Ciberseguridad · Capacitación

De la Teoría a la Práctica

CONCEPTOS 01 / 35 ← → navegar · F focus

01 · Introducción

Bienvenidos a la Capacitación

En esta capacitación cubriremos los fundamentos de ciberseguridad, casos reales que nos atraviesan como región, el marco legal peruano, y conceptos técnicos que todo desarrollador debe conocer para construir software más seguro.

  • Conceptos fundamentales de ciberseguridad y la triada CIA
  • Casos reales de Latinoamérica y Perú que nos afectan directamente
  • Marco legal peruano: Ley 30096, protección de datos y sanciones
  • Aspectos técnicos: Secure SDLC, OWASP Top 10, DevSecOps
  • Herramientas de defensa: EDR, WAF, Firewall, IDS

Al finalizar, tendrán una visión integral para aplicar seguridad en sus proyectos.

🛡️ CIBERSEGURIDAD

02 · Certificación

eJPT v2 (Junior Penetration Tester)

Certificación de INE Security, enfocada en pentesting práctico con 20 horas de contenido.

  • Examen 100% Práctico: Laboratorio en navegador simulando auditoría/pentest real.
  • Duración: 48 horas continuas.
  • Aprobación: Mínimo 80%.

Áreas cubiertas:

  • Metodología PTES
  • Reconocimiento pasivo y activa
  • Scanning y enumeración
  • Vulnerability assessment
  • Ataques a sistemas web
  • Post-explotación
eJPT eLearning Penetration Testing ✓ 100% Práctico ✓ 48 Horas ✓ 80% para aprobar

03 · Fundamentos

¿Qué es Ciberseguridad?

Ciberseguridad es el conjunto de prácticas, tecnologías y procesos diseñados para proteger sistemas, redes y datos contra ataques digitales, acceso no autorizado, daño e interrupción.

Objetivos principales:

  • Previene robos de datos sensibles
  • Protege contra interrupciones operativas
  • Safeguarda la privacidad de usuarios
  • Garantiza continuidad operativa
Triada CIA:
Confidentiality · Integrity · Availability
C Confidentiality I Integrity A Availability Triada CIA — Fundamento de la Seguridad

04 · Casos Reales

Los números no mienten

América Latina en cifras (2025):

+108%
Aumento de ataques en 2025
2,640
Ataques/semana por organización
79%
Incidentes son ransomware (vs 53% global)
10.2/20
Score promedio seguridad (UN)

Sectores más golpeados:

  • Gobierno
  • Salud
  • Telecomunicaciones
  • Educación

Fuentes: Check Point Q1 2025, Banco Mundial

📊 +108% Aumento de ataques en 2025 79% ransomware vs 53% global América Latina

05 · Caso Real

El ransomware no distingue fronteras

Más casos que azotaron a LATAM:

🇲🇽 México
  • Coppel — LockBit 3.0, $15M exigidos
  • Grupo Bimbo — Medusa, $6.5M
🇨🇴 Colombia
  • INVIMA — Colapso logístico total
  • Air-e — Sistemas secuestrados
🇧🇷 Brasil
  • Banco (no especificado) — LockBit, $2.5M
🇦🇷 Argentina
  • Salud — 665,000 estudios médicos expuestos
🇵🇪 Perú — Hospital del Niño (Nightspire)
  • 30 GB de datos sensibles robados
  • Información de pacientes menores expuesta
  • Grupo: Nightspire (ransomware)
Patrón regional: Los ataques en LATAM son principalmente ransomware (79%), con grupos como LockBit, Conti y Medusa.
🌎 OTROS CASOS LATAM 🇲🇽 México Coppel, Bimbo 🇨🇴 Colombia INVIMA, Air-e 🇧🇷 Brasil Banco 🇦🇷 Argentina 665K estudios 🇵🇪 Hospital del Niño Nightspire · 30GB 79% de incidentes son ransomware en LATAM

06 · Caso Real

El caso que nos toca más cerca

🇵🇪 Interbank — Octubre 2024

Los números:

  • 3 millones de usuarios afectados
  • 3.7 TB de datos filtrados
  • $4 millones en Bitcoin exigidos
  • No pagaron → datos publicados

Datos comprometidos:

  • Nombres, DNI, cumpleaños
  • Números de tarjeta, CVV
  • Contraseñas de bases de datos Azure
  • Transacciones, saldos Tunki
Posible causa: Credenciales mal manejadas en la nube o APIs sin controles adecuados.

