La experiencia DOJO Bootcamp Analista SOC I y más...

La Fundación Comunidad DOJO se dedica a promover el aprendizaje y buenas prácticas en el ámbito de la ciberseguridad y la tecnología. Organizan eventos como la DOJOConf Panamá, Bsides Panamá, AMALia Conf,  conferencias anuales que reúne a expertos (de talla mundial) y entusiastas del sector para compartir conocimientos y experiencias, y entre muchas otras actividades.

El Bootcamp de Analista SOC (Centro de Operaciones de Seguridad) es un programa de formación intensiva en ciberseguridad, diseñado específicamente para preparar a los participantes como analistas de ciberseguridad de nivel1. Este bootcamp está organizado por la Fundación Comunidad Dojo, WOSEC Panamá y en colaboración con OpenSec Network. Durante el programa, se cubren fundamentos técnicos, como el uso de marcos de seguridad, fundamentos de SOC, sistemas Linux y Windows, análisis de tráfico, uso de SIEM (Security Information and Event Management), inteligencia de amenazas, y emulación de adversarios.

Además de los aspectos técnicos, el bootcamp incluye el desarrollo de habilidades blandas y temas de finanzas personales, con el objetivo de mejorar tanto las capacidades técnicas como la empleabilidad y proyección de los participantes. Las clases son completamente virtuales y sincrónicas, y los participantes cuentan con acceso al servidor de Discord para interactuar y recibir soporte continuo durante y después del curso. Al finalizar, los asistentes reciben un certificado de participación, y quienes aprueben el examen final pueden obtener una insignia o "batch" de certificación​.

Bienvenida e Introducción al Bootcamp

El bootcamp comenzó con una bienvenida y presentación del equipo organizador, incluyendo a Eduardo Snape y Sheila Ávila, quienes explicaron la estructura del programa y enfatizaron la importancia de la participación activa en cada sesión. Eduardo destacó el uso de Discord como plataforma principal de interacción, donde los estudiantes podrían hacer preguntas y participar en actividades. Sheila alentó a los asistentes a maximizar sus oportunidades de aprendizaje y a conectar con otros profesionales de ciberseguridad, sugiriendo el uso de LinkedIn y otras redes para ampliar su red de contactos.

Metodología y Plataforma de Aprendizaje

Discord como Plataforma Central

Discord es la plataforma oficial de este bootcamp, ya que permite una comunicación constante entre los participantes y el equipo de facilitadores. En Discord se organizan canales específicos para cada necesidad: desde preguntas técnicas, soporte hasta espacios de networking y recursos adicionales. Además, se utilizan canales para foros de discusión, lo que facilita el acceso y la interacción entre la comunidad.

La Importancia de la Interacción en el Bootcamp

El programa hace énfasis en la importancia de construir redes de contacto efectivas. Los instructores destacan la necesidad de establecer conexiones a través de LinkedIn y otras plataformas para crear una comunidad de soporte mutuo. Se recomienda a los participantes presentarse en Discord y LinkedIn, compartir intereses y buscar puntos en común para facilitar las interacciones futuras, como menciona el instructor Eduardo:

"Si usted va a escribir a una persona en LinkedIn, haga referencia a su participación en este bootcamp y su interés en el área de ciberseguridad. Esto no solo fomenta el networking, sino también la generación de oportunidades profesionales."

Día 1 del Bootcamp

Fundamentos de un SOC y Rol del Analista

Ponente: John Howard

John Howard abrió las sesiones técnicas del bootcamp con una introducción al Centro de Operaciones de Seguridad (SOC) y el rol del Analista SOC. En esta clase, los participantes exploraron:

• Funciones de un SOC: una revisión sobre la organización y el funcionamiento de un SOC, su papel en la detección, respuesta y mitigación de amenazas cibernéticas.
• Rol del Analista SOC: John explicó las responsabilidades específicas de un analista SOC de nivel 1, como el monitoreo constante de alertas de seguridad y el análisis de incidentes.
• Habilidades Esenciales: se discutió la importancia de contar con habilidades de análisis de tráfico de red, comprensión de sistemas operativos y conocimiento de herramientas de monitoreo.

Normativas y Marcos de Seguridad Internacionales

Ponente: Sheila Pérez

En esta sesión, Sheila Pérez profundizó en las normativas y marcos de seguridad que rigen la ciberseguridad en organizaciones. Los temas cubiertos incluyeron:

• ISO 27001 y NIST: estándares internacionales que establecen buenas prácticas para la gestión de la seguridad de la información y la respuesta a incidentes.
• GDPR y Leyes de Protección de Datos: Sheila explicó la importancia de la protección de datos personales, un aspecto clave en ciberseguridad, especialmente en Europa y América Latina.
• Políticas de Seguridad y Gobernanza: se discutió la creación de políticas de seguridad efectivas dentro de un SOC, y cómo los marcos de seguridad ayudan a gestionar riesgos de manera integral

Imagen 1

Paisaje urbano

Imagen 2

Vista aérea

Imagen 3

Montaña nevada

Imagen 4

Torre histórica

Imagen 5

Puesta de sol

Imagen 6

Nube sobre lago

Imagen 7

Campo soleado

Imagen 8

Cielo nublado

Imagen 9

Atardecer en la playa

Imagen 10

Bosque verde

Imagen 11

Río en el bosque

Imagen 12

Cascada en la selva

Día 2 Bootcamp Analista SOC

El segundo día del BootCamp Analista SOC 2024 comenzó con una introducción a la importancia de la ciberseguridad en la era digital. Los instructores, Carlos y Roberto, dieron la bienvenida a los participantes y explicaron que el objetivo del BootCamp es proporcionarles las habilidades y conocimientos necesarios para convertirse en analistas de seguridad de la información (SOC) efectivos.

