⌘K
ENES
GitHub
concept~6 min de lecturaActualizado May 11, 2026#cybersecurity#phase-2#offense#defense#paired-reading#learning-path

Fase 2 — Offense / Defense (en pares)

Tenés un modelo funcional del sustrato desde Fase 1. Fase 2 es donde la mayoría de learners de ciberseguridad se estanca, porque eligen un lado — offense o defense — y lo leen solo. Esta fase existe para prevenir eso.

Fase 2 es la única fase de este atlas pensada para leerse en pares. Cada nota ofensiva tiene una nota correspondiente de detection-engineering que enseña cómo se ve la misma actividad desde el otro lado. Leelas juntas. El pairing no es decoración; es todo el valor pedagógico de la fase.

Ver Dualidad atacante-defensor (Fase 0) para la filosofía. Esta página es la versión operacional.

Cómo leer un par (el ritual de 4 pasos)

Para cada par de abajo:

  1. Leé primero la nota ofensiva. Enunciá qué hace realmente el atacante a nivel wire / protocolo / código.
  2. Leé segunda la nota defensiva. Enunciá qué telemetría deja el ataque, qué invariant viola y qué control lo habría prevenido.
  3. Nombrá el gap. ¿Qué logra offense que defense no captura? ¿Qué captura defense que offense tal como está descrito no aborda?
  4. Ubicalo en la Pyramid of Pain. ¿La defensa está atada a un indicador barato (hash, IP, domain, fácil de bypass-ear) o a uno caro (TTP, comportamiento, caro de bypass-ear)? Saber el nivel es el movimiento senior.

Si no podés completar pasos 3 y 4 para un par, tu modelo está incompleto y acabás de descubrir qué releer.

Pares de primera pasada (6 pares / 12 notas, ~2-3 semanas)

El set mínimo que te da un modelo offense+defense funcional. Leé cada par como unidad: offense, luego defense, luego pasos 3-4.

Par 1 — Mentalidad de reconocimiento <-> mentalidad de visibilidad

  • Offense: Recon — cómo los atacantes descubren superficie antes de tocarla.
  • Defense: Network Telemetry Sources and Visibility — qué pueden ver los defensores y dónde están los blind spots.
  • Por qué este par va primero: Ambos lados empiezan con la misma pregunta — qué se puede observar sobre este sistema — desde sillas opuestas. El par enmarca todos los demás pares de Fase 2.

Par 2 — Port scanning <-> detección de anomalías de scan

  • Offense: Host and Port Discovery — el movimiento recon entry-level que corre cualquier operador.
  • Defense: Scan Anomaly Detection and Fingerprint Analysis — cómo se ve un scan en NetFlow, alertas IDS y TCP fingerprints.
  • Por qué este par va segundo: El par offense/defense más concreto del atlas. Después de leerlo, podés correr un scan contra un target autorizado y encontrar tus propios packets en los logs del defensor.

Par 3 — Enumeration <-> detección behavioral vs por firmas

  • Offense: Enumeration — el patrón del operador de hacer muchos probes chicos para construir un modelo.
  • Defense: Behavioral Detection vs Signature Detection — por qué capturar el patrón supera capturar el payload en 2026.
  • Por qué este par: Nombra la tensión central. La evasión de firmas es barata; la evasión behavioral exige cambiar lo que hacés, no solo cómo se ve.

Par 4 — Cloaking y evasión <-> mitos de evasión de detección

  • Offense: Cloaking and Security Evasion — cómo se ven realmente los intentos de evasión.
  • Defense: Detection Evasion Myths and Modern Limitations — por qué la mayoría de supuestos de "stealth" fallan contra stacks modernos.
  • Por qué este par: Cierra el loop sobre la mitad "solo voy a bypass-ear la detección" de la dualidad. Leé ambos lados juntos o vas a creerle demasiado a uno.

Par 5 — Timing/evasión IDS <-> pipelines IDS/IPS

  • Offense: Nmap Timing and Evasion — las primitives de timing/rate/evasión que los operadores realmente usan.
  • Defense: IDS/IPS and Behavioral Detection Pipelines — cómo se escriben reglas IDS, qué capturan y dónde fallan.
  • Por qué este par: El par más quirúrgico. Leerlos juntos te enseña qué primitive de evasión derrota qué capa de inspección, diagnóstico en ambas direcciones.

Par 6 — Handoff de recon <-> correlación de kill-chain

  • Offense: Recon to Testing Handoff — cómo pistas de recon se vuelven candidatos de testing validados.
  • Defense: Attack Path Correlation and Kill Chain Observability — cómo defensores conectan señales débiles entre etapas en una cadena.
  • Por qué este par: Ambas notas tratan seguridad como una secuencia más que como un momento. El par enseña la tesis "muchas señales chicas encadenan en una historia grande" que mueve la detección moderna.

Frená acá en primera pasada. Después de estos 6 pares tenés un modelo offense+defense funcional y podés elegir con inteligencia qué pares de profundidad importan para tu trabajo.

Pares extendidos (3 pares / 6 notas, profundidad encima de primera pasada)

Leelos por necesidad, no linealmente. Cada uno desbloquea una capacidad específica de operador.

Par 7 — Scanning a escala internet <-> NetFlow/Zeek/Suricata

  • Offense: Masscan Internet-Scale Scanning — scanning async stateless para trabajos de amplitud.
  • Defense: Zeek, Suricata, and NetFlow Analysis — la capa de flow analytics que captura escala antes de que deep packet inspection la vea.
  • Por qué: A escala internet, los patrones fan-out de flow dominan la inspección por firmas. Defenders capturan Masscan antes que IDS.

