En este capítulo cero del podcast 'Blue Team sin morir en el intento', presenta su proyecto dedicado a la ciberseguridad y defensa informática. el orador comparte su motivación para crear este podcast tras asistir a Ekoparty 2024. Actualmente trabaja en Monterrey, liderando un equipo de ciberseguridad en una organización financiera. El podcast tiene como objetivo ayudar a las nuevas generaciones en el mundo de la ciberseguridad, ofreciendo conocimientos y experiencias prácticas. detalla la estructura del programa, que incluirá temas como la evolución del Blue Team, la estructura de un SOC, hackeos históricos, carrera en ciberseguridad, y más. También menciona que los episodios se grabarán en una sola toma, sin edición, y que se realizarán esfuerzos para mejorar la calidad del audio y la producción con el tiempo.

Redes Sociales:

blueteam.smi@hotmail.com

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.

Introducción y Origen del Blue Team

El presentador introduce el podcast dedicado al Blue Team y explica el origen del término, que proviene de los ejercicios militares de guerra (wargaming) donde se dividían los equipos en Red Team (atacantes) y Blue Team (defensores). Se menciona que el término se popularizó en el contexto de ciberseguridad alrededor del año 2000.

00:03:11 - Actividades Clave del Blue Team

Se detallan las actividades fundamentales del Blue Team, incluyendo: recolección de datos para monitorear el comportamiento de sistemas, evaluación de riesgos para identificar vulnerabilidades, implementación de medidas de seguridad, monitorización continua 24/7, gestión de incidentes, evaluación de vulnerabilidades, desarrollo de políticas de seguridad, y administración de herramientas tecnológicas como firewalls, VPNs, y sistemas antivirus.

00:14:23 - Importancia del Blue Team

Se explica por qué el Blue Team es crucial para las organizaciones, destacando: la protección de activos críticos, prevención de pérdidas económicas, mantenimiento de la reputación y confianza de los clientes, y cumplimiento regulatorio. Se menciona un caso real de un banco en Hong Kong donde un ataque coordinado resultó en pérdidas millonarias debido a un Blue Team inadecuado.

00:18:31 - Características Únicas del Blue Team

El presentador enfatiza las características que hacen único al Blue Team: la mentalidad preventiva, la necesidad de pensar como atacantes para proteger sistemas, y la importancia de la capacitación constante para evolucionar en la respuesta a incidentes.

Redes Sociales:

blueteam.smi@hotmail.com

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.

Tema: Introducción y contexto

Capitulo 2 - La evolución del Blue Team: pasado, presente y futuro

Resumen

En este episodio del podcast 'Blue Team sin morir en el intento', se discutió la evolución del Blue Team desde 1950 hasta el futuro. El presentador, José, realizó un análisis exhaustivo dividido en tres partes: el pasado (1950-2010), el presente (2010-2025) y el futuro (2025 en adelante). Se abordaron eventos históricos globales y su relación con la ciberseguridad. Se destacó cómo la Guerra Fría, la creación de ARPANET, y el desarrollo de los primeros virus informáticos marcaron hitos importantes. Se discutieron amenazas modernas como WannaCry y NotPetya, así como la evolución hacia la inteligencia artificial y la computación cuántica. Se enfatizó la importancia de la ciberresiliencia y la adaptación a un panorama de amenazas en constante cambio.

Capítulos

00:02:35 Evolución del Blue Team: El pasado (1950-2010)

Se discutió cómo la Guerra Fría y la creación de ARPANET sentaron las bases de la ciberseguridad. Se mencionó el desarrollo de Creeper y Riper, los primeros virus y antivirus, y cómo las amenazas evolucionaron desde el pirateo telefónico hasta los primeros virus informáticos en disquetes.

00:20:39 Desarrollo de la ciberseguridad moderna (1980-2000)

Se abordó la creación del primer antivirus por John McAfee, el virus Brain, y el gusano Morris. Se discutió cómo la popularización de Internet en los 90 llevó a la segunda generación de ciberataques, destacando el virus Melissa y la creación del primer firewall de estado.

00:43:58 Amenazas contemporáneas y evolución (2000-2025)

Se analizó el impacto del 11-S, la guerra contra el terrorismo, y la evolución de las amenazas cibernéticas. Se discutieron ataques notables como Stuxnet, WannaCry y NotPetya, así como la implementación del GDPR y la creación de CISA.

01:00:03 El futuro del Blue Team (2025 en adelante)

Se exploraron las características de la web 3.0 y 4.0, la computación cuántica, y el crecimiento del Internet de las cosas. Se discutió la evolución de la inteligencia artificial en ciberseguridad y la importancia de la ciberresiliencia.

Elementos de acción

01:10:53José mencionó la necesidad de implementar estrategias de ciberresiliencia en las organizaciones para mejorar la recuperación tras ataques cibernéticos

01:13:15José destacó la importancia de adoptar enfoques de microsegmentación y Zero Trust en la seguridad de redes

01:11:50José recomendó investigar sobre las nuevas amenazas cuánticas y su impacto en la ciberseguridad

01:10:17José sugirió prestar atención a la evolución de la inteligencia artificial en ciberseguridad y su aplicación en defensa predictiva

Redes Sociales:

blueteam.smi@hotmail.com

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.

Tema: Introducción y contexto

Capitulo 3 - Estructura de un SOC (Security Operation Center)

Introducción

Un SOC es una unidad centralizada que monitorea y gestiona la seguridad de una organización las 24/7. Su objetivo principal es detectar y responder a amenazas cibernéticas en tiempo real, asegurando la protección de las operaciones empresariales.

Aspectos principales:

Funciones Operativas:

Uso de herramientas como SIEM, EDR/XDR, SOAR y sistemas de monitoreo de red para identificar y responder a amenazas.

Retos: el aumento de la superficie de ataque (trabajo remoto, IA) y exceso de alertas ruidosas.

Funciones Estratégicas:

Alinear objetivos con las necesidades del negocio (gobernanza, cumplimiento).

Implementación de planes de respuesta (ej.: NIST 800-61).

Automatización y creación de playbooks.

Comunicación interna y externa efectiva para mitigar impactos.

Infraestructura y Herramientas:

Tecnologías clave como SIEM (Splunk, QRadar), EDR/XDR (CrowdStrike, Microsoft Defender), NDR, y soluciones de análisis forense (Autopsy, EnCase).

Herramientas de simulación de ataques y monitoreo especializado para nubes.

Gestión de Personal:

Roles organizados por experiencia: analistas, ingenieros, arquitectos, y gerentes.

Desafíos: déficit global de más de 3.4 millones de profesionales en ciberseguridad.

Colaboración Externa:

Relación con CSIRTs (internos, comerciales, nacionales) y MSSPs para delegar funciones de seguridad.

Cumplimiento de normativas y comunicación con entidades regulatorias.

Evolución Continua:

Actualización constante mediante simulaciones (Red/Blue/Purple Teams), capacitación, y análisis de métricas clave (MTTD, MTTR).

Costos aproximados:

SOC pequeño: $50,000-$100,000 USD/mes.

SOC mediano: $100,000-$250,000 USD/mes.

SOC avanzado: $250,000-$500,000 USD/mes.

Conclusión:

El SOC es crucial para proteger a las organizaciones contra el creciente impacto de amenazas cibernéticas como ransomware, cuyo costo promedio alcanza $4.5M USD. Además, contribuye a la confianza en un entorno digital seguro y confiable.

Redes Sociales:

blueteam.smi@hotmail.com

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.

Tema: Introducción y contexto

Capitulo 4 - Fundamentos de Seguridad de la Información

Introducción:

La seguridad de la información busca proteger la confidencialidad, integridad y disponibilidad de los datos mediante medidas que abarcan tanto medios informáticos como otros formatos.

1. La CID y conceptos básicos

Confidencialidad: Protección contra acceso no autorizado mediante contraseñas y cifrado. Amenazas: Phishing, Spyware, MitM, entre otros.

Integridad: Garantía de datos no manipulados con herramientas como hashes y monitoreo de integridad. Amenazas: SQL injection, falsificación de datos, corrupción de bases.

Disponibilidad: Asegurar el acceso continuo a sistemas con respaldos y redundancia. Amenazas: DDoS, ransomware, sabotaje y fallos de hardware.

2. Ocupaciones de seguridad de la información

Autenticidad: Verificar identidad de usuarios con MFA y certificados digitales. Amenazas: Spoofing y phishing.

No repudio: Uso de firmas digitales para evitar disputas. Amenazas: Manipulación de registros.

Criptografía: Protección de datos con algoritmos como RSA y SHA256. Amenazas: Fuerza bruta y robo de claves.

Control de acceso: Limitación de accesos mediante modelos como RBAC. Amenazas: Escalada de privilegios.

Trazabilidad: Registro de eventos con herramientas SIEM para identificar actividades sospechosas. Amenazas: Falta de visibilidad.

Gestión de riesgos: Identificación y mitigación de amenazas con estándares como ISO 31000.

Cumplimiento: Alineación a normativas como ISO 27001 y GDPR.

Resiliencia: Capacidad de recuperación ante incidentes con planes de BCP/DRP.

Educación y concienciación: Capacitación para mitigar riesgos humanos.

Respuesta a incidentes: Procesos organizados para minimizar daños y recuperar sistemas afectados.

3. Tecnologías utilizadas para la seguridad de la información

Incluyen:

CASB, DLP, EDR, DevSecOps, IDS/IPS, Firewalls, VPNs, SIEM, SOAR, IAM, MFA, cifrado, sandboxing, plataformas de análisis de vulnerabilidades, ATP, y protección contra ransomware.

Soluciones específicas para IoT, blockchain, gestión de parches, análisis estático/dinámico de código, y plataformas de inteligencia artificial para la seguridad de datos.

El capítulo enfatiza la importancia de adoptar medidas técnicas, organizativas y educativas para abordar amenazas emergentes y garantizar una protección integral de la información.

Redes Sociales:

blueteam.smi@hotmail.com

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.

Hosted on Acast. See acast.com/privacy for more information.