Introducción a Linux

El primer tema del día fue una introducción a Linux, un sistema operativo de código abierto que es ampliamente utilizado en la industria de la ciberseguridad. Roberto, uno de los instructores, explicó que Linux es un sistema operativo seguro y flexible que se puede personalizar para satisfacer las necesidades específicas de cada organización.

Roberto también explicó que Linux tiene una gran cantidad de herramientas y comandos que pueden ser utilizados para realizar tareas de seguridad, como la autenticación de usuarios, la gestión de permisos y la monitorización de la red. Los participantes aprendieron a utilizar comandos básicos de Linux, como cd, ls, mkdir y rm, y también se les enseñó a utilizar herramientas de seguridad como chmod y chown.

Permisos y usuarios en Linux

Después de la introducción a Linux, los participantes aprendieron sobre los permisos y usuarios en Linux. Roberto explicó que en Linux, cada archivo y directorio tiene un propietario y un grupo asociado, y que los permisos se pueden asignar a nivel de usuario, grupo o otros.

Los participantes aprendieron a utilizar el comando ls con la opción -l para ver los permisos de un archivo o directorio, y también se les enseñó a utilizar el comando chmod para cambiar los permisos de un archivo o directorio. Además, se les explicó la importancia de utilizar usuarios y grupos para gestionar los permisos y acceso a los recursos del sistema.

SSH y autenticación

El siguiente tema del día fue SSH (Secure Shell) y la autenticación. Roberto explicó que SSH es un protocolo de red que permite a los usuarios acceder a un sistema remoto de manera segura, y que la autenticación es el proceso de verificar la identidad de un usuario antes de permitirle acceder al sistema.

Los participantes aprendieron a utilizar SSH para conectarse a un sistema remoto, y también se les enseñó a utilizar claves públicas y privadas para autenticarse. Además, se les explicó la importancia de utilizar contraseñas seguras y de cambiarlas con frecuencia.

Firewall y seguridad de la red

Después del descanso, los participantes aprendieron sobre firewalls y seguridad de la red. se explicó que un firewall es un sistema de seguridad que controla el tráfico de red entre un sistema y la Internet, y que la seguridad de la red es crucial para proteger los sistemas y datos de una organización.

Los participantes aprendieron a configurar un firewall en Linux utilizando el comando iptables, y también se les enseñó a utilizar herramientas de seguridad de la red como nmap y tcpdump. Además, se les explicó la importancia de mantener el software y los sistemas actualizados para evitar vulnerabilidades de seguridad.

Monitoreo y análisis de logs

El último tema del día fue el monitoreo y análisis de logs. los logs son registros de eventos que ocurren en un sistema, y que el monitoreo y análisis de logs es crucial para detectar y responder a incidentes de seguridad.

Los participantes aprendieron a utilizar herramientas de monitoreo de logs como syslog y logrotate, y también se les enseñó a analizar logs para detectar patrones y anomalías. Además, se les explicó la importancia de mantener una política de retención de logs adecuada para cumplir con los requisitos de seguridad y regulaciones.

Análisis de Archivos Maliciosos

El expositor José Brown estuvo hablando del tema de análisis de archivos maliciosos, el cual es un proceso crucial en la ciberseguridad que implica examinar y entender el comportamiento y la estructura de los archivos maliciosos, como virus, gusanos, troyanos y ransomware. El objetivo del análisis es identificar las características y patrones de comportamiento de los archivos maliciosos para desarrollar estrategias efectivas para detectar y prevenir ataques.

Tipos de Análisis

Hay varios tipos de análisis que se pueden realizar en archivos maliciosos, incluyendo:

Análisis estático: Este tipo de análisis implica examinar el código y la estructura del archivo sin ejecutarlo.

Análisis dinámico: Este tipo de análisis implica ejecutar el archivo en un entorno controlado para observar su comportamiento.

Análisis de comportamiento: Este tipo de análisis implica monitorear el comportamiento del archivo en un entorno real para identificar patrones y características que indiquen que el archivo es malicioso.

Herramientas y Técnicas

Hay varias herramientas y técnicas que se pueden utilizar para analizar archivos maliciosos, incluyendo:

Desensambladores: Estas herramientas permiten desensamblar el código del archivo para examinar su estructura y comportamiento.

Depuradores: Estas herramientas permiten ejecutar el archivo en un entorno controlado y monitorear su comportamiento.

Análisis de firma: Esta técnica implica buscar patrones y características en el archivo que indiquen que es malicioso.

Análisis de Enlaces Maliciosos

El análisis de enlaces maliciosos es un proceso que implica examinar y entender el comportamiento y la estructura de los enlaces maliciosos, como URLs y enlaces de phishing. El objetivo del análisis es identificar las características y patrones de comportamiento de los enlaces maliciosos para desarrollar estrategias efectivas para detectar y prevenir ataques.

Tipos de Análisis

Hay varios tipos de análisis que se pueden realizar en enlaces maliciosos, incluyendo:

Análisis de URL: Este tipo de análisis implica examinar la estructura y el contenido de la URL para identificar patrones y características que indiquen que el enlace es malicioso.

Análisis de contenido: Este tipo de análisis implica examinar el contenido del enlace para identificar patrones y características que indiquen que el enlace es malicioso.

Herramientas y Técnicas

Hay varias herramientas y técnicas que se pueden utilizar para analizar enlaces maliciosos, incluyendo:

Herramientas de análisis de URL: Estas herramientas permiten examinar la estructura y el contenido de la URL para identificar patrones y características que indiquen que el enlace es malicioso.

Herramientas de análisis de contenido: Estas herramientas permiten examinar el contenido del enlace para identificar patrones y características que indiquen que el enlace es malicioso.

