Background
Panel Administrativo

Martinez Lara Santiago de la cruz

aka Lara
Universidad Politécnica de San Luis Potosí
CNO V - Seguridad Informática9° Semestre

Proposito

El propósito de esta página es servir como un portafolio digital que documenta mi aprendizaje y progreso en el campo de la seguridad informática. A través de este sitio, comparto mis proyectos, experiencias y conocimientos adquiridos durante mi formación académica y práctica en este ámbito.

Enfoque

El enfoque principal de este portafolio está en la seguridad informática, incluyendo áreas como pruebas de penetración y análisis de vulnerabilidades. A través de mis proyectos y experiencias documentadas aquí, demuestro mi capacidad para identificar y mitigar riesgos de seguridad en sistemas informáticos, así como mi compromiso con las mejores prácticas en ciberseguridad.

Importancia

Este portafolio no solo muestra mis habilidades y conocimientos, sino que también sirve como evidencia tangible de mi proceso de aprendizaje y desarrollo profesional en el campo de la seguridad informática.

Contenido

Unidad 1Unidad 2Unidad 3ProyectosRoad to Hall of Fame

Unidad 1

1

A05 - Cartografiafía durante el Pentesting

AGREGAR PDF

Introducción

El presente documento realiza un análisis comparativo de las principales metodologías y marcos de referencia utilizados en la industria de la ciberseguridad. El objetivo es identificar las características, fases y objetivos de cada estándar para determinar su aplicabilidad según distintos escenarios de evaluación técnica y cumplimiento normativo.

Comparación de Metodologías

A continuación se presenta el análisis detallado de los frameworks seleccionados.

MetodologíaA. DescripciónB. Fases de ImplementaciónC. Objetivo PrincipalD. Escenarios de UsoH. CertificacionesI. Versión
MITRE ATT&CKBase de conocimientos de Tácticas y Técnicas basadas en ataques reales.Tácticas, Técnicas y Procedimientos (TTPs).Clasificar comportamientos de adversarios.SOC, Threat Hunting y emulación de ataques.CDEv14
OWASP WSTGMarco integral para pruebas de seguridad en aplicaciones web.1. Recolección de información, 2. Configuración, 3. Identidad, 4. Autenticación, 5. Autorización, etc.Evaluación técnica de controles en software web.Auditorías web, móviles y de APIs.GWAPT, OSWEv4.2
NIST SP 800-115Guía técnica federal para realizar pruebas y exámenes de seguridad.1. Planificación, 2. Descubrimiento, 3. Ejecución, 4. Post-ejecución.Estandarizar pruebas técnicas y reportes.Entornos gubernamentales y regulados.Security+, CISSPFinal
OSSTMMEstándar científico para la verificación de seguridad operacional.1. Inducción, 2. Interacción, 3. Interrogación, 4. Evaluación.Medición métrica de la seguridad (RAVs).Redes, Wireless, Física e Ingeniería Social.OPST, OPSA3.0
PTESEstándar que define las etapas mínimas de un pentest de calidad.1. Pre-engagement, 2. Intel, 3. Modelado, 4. Análisis, 5. Explotación, 6. Post-Exp, 7. Reporte.Estandarizar el proceso comercial y técnico del pentest.Auditorías profundas de infraestructura.OSCP, CPTS1.1
ISSAFMarco detallado que vincula la técnica con la gestión y auditoría.1. Planificación, 2. Evaluación, 3. Informes, 4. Limpieza, 5. Destrucción.Guía técnica paso a paso para auditorías completas.Auditorías integrales de sistemas complejos.CISA (Base)v0.2.1

Reflexión

Tras analizar los distintos marcos, concluyo que no existe una "bala de plata". La elección depende enteramente del alcance. Para una aplicación web crítica, OWASP WSTG es insustituible. Sin embargo, para un ejercicio de Red Team completo, MITRE ATT&CK es el estándar para modelar amenazas.En un entorno profesional, la combinación de PTES para la gestión del proyecto y OSSTMM para la métrica operativa ofrece un equilibrio sólido entre calidad técnica y valor de negocio.

Referencias

Capítulo anteriorA04 - Defensa a Profundidad
Siguiente capítuloA06 - IPSEC VPN

Capitulos

Tabla de Contenidos