Fuentes: WeLiveSecurity, ESET

🇵🇪 INTERBANK Octubre 2024 3M usuarios afectados 3.7 TB · $4M BTC · 600 GB Datos publicados tras no pagar Credenciales mal manejadas en Azure

07 · Caso Real

Cuando un país declaró la guerra a un ransomware

🇨🇷 Costa Rica — Abril 2022

El ataque:

  • ~30 instituciones gubernamentales afectadas
  • Ministerio de Hacienda, Trabajo, CCSS
  • $30 millones/día en pérdidas
  • 600 GB de datos filtrados
  • Rescate exigido: $10 millones
El grupo Conti (prorruso) atacó y el presidente Chaves declaró "estado de guerra" por ciberataque. Primer país en historia en hacerlo.
🇨🇷 CONTI RANSOMWARE ATTACK 30 instituciones $30M/día en pérdidas 600 GB filtrados "Estado de guerra" declarado

08 · Normativas

¿Qué dice la ley en Perú?

📋 LEY 30096 — Ley de Delitos Informáticos

(2014, actualizada)

  • Fraude electrónico
  • Acceso no autorizado
  • Suplantación de identidad
  • Daño a sistemas
📋 LEY 29733 — Protección de Datos Personales
  • Regula el tratamiento de datos
  • Derechos de los titulares
🏛️ ANPD — Autoridad Nacional de Protección de Datos
  • Fiscaliza y sanciona
  • Puede imponer multas
🏛️ MARCO LEGAL PERUANO LEY 30096 Delitos Informáticos LEY 29733 Datos Personales ANPD Autoridad Nacional

09 · Normativas

Las cifras duelen más que las palabras

S/ 7.6M
Multas 2023
S/ 11M
Multas 2024
S/ 26,750
Por día de retraso (2025)
S/ 535,000
Sanción máxima (hasta 6 UIT)
⚠️ No designar Oficial de Datos = multa diaria

Empresas más sancionadas:

  • Financieras
  • Telecomunicaciones
  • Retail

Fuentes: EY Perú, AmCham News, ANPD

💰 MULTAS EN PERÚ S/ 7.6M 2023 S/ 11M 2024 S/ 535K Máximo S/ 26,750 por día de retraso en designar Oficial

10 · Gobernanza

La seguridad no es solo del área de TI

La ISO 27001 hace incapie en:

  • Compromiso de la alta dirección
  • Asignación de presupuesto
  • Definición de roles y responsabilidades
  • Revisión y mejora continua

NIST 2.0 (2024) incorporó:

  • Govern (Gobernar) como pilar central
  • Gerencia debe establecer políticas
  • Gerencia debe asignar recursos
  • Gerencia debe medir y supervisar riesgos
➡️ Si no hay presupuesto, no hay defensa
🏢 GOBIERNO CORPORATIVO ISO 27001 Alta Dirección Presupuesto Roles NIST 2.0 — Govern SI NO HAY PRESUPUESTO NO HAY DEFENSA

11 · Paradigma IA

Ya no son hackers solitarios

ANTES
  • Hackers individuales
  • Escaneo manual de vulnerabilidades
  • Ataques lentos y focalizados
AHORA
  • Ataques automatizados por IA
  • Escaneo a escala con costo casi nulo
  • Vulnerabilidades encontradas en masa
"Open-source code is basically like handing out the blueprint to a bank vault. And now there are 100x more hackers studying the blueprint."
— Bailey Pumfleet, CEO Cal.com
"El código open source es básicamente como entregar los planos de la bóveda de un banco. Y ahora hay 100 veces más hackers estudiando esos planos."
🤖 EL JUEGO CAMBIÓ CON LA IA ANTES 1 hacker escaneo manual ataques focalizados AHORA 100x hackers automatizado costo casi nulo 100x más hackers estudiando los planos

12 · Caso Concreto

De open source a código cerrado

📅 Cal.com — Enero 2025

La empresa de scheduling (AGPL) anunció que dejaba de ser open source.