Imagen c

Paisaje urbano

Imagen d

Vista aérea

Imagen e

Montaña nevada

Imagen f

Torre histórica

❮ ❯

Bootcamp de Analista de Ciberseguridad: Resumen Detallado de la Clase 3

La tercera sesión del Bootcamp de Analista SOC, organizado por la Fundación Comunidad Dojo junto con el grupo Busec Panamá y Open Sec Network, fue un evento sumamente dinámico que combinó el aprendizaje técnico, la motivación financiera y la interacción activa en plataformas digitales. En esta clase, se destacó la importancia de formarse como analista de ciberseguridad, así como la de desarrollar habilidades prácticas en temas de finanzas personales y herramientas para optimizar la productividad.

La invitada especial de la sesión, Sofía Rodríguez, es una experta en finanzas personales y asesora financiera. Durante su intervención, compartió su experiencia personal en el mundo de las finanzas y su misión de democratizar el conocimiento financiero para que cada persona pueda aspirar a una independencia económica. Rodríguez explicó que el manejo de las finanzas es una habilidad esencial que debe cultivarse junto con las capacidades profesionales. Su presentación se enfocó en aspectos prácticos de la gestión financiera, aportando una perspectiva única a los analistas de ciberseguridad.

Rodríguez comenzó su exposición animando a los asistentes a que imaginan cómo sería vivir sin preocupaciones financieras, enfatizando que una planificación adecuada es clave para lograr esa tranquilidad. También subrayó cómo un manejo responsable del dinero influye positivamente en la creatividad, la productividad y el disfrute del trabajo.

Importancia de las Finanzas Personales para Profesionales de Ciberseguridad

En un sector como la ciberseguridad, donde las oportunidades de ingresos son amplias, es crucial que los profesionales sepan gestionar bien sus ingresos. Sofía explicó que para alcanzar una verdadera independencia financiera es necesario contar con la educación y las herramientas correctas, y que el primer paso es fijarse metas claras. En esta sección, enfatizó la diferencia entre “trabajar para vivir” y “trabajar para crecer”, subrayando que, cuando las finanzas están en orden, se abre la posibilidad de disfrutar realmente de los frutos del trabajo y de enfocarse en el crecimiento personal y profesional.

 Los Cinco Pilares de la Educación Financiera

Rodríguez destacó cinco claves esenciales para alcanzar la tranquilidad financiera. Estos pilares no solo ayudan a generar estabilidad económica, sino que también son esenciales para cualquier persona que aspire a una mejor calidad de vida.

Clave 1: El Ahorro y la Creación de un Fondo de Emergencia

El primer pilar que Sofía enfatizó fue la importancia de tener un ahorro constante y de crear un fondo de emergencia. Explicó que, aunque ahorrar puede sonar sencillo, las estadísticas muestran que muchas personas no cuentan siquiera con una reserva mínima de $500 para imprevistos. Para empezar, recomendó crear un fondo que cubra de tres a seis meses de los gastos mensuales básicos, de modo que cualquier eventualidad no afecte la estabilidad financiera. Sofía compartió un ejemplo de cálculo de este fondo, resaltando que, si los gastos mensuales son de $1,500, entonces el fondo de emergencia ideal debería ser de aproximadamente $9,000.

Clave 2: El Manejo de las Deudas

Rodríguez resaltó la importancia de manejar las deudas de forma estratégica. Explicó el concepto de “deuda de consumo”, que incluye préstamos personales, de auto y tarjetas de crédito, y recomendó el método de “bola de nieve” para reducir las deudas de manera efectiva. Este método consiste en listar todas las deudas en orden de menor a mayor, enfocándose en liquidar primero la de menor saldo y continuando en esa secuencia. Compartió su experiencia personal de haber utilizado esta técnica junto a su esposo, logrando pagar $130,000 en deudas en 19 meses, lo cual fue posible mediante la venta de bienes y bonos extraordinarios. Este compromiso intenso permitió alcanzar un alivio financiero notable y recobrar el control de su presupuesto.

Clave 3: Planificación y Metas Financieras

Para motivar a los participantes, Sofía subrayó la importancia de establecer metas financieras a corto, mediano y largo plazo. Esta visión proporciona una “motivación tangible” para ahorrar y evitar nuevas deudas. Explicó que, sin una meta clara, puede resultar difícil encontrar un propósito para el ahorro o la eliminación de deudas. Entre los ejemplos de metas a corto plazo se incluyeron unas vacaciones o la compra de un auto, mientras que para metas a largo plazo mencionó la compra de una casa y la planificación de la jubilación.

Clave 4: La Inversión Como Herramienta para el Futuro

Otro de los pilares cruciales que mencionó Rodríguez fue la inversión a largo plazo. Aludiendo al hecho de que los sistemas de pensiones estatales en muchos países están al borde del colapso, sugirió que la inversión privada es una estrategia indispensable para quienes desean asegurar su retiro. Lamentó no haber comenzado a invertir en el mercado de valores antes en su vida, y enfatizó la importancia de iniciar en este ámbito cuanto antes. Además, mencionó que la inversión es algo “no opcional” en la actualidad, especialmente en América Latina, donde, según estadísticas, un 60% de las personas deben continuar trabajando después de la edad de jubilación debido a la falta de ingresos.

Clave 5: Evitar la Carrera de las Ratas y Construir una Vida Plena

Rodríguez finalizó sus recomendaciones alentando a los participantes a evitar la “carrera de las ratas” – el ciclo de trabajar constantemente solo para cubrir gastos. En cambio, los animó a construir un plan de vida que permita disfrutar de una jubilación cómoda y una vida sin preocupaciones financieras. Enfatizó que contar con una planificación adecuada y los recursos suficientes para el retiro no solo otorga paz mental, sino también la libertad de elegir cómo vivir los últimos años.

