2: MediTech – Cazando al Manipulador de la Bomba

alert tcp any any -> $MEDICAL_IOT_NET 5000 \
 (msg:"CYBERSENTINEL - MediTech - Comando peligroso a dispositivo médico"; \
  flow:to_server,established; \
  content:"SET_PARAM"; nocase; \
  pcre:"/(MAX_DOSE|MIN_BASAL)\\s*[>=]\\s*([7-9][0-9]|1[0-9][0-9])/"; \
  classtype:attempted-admin; \
  priority:1; \
  reference:case,cybersentinel-meditech-001; \
  sid:1000102; rev:1;)

Caso 3: TJX – La Exfiltración Silenciosa

alert tcp $INTERNAL_NETS any -> $EXTERNAL_NET $HIGH_PORTS \
 (msg:"CYBERSENTINEL - TJX - Posible exfiltración masiva de datos"; \
  flow:established,to_server; \
  content:"SELECT"; nocase; \
  byte_test:4,>,1073741824,0,relative; \
  pcre:"/(card_number|cc_num|pan)/i"; \
  classtype:data-leak; \
  reference:case,cybersentinel-tjx-001; \
  sid:1000103; rev:1;)

8.3 Afinando Nuestras Reglas: De 1000 Alertas a 1 Certera

alert tcp any any -> $OT_NET any \
 (msg:"Tráfico a red industrial"; \
  sid:1000201;)

alert tcp $ENGINEERING_NET any -> $ROBOT_CONTROLLERS 502 \
 (msg:"CYBERSENTINEL - AutoManufact - Cambio de parámetros de calibración fuera de ventana"; \
  flow:to_server,established; \
  content:"WRITE_REGISTER"; nocase; \
  pcre:"/(register_address=400[1-5]).*(value=[0-9]{3,})/"; \
  flowbits:set,calibration_change; \
  flowbits:isset,calibration_change; \
  window:3600; \
  threshold:type limit, track by_dst, count 1, seconds 3600; \
  classtype:policy-violation; \
  reference:case,cybersentinel-automanufact-001; \
  sid:1000202; rev:1;)

Caso Real: La Regla "Web Attack" que Despertaba al SOC a las 3 AM

# REGLA ORIGINAL (Problemática)
alert http $HOME_NET any -> $EXTERNAL_NET any \
 (msg:"ET WEB_ATTACK SQL Injection Attempt"; \
  content:"' OR '1'='1"; nocase; \
  sid:2010001;)

# REGLA AFINADA (Precisa)
alert http $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS \
 (msg:"ET WEB_ATTACK SQL Injection Attempt - Tuned"; \
  flow:established,to_server; \
  content:"POST"; nocase; http_method; \
  content:"' OR '1'='1"; nocase; fast_pattern; \
  pcre:"/(SELECT|UNION|INSERT).*' OR '1'='1/Ui"; \
  threshold:type threshold, track by_src, count 3, seconds 10; \
  exclude: stream_ip 192.168.10.0/24; \
  sid:2010002;)

8.4 Más Allá de las Firmas: NDR, EDR y el Futuro de la Detección

8.5 Laboratorio 08: El Cazador en su Red Aislada

Parte A: Despliegue del Sistema de Detección

sudo apt update && sudo apt install -y suricata
sudo systemctl start suricata
sudo tail -f /var/log/suricata/fast.log

Parte B: Generación de Tráfico de Ataque

nmap -p 22 192.168.1.0/24
hydra -l admin -P /usr/share/wordlists/rockyou.txt -t 4 192.168.1.10 ssh
curl "http://192.168.1.10/form.php?user=' OR '1'='1"

Parte C: Escritura de Reglas Personalizadas

python LIBRO_BORRADOR/volumen_01/parte_02_defensa/capitulo_07_arquitecturas_red/architecture_designer.py \
  --export-config design_export.json \
  --components LIBRO_BORRADOR/volumen_01/parte_02_defensa/capitulo_07_arquitecturas_red/components_example.json \
  --controls LIBRO_BORRADOR/volumen_01/parte_02_defensa/capitulo_07_arquitecturas_red/controls_example.json

python LIBRO_BORRADOR/volumen_01/parte_02_defensa/capitulo_08_ids_ips/threat_to_detection.py \
  --config design_export.json \
  --output cybersentinel.rules

sudo cp cybersentinel.rules /etc/suricata/rules/
sudo suricata -T -c /etc/suricata/suricata.yaml -v
sudo systemctl reload suricata

sudo nano /etc/suricata/rules/cybersentinel.rules

sudo suricata -T -c /etc/suricata/suricata.yaml -v
sudo systemctl reload suricata

Parte D: Análisis y Afinación

📊 CYBERSENTINEL TRACKER - CAPÍTULO 08

✅ RESUMEN DEL CAPÍTULO

Capítulo 09: Hardening de Sistemas – La Inmunización Digital

9.0 Inmersión: El Antídoto que WannaCry Nunca Encontró

9.1 ¿Qué es realmente el Hardening? Más allá del "parche mágico"