Su razonamiento:

  • Herramientas de IA escanean código público buscando vulnerabilidades
  • Automatizado, costo casi nulo
  • La transparencia se volvió exposición
Solución: Código comercial → privado. Cal.diy → versión MIT para hobbyistas.
"We made this decision long before Claude Mythos and the OpenBSD vulnerability was announced, but the timing is frightening."
— Peer Richelsen, Co-founder Cal.com
📅 Cal.com Enero 2025 OPEN SOURCE AGPL CÓDIGO CERRADO Comercial "La transparencia se volvió exposición"

13 · Amenaza IA

Cuando la IA encuentra bugs de 27 años

🧠 Claude Mythos (Anthropic)

Un modelo experimental que:

  • Identifica vulnerabilidades zero-day
  • Explotación autónoma a escala
  • Encontró un bug de 27 años en OpenBSD
  • Alcanzó nivel ASL-3 de riesgo
⚠️ NO se lanzó al público por: "Los controles actuales no son suficientes para evitar mal uso"

Project Glasswing:

  • $100 millones en créditos para defensa
  • Partners: Apple, Microsoft, Google, CrowdStrike, Palo Alto...
"Security through obscurity is a losing bet against automation."
— Strix (AI Security Agents)
🧠 CLAUDE MYTHOS Anthropic ⚠️ ASL-3 RIESGO Bug de 27 años encontrado NO lanzado al público $100M créditos defensa · Project Glasswing

14 · Concepto Clave

Security Through Obscurity

(Seguridad por Oscuridad)

DEFINICIÓN:

La idea de que un sistema es seguro simplemente porque su funcionamiento interno se mantiene secreto.

POR QUÉ FALLA:

  • Los atacantes pueden descubrir vulnerabilidades por su cuenta
  • La IA no necesita ver el código para encontrar fallas (black-box testing)
  • Solo oculta la información a los defensores, no a los atacantes
Ejemplo clásico — Kerckhoffs's Principle:
"La seguridad debe depender de la clave, no del algoritmo"
🔐 SECURITY THROUGH OBSCURITY ✗ FALLA Esconder el sistema ≠ Seguridad real Kerckhoffs's Principle Seguridad en la clave, no en el secreto

La pregunta no es si...

"¿No es si ocurrirá?...
sino CUÁNDO
y si estamos PREPARADOS"
[TRANSICIÓN A PARTE TÉCNICA]
"No es SI ocurrirá... sino CUÁNDO y si estamos PREPARADOS"

16 · Parte Técnica

Ahora ensuciémonos las manos

Lo que viene a continuación está orientado a desarrolladores:

  • Conceptos fundamentales de seguridad
  • Secure SDLC — El ciclo de desarrollo seguro
  • OWASP Top 10 — Los riesgos más comunes en web
  • DevSecOps — Integrar seguridad en CI/CD
  • Herramientas de defensa
  • Arquitectura y hardening
📝 Para devs, pero con ejemplos prácticos que pueden aplicar mañana.
⚙️ PARTE TÉCNICA Secure SDLC OWASP Top 10 DevSecOps EDR / WAF / Firewall / IDS Hardening Para desarrolladores

17 · Fundamentos Técnicos

Las palabras del vocabulario

  • AMENAZA (Threat) Actor que puede explotar una vulnerabilidad (hacker, malware, etc.)
  • VULNERABILIDAD (Vulnerability) Debilidad en el sistema que puede ser explotada
  • INCIDENTE (Security Incident) Cuando una amenaza explota una vulnerabilidad
  • CVE Common Vulnerabilities and Exposures — Identificador único de vulnerabilidad
  • CVSS Common Vulnerability Scoring System — Puntuación de severidad (0-10)
  • Zero-day Vulnerabilidad desconocida, sin parche disponible
📖 VOCABULARIO Threat → Vulnerability → Incident CVE Identificador único CVSS 0-10 severidad Zero-day Sin parche disponible

18 · Ciclo de Desarrollo

Seguridad desde el día cero

FASES:

  • 1. Planning/Coding
    → Threat Modeling
  • 2. Code Review
    → Static Analysis
  • 3. Testing
    → DAST, SAST, Pentest
  • 4. Deploy
    → Security configs
  • 5. Maintain
    → Monitoreo y parches

HERRAMIENTAS:

SAST: SonarQube, Semgrep, CodeQL

DAST: OWASP ZAP, Burp Suite

Dependency: Dependabot, Snyk, OWASP Dependency-Check

OWASP ASVS: Application Security Verification Standard — Checklist de requisitos de seguridad.
🔄 SECURE SDLC Plan Code Test Deploy SAST · DAST · Dependency Check OWASP ASVS Application Security Verification Standard "La seguridad más temprana es la más barata"

19 · OWASP Top 10

Los 10 riesgos más críticos en 2025

OWASP Top 10 (2025):

A01: Broken Access Control
A06: Insecure Design
A02: Security Misconfiguration
A07: Authentication Failures
A03: Software Supply Chain ⚡NUEVO
A08: Data Integrity Failures
A04: Cryptographic Failures
A09: Logging Failures
A05: Injection
A10: Exceptional Conditions ⚡NUEVO
📌 NUEVO en 2025: A03 (Supply Chain) y A10 (Manejo de Excepciones) — reemplazo de Vulnerable Components y SSRF.
🌐 OWASP TOP 10 2025 #1 Access Control #5 Injection ⚡A03 Supply Chain Misconfig Insecure Design · Auth Data Integrity · Logging ⚡ NUEVO: A03 Supply Chain · A10 Exceptional

20 · OWASP A01

Broken Access Control

Control de Acceso Roto

Los usuarios pueden actuar fuera de sus permisos previstos. Incluye: acceder a cuentas de otros, cambiar permisos, leer archivos no autorizados.

Ejemplo vulnerable:

// ❌ MAL: Confía en el ID del usuario
app.get('/api/user/:id', (req, res) => {
  const user = db.find(req.params.id);
  res.json(user);  // Cualquiera puede pedir cualquier usuario
});

¿Por qué es peligroso?

  • Horizontal: User A ve datos de User B
  • Vertical: Usuario regular accede a admin
  • IDOR: Insecure Direct Object Reference
⚠️ #1 en OWASP desde 2017 — El más común y dañino
A01 BROKEN ACCESS CONTROL #1 MÁS COMÚN desde 2017 Horizontal User A → User B Vertical User → Admin IDOR Direct Ref "Confiar en input del usuario = acceso no autorizado"

21 · OWASP A02

Security Misconfiguration

Configuración de Seguridad Incorrecta

Configuraciones incorrectas, incompletas o adaptadas de forma insegura. Incluye: permisos excesivos, features innecesarias, errores default.

Ejemplos comunes:

  • Debug mode en producción — Información expuesta
  • Credenciales default — admin:admin en routers
  • Permisos excesivos — chmod 777
  • SSL/TLS mal configurado — TLS 1.0 habilitado

Caso real:

  • Interbank 2024: Credenciales mal configuradas en Azure
  • 3 millones de usuarios afectados, 3.7 TB filtrados
A02 SECURITY MISCONFIGURATION DEBUG producción DEFAULT creds chmod 777 permisos Interbank: Credenciales mal configuradas en Azure "Una mala config = puerta abierta"

22 · OWASP A03 ⚡NUEVO

Software Supply Chain Failures

Fallos en la Cadena de Suministro de Software

⭐ NUEVO en 2025 — Reemplaza "Vulnerable Components". Se enfoca en TODO el pipeline: dependencias, builds, distribución.

Tipos de ataques:

  • Typosquatting: request vs requesł (L polaca)
  • Dependency confusion: Paquete interno con mismo nombre que público
  • Malicious packages: 1,000+ paquetes maliciosos en npm/pypi (2024)

Caso crítico:

  • XZ Utils (2024): Backdoor en util-linux —险些成为全球灾害
  • Una dependencia comprometida = toda la app comprometida
A03 SUPPLY CHAIN FAILURES ⚡ NUEVO 2025 TYPOSQUAT request→requesł XZ UTILS 2024 backdoor NPM/PYPI 1000+ malicious "Una dependencia = toda la app comprometida"

23 · OWASP A04

Cryptographic Failures

Fallos Criptográficos

Exposición de datos sensibles debido a criptografía débil o inexistente. Anteriormente "Sensitive Data Exposure".

Ejemplos comunes:

  • Datos en texto plano: Contraseñas, tarjetas sin cifrar
  • Hashing débil: MD5/SHA1 para contraseñas
  • SSL obsoleto: TLS 1.0/1.1 habilitado
  • Keys hardcodeadas: API keys en código

Caso real:

  • Interbank: 3.7 TB de datos sensibles filtrados
  • Tarjetas de crédito, CVV, contraseñas expuestos
A04 CRYPTOGRAPHIC FAILURES TEXTO PLANO sin cifrar HASH DÉBIL MD5, SHA1 KEYS HARD en código Interbank: 3.7 TB filtrados "Cifrado débil = datos expuestos"

24 · OWASP A05

Injection

Inyección

Datos no confiables enviados a un intérprete como parte de un comando. SQL Injection, NoSQL Injection, OS Command Injection.

