Seguridad Informática

"La seguridad no es un producto, es un proceso." — Bruce Schneier.

Sobre este libro

En 2023, una sola brecha de seguridad le costó a una empresa salvadoreña $2 millones y la pérdida de los datos de 80,000 clientes. La causa: una contraseña débil de un administrador y la falta de autenticación de doble factor. Estos incidentes no son ciencia ficción — son cotidianos.

Este libro te enseña a pensar como un atacante para defender mejor: cómo se rompen las contraseñas, cómo se inyectan SQL maliciosos, cómo funciona TLS, y cómo construir sistemas que no solo parecen seguros sino que lo son.

El proyecto: hacer que La Esquina Cloud (que ahora maneja datos de pago, perfiles de clientes, y operaciones críticas) cumpla con prácticas de seguridad de nivel bancario.


Contenido

Capítulo Título Tema central
1 Fundamentos y criptografía CIA triad, simétrica, asimétrica, hashing, TLS
2 Autenticación y autorización Contraseñas, MFA, OAuth, JWT, RBAC
3 Vulnerabilidades web (OWASP Top 10) SQLi, XSS, CSRF, IDOR, SSRF
4 Seguridad de redes y sistemas Firewalls, IDS, hardening, TLS, VPN
5 Respuesta a incidentes Detección, contención, forense, postmortem

Prerequisitos


La triada CIA

Todo lo que vamos a estudiar gira alrededor de tres propiedades:

Propiedad Pregunta
Confidencialidad ¿Solo las personas autorizadas pueden leer los datos?
Integridad ¿Los datos no han sido modificados sin autorización?
Disponibilidad ¿El sistema está accesible cuando se necesita?

Una contraseña filtrada rompe Confidencialidad. Un atacante que modifica el saldo bancario rompe Integridad. Un ataque DDoS rompe Disponibilidad.


Advertencia ética

Este libro enseña técnicas de ataque para que puedas defender. Usar estas técnicas contra sistemas sin autorización explícita es ilegal en El Salvador y en casi todos los países. Solo practicalas en: