Detectar una amenaza antes de que cause daño, contenerla con precisión y aprender de cada incidente para fortalecer las defensas: eso es el trabajo del Blue Team. Este módulo te forma en las estrategias, técnicas y herramientas de defensa activa que utilizan los equipos de seguridad profesionales en entornos reales, desde la protección perimetral hasta la operación de un SOC y la seguridad de las comunicaciones.
Seguridad perimetral on-premise y en la nube para entornos empresariales
Firewalls, IDS/IPS y segmentación de redes corporativas
Proteger una red empieza por conocer sus límites. Configura y gestiona firewalls, sistemas de detección y prevención de intrusiones (IDS/IPS) y gateways de seguridad para blindar el perímetro de la red. Aprende a segmentar e aislar segmentos críticos, a implementar políticas de control de acceso granulares y a monitorizar el tráfico para detectar actividades sospechosas antes de que escalen. Un bloque que complementa directamente lo trabajado en Arquitectura de Comunicaciones y Seguridad.
Seguridad en AWS, Azure y Google Cloud
La nube no se defiende igual que una red tradicional. Explora las mejores prácticas para proteger infraestructuras en AWS, Azure y Google Cloud: gestión de identidades y accesos (IAM), cifrado de datos en tránsito y en reposo, y configuración segura de entornos cloud. Entiende qué controles son responsabilidad del proveedor y cuáles recaen siempre sobre el equipo de seguridad de la organización.
Detección de amenazas, correlación de eventos y respuesta a incidentes con SIEM, EDR y NDR
Monitorización con SIEM, EDR y NDR
Sin visibilidad no hay defensa posible. Trabaja con plataformas SIEM, EDR (Endpoint Detection and Response) y NDR (Network Detection and Response) para recolectar y analizar logs de eventos, identificar patrones sospechosos y generar alertas accionables. Aprende a construir dashboards operativos que permitan al equipo reaccionar en tiempo real. Este bloque se apoya en las herramientas vistas en el módulo de Herramientas de Ciberseguridad.
Correlación de eventos de seguridad multifuente
Un incidente rara vez se manifiesta en una sola señal. Domina las técnicas para correlacionar eventos de seguridad procedentes de múltiples fuentes —endpoints, red, cloud, aplicaciones— e identifica incidentes complejos y amenazas persistentes que pasan desapercibidas cuando se analizan los datos de forma aislada.
Planes de respuesta y contención de incidentes
Cuando el incidente ya ha ocurrido, cada minuto cuenta. Desarrolla y practica planes de respuesta a incidentes para contener, erradicar y recuperar sistemas comprometidos con el mínimo impacto operativo. Trabaja los procedimientos de comunicación y coordinación interna y externa durante una crisis de seguridad, en estrecha relación con lo que se profundiza en DFIR – Respuesta.
Protección de infraestructuras críticas: energía, transporte y telecomunicaciones
Identificación y categorización de infraestructuras críticas
No todos los activos tienen el mismo nivel de criticidad. Aprende a identificar y categorizar las infraestructuras críticas de una organización como sistemas de energía, transporte, agua y telecomunicaciones y comprende su importancia estratégica para la seguridad nacional y la continuidad del negocio.
Estándares y controles de seguridad para infraestructuras críticas
Aplica las mejores prácticas y marcos normativos para proteger infraestructuras críticas frente a ciberamenazas: implementación de controles de seguridad específicos, gestión de riesgos en entornos OT/ICS y coordinación con entidades gubernamentales y privadas para la respuesta ante incidentes de alto impacto.
Gestión de identidades, IAM y autenticación multifactor en entornos corporativos
Directorios de usuarios, federación de identidades y MFA
El acceso no autorizado sigue siendo uno de los principales vectores de ataque. Domina las tecnologías y prácticas de gestión de identidades y accesos (IAM): directorios de usuarios, federación de identidades y autenticación multifactor (MFA). Entiende cómo cada capa añade fricción al atacante sin comprometer la experiencia del usuario legítimo, en línea con los modelos Zero Trust del módulo de Arquitectura de Comunicaciones y Seguridad.