La analogía del submarino

Basado en estándares, no en corazonadas

Hardening mínimo en Windows frente a casos WannaCry

9.2 El Triángulo de Oro del Hardening

🔴 1. Hardening del sistema operativo

# 1. Usuarios por defecto activos
cat /etc/passwd | grep -E "(oracle|postgres|mysql)"

# 2. Servicios innecesarios escuchando
sudo ss -tulpn | head

# 3. Permisos de archivos débiles
ls -la /var/lib/mysql/

sudo nano /etc/sysctl.conf

net.ipv4.ip_forward = 0
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.conf.all.send_redirects = 0

sudo apt update && sudo apt install -y lynis
sudo lynis audit system

🟡 2. Hardening de aplicaciones y servicios

server {
    # 1. Cabeceras de seguridad
    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header Referrer-Policy "strict-origin-when-cross-origin";

    # 2. Limitar métodos HTTP
    if ($request_method !~ ^(GET|POST|HEAD)$) {
        return 405;
    }

    # 3. Rate limiting básico
    limit_req_zone $binary_remote_addr zone=api_limit:10m rate=10r/s;

    location /api/ {
        limit_req zone=api_limit burst=20 nodelay;
        proxy_pass http://api_backend;
    }

    # 4. Ocultar versión de servidor
    server_tokens off;
}

🟢 3. Hardening de red y credenciales

# Desde dentro de la red, analiza un dispositivo IoT
nmap -sS -p- -T4 192.168.1.100

9.3 La paradoja del Hardening: cuando la seguridad rompe la funcionalidad

Hardening faseado

Controles compensatorios

Documentar la excepción

9.4 Automatización: tu única esperanza de escala

Introducción a Ansible para hardening

---
- name: Aplicar hardening básico CIS nivel 1
  hosts: all
  become: yes

  tasks:
    - name: Asegurar actualizaciones de seguridad
      apt:
        upgrade: dist
        update_cache: yes
        autoremove: yes

    - name: Instalar y configurar UFW
      apt:
        name: ufw
        state: present

    - name: Habilitar firewall por defecto
      ufw:
        state: enabled
        policy: deny
        direction: incoming

9.5 Hardening para tu carrera

🧪 Laboratorio 09: "Proyecto Inmune" – de víctima a fortaleza

Parte A: Línea de base – ¿qué tan débil eres?

sudo apt update && sudo apt install -y lynis
sudo lynis audit system --quick
sudo cp /var/log/lynis-report.dat ~/lynis-before.dat

nmap -sS -sV -O -T4 

Parte B: Aplicación manual de hardening

sudo passwd root

sudo ufw enable
sudo ufw default deny incoming
sudo ufw allow ssh

Parte C: Prueba de resistencia – ataque controlado

# 1. Escaneo de nuevo
nmap -sS -sV -O -T4 

# 2. Intento de fuerza bruta a SSH (ataque controlado)
hydra -l root -P /usr/share/wordlists/rockyou.txt -t 4  ssh

# 3. Verificar información de servicios
nc  22

Parte D: Automatización – tu playbook de supervivencia

nano hardening_script.sh

#!/bin/bash
echo "[+] Aplicando hardening básico..."
sudo ufw --force enable
sudo sed -i 's/^PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
echo "[+] Hardening completado. Reinicia SSH con: sudo systemctl restart sshd"

Entregable del Laboratorio 09

📊 CyberSentinel Tracker – Capítulo 09

✅ Resumen del capítulo

9.6 Informe de Estado de Misión: Fin de Fase 02 – Defensa en Profundidad

📊 Tablero de Disponibilidad Operativa – Fase 02

Capítulo 10: Machine Learning para Detección de Anomalías

10.0 Inmersión: Lo Que las Reglas de TJX Nunca Vieron

10.1 De Firmas a Comportamiento: La Evolución del Cazador

Nivel 1: Firmas (Capítulo 08 – El Cazador con Lupa)

Nivel 2: Comportamiento (Capítulo 10 – El Psicólogo de la Red)

Tabla comparativa aplicada a nuestros casos

Diagrama: Evolución del Cazador CyberSentinel

10.2 El Pipeline del Cazador Inteligente: De Datos a Decisión

Diagrama: Pipeline de Detección de Anomalías – Caso TJX

10.3 Tu Primer Detector de Anomalías en Python

historico = [12, 15, 9, 11, 14, 10, 13, 16, 12, 11]

media = sum(historico) / len(historico)
varianza = sum((x - media) ** 2 for x in historico) / len(historico)
desviacion = varianza ** 0.5

def es_anomalo(valor, k=3):
    if desviacion == 0:
        return False
    return abs(valor - media) > k * desviacion

observaciones = [14, 13, 12, 60, 11, 10]

for v in observaciones:
    if es_anomalo(v):
        print(v, "ANOMALIA")
    else:
        print(v, "normal")

10.4 Laboratorio 10: El Psicólogo de la Red - Detectando lo Invisible

Parte A: Generar datos de entrenamiento (tráfico "normal")

# generate_normal_traffic.py
import pandas as pd
import numpy as np
from datetime import datetime, timedelta

# Simular 30 días de tráfico normal del servidor SQL
np.random.seed(42)
dates = pd.date_range(start='2024-01-01', end='2024-01-30', freq='H')

data = []
for date in dates:
    # Comportamiento NORMAL:
    # - Horario laboral (9 AM - 6 PM) más tráfico
    # - Solo 3 destinos internos
    # - Volumen moderado

    is_work_hour = 9 <= date.hour <= 18
    base_connections = np.random.randint(1, 5)
    base_volume = np.random.randint(10, 100)  # MB

    if is_work_hour:
        connections = base_connections * 3
        volume = base_volume * 2
    else:
        connections = base_connections
        volume = base_volume

    # Solo 3 destinos internos
    destinations = ['192.168.10.5', '192.168.10.10', '192.168.10.15']

    data.append({
        'timestamp': date,
        'connections': connections,
        'unique_destinations': 1,  # Solo 1 destino por hora (normal)
        'total_volume_mb': volume,
        'is_work_hour': int(is_work_hour),
        'label': 'normal'  # Etiqueta para entrenamiento
    })

df_normal = pd.DataFrame(data)
df_normal.to_csv('trafico_normal.csv', index=False)
print(f"[+] Generados {len(df_normal)} registros de tráfico NORMAL")

Parte B: Generar datos de ataque (exfiltración TJX)

# generate_attack_traffic.py
import pandas as pd
import numpy as np
from datetime import datetime, timedelta

from generate_normal_traffic import df_normal

attack_data = []

# El día del ataque: 2024-01-31
attack_date = datetime(2024, 1, 31, 2, 0, 0)  # 2:00 AM

# Características del ATAQUE (basado en TJX):
# 1. Hora no laboral (2:17 AM)
# 2. Destino nuevo externo
# 3. Volumen masivo en poco tiempo

for hour in range(4):  # 4 horas de exfiltración
    timestamp = attack_date + timedelta(hours=hour)

    attack_data.append({
        'timestamp': timestamp,
        'connections': np.random.randint(100, 200),  # ↑ 3000%
        'unique_destinations': 5,  # ↑ 500% (incluye dominio malicioso)
        'total_volume_mb': np.random.randint(500, 600),  # ↑ 1000%
        'is_work_hour': 0,
        'label': 'attack'
    })

df_attack = pd.DataFrame(attack_data)

# Combinar con datos normales
df_combined = pd.concat([df_normal, df_attack], ignore_index=True)
df_combined.to_csv('trafico_completo.csv', index=False)
print(f"[+] Datos combinados: {len(df_normal)} normales + {len(df_attack)} de ataque")

Parte C: Implementar detector de anomalías simple

# anomaly_detector.py
import pandas as pd
import numpy as np
from sklearn.ensemble import IsolationForest
import warnings
warnings.filterwarnings('ignore')


class CyberSentinelAnomalyDetector:
    def __init__(self):
        """Inicializa el detector de CyberSentinel"""
        self.model = IsolationForest(
            contamination=0.01,  # Esperamos ~1% de anomalías
            random_state=42,
            n_estimators=100
        )
        self.features = ['connections', 'unique_destinations', 'total_volume_mb']

    def train(self, normal_data_path):
        """Entrena con datos normales"""
        print("[+] Entrenando detector con tráfico normal...")
        df = pd.read_csv(normal_data_path)

        # Solo usar datos normales para entrenar
        df_normal = df[df['label'] == 'normal']
        X_train = df_normal[self.features]

        self.model.fit(X_train)
        print(f"[+] Modelo entrenado con {len(X_train)} muestras normales")

    def detect(self, traffic_data_path):
        """Detecta anomalías en tráfico nuevo"""
        print("\n[+] Analizando tráfico en busca de anomalías...")
        df = pd.read_csv(traffic_data_path)

        # Predecir anomalías (-1 = anomalía, 1 = normal)
        predictions = self.model.predict(df[self.features])
        df['anomaly_score'] = self.model.decision_function(df[self.features])
        df['is_anomaly'] = predictions == -1

        # Mostrar resultados
        normal_count = (df['is_anomaly'] == False).sum()
        anomaly_count = (df['is_anomaly'] == True).sum()

        print(f"\n📊 RESULTADOS DEL ANÁLISIS:")
        print(f"   Tráfico normal: {normal_count} registros")
        print(f"   ANOMALÍAS detectadas: {anomaly_count} registros")

        if anomaly_count > 0:
            print(f"\n🚨 ALERTA CYBERSENTINEL - POSIBLE EXFILTRACIÓN DETECTADA")
            anomalies = df[df['is_anomaly'] == True]

            for idx, row in anomalies.iterrows():
                print(f"\n   ⚠️  Registro {idx}:")
                print(f"      Hora: {row['timestamp']}")
                print(f"      Conexiones: {row['connections']} (inusualmente alto)")
                print(f"      Destinos únicos: {row['unique_destinations']}")
                print(f"      Volumen: {row['total_volume_mb']} MB")
                print(f"      Puntaje de anomalía: {row['anomaly_score']:.3f}")

                # Regla de decisión simple
                if row['total_volume_mb'] > 400 and row['is_work_hour'] == 0:
                    print(f"      🚨 CRÍTICO: Posible exfiltración masiva fuera de horario!")