Creación de un Laboratorio de Ciberseguridad en Casa

Un aspecto clave de esta sesión fue la guía para establecer un “homelab”, o laboratorio en casa, una herramienta esencial para quienes desean consolidar sus conocimientos en ciberseguridad. En este segmento, se abordaron conceptos de virtualización y contenedorización, recomendando herramientas como VirtualBox para crear máquinas virtuales. También se discutieron alternativas, como el uso de servidores físicos (bare metal) y contenedores, que permiten gestionar el entorno y realizar pruebas sin depender del hardware directamente.

La creación de un laboratorio incluye la configuración de entornos y máquinas específicas para simular redes y sistemas vulnerables. Los participantes aprendieron que, mediante estos laboratorios, pueden adquirir experiencia práctica en detección de vulnerabilidades y gestión de redes, aspectos cruciales para el rol de analista SOC​.

Profundización en Virtualización y Contenedores

La virtualización es una técnica que permite ejecutar varios sistemas operativos en un solo hardware, creando un entorno flexible y escalable. Durante la clase, se explicaron los diferentes tipos de hipervisores y sus funciones, destacando los de tipo 1, que corren directamente sobre el hardware, y los de tipo 2, que operan sobre el sistema operativo anfitrión.

Además, se exploraron los beneficios de los contenedores, que ofrecen una capa de aislamiento más ligera que las máquinas virtuales. Los contenedores facilitan la ejecución de aplicaciones y la gestión de código sin necesidad de un sistema operativo completo, lo que ahorra recursos y aumenta la eficiencia. Esta sección fue crucial para entender cómo montar un laboratorio eficiente y cómo optimizar los recursos disponibles​.

Utilización de CIEM y SIEM en Ciberseguridad

Un componente importante de la sesión fue el CIEM (Cloud Infrastructure Entitlement Management) y el SIEM (Security Information and Event Management), herramientas fundamentales para un analista SOC. El CIEM se utiliza principalmente en entornos de nube, gestionando permisos y asegurando que solo los usuarios autorizados puedan acceder a recursos sensibles.

Por otro lado, el SIEM permite la centralización y análisis de logs de diferentes sistemas, facilitando la detección de amenazas y la respuesta a incidentes en tiempo real. Los expositores resaltaron la importancia de aprender a utilizar estas herramientas para entender patrones y comportamientos anómalos en la red, que pueden ser señales de actividad maliciosa​.

Configuración de Herramientas de Monitoreo y Detección

Se introdujeron varias herramientas de monitoreo, como Wazuh y Splunk, populares en el ámbito de la ciberseguridad. Wazuh es una solución open source que ofrece capacidades de detección de amenazas, integridad de archivos, y monitoreo de endpoints, entre otros. Los participantes tuvieron la oportunidad de ver demostraciones prácticas de cómo configurar estas herramientas y entender cómo su uso facilita la identificación y análisis de incidentes de seguridad​.

Además, se presentó el uso de "detection labs", entornos de prueba que permiten experimentar con herramientas y configuraciones en un contexto seguro. Estos labs ayudan a los analistas a prepararse para escenarios reales de seguridad, configurando herramientas como Suricata para el análisis de tráfico y detección de intrusiones​

Importancia del Portafolio Técnico y la Autoeducación

Durante la clase, se enfatizó en la importancia de construir un portafolio técnico que incluya proyectos y laboratorios personales. Los instructores sugirieron a los asistentes que utilicen GitHub para almacenar y presentar sus proyectos, lo cual les brindará una ventaja competitiva en entrevistas laborales. La creación de un laboratorio en casa y la constante práctica son fundamentales para mejorar las habilidades y destacarse en el campo de la ciberseguridad​.

Desarrollo de Soft Skills y Preparación Continua

Se destacó la relevancia de las “Power Skills” o habilidades blandas en el área de ciberseguridad. Estas incluyen habilidades de comunicación, liderazgo y trabajo en equipo, que son igualmente importantes para un analista SOC. Además, se hizo hincapié en el dominio del inglés, esencial para acceder a una mayor cantidad de recursos y entender mejor la documentación técnica​

Invitación a Votar en Premios Panamá en Positivo

En el transcurso de la clase, los organizadores aprovecharon para solicitar apoyo de los participantes en la nominación de la Fundación Comunidad Dojo a los premios “Panamá en Positivo”. Se mencionó la importancia de los votos y la posibilidad de votar diariamente, lo cual motivó a los asistentes a colaborar para que la fundación obtuviera este reconocimiento.

Clase 4 del bootcamp

Objetivos de la Clase

El objetivo principal del día fue crear conciencia sobre:

1. La fatiga de alertas en la ciberseguridad y estrategias para gestionarla.
2. La importancia de compartir información de inteligencia de amenazas entre organizaciones para mejorar la capacidad de respuesta ante incidentes.

Principales Temas Tratados

 Fatiga de Alertas

La fatiga de alertas es un problema común en los SOC debido a la cantidad masiva de alertas que reciben los analistas de seguridad, provenientes de distintos dispositivos y sistemas de monitoreo. Este fenómeno provoca que los analistas pierdan sensibilidad ante los eventos críticos debido a la sobrecarga de información. Juan Carlos París, uno de los expositores, explicó que la fatiga de alertas afecta negativamente la efectividad de un SOC.

• Sobrecarga de alertas: La generación excesiva de alertas, muchas veces irrelevantes o falsos positivos, puede hacer que se desatiendan alertas críticas. Como ejemplo, se mencionó el caso de sistemas IDS (Intrusion Detection Systems), que pueden generar miles de alertas diarias.
• Falta de contexto: Cuando las alertas carecen de información detallada sobre su gravedad, pueden ser fácilmente ignoradas. Esto sucede cuando una alerta no proporciona detalles específicos, como el tipo de archivo sospechoso o su ubicación en el sistema.
• Escalación inadecuada: Si no se da prioridad a las alertas críticas, el riesgo de incidentes de seguridad aumenta. Por ejemplo, un intento de acceso fallido a una cuenta se podría clasificar al mismo nivel que un ataque de ransomware, lo que enmascararía la alerta importante.

Además, se discutieron estrategias para mitigar la fatiga de alertas, como:

• Automatización de procesos: Implementar soluciones que filtren las alertas repetitivas y de bajo impacto.
• Capacitación continua: Asegurar que los analistas estén preparados para reconocer y priorizar amenazas.
• Evaluación y ajuste de sistemas: Revisar regularmente los parámetros de las herramientas de monitoreo para reducir los falsos positivos.
• Colaboración entre equipos: Fomentar la colaboración y el intercambio de información de inteligencia para fortalecer la detección de amenazas.

 Inteligencia de Amenazas y Colaboración

Se habló también sobre la importancia de la inteligencia de amenazas, que consiste en recopilar y compartir información sobre amenazas potenciales para mejorar la seguridad de las organizaciones. Los indicadores de compromiso (IOC) y las tácticas, técnicas y procedimientos (TTP) de los atacantes son fundamentales para prevenir y responder a incidentes de seguridad.

• Indicadores de Compromiso (IOC): Estos son elementos de datos técnicos que indican que un sistema ha sido comprometido o está bajo amenaza. Incluyen:

  • Direcciones IP maliciosas
  • URLs comprometidas
  • Archivos con hash sospechoso
  • Direcciones de correo de origen de campañas de phishing
  • Cambios inesperados en configuraciones de seguridad, como los firewall y Active Directory.

• Plataformas para Compartir Inteligencia: París mencionó la importancia de participar en redes de colaboración y plataformas que permiten el intercambio de información de inteligencia, tales como:

  • CERT (Computer Emergency Response Team): Equipos de respuesta a incidentes que coordinan la seguridad a nivel nacional e internacional.
  • ISAAC (Information Sharing and Analysis Center): Centros que facilitan el intercambio de inteligencia de amenazas entre distintos sectores.
  • ENISA (Agencia Europea de Ciberseguridad): Brinda recursos y orientación para la protección cibernética en Europa.

Ética Profesional en la Ciberseguridad

Otro tema relevante tratado fue la ética en la ciberseguridad. El ponente enfatizó la importancia de adherirse a un código ético, como el de la ACM (Association for Computing Machinery), el cual establece pautas para la conducta de los profesionales de TI. La ética en la ciberseguridad es esencial para crear un entorno de confianza y proteger la información de manera responsable.

Recursos y Herramientas para Analistas SOC

Se presentó un conjunto de recursos recomendados para ayudar a los analistas SOC a desarrollar sus habilidades y gestionar las alertas de manera efectiva. Entre las herramientas destacadas están:

• Sistemas de Detección y Respuesta Extendida (XDR): Permiten una visibilidad integral de la red y ayudan a identificar patrones de ataque.
• Plataformas de ciberinteligencia de código abierto: Proveen información en tiempo real sobre amenazas globales y permiten compartir IOC.
• Herramientas de automatización: Ayudan a reducir la carga de trabajo manual y permiten una respuesta más ágil ante incidentes.

Imagen 1

Vista del cielo

Imagen 2

Paisaje natural

Imagen 3

Montañas al atardecer

Imagen 4

Valle verde

Imagen 5

Panorámica montañosa

Imagen 6

Lago y montañas

Imagen 7

Cielo despejado

Imagen 8

Montañas nevadas

Imagen 9

Vista panorámica del valle

Imagen 10

Paisaje montañoso

Clase 5 del Bootcamp

Ponencia de Erika Valdés: Análisis y Monitoreo del Tráfico de Red

Erika Valdés, líder y cofundadora de Women of Security, dirigió la ponencia central, enfocada en el análisis y monitoreo del tráfico de red, estructurada en cinco puntos clave:

1. Conceptos Generales: Se introdujo el concepto de paquetes de datos, unidades básicas en la comunicación de red. Erika explicó cómo los paquetes contienen información crítica que permite entender el origen y destino de la comunicación, así como los diferentes niveles de datos involucrados, desde la capa física hasta la capa de aplicación.

2. Análisis de Tráfico y Monitorización: Erika explicó cómo el análisis y la monitorización del tráfico de red son esenciales para el buen funcionamiento de una red. Estos procesos ayudan a detectar problemas de rendimiento y amenazas a la seguridad, y a optimizar el uso de los recursos de la red.

3. Herramientas de Análisis de Tráfico: Erika habló sobre diversas herramientas empleadas para monitorear redes, detallando cómo estas permiten la detección y resolución de problemas mediante la observación del flujo de datos en la red.

4. Tecnologías de Monitorización: Se exploraron las tecnologías utilizadas para la supervisión continua del rendimiento de la red, permitiendo detectar y responder a posibles amenazas.

5. Laboratorios Prácticos: Al final de la sesión, se propusieron laboratorios prácticos para que los participantes pudieran aplicar los conocimientos adquiridos.

Conceptos Clave y Su Importancia

Paquete de Datos

• Es la unidad mínima de datos que se transmite entre dispositivos. Erika enfatizó que un paquete contiene información esencial para el análisis de red, como direcciones IP de origen y destino, número de puerto, entre otros.

Tráfico de Red

• Tipos de tráfico: Se diferenció entre tráfico de voz, video y datos. Cada tipo tiene sus propias características, como la sensibilidad al retraso en el caso de la voz y el video.
• Características de tráfico: Se habló de conceptos como ancho de banda, latencia, pérdida de paquetes, etc., y cómo estos afectan la eficiencia y seguridad de la red.

Modelos de Red OSI y TCP/IP

• Modelo OSI: Erika recalcó que conocer el modelo OSI es fundamental para cualquier profesional de redes. Este modelo sirve de referencia para comprender cómo los datos se transmiten y reciben a través de una red.
• Modelo TCP/IP: Se describió como el modelo base que rige las comunicaciones hoy en día, comprimido en cuatro capas en comparación con las siete del modelo OSI.

Direccionamiento en Redes

• Direcciones IP: Diferencia entre direccionamiento lógico (IP) y físico (MAC), y entre direcciones privadas y públicas. Conocer estas clasificaciones es clave para los analistas de red.

Protocolos de Red

• Erika subrayó la necesidad de entender los protocolos fundamentales (como DNS, HTTP, HTTPS, SMTP) y los números de puertos asociados a estos, ya que permiten identificar servicios activos y distinguir entre tráfico legítimo y malicioso.

Ancho de Banda y Latencia

• Estos factores afectan directamente el rendimiento de la red, especialmente en aplicaciones en tiempo real como videojuegos o videoconferencias.

Ejercicio y Laboratorios

Para cerrar, Erika presentó una serie de laboratorios prácticos para que los estudiantes pudieran aplicar sus conocimientos. Los ejercicios estaban orientados a profundizar en el análisis de tráfico y aplicar conceptos clave en un entorno práctico.

Presentación de Omar Gudiño: Emulación de adversarios

Después de la ponencia de Erika Valdés, Omar Gudiño tomó el relevo para abordar temas avanzados sobre seguridad en redes y los métodos que utilizan los analistas para asegurar y monitorizar las redes. Estos fueron los puntos principales de su presentación:

1. Introducción a las Amenazas de Seguridad en Redes

   • Omar comenzó describiendo las principales amenazas a las que se enfrentan las redes hoy en día, como ataques de phishing, DDoS, malware, y cómo estas impactan la infraestructura y la operación de las organizaciones. Resaltó la importancia de conocer el perfil de cada tipo de amenaza para implementar las medidas de defensa adecuadas.

2. Herramientas de Detección y Respuesta

   • Omar explicó herramientas clave para la detección y respuesta de incidentes, como IDS (Sistemas de Detección de Intrusos) y IPS (Sistemas de Prevención de Intrusos). También mencionó tecnologías SIEM (Gestión de Información y Eventos de Seguridad) que permiten recopilar y analizar datos de seguridad en tiempo real, brindando visibilidad de las amenazas.

3. Automatización en Seguridad de Redes

   • En este punto, Omar presentó la automatización como un componente fundamental para mejorar la eficiencia en la respuesta ante amenazas. Explicó cómo los playbooks de automatización permiten responder rápidamente a incidentes comunes y minimizan la carga de trabajo manual, una práctica cada vez más común en centros de operaciones de seguridad (SOC).

4. Ciberseguridad Proactiva: Auditorías y Pruebas de Penetración

   • Omar detalló la importancia de realizar auditorías periódicas y pruebas de penetración para identificar vulnerabilidades antes de que puedan ser explotadas. Explicó el uso de herramientas como Metasploit y Nmap para evaluar la seguridad de las redes y sistemas. Destacó que una postura de seguridad proactiva puede reducir significativamente el riesgo de ataques exitosos.

5. Laboratorio y Ejemplos Prácticos

• Para culminar, Omar presentó un laboratorio práctico donde los participantes podían aplicar lo aprendido. En este ejercicio, usaron herramientas para identificar vulnerabilidades en un entorno simulado y experimentar con técnicas de mitigación de amenazas en tiempo real.
  

Imagen 1

Captura de pantalla 229

Imagen 2

Captura de pantalla 235

Imagen 3

Captura de pantalla 254

Imagen 4

Captura de pantalla 247

Imagen 5

Captura de pantalla 245

Imagen 6

Captura de pantalla 243

Imagen 7

Captura de pantalla 239

Imagen 8

Captura de pantalla 232

Imagen 9

Captura de pantalla 234

Imagen 10

Imagen HDR 101347

Imagen 11

Imagen HDR 101933

Imagen 12

Imagen mejorada con Topaz

Imagen 13

Imagen HDR con mejoras Topaz

Clase #6 del Bootcamp

1. Introducción al Análisis de Tráfico con Wireshark
   David Pereira, fundador y director ejecutivo de Sectro, introdujo el tema central: el análisis de tráfico de red mediante la herramienta Wireshark. Esta herramienta se utiliza para examinar flujos de datos en redes y detectar tráfico malicioso o irregular. Se compartieron archivos en Discord que contenían ejemplos de tráfico de red con malware real para practicar, destacando la importancia de la configuración segura al manipular este tipo de archivos.

2. Metodología de Análisis de Tráfico
   David presentó una metodología de análisis que él mismo creó, especialmente diseñada para ayudar a los analistas a abordar el tráfico de red de manera sistemática:

   • Inicio en Estadísticas y Jerarquía de Protocolos: David recomendó comenzar el análisis desde el menú de “estadísticas” en Wireshark, que permite ver una lista jerárquica de protocolos usados en el tráfico. Esto ayuda a identificar rápidamente el tipo de tráfico dominante (DNS, HTTP, SSL/TLS) y a tener una idea preliminar de posibles anomalías.

   • Resolución de Direcciones (Resolve Address): Se mostró cómo este apartado permite ver los dominios o IPs involucradas en el tráfico, lo que es esencial para identificar conexiones sospechosas a direcciones inusuales.

3. Análisis de Conversaciones y Filtros en Wireshark
   En esta parte, David enseñó cómo aplicar filtros específicos en el tráfico, recomendando un enfoque en el protocolo IP para observar la comunicación entre direcciones IP y el tamaño de los paquetes. Los paquetes más grandes pueden indicar transferencias de archivos o posibles flujos de malware encubiertos.

   • Aplicación de Filtros Personalizados: Se explicó la importancia de añadir columnas específicas en la interfaz de Wireshark, como los puertos de origen y destino, para facilitar el análisis de tráfico. También se habló sobre la aplicación de filtros para buscar tráfico HTTP o DNS.
   • Uso de la Terminal y TShark: Para el análisis de dominios sin duplicados, David sugirió el uso de TShark, una herramienta en línea de comandos que permite extraer información detallada de tráfico, lo que resulta útil para identificar patrones de comunicación inusuales en la red.

4. Análisis de Registros de DNS y HTTP
   David enfatizó la relevancia de examinar registros DNS, como tipo A o CNAME, que podrían revelar interacciones maliciosas. También se profundizó en la interpretación del tráfico HTTP, destacando cómo visualizar el contenido de las solicitudes GET y POST para identificar patrones anómalos.

5. Extracción de Objetos en Tráfico HTTP
   En Wireshark, se exploró cómo exportar objetos específicos del tráfico HTTP, una técnica útil para investigar archivos sospechosos o posibles cargas maliciosas. Esta práctica permite extraer archivos enviados a través de la red para analizarlos con herramientas adicionales y evaluar su naturaleza maliciosa.

6. Evaluación del Tráfico Cifrado con TLS
   Dado que gran parte del tráfico actual está cifrado, se abordó el análisis del tráfico TLS, con ejemplos de cómo identificar saludos de certificados y estructuras básicas del protocolo. Aunque este tráfico no es fácilmente interpretable sin las claves de cifrado, proporciona información útil sobre el tipo de comunicación entre los dispositivos.

7. Recomendaciones Finales para Analistas de Ciberseguridad
   David concluyó recomendando la familiarización con el modelo OSI, enfatizando su relevancia en el análisis de protocolos como TCP y UDP. También invitó a los asistentes a revisar recursos adicionales en su canal de YouTube y a consultar en Discord cualquier duda técnica.

Herramientas y Recursos Utilizados

• Wireshark: Herramienta principal para el análisis de tráfico.
• TShark: Herramienta de análisis en línea de comandos utilizada para analizar protocolos de red.

Imagen 1

Captura de pantalla 286

Imagen 2

Captura de pantalla 261

Imagen 3

Captura de pantalla 283

Imagen 4

Captura de pantalla 279

Imagen 5

Captura de pantalla 281

Imagen 6

Captura de pantalla 275

Imagen 7

Captura de pantalla 274

Imagen 8

Captura de pantalla 271

Imagen 9

Captura de pantalla 268

Imagen 10

Captura de pantalla 269

Imagen 11

Captura de pantalla 267

Imagen 12

Captura de pantalla 264

Imagen 13

Captura de pantalla 265

Clase #7 del Bootcamp

Microsoft Sentinel y SOAR: Gestión de Eventos de Seguridad

1. Visión General de Microsoft Sentinel:

   • Sentinel es una solución nativa en la nube de Microsoft que permite la orquestación, automatización y respuesta de seguridad (SOAR). Carlos explicó que esta herramienta recopila datos mediante conectores que pueden integrarse con aplicaciones tanto de Microsoft como de otras plataformas y servicios, permitiendo la gestión centralizada de la seguridad.
   • Uno de los componentes esenciales es su capacidad de recopilar información y luego realizar un análisis de amenazas automatizado, ofreciendo la posibilidad de aplicar inteligencia artificial para la detección de anomalías en la red.

2. Conectores y Componentes:

   • Sentinel utiliza conectores específicos para capturar datos de diversas fuentes, como redes de TI, aplicaciones empresariales y dispositivos IoT.
   • Carlos señaló que Sentinel no solo detecta amenazas sino que también responde mediante la generación de alertas, permitiendo que los equipos de seguridad respondan proactivamente.

Kusto Query Language (KQL): Herramienta Fundamental para el Análisis de Datos en Microsoft Sentinel

Carlos se adentró en los detalles de KQL, explicando que se trata de un lenguaje de consulta desarrollado por Microsoft, optimizado para el análisis de grandes volúmenes de datos almacenados en la nube. Desglosó los componentes clave de KQL y su aplicación práctica:

1. Estructura y Sintaxis de KQL:

   • KQL es un lenguaje declarativo, lo que facilita el diseño de consultas complejas para extraer y manipular datos de múltiples fuentes de logs, tanto dentro como fuera de Azure.
   • Carlos describió que KQL permite realizar filtros, ordenaciones y operaciones de agrupamiento avanzadas. Comparó su sintaxis con SQL para que los participantes que tuvieran experiencia en bases de datos pudieran familiarizarse más rápido.

2. Operadores y Funciones Avanzadas de KQL:

   • Explicó operadores importantes como Pipe (|), que permite aplicar múltiples filtros secuenciales. Carlos indicó que es similar al operador Pipe en Linux, facilitando la transición para aquellos familiarizados con este sistema.
   • Describió operadores de búsqueda como Search, Project y Order by, que ayudan a filtrar datos y extraer información relevante de forma precisa.
   • Mencionó el uso de variables con la instrucción let, que permite definir valores y aplicarlos en consultas más complejas.

3. Prácticas en KQL:

   • Carlos realizó prácticas en vivo donde mostró cómo usar KQL para consultas específicas en escenarios reales de ciberseguridad.
   • En un ejemplo, demostró cómo buscar y contar fallas de inicio de sesión en una base de datos, usando el operador count y filtros de tiempo.
   • Utilizó KQL para generar gráficos de fallas de inicio de sesión, enseñando cómo representar visualmente estos datos en gráficos de torta y barras para análisis de tendencias.

Ejercicio Final: Análisis de Consumo de Disco en una Máquina

Para consolidar el aprendizaje, Carlos propuso un ejercicio práctico donde se usaron los conceptos de KQL para investigar un problema de incremento en el consumo de disco de una máquina en la red:

1. Identificación del Problema:

   • Explicó cómo empezar una investigación desde cero, partiendo de la identificación de la máquina y filtrando los eventos relevantes relacionados con el uso de disco.
   • Con herramientas como Counter value y filtros avanzados, Carlos mostró cómo observar el comportamiento del sistema en un intervalo de tiempo específico.

2. Análisis de Resultados y Visualización:

• Carlos generó gráficos de consumo de disco para detectar patrones de comportamiento y picos inusuales que podrían indicar problemas en la infraestructura.
• Explicó la importancia de graficar los resultados para visualizar tendencias y detectar posibles amenazas o fallas en el sistema.

Imagen 1

Captura de pantalla (310).png (1366×768)

Imagen 2

Captura de pantalla (304).png (1366×768)

Imagen 3

Captura de pantalla (300).png (1366×768)

Imagen 4

Captura de pantalla (297).png (1366×768)

Imagen 5

Captura de pantalla (318).png (1366×768)

Imagen 6

Captura de pantalla (312).png (1366×768)

Imagen 7

Captura de pantalla (314).png (1366×768)

Imagen 8

Captura de pantalla (315).png (1366×768)

...

Imagen 9

Captura de pantalla (340).png (1366×768)

Imagen 10

Captura de pantalla (336).png (1366×768)

Imagen 11

Captura de pantalla (329).png (1366×768)

Imagen 12

Captura de pantalla (320).png (1366×768)

Imagen 13

Captura de pantalla (331).png (1366×768)

Imagen 14

Captura de pantalla (330).png (1366×768)

Imagen 15

Captura de pantalla (332).png (1366×768)

Ultimo día del Bootcamp

La Importancia de la Marca Personal

Vielsa Gómez lideró una sesión dedicada a la marca personal, explicando su valor esencial para los profesionales de ciberseguridad. Explicó que una marca personal fuerte es el reflejo de la autenticidad y profesionalismo de una persona y destacó que proyectar una imagen coherente y sólida puede abrir puertas en el ámbito laboral. Vielsa recomendó a los participantes identificar áreas específicas en las que desean destacarse, ser activos en LinkedIn y mantener una frecuencia constante de publicaciones para fortalecer su visibilidad y credibilidad.

Además, Vielsa sugirió construir una red de contactos activa, participando en eventos y creando contenido que permita conectar con otros profesionales. La consistencia en la interacción y la autenticidad son factores clave en la construcción de una reputación sólida, especialmente en un campo competitivo como la ciberseguridad​.

Estrategias de Empleabilidad

Eduardo Snape también abordó las estrategias de empleabilidad, destacando la importancia de definir el tipo de industria y modalidad de trabajo deseada (remota, presencial o híbrida). Explicaron que elegir empresas con buena reputación es esencial y sugirieron el uso de herramientas como el informe “Great Place to Work” para encontrar empleadores que valoren a sus empleados.

Otra recomendación importante fue la creación de un portafolio digital. Para los roles técnicos, un portafolio que demuestre habilidades y proyectos previos es valioso para los reclutadores. Además, se enfatizó la importancia de preparar un perfil de LinkedIn optimizado, con un título claro y un extracto que refleje la propuesta de valor de cada participante​.

Habilidades Técnicas: Roles en un SOC y Documentación

Se revisaron los roles de un analista de ciberseguridad en un Centro de Operaciones de Seguridad (SOC), explicando los tres niveles de responsabilidad:

1. Nivel 1: Los analistas de nivel 1 se encargan de la monitorización inicial de alertas.
2. Nivel 2: Estos analistas manejan incidentes específicos y necesitan un conocimiento más especializado.
3. Nivel 3: El nivel superior, enfocado en la supervisión y planificación dentro del SOC.

Además, se resaltó la importancia de la documentación clara y precisa, ya que los informes generados pueden ser utilizados en investigaciones legales. La precisión y la redacción adecuada en estos informes son fundamentales para mantener la calidad y confiabilidad en el trabajo​.

Habilidades Interpersonales y el Concepto de "Habilidades de Poder"

La comunicación fue un tema central en este último día, donde se introdujo el concepto de "habilidades de poder", término utilizado para referirse a las habilidades interpersonales críticas en el ámbito profesional. Los instructores explicaron que la habilidad de comunicarse con claridad y eficacia es esencial en ciberseguridad, ya que facilita el trabajo en equipo y la gestión de incidentes. Los participantes aprendieron sobre diferentes estilos de comunicación y se les invitó a reflexionar sobre su propio estilo, considerando cómo mejorar en áreas de escucha activa, claridad y asertividad​.

La Canción de Dojo: Un Cierre Emotivo

El día culminó con una experiencia emotiva: la presentación de la canción “Dojo”, compuesta por Joan, miembro de la comunidad. La canción, que se convirtió en un símbolo de unidad y esfuerzo compartido, fue acompañada por un video realizado por Sheila, quien recopiló momentos y logros destacados del bootcamp. Este toque final resonó profundamente entre los participantes, creando una experiencia de cierre cargada de gratitud y celebración por el tiempo y esfuerzo invertidos en el programa​.

Imagen 1

Captura de pantalla (396)

Imagen 2

Captura de pantalla (395)

Imagen 3

Captura de pantalla (377)

Imagen 4

Captura de pantalla (373)

Imagen 5

Captura de pantalla (371)

Imagen 6

Captura de pantalla (365)

Imagen 7

Captura de pantalla (358)

Imagen 8

Captura de pantalla (356)

Y Por esto y más las actividades de Comunidad DOJO Son memorables y divertidas.