Curso Avanzado de Ciberseguridad Defensiva: De Intermedio a Experto 2026

En este curso no solo vas a leer conceptos — vas a ejecutar cada paso en tu propio equipo. Necesitas una máquina virtual con Kali Linux o Ubuntu, y acceso a internet. Vamos paso a paso.

---

🛡️ Módulo 1: Configura tu Laboratorio de Ciberseguridad

Antes de aprender a defenderte, necesitas un entorno seguro donde practicar sin dañar sistemas reales.

Paso 1 — Instala VirtualBox

Ve a virtualbox.org y descarga la versión para tu sistema operativo. Instala con todas las opciones por defecto. Al terminar, abre VirtualBox y verifica que se vea la pantalla principal con el botón "Nueva".

Paso 2 — Descarga Kali Linux

Ve a kali.org/get-kali y descarga la imagen "Virtual Machine" (formato .ova, aproximadamente 3 GB). Esta versión ya viene lista para importar en VirtualBox.

Paso 3 — Importa Kali en VirtualBox

1. Abre VirtualBox y haz clic en Archivo > Importar servicio virtualizado
2. Selecciona el archivo .ova que descargaste
3. Haz clic en Siguiente y luego en Importar
4. Espera 2-5 minutos mientras se importa
5. Cuando termine, selecciona la máquina y haz clic en Iniciar
6. Usuario: kali / Contraseña: kali

✅ Resultado esperado: Ves el escritorio de Kali Linux funcionando dentro de una ventana en tu computador.

Paso 4 — Actualiza el sistema

Abre la terminal (clic derecho en el escritorio > Open Terminal) y escribe exactamente esto:

sudo apt update && sudo apt upgrade -y

Ingresa la contraseña kali cuando te la pida. Espera a que termine (puede tardar 5-10 minutos). Cuando veas el cursor nuevamente, el sistema está actualizado.

---

🔍 Módulo 2: Threat Hunting — Aprende a Cazar Amenazas

El Threat Hunting es buscar atacantes que ya están dentro de tu red pero que nadie ha detectado todavía. Vas a aprender a hacerlo tú mismo.

Paso 1 — Instala Sysmon en Windows (en tu máquina real o una VM Windows)

Sysmon es una herramienta gratuita de Microsoft que registra todo lo que pasa en tu sistema con mucho más detalle que los logs normales.

1. Ve a learn.microsoft.com/sysinternals/downloads/sysmon y descarga Sysmon
2. Descarga también la configuración recomendada desde: github.com/SwiftOnSecurity/sysmon-config (archivo sysmonconfig-export.xml)
3. Abre PowerShell como Administrador (clic derecho en el menú inicio > Windows PowerShell (Administrador))
4. Navega a la carpeta donde descargaste los archivos:

cd C:\Users\TuUsuario\Downloads\Sysmon

5. Instala Sysmon con la configuración:

Sysmon64.exe -accepteula -i sysmonconfig-export.xml

✅ Resultado esperado: Ves el mensaje "Sysmon64 started". Ahora tu sistema está registrando cada proceso, conexión de red y cambio de archivo.

Paso 2 — Verifica que Sysmon está funcionando

Abre el Visor de Eventos de Windows:

1. Presiona Windows + R, escribe eventvwr y presiona Enter
2. En el panel izquierdo navega a: Registros de aplicaciones y servicios > Microsoft > Windows > Sysmon > Operational
3. Deberías ver eventos con IDs como 1 (proceso creado), 3 (conexión de red), 11 (archivo creado)

✅ Resultado esperado: Ves una lista de eventos en tiempo real. Cada vez que abres un programa, aparece un nuevo evento.

Paso 3 — Simula un comportamiento sospechoso y detéctalo

Vamos a simular lo que haría un atacante y ver si lo detectamos. Abre PowerShell normal (no administrador) y ejecuta:

whoami
ipconfig
net user

Ahora vuelve al Visor de Eventos de Sysmon y busca eventos de tipo ID 1 (proceso creado). Deberías ver registros de powershell.exe ejecutando esos comandos, con la hora exacta, el usuario y la ruta del proceso.

✅ Resultado esperado: Encontraste los eventos. Esto es exactamente lo que hace un analista SOC cuando investiga actividad sospechosa.

---

🧐 Módulo 3: Análisis Forense Digital Paso a Paso

Imagina que alguien accedió a un equipo. Tu trabajo es descubrir qué hicieron, cuándo y cómo. Vamos a practicarlo.

Paso 1 — Descarga e instala Autopsy

1. Ve a sleuthkit.org/autopsy y descarga Autopsy (versión Windows, gratuita)
2. Instala con todas las opciones por defecto
3. Al abrir, selecciona "New Case"
4. Ponle nombre: Practica-Forense-01
5. Selecciona una carpeta donde guardar el caso y haz clic en Next

Paso 2 — Descarga una imagen forense de práctica

No vamos a analizar tu disco real. Usaremos una imagen de práctica creada para aprender:

1. Ve a cfreds.nist.gov/data_leakage_case (NIST ofrece imágenes forenses gratuitas para práctica)
2. Descarga el archivo de imagen disponible (formato .E01 o .dd)
3. Guarda el archivo en tu carpeta de Documentos

Paso 3 — Analiza la imagen en Autopsy

1. En Autopsy, dentro de tu caso, haz clic en "Add Data Source"
2. Selecciona "Disk Image or VM File"
3. Busca y selecciona el archivo de imagen que descargaste
4. Deja todas las opciones de análisis activadas y haz clic en Finish
5. Espera mientras Autopsy analiza la imagen (puede tardar 10-20 minutos)

✅ Resultado esperado: Ves en el panel izquierdo una estructura de archivos, incluyendo archivos eliminados marcados con una X roja.

Paso 4 — Encuentra evidencia

Una vez terminado el análisis, explora estas secciones en el panel izquierdo:

• Deleted Files: archivos que alguien intentó borrar pero que Autopsy recupera
• Web History: sitios web visitados desde ese equipo
• Recent Documents: últimos archivos abiertos
• Installed Programs: programas que estaban instalados

Haz clic en cada sección y observa la información. Esto es lo que un investigador forense real hace para reconstruir lo que ocurrió en un equipo.

---

🚨 Módulo 4: Detecta un Ataque en Tiempo Real con Elastic SIEM

Paso 1 — Crea una cuenta gratuita en Elastic Cloud

1. Ve a cloud.elastic.co y haz clic en "Start free trial"
2. Regístrate con tu correo electrónico
3. Selecciona el plan gratuito de 14 días (no necesitas tarjeta de crédito)
4. Crea un deployment con la opción "Security" preseleccionada
5. Espera 2-3 minutos mientras se crea tu entorno

✅ Resultado esperado: Ves el dashboard de Elastic Security con el menú lateral que incluye Detections, Hosts, Network.

Paso 2 — Instala el Elastic Agent en tu máquina Windows

1. En Elastic, ve a Fleet > Add Agent
2. Selecciona "Windows" como sistema operativo
3. Copia el comando de instalación que te genera Elastic (será algo como .\ elastic-agent.exe install --url=... --enrollment-token=...)
4. Abre PowerShell como Administrador en tu máquina Windows
5. Pega y ejecuta el comando copiado
6. Espera 1-2 minutos

✅ Resultado esperado: En Elastic Fleet ves tu máquina aparecer con estado "Healthy" en verde.

Paso 3 — Activa las reglas de detección

1. Ve a Security > Detections > Manage Rules
2. Haz clic en "Load Elastic prebuilt rules"
3. Filtra por "Windows" en el buscador
4. Selecciona todas las reglas y haz clic en "Enable"

✅ Resultado esperado: Tienes cientos de reglas de detección activas monitoreando tu sistema en tiempo real.

Paso 4 — Genera una alerta de prueba

Vamos a hacer algo que un atacante haría para ver si el SIEM lo detecta. Abre PowerShell normal y ejecuta:

net user hacker Password123! /add

Esto intenta crear un usuario llamado hacker. Ahora ve a Elastic Security > Detections > Alerts y espera 1-2 minutos.

