Inauguramos este espacio para profesionales de TI, equipos de seguridad y líderes de organizaciones que necesitan información técnica sin relleno. Aquí no encontrarás resúmenes de lo que otros publican ni recomendaciones genéricas sacadas de un marco teórico.
Todo lo que publicamos parte de trabajo real: proyectos de campo en sectores financiero, salud, industria y servicios. Si algo no lo hemos probado, lo diremos.
Qué cubre este blog
Tres ejes guían todo lo que publicamos:
Auditoría y Cumplimiento Normativo
Implementación de ISO/IEC 27001:2022, análisis de brechas, gestión de activos de información y controles del Anexo A. Cumplimiento con la Ley Orgánica de Protección de Datos Personales (LOPDP) de Ecuador, incluyendo la base legal del tratamiento, derechos ARCO, y notificación de incidentes al organismo de control.
También trabajamos con marcos internacionales de referencia:
- NIST Cybersecurity Framework 2.0 — estructura de seis funciones (Govern, Identify, Protect, Detect, Respond, Recover)
- CIS Controls v8 — controles priorizados por impacto real, organizados en grupos de implementación (IG1/IG2/IG3)
- NIST SP 800-53 — catálogo exhaustivo para organizaciones con requerimientos regulatorios estrictos
Los artículos de este eje cubrirán cómo se aplican estos marcos en la práctica: qué funciona, qué no, y dónde la documentación oficial omite los detalles importantes.
Ciberseguridad Ofensiva y Defensiva
Ethical hacking, gestión de vulnerabilidades, análisis de amenazas y respuesta a incidentes. El enfoque siempre es práctico:
- Pruebas de penetración: metodologías PTES, OWASP Testing Guide y OWASP WSTG. Qué fases tiene un pentest real, qué se entrega al cliente y por qué la mayoría de informes de pentest son difíciles de leer.
- Análisis de amenazas: mapeo con MITRE ATT&CK para entender tácticas y técnicas reales usadas por actores de amenaza. Grupos como Lazarus, APT28 o FIN7 no son abstracciones: tienen TTPs documentadas que se pueden detectar y mitigar.
- Vulnerabilidades: análisis de CVEs de alto impacto, evaluación de severidad con CVSS v4, y cómo priorizar el parcheo cuando no se puede parchear todo.
- Respuesta a incidentes: fases de contención, erradicación y recuperación. Qué hacer en las primeras horas cuando algo sale mal.
Automatización e Inteligencia Artificial
Flujos de trabajo con n8n, agentes de IA, integración de sistemas y RPA aplicados a procesos internos. Siempre con criterio de seguridad: qué datos maneja cada nodo, cómo se autentican las conexiones y qué pasa cuando una automatización falla.
Este eje incluirá análisis de riesgos de adopción de IA en entornos empresariales, implementación segura de modelos de lenguaje, y casos donde la automatización redujo errores operativos de forma medible.
Cómo usamos las fuentes
Cuando citemos un CVE, un estudio o un estándar, enlazaremos directamente a la fuente primaria. No hay referencias circulares ni citas de citas. Si la fuente original está en inglés, explicamos el punto relevante en español.
Cuando compartamos datos de proyectos propios, lo haremos de forma anonimizada y con el contexto necesario para que sea útil, no solo anecdótico.
Lo que no encontrarás aquí
- Listas de “X herramientas que debes conocer” sin contexto de cuándo usarlas
- Análisis de amenazas inventadas o infladas para generar alarma
- Recomendaciones de productos sin haber evaluado alternativas
- Posts escritos para posicionamiento SEO sin contenido real
¿Tienes una pregunta técnica o quieres que cubramos un tema específico? Escríbenos.