        return df


if __name__ == "__main__":
    print("=" * 60)
    print("CYBERSENTINEL - DETECTOR DE ANOMALÍAS (CAPÍTULO 10)")
    print("Caso TJX: Detectando Exfiltración Silenciosa")
    print("=" * 60)

    detector = CyberSentinelAnomalyDetector()
    detector.train('trafico_normal.csv')
    results = detector.detect('trafico_completo.csv')
    results.to_csv('resultados_deteccion.csv', index=False)
    print(f"\n[+] Reporte guardado en 'resultados_deteccion.csv'")

Parte D: Análisis de resultados - La Intuición Artificial en Acción

# analyze_results.py
import pandas as pd
import matplotlib.pyplot as plt

# Cargar resultados
df = pd.read_csv('resultados_deteccion.csv')

plt.figure(figsize=(12, 6))

df['timestamp'] = pd.to_datetime(df['timestamp'])

plt.subplot(2, 1, 1)
plt.plot(df['timestamp'], df['total_volume_mb'], 'b-', alpha=0.6, label='Tráfico Normal')
anomalies = df[df['is_anomaly'] == True]
plt.scatter(
    anomalies['timestamp'],
    anomalies['total_volume_mb'],
    color='red',
    s=100,
    zorder=5,
    label='ANOMALÍA (Posible Ataque)',
)
plt.axhline(y=400, color='orange', linestyle='--', label='Umbral Crítico (400MB)')
plt.ylabel('Volumen (MB)')
plt.title('CYBERSENTINEL - Detección de Exfiltración TJX')
plt.legend()
plt.grid(True, alpha=0.3)

plt.subplot(2, 1, 2)
plt.plot(df['timestamp'], df['anomaly_score'], 'g-', alpha=0.6)
plt.scatter(
    anomalies['timestamp'],
    anomalies['anomaly_score'],
    color='red',
    s=100,
    zorder=5,
)
plt.axhline(y=0, color='black', linestyle='-', linewidth=0.5)
plt.fill_between(
    df['timestamp'],
    0,
    df['anomaly_score'],
    where=(df['anomaly_score'] < 0),
    color='red',
    alpha=0.3,
)
plt.ylabel('Puntaje de Anomalía')
plt.xlabel('Fecha y Hora')
plt.grid(True, alpha=0.3)

plt.tight_layout()
plt.savefig('detection_tjx_anomalies.png', dpi=300)
print("[+] Gráfico generado: 'detection_tjx_anomalies.png'")

print("\n🔍 ANÁLISIS DEL CAZADOR:")
print("-" * 40)

attack_rows = df[df['label'] == 'attack']
detected_attacks = attack_rows[attack_rows['is_anomaly'] == True]

print(f"ATAQUES simulados: {len(attack_rows)}")
print(f"ATAQUES detectados: {len(detected_attacks)}")
print(f"Tasa de detección: {len(detected_attacks)/len(attack_rows)*100:.1f}%")

false_positives = df[(df['label'] == 'normal') & (df['is_anomaly'] == True)]
print(f"\nFalsos positivos: {len(false_positives)}")
print(f"Tasa de falsos positivos: {len(false_positives)/len(df)*100:.2f}%")

if len(false_positives) > 0:
    print("\n⚠️  FALSOS POSITIVOS a investigar:")
    for _, fp in false_positives.iterrows():
        print(f"   • {fp['timestamp']}: {fp['connections']} conexiones, {fp['total_volume_mb']}MB")

python generate_normal_traffic.py
python generate_attack_traffic.py
python anomaly_detector.py
python analyze_results.py

✅ Checklist de misión cumplida (Laboratorio 10)

Sección 1: Por qué esto importa para tu carrera

Sección 2: Ejemplos de industria real

Sección 3: Habilidades para tu CV/LinkedIn

Sección 4: Oportunidades concretas

Sección 5: Para emprendedores

10.5 Aplicando el Framework a Nuestros Casos

Diagrama: Matriz CyberSentinel – Features vs Casos de Ataque

Caso TechSafelock – Detectando fraude por comportamiento

features_fintech = [
    'monto_promedio_usuario',
    'hora_habitual',
    'frecuencia_diaria',
    'ratio_monto_anomalo',
    'velocidad_transacciones',
]

Caso MediTech – Anomalías en dispositivos médicos

features_medical = [
    'intervalo_telemetria',
    'rango_dosis_historico',
    'patron_horario',
    'latencia_respuesta',
]

Caso AutoManufact – Sabotaje sutil en robots

features_robot = [
    'eficiencia_promedio',
    'temperatura_operacion',
    'consumo_energia',
    'variabilidad_ciclo',
]

10.6 El Futuro: Limitaciones y Ética del ML en Seguridad

Diagrama: Falsos Positivos vs Falsos Negativos – El Dilema del ML

📊 Autoevaluación: El Radar Cognitivo

Capítulo 11: Threat Hunting Proactivo – El Cazador en Acción

🎯 Objetivos de la misión

11.0 Inmersión: El intruso que llevaba 9 meses en TJX

[LINEA DE TIEMPO DEL ATAQUE TJX - Perspectiva del Cazador]

DÍA 0   : Conexión WiFi estacionamiento → Credenciales débiles
DÍA 1   : Movimiento lateral a servidor de backup
DÍA 30  : Primer intento de exfiltración (fallido - 50MB)
DÍA 90  : Instalación de herramienta de persistencia
DÍA 180 : Escalada de privilegios a dominio admin
DÍA 240 : Descubrimiento de base de datos de tarjetas
DÍA 270 : Exfiltración masiva exitosa (2GB)

11.1 Mentalidad del cazador: de SOC Analyst a Cyber Sentinel

Comparativa Visual: Reactivo vs Proactivo

La Pirámide de Madurez del Cazador

11.2 El ciclo del cazador CyberSentinel

11.3 La caja de herramientas del cazador

1. Sysmon – los ojos dentro del endpoint

  
    
    
      chrome.exe
      notepad.exe
    

    
    
      powershell.exe
      1024
    

    
    
      temp
      .exe
    
  

2. MITRE ATT&CK – el mapa del terreno enemigo

TÁCTICA: Exfiltración (TA0010)
└── TÉCNICA: Exfiltración sobre protocolo alternativo (T1048)
    ├── SUB-TÉCNICA: Exfiltración sobre DNS (T1048.001)
    ├── SUB-TÉCNICA: Exfiltración sobre HTTPS (T1048.003) ← TJX usó esta
    └── DETECCIÓN: Buscar conexiones HTTPS a dominios nunca vistos + volumen anómalo

3. Elastic Stack (ELK) – el cerebro del cazador

// Query para buscar movimiento lateral/exfiltración anómala (Caso TJX)
GET /winlogbeat-*/_search
{
  "query": {
    "bool": {
      "must": [
        { "match": { "event.code": "3" } },          // Conexión de red
        { "match": { "process.name": "sqlservr.exe" } },
        { "range": { "destination.port": { "gte": 80, "lte": 443 } } },
        { "exists": { "field": "dns.question.name" } }
      ],
      "must_not": [
        { "wildcard": { "dns.question.name": "*.internal.tjx.com" } }
      ]
    }
  },
  "aggs": {
    "unusual_domains": {
      "terms": { "field": "dns.question.name", "size": 10 }
    }
  }
}

11.4 Aplicando el hunting a nuestros casos

Caso 1: TechSafelock – El cajero fantasma

-- Buscar patrones de micro-fraude
SELECT usuario,
       COUNT(*)          AS transacciones,
       SUM(monto)        AS total_dia,
       AVG(monto)        AS promedio_transaccion,
       STDDEV(monto)     AS variabilidad
FROM transacciones_fintech
WHERE fecha = CURRENT_DATE - 1
  AND monto BETWEEN 0.10 AND 5.00   -- Montos bajos que no alertan
  AND resultado = 'EXITOSO'
GROUP BY usuario
HAVING COUNT(*) > 50                -- Más de 50 transacciones pequeñas/día
   AND variabilidad < 1.00          -- Patrón muy consistente (automático)
ORDER BY transacciones DESC;

Caso 2: MediTech – El paciente digital zombie

# Analizar tráfico médico en busca de anomalías
zeek -C -r captura_medical.pcap medical_protocols.zeek

module MEDICAL_HUNT;

event medical::device_telemetry(c: connection, device_id: string,
                                heartbeat: bool,
                                values: table[string] of double)
{
    # Regla de hunting: dispositivo que reporta telemetría PERO no latido cardíaco
    if ("blood_pressure" in values && "heart_rate" in values) {
        if (values["heart_rate"] == 0.0 && values["blood_pressure"] > 0.0) {
            NOTICE([$note=Medical_Anomaly,
                    $msg=fmt("Dispositivo %s reporta presión sanguínea sin latido cardíaco",
                             device_id),
                    $conn=c]);
        }
    }
}

Caso 3: AutoManufact – Sabotaje por degradación

# hunting_robot_degradation.py
import pandas as pd
from scipy import stats

def detect_gradual_degradation(log_file):
    df = pd.read_csv(log_file)
    alerts = []

    for robot_id in df['robot_id'].unique():
        robot_data = df[df['robot_id'] == robot_id].sort_values('timestamp')

        # Métrica clave: precisión de soldadura (debería ser ~99.8% estable)
        precision = robot_data['weld_precision']

        # Test de tendencia (¿va empeorando con el tiempo?)
        slope, intercept, r_value, p_value, std_err = stats.linregress(
            range(len(precision)), precision
        )

        # Si la precisión cae >0.5% por semana (slope negativo significativo)
        if slope < -0.05 and p_value < 0.01:  # 99% confianza
            degradation_rate = slope * 7 * 24  # % por semana
            alerts.append({
                'robot_id': robot_id,
                'degradation_rate_weekly': round(degradation_rate, 3),
                'current_precision': round(precision.iloc[-1], 3),
                'confidence': 1 - p_value
            })

    return alerts

alerts = detect_gradual_degradation('robot_production_logs.csv')
for alert in alerts:
    print(f"🚨 ROBOT {alert['robot_id']}: Degradación de {alert['degradation_rate_weekly']}%/semana")
    print(f"   Precisión actual: {alert['current_precision']}% (Confianza: {alert['confidence']:.1%})")

