Seguridad Informática
"La seguridad no es un producto, es un proceso." — Bruce Schneier.
Sobre este libro
En 2023, una sola brecha de seguridad le costó a una empresa salvadoreña $2 millones y la pérdida de los datos de 80,000 clientes. La causa: una contraseña débil de un administrador y la falta de autenticación de doble factor. Estos incidentes no son ciencia ficción — son cotidianos.
Este libro te enseña a pensar como un atacante para defender mejor: cómo se rompen las contraseñas, cómo se inyectan SQL maliciosos, cómo funciona TLS, y cómo construir sistemas que no solo parecen seguros sino que lo son.
El proyecto: hacer que La Esquina Cloud (que ahora maneja datos de pago, perfiles de clientes, y operaciones críticas) cumpla con prácticas de seguridad de nivel bancario.
Contenido
| Capítulo | Título | Tema central |
|---|---|---|
| 1 | Fundamentos y criptografía | CIA triad, simétrica, asimétrica, hashing, TLS |
| 2 | Autenticación y autorización | Contraseñas, MFA, OAuth, JWT, RBAC |
| 3 | Vulnerabilidades web (OWASP Top 10) | SQLi, XSS, CSRF, IDOR, SSRF |
| 4 | Seguridad de redes y sistemas | Firewalls, IDS, hardening, TLS, VPN |
| 5 | Respuesta a incidentes | Detección, contención, forense, postmortem |
Prerequisitos
- Redes: TCP/IP, HTTP, DNS (REDES-I)
- Sistemas operativos: procesos, permisos, usuarios (SO515)
- Bases de datos: SQL básico (BDD315)
- Programación en Python o lenguaje similar
La triada CIA
Todo lo que vamos a estudiar gira alrededor de tres propiedades:
| Propiedad | Pregunta |
|---|---|
| Confidencialidad | ¿Solo las personas autorizadas pueden leer los datos? |
| Integridad | ¿Los datos no han sido modificados sin autorización? |
| Disponibilidad | ¿El sistema está accesible cuando se necesita? |
Una contraseña filtrada rompe Confidencialidad. Un atacante que modifica el saldo bancario rompe Integridad. Un ataque DDoS rompe Disponibilidad.
Advertencia ética
Este libro enseña técnicas de ataque para que puedas defender. Usar estas técnicas contra sistemas sin autorización explícita es ilegal en El Salvador y en casi todos los países. Solo practicalas en:
- Tus propios sistemas.
- Plataformas educativas como TryHackMe, HackTheBox, PortSwigger Academy.
- Sistemas con autorización escrita explícita (pentest engagement).