El módulo de Operaciones (Blue Team) del Máster en Ciberseguridad está diseñado para proporcionar a los estudiantes una comprensión profunda y práctica de las estrategias, técnicas y herramientas utilizadas por los equipos de Blue Team para defender y proteger los sistemas y redes de una organización contra amenazas cibernéticas. Este módulo se divide en varias secciones, cada una enfocada en aspectos críticos de la defensa cibernética: Seguridad Perimetral y Elementos de Seguridad en Empresa, Detección, Correlación y Acción, Infraestructuras Críticas, Gestión de Identidad y Autenticación, Operaciones de Seguridad General, y Smart Contracts y el Mundo de las Criptomonedas.
Seguridad Perimetral y Elementos de Seguridad en Empresa
Esta sección se centra en la protección del perímetro de la red y los elementos de seguridad esenciales tanto en entornos on-premise como en la nube.
Seguridad Perimetral On-Premise
Los estudiantes aprenderán sobre la configuración y gestión de firewalls, sistemas de detección y prevención de intrusiones (IDS/IPS), y gateways de seguridad. Se cubrirán técnicas para segmentar y aislar redes críticas, implementar políticas de control de acceso y monitorear el tráfico de red para detectar actividades sospechosas.
Seguridad en la Nube
Los estudiantes explorarán las mejores prácticas para asegurar infraestructuras en la nube, incluyendo la configuración de entornos seguros en plataformas como AWS, Azure y Google Cloud. Se discutirán temas como la gestión de identidades y accesos (IAM), la encriptación de datos, y la implementación de soluciones de seguridad específicas para la nube.
Detección, Correlación y Acción
Esta sección se enfoca en las técnicas y herramientas utilizadas para detectar, correlacionar y responder a incidentes de seguridad en tiempo real.
Sistemas de Monitoreo y Detección
Los estudiantes aprenderán a utilizar sistemas de monitoreo y detección como SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response), y NDR (Network Detection and Response). Se discutirá cómo recolectar y analizar logs de eventos, identificar patrones sospechosos y generar alertas de seguridad.
Correlación de Eventos
Los estudiantes explorarán técnicas para correlacionar eventos de seguridad de múltiples fuentes para identificar incidentes complejos y persistentes. Se cubrirán herramientas y metodologías para la correlación de eventos y el análisis de tendencias de amenazas.
Respuesta a Incidentes
Los estudiantes practicarán la respuesta a incidentes de seguridad, desarrollando planes de respuesta y procedimientos para contener, erradicar y recuperar de incidentes. Se discutirán las mejores prácticas para la comunicación y coordinación durante un incidente de seguridad.
Introducción a las Infraestructuras Críticas
Esta sección introduce a los estudiantes en la protección de infraestructuras críticas, tales como sistemas de energía, transporte, agua y telecomunicaciones.
Identificación de Infraestructuras Críticas
Los estudiantes aprenderán a identificar y categorizar infraestructuras críticas dentro de una organización y comprenderán su importancia para la seguridad nacional y la continuidad del negocio.
Protección de Infraestructuras Críticas
Se explorarán las mejores prácticas y estándares para proteger infraestructuras críticas contra amenazas cibernéticas, incluyendo la implementación de controles de seguridad, la gestión de riesgos y la colaboración con entidades gubernamentales y privadas.
Gestión de Identidad y Autenticación
Esta sección se centra en la gestión de identidades y los mecanismos de autenticación y autorización utilizados para proteger el acceso a sistemas y datos.
Gestión de Identidades (IAM)
Los estudiantes aprenderán sobre las tecnologías y prácticas para la gestión de identidades y accesos (IAM), incluyendo directorios de usuarios, federación de identidades y autenticación multifactor (MFA).
Autenticación y Autorización
Se discutirán métodos de autenticación seguros, como biometría, tokens de hardware y contraseñas seguras. También se cubrirán las políticas de autorización basadas en roles (RBAC) y atributos (ABAC) para controlar el acceso a recursos.
Operaciones de Seguridad General
Esta sección proporciona una visión general de las operaciones de seguridad diarias y la gestión de la seguridad en una organización.
Centro de Operaciones de Seguridad (SOC)
Los estudiantes aprenderán sobre la función y operación de un SOC, incluyendo la monitorización continua, la gestión de incidentes y la coordinación con otros equipos de seguridad.
Automatización y Orquestación
Se explorarán herramientas y técnicas para la automatización de tareas de seguridad y la orquestación de respuestas a incidentes utilizando plataformas como SOAR (Security Orchestration, Automation and Response).
Redes privadas virtuales (VPNs) y comunicaciones Seguras
Fundamentos de Criptografía en VPN.
La base de toda comunicación segura reside en la tríada de la seguridad: confidencialidad, integridad y disponibilidad. En las VPN, se utilizan algoritmos de cifrado simétrico (AES) para los datos, asimétrico (RSA/ECC) para el intercambio de claves y funciones Hash (SHA) para verificar que el tráfico no haya sido alterado durante el tránsito.
Protocolos TLS y SSH.
TLS es el sucesor de SSL y asegura la web (HTTPS) mediante certificados digitales, protegiendo la capa de transporte. SSH, por su parte, es el estándar para administración remota segura; ambos utilizan un «handshake» inicial para negociar parámetros criptográficos y autenticar a las partes antes de crear un túnel cifrado.
Protocolo IPSEC.
IPSEC opera en la capa de red (Capa 3), lo que le permite cifrar todo el tráfico IP entre dos puntos. Se compone de dos protocolos principales: AH (autenticidad) y ESP (cifrado). Es el estándar corporativo por excelencia para interconectar sedes (Site-to-Site) gracias a su robustez y madurez en entornos empresariales.
Protocolo WireGuard.
Es la «nueva escuela» de las VPN. A diferencia de IPSEC o OpenVPN, WireGuard tiene un código extremadamente limpio y ligero (aprox. 4,000 líneas), lo que facilita auditorías y mejora el rendimiento. Utiliza criptografía moderna como Curve25519 y ChaCha20, ofreciendo conexiones casi instantáneas y gran eficiencia energética.
Comunicaciones Anónimas: TOR, Freenet e I2P.
Mientras que una VPN ofrece privacidad, estas redes buscan el anonimato. TOR utiliza el enrutamiento de cebolla para ocultar el origen; I2P se enfoca en redes internas invisibles mediante túneles unidireccionales; y Freenet es una red de almacenamiento distribuido diseñada para resistir la censura y permitir la libertad de expresión.
WireGuard y StrongSwan en Linux.
Este bloque práctico se centra en la implementación real. StrongSwan suele usarse para gestionar IPSEC, pero integrarlo con WireGuard en Linux permite entender la configuración de interfaces de red virtuales, la gestión de llaves públicas/privadas y las reglas de iptables o nftables necesarias para el reenvío de tráfico seguro.