11.5 Laboratorio 11: Operación Cazador Nocturno

Parte A: Configurar el entorno de caza

# 1. Instalar y configurar Sysmon para logging mejorado
curl -L -o sysmon.zip "https://download.sysinternals.com/files/Sysmon.zip"
unzip sysmon.zip
sysmon.exe -accepteula -i sysmon-config-hunting.xml

# 2. Configurar Elastic Stack para ingesta de logs
docker-compose -f elk-hunting-lab.yml up -d

# 3. Descargar dataset de ataque simulado (APT29)
wget "https://github.com/OTRF/Security-Datasets/raw/master/datasets/compound/apt29/day1.zip"
unzip day1.zip

Parte B: Diseñar y ejecutar hunts

Tracker de misión – Lab 11

11.6 Hunting en profundidad: APT29 en tus logs

Parte B: Hipótesis y búsqueda

# hunting_queries.py
import pandas as pd
from datetime import datetime

class APT29Hunter:
    def __init__(self, log_data):
        self.df = pd.read_csv(log_data)
        self.apt29_ttps = {
            'T1059.001': 'PowerShell',           # Command and Scripting Interpreter
            'T1071.001': 'Web Protocols',        # Application Layer Protocol
            'T1573': 'Encrypted Channel',        # Encrypted Tunneling
            'T1027': 'Obfuscated Files'          # Obfuscated Files or Information
        }

    def hunt_powershell_obfuscation(self):
        """Busca PowerShell ofuscado (T1059.001 + T1027)"""
        print("\n[+] Cazando PowerShell ofuscado...")

        ps_events = self.df[self.df['Process'] == 'powershell.exe']
        suspicious = []

        for _, event in ps_events.iterrows():
            cmdline = str(event['CommandLine'])

            indicators = [
                ('-EncodedCommand', 'Uso de comandos encoded'),
                ('-e', 'Flag corta de encoded command'),
                ('FromBase64String', 'Decodificación Base64'),
                ('-WindowStyle Hidden', 'Ejecución oculta'),
                ('IEX', 'Invoke-Expression (often malicious)'),
                ('.Replace(', 'Reemplazo de strings (obfuscation)'),
                ('-bypass', 'Bypass de políticas')
            ]

            for indicator, reason in indicators:
                if indicator.lower() in cmdline.lower():
                    suspicious.append({
                        'Time': event['Time'],
                        'User': event['User'],
                        'Command': cmdline[:100] + '...' if len(cmdline) > 100 else cmdline,
                        'Indicator': indicator,
                        'Reason': reason
                    })

        return suspicious

    def hunt_lateral_movement(self):
        """Busca movimiento lateral (T1021)"""
        print("\n[+] Cazando movimiento lateral...")

        patterns = [
            ('psexec', 'Uso de PsExec para movimiento lateral'),
            ('wmic', 'WMIC para ejecución remota'),
            ('schtasks', 'Tareas programadas remotas'),
            ('smbexec', 'Ejecución via SMB')
        ]

        findings = []
        for _, event in self.df.iterrows():
            for pattern, description in patterns:
                if pattern in str(event['CommandLine']).lower():
                    if '\\\\' in str(event['CommandLine']):
                        findings.append({
                            'Time': event['Time'],
                            'Source': event['SourceHost'],
                            'Destination': event['CommandLine'].split('\\\\')[1].split('\\')[0],
                            'Tool': pattern,
                            'Command': event['CommandLine'][:150]
                        })

        return findings

    def generate_hunting_report(self):
        """Genera reporte de cacería completo"""
        print("="*60)
        print("CYBERSENTINEL - REPORTE DE THREAT HUNTING")
        print("Cazando APT29 - " + datetime.now().strftime("%Y-%m-%d"))
        print("="*60)

        findings = []

        ps_findings = self.hunt_powershell_obfuscation()
        if ps_findings:
            print(f"\n🔍 PowerShell Ofuscado: {len(ps_findings)} hallazgos")
            for finding in ps_findings[:3]:
                print(f"   • {finding['Time']} - {finding['User']}")
                print(f"     {finding['Reason']}: {finding['Command']}")
            findings.extend(ps_findings)

        lateral_findings = self.hunt_lateral_movement()
        if lateral_findings:
            print(f"\n🔍 Movimiento Lateral: {len(lateral_findings)} hallazgos")
            for finding in lateral_findings[:3]:
                print(f"   • {finding['Time']} - {finding['Source']} → {finding['Destination']}")
                print(f"     Herramienta: {finding['Tool']}")
            findings.extend(lateral_findings)

        print("\n" + "="*60)
        print("📊 RESUMEN EJECUTIVO")
        print("="*60)
        print(f"Total hallazgos: {len(findings)}")
        print(f"TTPs identificadas: {set([f.get('Tool', 'PowerShell') for f in findings])}")

        print("\n🎯 RECOMENDACIONES INMEDIATAS:")
        if ps_findings:
            print("1. Revisar políticas de ejecución de PowerShell")
            print("2. Implementar logging mejorado de PowerShell (Module logging)")
        if lateral_findings:
            print("3. Segmentar red para limitar movimiento lateral")
            print("4. Revisar cuentas de servicio con privilegios excesivos")

        return findings

if __name__ == "__main__":
    hunter = APT29Hunter('apt29_simulated_logs.csv')
    findings = hunter.generate_hunting_report()

Parte C: Análisis y respuesta

# 1. Extraer IoCs (Indicators of Compromise) de los hallazgos
python extract_iocs.py findings.json

# 2. Crear reglas de detección para el futuro (ejemplo conceptual)
echo 'alert tcp $HOME_NET any -> $EXTERNAL_NET any \
 (msg:"CYBERSENTINEL - Hunting - PowerShell Encoded Command"; \
  content:"-EncodedCommand"; nocase; \
  content:"powershell.exe"; nocase; \
 )' >> cybersentinel.rules

Parte D: Medición de efectividad del hunting

# hunting_metrics.py
class HuntingMetrics:
    def __init__(self):
        self.metrics = {
            'hypotheses_tested': 0,
            'hypotheses_confirmed': 0,
            'ttps_identified': [],
            'hosts_affected': set(),
            'time_to_detect': None,
            'new_detections_created': 0
        }

    def calculate_mttd_improvement(self, old_mttd_hours, hunting_findings):
        """Calcula mejora en MTTD gracias al hunting"""
        early_detection = any(f.get('confidence', 0) > 0.8 for f in hunting_findings)

        if early_detection:
            improvement = old_mttd_hours * 0.7
            return improvement
        return 0

    def generate_roi_report(self, hourly_cost_breach=10000):
        """Genera ROI del programa de hunting"""
        hunting_hours_per_week = 10
        analyst_hourly_rate = 50

        weekly_cost = hunting_hours_per_week * analyst_hourly_rate
        weekly_benefit = self.calculate_mttd_improvement(24, []) * hourly_cost_breach

        roi = (weekly_benefit - weekly_cost) / weekly_cost * 100 if weekly_cost else 0

        return {
            'weekly_cost': weekly_cost,
            'weekly_benefit': weekly_benefit,
            'roi_percentage': roi,
            'breaches_prevented': len(self.metrics['ttps_identified'])
        }

11.7 Del hunting a la ingeniería de detección

# Hallazgo manual: APT29 usando DNS tunneling para C2
# Patrón: queries DNS a subdominios aleatorios de dominio legítimo

# Transformación a regla YARA-L (Google Chronicle)
rule apt29_dns_tunneling {
  meta:
    author = "CyberSentinel Hunting Team"
    description = "Detects DNS tunneling via random subdomains"

  events:
    $dns_event.metadata.event_type = "NETWORK_DNS"
    $dns_event.network.dns.question.name = /[a-z0-9]{16,}\.cdn-updates\.com/

  condition:
    $dns_event
}

# Transformación a regla Sigma (portable)
title: DNS Tunneling via Random Subdomains
id: 123e4567-e89b-12d3-a456-426614174000
status: experimental
description: Detects DNS queries with random subdomains
author: CyberSentinel
logsource:
  category: dns
detection:
  selection:
    query:
      - '*.cdn-updates.com'
  condition: selection
falsepositives:
  - Legitimate CDN traffic (raro)
level: high

11.8 Encajando el hunting en tu pipeline 06–10

De Cap 06 a hipótesis de hunting

De Cap 07–08 a señales iniciales

# 1. Revisar eventos vinculados a tus reglas de Cap 08
grep "CYBERSENTINEL" /var/log/suricata/fast.log > hits_semana.log

# 2. Usar esos hits como punto de partida para tus hunts
python hunting_queries.py --source hits_semana.log

De Cap 09–10 a contexto y anomalías

Diagrama: pipeline 06–10 al servicio del cazador

Sección 1: Por qué esto importa para tu carrera

Sección 2: Ejemplos de industria real

Sección 3: Habilidades para tu CV/LinkedIn

Sección 4: Oportunidades concretas

Sección 5: Para emprendedores

✅ Resumen del capítulo

11.8 Informe de Estado de Misión: Fin de Fase 03 – Detección Avanzada y Hunting

📊 Tablero de Readiness – Fase 03

📊 CYBERSENTINEL TRACKER – CAPÍTULO 11

Capítulo 12: Visión Computacional – Los Ojos del SOC

🎯 OBJETIVOS DE LA MISIÓN

12.0 Inmersión: Lo que la Cámara de TJX Vio pero Nadie Analizó

23:45 - Vehículo desconocido estacionado (Toyota Corolla blanco)
01:30 - Individuo se acerca al edificio (cara no reconocida)
01:45 - Usa tarjeta de acceso (¿robada/clonada?)
02:00 - Sale con mochila (¿llena de hardware?)
02:17 - EL MOMENTO CRÍTICO: Mismo individuo vuelve a entrar
      → Esta vez NO usa tarjeta, alguien le abre desde dentro
      → Posible cómplice interno

La falla de seguridad física tradicional

• Guardia humano: Dormido/aburrido después de horas de "nada que ver".
• Grabación DVR: Guarda video, pero nadie lo revisa hasta DESPUÉS del incidente.
• Sistema de acceso: Registra "tarjeta válida usada", no valida "¿es la persona correcta?".