Par 8 — Tech-stack fingerprinting <-> análisis de tráfico cifrado

  • Offense: Tech-Stack Fingerprinting — cómo atacantes identifican qué está corriendo, muchas veces pese a TLS.
  • Defense: Encrypted Traffic Analysis and Metadata Leakage — JA3/JA4, flow shape, timing, SNI; TLS no oculta tanto como la gente piensa.
  • Por qué: El par que desarma "TLS vuelve invisible el tráfico". La misma metadata filtra para ambos lados.

Par 9 — Profundidad de active recon <-> EDR + correlación de procesos

  • Offense: Active Recon — descubrimiento activo a nivel engagement.
  • Defense: EDR Network Observability and Process Correlation — el join host-side que ata comportamiento de red a procesos, users y parents concretos.
  • Por qué: La feature killer de la detección moderna es atar qué proceso hizo qué conexión. Acá "vimos el scanner" se vuelve "identificamos la cuenta del operador".

Notas de detección transversales (sin par ofensivo único)

Algunas notas de detection-engineering son sobre la disciplina en sí, no sobre un ataque específico. Leelas después de los primeros 6 pares: aplican a todos los pares.

Estas dos se leen después de tener 6 pares de ejemplos concretos; tienen mucho más sentido cuando tenés algo sobre lo cual aplicarlas.

Qué significa "primera pasada completa" en Fase 2

Completaste primera pasada de Fase 2 cuando, para cualquiera de los 6 pares, podés:

  1. Explicar offense a nivel protocolo/wire.
  2. Explicar la fuente de telemetría y lógica de detección de defense.
  3. Nombrar al menos una clase de bypass para la defensa.
  4. Nombrar al menos una detección que capture el bypass.
  5. Ubicar la defensa en la Pyramid of Pain (bajo -> bypass trivial / alto -> bypass caro).

Si podés hacer esto para un par, podés hacerlo para los seis con el mismo template. Esa fluidez es lo que Fase 2 enseña.

Qué sigue

Después de la primera pasada de Fase 2, podés pasar a:

  • Security Playbooks — convertir concepto en procedimiento. Específicamente Run External Recon Scan Pipeline usa tres pares de Fase 2 como su sustrato operacional.
  • Fase 3 — Superficie de operador (Attack Surface Mapping, OSINT, Linux Privilege Escalation, Security Playbooks).
  • Fase 4 — Specialty tracks (API / Cloud / DevSecOps / Wireless) cuando tu contexto laboral los demande.

Futuras páginas de entrada phase-3-operator.md y phase-4-specialty.md van a curar esas fases igual que esta página cura Fase 2.

Por qué existe esta página

La mayoría de educación en seguridad enseña offense y defense como currículas separadas, por personas separadas, en salas separadas. El costo es el arquetipo de half-practitioner: hábil en un lado, peligroso cuando tiene que razonar sobre el otro. Este atlas está estructurado para que el pairing sea barato, y esta página es el artefacto operacional que convierte el pairing en modo de lectura por defecto, no en aspiración.

Si leés solo una mitad de estos pares, aprendiste la mitad de Fase 2.

Notas relacionadas

CiberseguridadFase 1 — Sustrato (cómo funcionan realmente las cosas)Terminaste Fase 0 — Fundamentos y tenés los cuatro modelos mentales: ciberseguridad no es una lista de herramientas, CIA como herramienta de decisión, threat modeling como reflejo, dualidad atacante-defensor como metamarco. Fase 1 es donde esas abstracciones aterrizan en sistemas reales. CiberseguridadFase 3 — Superficie de operador (concepto -> capacidad)Tenés un modelo de sustrato desde Fase 1 y podés leer offense y defense como pares desde Fase 2. Fase 3 es donde ese conocimiento se vuelve capacidad de operador: workflows que podés ejecutar de verdad contra targets autorizados, no solo razonar. CiberseguridadFase 4 — Specialty Tracks (elegí lo que tu trabajo demande)Fase 4 es la única fase que no se lee linealmente. Por diseño, se elige por contexto laboral: elegís la especialidad que tu rol realmente requiere, la aprendés con profundidad suficiente para ser efectivo y volvés a las demás solo cuando tu trabajo se expande hacia ellas. Identidad y Active DirectoryTier 0 Administration and Privileged Access WorkstationsTier 0 es el conjunto de identidades, hosts y componentes que tienen control efectivo sobre el directorio mismo — Domain Controllers, los principales con derechos de DCSync o equivalentes de replicación, la infraestructura de recuperación AD (backups, key servers), y las autoridades certificadoras que emiten material de confianza. La administración Tier 0 es la disciplina de tratar esas identidades y hosts como un plano de seguridad estrictamente aislado: nunca se loguean a sistemas de menor tier, nunca ejecutan software de nivel usuario, y nunca comparten material de credencial con nada fuera del límite Tier 0. Una Privileged Access Workstation (PAW) es el hardware dedicado (o VM) que los admins Tier 0 usan exclusivamente para realizar trabajo Tier 0 — bloqueado, aislado de internet, sin cliente de email, sin navegador hacia destinos arbitrarios, y sin aplicaciones de uso diario. Privacidad, Anonimato y OPSECAccount CorrelationLa correlación de cuentas es el proceso de vincular actividades o personas separadas a través de cuentas compartidas, datos de recuperación, identificadores, dispositivos o patrones de uso repetidos. Seguridad Ofensiva / ReconActive ReconEl active recon es la recopilación de información que interactúa directamente con la infraestructura, servicios o aplicaciones del objetivo para validar o extender lo descubierto en el passive recon.