Apuntes de ciberseguridad
Blog
Articulos practicos sobre pentesting, OWASP y el dia a dia de la seguridad ofensiva.
Higiene SSL/TLS en 2026: lo que hay que arreglar hoy
TLS 1.3 lleva anos siendo obligatorio en espiritu. Lo que un scan externo sigue encontrando en 2026 en produccion, y que arreglos son innegociables.
Auditar un WordPress en 30 minutos
WordPress corre el 40 % de la web. La mayoria de esas instalaciones tiene al menos un problema critico. La auditoria de media hora que los encuentra.
Enumeracion de subdominios: ve ancho antes de ir hondo
Por que la primera hora de un recon externo debe ser enumeracion de subdominios, y como hacerlo sin disparar mil consultas DNS al objetivo.
Detectar phishing en 2026: mas alla de las senales obvias
La checklist clasica de phishing (faltas, URLs raras) ya no caza casi nada en 2026. Lo que realmente distingue un phish de un email legitimo.
Como preparar el OSCP: guia practica desde cero
Una hoja de ruta honesta y sin humo para aprobar el OSCP — la estrategia de laboratorios que me funciono, los recursos que repetiria y los que descartaria.
Errores de seguridad en JWT: lo que los atacantes buscan
Los JWT son faciles de usar y aun mas faciles de usar mal. Los cinco fallos que reviso primero al ver un Bearer token, y como arreglar cada uno.
Cabeceras de seguridad: las cinco que de verdad importan
Casi todas las guias enumeran veinte cabeceras. Aqui van las cinco que realmente cambian lo que un atacante puede hacer, con los errores que veo cada semana.
Cheatsheet de Nmap: flags esenciales para pentesters
Los flags de Nmap que uso de verdad en proyectos reales — desde sweeps rapidos de descubrimiento hasta scans lentos de fingerprinting que no disparan el IDS.
Que es SQL Injection y como funciona
Explicacion practica de SQL Injection: por que aparece, como la explotan los atacantes, y el patron de consultas parametrizadas que la elimina para siempre.