⌘K
ENES
GitHub
concept~4 min de lecturaActualizado May 11, 2026#cybersecurity#must-know#curated#cross-branch

Must-Know 30 — La alfabetización mínima viable en seguridad

Las más de 200 notas de este atlas son la forma larga. Esta es la forma corta: 30 notas que cualquier persona de IT, developer o practitioner junior de seguridad debería poder explicar en 90 segundos cada una.

Si podés hacer eso con las 30, tenés un modelo de seguridad funcional; no completo, pero funcional. Todo lo demás en el atlas es profundidad encima de esta amplitud.

Cómo leer esta lista:

  • La agrupación espeja el orden Fase 0 -> Fase 1 -> Fase 2, pero cada entrada se puede leer sola.
  • Cada entrada tiene una línea de por qué esto importa para todos; esa línea es el punto, no el título.
  • Las notas marcadas (futuro) están sembradas pero todavía no escritas; podés saltearlas en la primera vuelta.

Mindset (4)

  1. Qué es ciberseguridad (y por qué no es una lista de herramientas) — corrige el error más común de principiante antes de que aterrice el resto de la lista.
  2. Tríada CIA como herramienta de decisión — nombrá primero la propiedad bajo amenaza, antes de razonar sobre controles.
  3. Threat modeling quickstart — las 4 preguntas + pasada STRIDE que toma una hora y cambia cómo leés tickets.
  4. Dualidad atacante-defensor — cada tema en seguridad es un par; estudiar una sola mitad te estanca.

Sustrato de networking (6)

  1. TCP/IP basics — sin esto, toda otra nota de networking es memorización.
  2. Ports and services — qué significa realmente "open port", más allá del output de Nmap.
  3. DNS resolution — DNS es la mitad de cada historia de ataque y la mitad de cada fix.
  4. HTTP overview — el protocolo que vas a debuggear por el resto de tu carrera.
  5. TLS/HTTPS — qué prueba realmente TLS (y qué no).
  6. Reverse proxies — las apps modernas están mediadas; acá es donde se ubica mal la confianza.

Superficie web (5)

  1. Broken access control — la clase de vulnerabilidad web #1 en todos los estudios del mundo real.
  2. SQL injection — la clase canónica de injection; entenderla transfiere a todas las demás injections.
  3. SSRF — el bug que convierte "el servidor fetch-ea una URL por mí" en compromiso cloud.
  4. XSS — la vulnerabilidad de confianza del navegador que todos escucharon nombrar y pocos internalizaron.
  5. CSRF — enseñada como "vieja", sigue viva en todo admin panel mal diseñado.

Correctness criptográfica (4)

  1. Hashing vs encryption vs signing — la distinción que arregla la mitad de todas las preguntas de crypto.
  2. Password hashing — bcrypt/scrypt/argon2 y por qué MD5/SHA-256 sobre contraseñas es un bug.
  3. AEAD and nonce misuse — el cifrado moderno te da confidencialidad e integridad; entender por qué importa.
  4. JWT cryptographic correctness — los JWTs están bien o son teatro; casi nadie los valida correctamente en el primer intento.

Par offense / defense (5 — leer cada fila junta)

  1. Host and port discovery <-> Detección de anomalías de scan — el movimiento recon más básico y cómo se ve para defensores.
  2. Nmap scanning <-> Fuentes de telemetría de red y visibilidad — qué es un scan Nmap y dónde aparece en tus logs.
  3. Active recon <-> IDS/IPS y pipelines de detección behavioral — cómo enumeran los atacantes y cómo los defensores capturan el patrón, no el payload.
  4. Enumeration <-> Detección behavioral vs por firmas — las dos formas de capturar la misma actividad y por qué behavioral gana en 2026.
  5. Cloaking y evasión de seguridad <-> Mitos de evasión de detección — qué compra realmente la evasión para un atacante y qué no.

Capacidad práctica (3)

  1. Threat modeling quickstart (releer) — la única entrada que aparece dos veces. Es el hábito de mayor leverage de esta lista.
  2. Playbook: explotar SQLi — leé un playbook ofensivo de punta a punta para ver cómo un concepto se vuelve procedimiento.
  3. Playbook: correr scan pipeline — el workflow recon a nivel engagement que une Fases 1-3.

Always-on (3)

  1. Privacy, Anonymity & OPSEC (índice de rama) — como mínimo las notas de threat model y correlación de cuentas; el resto es profundidad.
  2. DevSecOps (índice de rama) — como mínimo las notas de secrets-management y supply-chain si tocás CI/CD.
  3. Cloud Security (índice de rama) — como mínimo las notas de IAM-boundaries y metadata-endpoints si tus sistemas corren en cloud.

Cómo usar esta lista

  • Como pre-test. Antes de leer algo nuevo, escaneá las 30 entradas y calificate "podría explicarlo en 90 segundos" / "no podría". Tus gaps son tu lista de lectura.
  • Como refresh trimestral. Los practitioners senior drift-ean. Recalificate cada trimestre; las direcciones del drift son diagnósticas.
  • Como preparación de entrevistas. La mayoría de entrevistas "junior security engineer" / "AppSec engineer" / "detection engineer" tantean directamente un subconjunto de estas 30.
  • Como índice de enseñanza. ¿Onboarding de un teammate junior? Este es el curriculum. Trackeá cuáles de las 30 internalizó.

Esta lista es deliberadamente corta. Lo difícil de curarla no fue elegir 30; fue dejar afuera las próximas 30. El atlas es profundidad encima de estas; las próximas 30 (database security, Kubernetes hardening, básicos de AD/Kerberos, internals de EDR, IR/forensics, básicos de malware analysis, governance de secure SDLC) viven en las ramas, alcanzables desde acá.

Notas relacionadas

Privacidad, Anonimato y OPSECAccount CorrelationLa correlación de cuentas es el proceso de vincular actividades o personas separadas a través de cuentas compartidas, datos de recuperación, identificadores, dispositivos o patrones de uso repetidos. Seguridad Ofensiva / ReconActive ReconEl active recon es la recopilación de información que interactúa directamente con la infraestructura, servicios o aplicaciones del objetivo para validar o extender lo descubierto en el passive recon. Mapeo de Superficie de AtaqueAdmin Interface DiscoveryEl admin interface discovery es el proceso de identificar interfaces de gestión, plano de control, soporte, diagnóstico o privilegiadas que deberían estar restringidas pero pueden seguir siendo alcanzables. CriptografíaAEAD and Nonce MisuseAEAD (Authenticated Encryption with Associated Data) es un modo de cifrado que provee confidencialidad e integridad en una sola operación. Cualquier manipulación del ciphertext, el tag, o los associated data hace que el descifrado falle. El nonce misuse ocurre cuando el nonce requerido por el cipher se repite bajo la misma clave, lo cual puede destruir la confidencialidad, la integridad, o ambas. Privacidad, Anonimato y OPSECAnonymity Threat ModelsUn anonymity threat model es un relato estructurado de quién intenta vincular una acción a una persona, qué puede observar y qué controles de privacidad realmente reducen esa vinculación. Seguridad de APIsAPI Authentication FlawsLos fallos de autenticación de APIs son debilidades prácticas en cómo una API verifica la identidad a través de flows de login, recovery, MFA, dispositivo, token, y cliente máquina.