La oportunidad de visión computacional

• Reconocimiento facial: ¿Este individuo es empleado?
• Detección de anomalías: ¿Vehículo estacionado a horas no laborales?
• Análisis de comportamiento: ¿Movimientos sospechosos repetitivos?
• Correlación físico-digital: ¿Coincide con pico de tráfico SQL a las 2:17 AM?

Casos Reales que Demuestran la Necesidad

• UBICACIÓN: Fort Meade, Maryland - Sede de la NSA.
• INTRUSO: Harold T. Martin III, contratista de la NSA.
• LO QUE OCURRIÓ:

• LA FALLA: Las cámaras veían a un empleado salir con bultos extraños a horas raras, pero nadie correlacionó eso con los logs de acceso a archivos clasificados.

• PÉRDIDA: $81 millones.
• LO CRÍTICO: El ataque requirió acceso físico inicial para manipular impresoras y hardware.
• SI HUBIERA HABIDO VISIÓN COMPUTACIONAL: Se habría detectado manipulación de hardware en estaciones críticas antes de que el malware digital ejecutara las transferencias.

12.1 Conectando los Dos Mundos: Físico y Digital

Casos donde se intersectan

La Lección del Caso TARGET (2013)

• NO el click en el phishing.
• SÍ podrían haber detectado "visitantes inusuales" o "ingreso físico no autorizado" si los atacantes hubieran intentado acceder físicamente primero.
• LA CORRELACIÓN: "Empleado de HVAC hace click en phishing" + "Mismo empleado recibe 'visita técnica' sospechosa el día anterior" = POSIBLE INGENIERÍA SOCIAL FÍSICA.

🧠 DECISION SIMULATOR: El Dilema del Falso Positivo

12.2 Laboratorio 12: Los Ojos que Nunca Duermen

Parte A: Configurar el Entorno

# 1. Instalar OpenCV y dependencias
pip install opencv-python numpy matplotlib
pip install opencv-contrib-python # Versión con extras
pip install imutils # Utilidades para procesamiento de video
pip install face_recognition

# 2. Descargar modelos pre-entrenados YOLO (Opcional para objetos, usaremos Face Recognition para este lab)
# wget https://github.com/pjreddie/darknet/raw/master/cfg/yolov3.cfg
# wget https://pjreddie.com/media/files/yolov3.weights
# wget https://github.com/pjreddie/darknet/raw/master/data/coco.names

Parte B: Sistema de Reconocimiento de Personal Autorizado

• `load_authorized_persons`: Carga imágenes de la carpeta `authorized_persons/`.
• `recognize_person`: Usa `face_recognition` para comparar encodings.
• `log_access`: Registra accesos y alerta sobre desconocidos.

Parte C: Detección de Comportamientos Sospechosos

Parte D: Sistema Integrado de Seguridad Física-Digital

• Ventana de Tiempo: 5 minutos entre evento físico y digital.
• Patrones de Ataque:

Parte E: Simulación de Caso Real - Google Laptop Theft

Extensión Opcional: Modo Real – Conecta tu Propia Cámara

video_capture = cv2.VideoCapture(0)

• Añadir tus fotos en `authorized_persons/`.
• Probar que tu rostro abre la “puerta” y otros rostros generan alerta.

rtsp://usuario:password@192.168.1.50:554/stream1

video_capture = cv2.VideoCapture("rtsp://usuario:password@192.168.1.50:554/stream1")

• Solo usar cámaras de tu propiedad o con permiso explícito.
• No grabar ni analizar a personas sin informarles.
• Mantener las pruebas en entornos controlados (tu casa, tu oficina de laboratorio).

12.3 Casos de Estudio: De la Teoría a la Realidad

Caso MediTech - Seguridad en Hospitales

• Detección Fallida: 3 horas después por humanos.
• Visión Computacional: Habría detectado persona sin uniforme, fuera de horario, con cooler térmico.
• Conexión MediTech: Mismo riesgo de acceso físico a dispositivos críticos.

Caso AutoManufact - Protección de Línea de Producción

• Lo Físico: Empleado descontento accede a sala de control fuera de turno.
• Patrón Detectable: Comportamiento nervioso, manipulación de equipos no asignados.
• Consecuencia Digital: Parada de producción (€50M).

Caso TechSafelock - Seguridad en Oficinas Financieras

• Riesgos Físicos: Shoulder surfing, instalación de skimmers.
• Defensa: Detección de objetos extraños en cajeros y análisis de mirada/postura.

12.4 Ética y Vigilancia: Límites que NO Debemos Cruzar

Caso Real de Abuso: Reconocimiento Facial en Hong Kong (2019)

Principios Éticos CyberSentinel

12.5 Narrativa Integradora: El Atacante Híbrido

• Entra por puerta de mantenimiento a las 3:17 AM.
• Manipula físicamente un router.
• Sale a las 3:45 AM.

• 3:20 AM: Router reiniciado desde consola física.
• 3:42 AM: Datos de planta energética empiezan a fluir al exterior.

• Mismo timestamp: 3:17 AM entrada física ≈ 3:20 AM actividad digital.
• Misma ubicación: Rack físico = Router comprometido.

12.6 Hackeando al Gran Hermano: Seguridad de la Infraestructura CCTV