Autenticación biométrica, RBAC y ABAC
Explora los métodos de autenticación más robustos del mercado: biometría, tokens de hardware y contraseñas seguras. Aprende a diseñar e implementar políticas de autorización basadas en roles (RBAC) y en atributos (ABAC) para controlar el acceso a recursos sensibles con precisión quirúrgica.
Operaciones de seguridad en el SOC: monitorización continua y automatización con SOAR
Estructura y operación de un Centro de Operaciones de Seguridad
El SOC es el corazón de la defensa de cualquier organización. Conoce en profundidad su función, estructura y operación diaria: monitorización continua, gestión de alertas, escalado de incidentes y coordinación con otros equipos de seguridad. Entiende qué métricas importan y cómo mejorar los tiempos de detección y respuesta de forma sistemática.
Automatización y orquestación de respuestas con SOAR
La velocidad de respuesta marca la diferencia entre un incidente contenido y una brecha catastrófica. Implementa plataformas SOAR (Security Orchestration, Automation and Response) para automatizar tareas repetitivas, orquestar respuestas coordinadas ante incidentes y liberar al equipo humano para las decisiones que realmente requieren criterio experto.
VPN, TLS, IPsec y WireGuard: seguridad en comunicaciones y redes privadas virtuales
Criptografía aplicada a VPN: AES, RSA y SHA
La seguridad de cualquier comunicación parte de la criptografía. Comprende cómo se aplica la triada confidencialidad-integridad-disponibilidad en las VPN: cifrado simétrico con AES para los datos, cifrado asimétrico con RSA/ECC para el intercambio de claves, y funciones hash SHA para garantizar la integridad del tráfico en tránsito. Un bloque que refuerza los conceptos del módulo de Criptografía.
Protocolos TLS y SSH para administración y comunicación segura
Entiende cómo TLS protege las comunicaciones web mediante certificados digitales y cómo SSH se ha convertido en el estándar para la administración remota segura. Analiza el proceso de handshake, la negociación de parámetros criptográficos y la autenticación mutua de las partes antes del establecimiento del túnel cifrado.
IPsec: cifrado de tráfico IP en entornos corporativos
IPsec opera en la capa de red y cifra todo el tráfico IP entre dos puntos, convirtiéndolo en el estándar corporativo para la interconexión de sedes (Site-to-Site). Comprende sus dos protocolos principales, AH para autenticidad y ESP para cifrado, y su aplicación en infraestructuras empresariales donde la robustez y la madurez son imprescindibles.
WireGuard: VPN moderna, ligera y auditable
WireGuard representa una nueva generación de protocolos VPN. Su código extremadamente limpio (unas 4.000 líneas) facilita las auditorías de seguridad y mejora el rendimiento respecto a soluciones más antiguas. Descubre su criptografía moderna —Curve25519 y ChaCha20— y aprende a sacar partido de sus conexiones casi instantáneas y su eficiencia en entornos con restricciones de recursos.
Anonimato en red: TOR, I2P y Freenet
Más allá de la privacidad que ofrece una VPN, existen redes diseñadas para el anonimato y la resistencia a la censura. Comprende cómo funciona el enrutamiento de cebolla de TOR, los túneles unidireccionales de I2P para redes internas invisibles y el almacenamiento distribuido de Freenet. Conocer estas tecnologías es clave tanto para la inteligencia como para la defensa.
Implementación práctica de IPsec y WireGuard en Linux con StrongSwan
Lleva la teoría a la práctica. Configura entornos reales con StrongSwan para la gestión de IPsec e integración con WireGuard en Linux: interfaces de red virtuales, gestión de claves públicas y privadas, y reglas de iptables y nftables para el reenvío seguro del tráfico. El bloque más técnico del módulo, diseñado para que salgas con configuraciones funcionales en mano.