Ejemplo SQL Injection:

// ❌ MAL: Concatenación directa
const query = "SELECT * FROM users WHERE name = '" + req.body.name + "'";
// Input: ' OR '1'='1
// Resultado: TODOS los usuarios expuestos

¿Por qué es peligroso?

  • Exfiltración: Toda la DB expuesta
  • Auth bypass: Login sin credenciales
  • RCE: Shell en el servidor
A05 INJECTION SQL NoSQL OS CMD XSS ' OR '1'='1 = TODOS los usuarios expuestos Exfiltración · Auth bypass · RCE "El input del usuario NUNCA debe ser ejecutado"

25 · OWASP A06

Insecure Design

Diseño Inseguro

Fallas en la arquitectura y diseño de la aplicación. Diferente de "Implementation" — el problema es el diseño faltante o deficiente.

Ejemplos:

  • Sin threat modeling: No se consideran ataques al diseñar
  • Missing rate limiting: APIs sin límites
  • Broken auth flow: Recovery sin verificación
  • No MFA: Solo password para acciones sensibles

¿Por qué es peligroso?

  • Un design flaw no se arregla con código — requiere refactorizar
A06 INSECURE DESIGN SIN THREAT modeling SIN RATE limiting NO MFA solo pass "Design flaw ≠ Implementation bug" "Un flaw de diseño = refactorizar la app"

26 · OWASP A07

Authentication Failures

Fallos de Autenticación

Autenticación o session management mal implementada. Permite a atacantes comprometer passwords, keys, tokens, o la lógica de auth.

Ejemplos:

  • Credenciales por default: admin:admin en producción
  • Weak passwords: "123456", sin políticas
  • Session fixation: ID de sesión predecible
  • No MFA: 2FA opcional/no existe

Estadística:

  • 81% de breaches usan credenciales robadas (Verizon DBIR)
A07 AUTHENTICATION FAILURES DEFAULT creds WEAK passwords SESSION fixation NO MFA 2FA ausente 81% de breaches usan credenciales robadas "Credential stuffing: mismo password = acceso múltiple"

27 · OWASP A08

Software or Data Integrity Failures

Fallos de Integridad de Software o Datos

Code e infraestructura que no protege contra violaciones de integridad. CI/CD sin validación, serialización insegura.

Ejemplos:

  • CI/CD inseguro: Builds desde forks no auditadas
  • Auto-updates sin verificación:
  • Insecure deserialization: Code de fuentes no confiables
  • SolarWinds (2020): 18,000 empresas via CI/CD comprometido

¿Por qué es peligroso?

  • Code en producción que nadie revisó manualmente
A08 DATA INTEGRITY FAILURES CI/CD inseguro AUTO updates DESERIAL insegura SolarWinds: 18,000 empresas comprometidas "Code que nadie revisó = riesgo sistémico"

28 · OWASP A09

Security Logging and Alerting Failures

Fallos en Registro de Seguridad y Alertas

Insuficiente logging, monitoreo y respuesta. Cuando pasa algo malo, no hay forma de detectar, investigar o responder.

Ejemplos:

  • Sin logs de auditoría: No se registra quién accedió
  • Logs sin contexto: IP, timestamp ausentes
  • Alertas no configuradas: SIEM sin rules

Caso real:

  • Interbank: Breach tomó meses en descubrirse
  • No hay forensics = no se sabe cómo entró
A09 LOGGING & ALERTING FAILURES SIN LOGS auditoría SIN contexto SIN SIEM sin rules Interbank: breach tardíamente detectado "Si no hay logs, el atacante gana"

29 · OWASP A10 ⚡NUEVO

Mishandling of Exceptional Conditions

Manejo Incorrecto de Condiciones Excepcionales

⭐ NUEVO en 2025 — Reemplaza SSRF. Cómo la app maneja errores, excepciones y edge cases inesperados.

Ejemplos:

  • Error messages leak: Stack traces en producción
  • Race conditions: Concurrencia mal manejada
  • Resource exhaustion: Sin límites en requests
  • Type confusion: Esperando int, recibe array

¿Por qué es peligroso?

  • DoS: App cae con input inesperado
  • SSRF: Manipular requests internos via error handling
A10 EXCEPTIONAL CONDITIONS ⚡ NUEVO 2025 (reemplaza SSRF) STACK traces leak RACE conditions TYPE confusion RESOURCE exhaustion SSRF vía errors "El error inesperado es la puerta al sistema"

30 · DevSecOps

Integrar seguridad en el pipeline

GitHub Actions:

Trivy Semgrep OWASP Dependency-Check Secret scanning

Pipeline:

code → test → security-scan → deploy

Shift-left security:
"La seguridad más temprana es la más barata"
Encontrar bugs en prod cuesta 10x-100x más que en desarrollo.

Política de dependencias:

  • No agregar packages sin revisar
  • Actualizar dependencias regularmente
  • Usar lock files
⚙️ DevSecOps Code Test Security Deploy Shift-left: seguridad temprana = más barata 10x - 100x más caro encontrar bugs en prod Trivy · Semgrep · OWASP Dependency-Check

31 · Herramientas

Las herramientas que defienden

  • FIREWALL Controla tráfico de red. Reglas de entrada/salida. Ej: OPNsense, pfSense, Fortinet
  • WAF (Web Application Firewall) Protege apps web específicamente. Filtra HTTP/S. Ej: ModSecurity, Cloudflare WAF, Fortinet FortiWeb
  • IDS (Intrusion Detection System) Detecta amenazas en la red. Solo alertas, no bloquea automáticamente.
  • EDR (Endpoint Detection & Response) Monitorea endpoints (laptops, servers). Detecta y responde a nivel de host. Ej: CrowdStrike, SentinelOne, Wazuh
🛡️ HERRAMIENTAS FIREWALL pfSense · Fortinet WAF Cloudflare · FortiWeb IDS Solo alertas EDR CrowdStrike · Wazuh SIEM: Splunk · Elastic Security

32 · Opciones

Opciones para todos los presupuestos

💚 OPEN SOURCE (gratis)
  • Wazuh (EDR/XDR)
  • CrowdSec (Firewalls, blocks)
  • OPNsense / pfSense (Firewalls)
  • OSSEC (HIDS)
  • Suricata (IDS/IPS)
  • Elastic Security (SIEM)
💰 COMERCIALES (licencia)
  • CrowdStrike Falcon
  • Palo Alto Networks
  • Fortinet Fortinet
  • Splunk (SIEM)
  • Microsoft Defender
💡 No es "uno u otro" — muchas empresas usan combinación (open para monitorear, comercial para protección activa).
💡 OPEN SOURCE vs COMERCIAL OPEN SOURCE Wazuh CrowdSec pfSense + más COMERCIAL CrowdStrike Palo Alto Fortinet + más Combinación: open para monitorear + commercial para protección

33 · Hardening

Endurecer el entorno

Hardening de servidores:

  • Parches actualizados siempre
  • Puertos mínimos abiertos
  • SSH con key-based auth, no passwords
  • Fail2ban contra brute force
  • Firewall zones (dmz, internal)

☁️ En nube:

  • Security Groups / NACLs
  • IAM roles con mínimo privilegio
  • Secrets Manager para credenciales
  • No exposure de puertos sensibles

🔄 Proxy reverso:

  • Nginx/Apache como reverse proxy
  • Oculta infraestructura real
  • TLS/SSL termination
"Si puedes atacar, también puedes ser atacado — piensa como el enemigo"
🔧 HARDENING Servidores Parches SSH keys Fail2ban Nube IAM mínimo privilegio Security Groups Secrets Manager Proxy Reverso Nginx · TLS termination "Piensa como el enemigo"

34 · Demo

Demo Práctica

Esta sección se definirá en una sesión posterior.

Posibles temas:

  • Demo de OWASP ZAP
  • Ejemplo de vulnerability scanning
  • Caso práctico interactivo
📌 Pendiente: Preparar demo en sesión posterior.
🔬 DEMO Pendiente de definir

35 · Cierre

¡Gracias!

Las amenazas cibernéticas no son una cuestión de SI ocurrirán, sino de CUÁNDO, y si estamos PREPARADOS para ACTUAR.

Resumen de lo aprendido:

  • Fundamentos de ciberseguridad y triada CIA
  • Casos reales de Latinoamérica y Perú
  • Marco legal peruano y sanciones
  • Secure SDLC, OWASP Top 10, DevSecOps
  • Herramientas de defensa

¿Preguntas?

💚 Aplicá lo aprendido — La seguridad es responsabilidad de todos.
¡Gracias! Las amenazas no son SI ocurrirán... sino CUÁNDO y si estamos PREPARADOS La seguridad es responsabilidad de todos ¿Preguntas?