✅ Resultado esperado: Ves una alerta con título similar a "User Account Created" o "Net.exe Execution". El SIEM detectó tu acción.

Limpia lo que hiciste:

net user hacker /delete

---

🛡️ Módulo 5: Responde a un Incidente Paso a Paso

Ahora que sabes detectar, aprende a responder correctamente cuando algo malo ocurre.

Paso 1 — Recibe la alerta y NO entres en pánico

Cuando ves una alerta en tu SIEM, lo primero es documentar todo antes de tocar nada. Abre un documento de texto y anota:

• Hora exacta en que viste la alerta
• Nombre del equipo afectado
• Tipo de alerta y descripción
• Usuario involucrado

Paso 2 — Investiga antes de actuar

En Elastic, haz clic en la alerta para ver los detalles. Busca respuestas a estas preguntas:

• ¿Qué proceso generó la actividad sospechosa?
• ¿Qué usuario estaba activo en ese momento?
• ¿Hubo conexiones de red al mismo tiempo?
• ¿Este comportamiento ocurrió antes o es la primera vez?

Haz clic en "Investigate in Timeline" para ver todos los eventos relacionados en orden cronológico.

Paso 3 — Contén el incidente

Si confirmas que hay actividad maliciosa real:

1. Aísla el equipo de la red — desconecta el cable de red o desactiva el WiFi. No lo apagues.
2. Bloquea el usuario comprometido en Active Directory o en la configuración de usuarios
3. Cambia las contraseñas de las cuentas afectadas desde otro equipo limpio
4. Notifica a tu supervisor o equipo de seguridad inmediatamente

Paso 4 — Erradica y recupera

1. Identifica cómo entró el atacante (el vector de ataque)
2. Elimina el malware o acceso no autorizado
3. Restaura el equipo desde un backup limpio si es necesario
4. Cierra la vulnerabilidad que fue explotada (parche, configuración, etc.)
5. Monitorea el equipo durante 48-72 horas después de la recuperación

Paso 5 — Documenta las lecciones aprendidas

Después de cada incidente, escribe un informe con:

• ¿Qué pasó exactamente?
• ¿Cómo se detectó?
• ¿Cuánto tiempo tomó responder?
• ¿Qué se puede mejorar para la próxima vez?

Este documento es tu activo más valioso como analista de seguridad.

---

🎯 Módulo 6: Tu Primer Ejercicio Completo de Práctica

Paso 1 — Crea una cuenta en TryHackMe

1. Ve a tryhackme.com y regístrate gratis
2. Completa el perfil y selecciona el camino "SOC Level 1"
3. Este camino te lleva por laboratorios reales de detección y respuesta

Paso 2 — Completa tu primer laboratorio

1. Dentro de SOC Level 1, busca la sala "Investigating with Splunk"
2. Haz clic en "Start Machine" — TryHackMe te da una máquina virtual en el navegador
3. Sigue las instrucciones de la sala para investigar un incidente real simulado
4. Responde cada pregunta usando los logs que encuentres

✅ Resultado esperado: Completas la sala y ves tu progreso en el camino SOC Level 1. Cada sala completada es una habilidad real adquirida.

Paso 3 — Practica en CyberDefenders

1. Ve a cyberdefenders.org y crea una cuenta gratuita
2. Ve a la sección "Labs" y filtra por "Easy"
3. Descarga el primer lab disponible (te dan archivos de logs o imágenes forenses reales)
4. Analiza los archivos con las herramientas que aprendiste (Autopsy, Wireshark, Elastic)
5. Responde las preguntas del lab y verifica tus respuestas

---

🎯 Conclusión: Si seguiste cada paso de este curso, ya tienes un laboratorio funcional, sabes instalar y usar Sysmon, analizaste una imagen forense real, configuraste un SIEM, generaste y detectaste una alerta, y practicaste en laboratorios reales. Eso es ciberseguridad avanzada en la práctica. El siguiente paso es repetir estos ejercicios hasta que sean naturales, y luego avanzar a certificaciones como CompTIA CySA+ o GCIA.

¿Tienes dudas sobre algún paso? Déjanos tu comentario abajo. 👇