SAFE CODE ESSENTIALS

PLAN DE ESTUDIOS

Módulo 1: Web Application Security

• Definición de OWASP
• Proyecto OWASP TOP TEN
• Evolución del Top 10
• Herramientas
• Variantes
• Búsqueda de las vulnerabilidades
• Contramedidas
• Funciones de Hash
• Cracking de passwords
• Escenarios de ataque
• Búsqueda de la vulnerabilidad
• Contramedidas
• Definición de datos sensibles
• Preguntas de análisis
• Protección de datos personales
• Registro Nacional de Bases de Datos
• Definición de las vulnerabilidades
• ¿Cómo hallarla en una aplicación?
• Prevención
• ¿Cómo detectar la vulnerabilidad?
• Definición de XXE
• Variantes
• XML: Sintáxis y usos
• Entidades externas

Módulo 2: Mobile Pentesting

• Por qué Android
• Arquitectura
• Estructura interna
• Android Manifest
• Package name
• Componentes
• Intent-filters
• Configuración Emulador
• Almacenamiento interno/externo
• Sqlite
• Shared_prefs
• Cache
• External
• Conceptos generales transferencia información
• Network Security Config
• Captura de Tráfico
• SSL Pinnig
• Principios Reversing Engineering a la aplicación.
• Herramientas clásicas.
• Uso jadx
• Uso apktool
• Uso jarsigner/keytool
• Modificación y re compilación de la aplicación.
• Herramientas automatizadas
• Análisis dinámico
• Análisis estático
• Recursos adicionales para el aprendizaje
• Metodologías
• MSTG
• MASVS
• Ejercicios adicionales para el aprendizaje

Módulo 3: Vulnerability Assessment

Introducción a la fase de escaneo y enumeración

• Objetivo de la fase.
• Diferentes niveles de detección que podemos abordar.
• Recorrido a alto nivel del proceso de escaneo y enumeración (etapas que se verán en detalle en futuros videos).

Fingerprinting

• Concepto de fingerprinting.
• Tipos, modos y opciones de fingerprinting.
• Herramientas recomendadas para ganar experiencia práctica.

Escaneo

• Repaso de las clasificaciones de puertos según IANA.
• Técnicas de escaneo de puertos (TCP y no TCP).
• Herramientas para los distintos tipos de escaneo.
• Mención específica a nmap por su alta relevancia.

Enumeración

• Técnicas de enumeración.
• Herramientas que permiten obtener mayor información de los distintos sistemas.
• Objetivo: profundizar información tras el escaneo.

Introducción al análisis de vulnerabilidades

• Definiciones y problemática actual en el análisis de vulnerabilidades.
• Ciclo de vida de las vulnerabilidades.

Identificación y clasificación de vulnerabilidades

• Cómo identificar y clasificar vulnerabilidades encontradas.
• Explicación del sistema de puntuación CVSS.
• Explicación del sistema de scoring de debilidades CWSS.
• Ejemplo práctico de una vulnerabilidad.
• Bases de datos online para consulta de vulnerabilidades.

Análisis y reporte de vulnerabilidades

• Cómo se realiza un análisis de vulnerabilidades.
• Revisión de los reportes que generan las herramientas.
• Mención de las herramientas de reporte más utilizadas actualmente.

Explotación de vulnerabilidades

• Proceso para decidir qué vulnerabilidad explotar.
• Frameworks más utilizados para explotación.

Post-explotación

• Etapas y subetapas de post-explotación.
• Consideraciones y buenas prácticas durante esta etapa.
• Cómo facilitar un reingreso a un host previamente comprometido.

Módulo 4: Capture the Flag & Bug Bounty

• Introducción a escaneo y enumeración: mapear superficie de ataque y generar inventario accionable.
• Objetivo de la fase: descubrir activos, servicios y puntos de entrada prioritarios.
• Niveles de detección: pasivo (OSINT) , activo ligero , escaneo profundo , fuzzing dirigido.
• Recorrido high-level: OSINT , descubrimiento , escaneo , enumeración , priorización.
• Fingerprinting (concepto): identificar tech/version/config desde señales observables.
• Tipos de fingerprinting: banner grabbing, pasivo, activo y de aplicaciones.
• Herramientas recomendadas: nmap, httpx, whatweb, curl, Wappalyzer (CLI).
• Escaneo: puertos IANA: 0–1023 (well-known), 1024–49151 (registered), 49152–65535 (dynamic).
• Técnicas de escaneo: SYN/connect, UDP, scans de versión y NSE; nmap clave.
• Herramientas de escaneo: nmap, masscan, rustscan, netcat.
• Enumeración (objetivo): extraer endpoints, parámetros, usuarios y recursos tras el escaneo.
• Herramientas de enumeración: amass, subfinder, ffuf, dirsearch, enum4linux, httpx.
• Análisis de vulnerabilidades: detectar, validar, priorizar y seguir ciclo de vida (CVE, parche, verif.).
• Clasificación: usar CVSS (técnico) y CWSS (contexto empresarial).
• Fuentes: NVD/CVE y advisories de vendors.
• Explotación: priorizar impacto y seguridad; usar metasploit, sqlmap, Burp.
• Post-explotación: escalada, persistencia (solo en entornos autorizados), movimiento lateral y documentación.
• Buenas prácticas: no destructivo, documentar todo, respetar scope y legalidad.

Módulo 5: Software Development Security

• Seguridad en el ciclo de vida
• Modelos de amenazas
• Controles en entornos de desarrollo
• Seguridad en repositorios de código
• Gestión de cambios
• Métricas de seguridad en desarrollo
• Debilidades a nivel de código
• Seguridad y APIS
• Estándares y guías
• Seguridad del software adquirido
• Metodologías ágiles

Módulo 6: DevSecOps 

• Integración de desarrollo y operaciones
• Toolchain
• Seguridad y DevOps
• Beneficios y aplicación
• Value-stream
• Cloud computing y desarrollo
• Infraestructure-as-Code
• Arquitectura de Microservicios
• Seguridad en el pipeline
• Monitoreo
• Adopción y cambio cultural

Módulo 7: Protecting Linux

• Arquitectura y modelo de seguridad
• Seguridad en el kernel
• Logs en Linux
• Protección de datos
• Autenticación y autorización
• SELinux
• Automatización y scripting
• Hardening del sistema

Módulo 8: Reverse Engineering

¿Qué es el Reversing?

• Introducción al Reversing
• Reversing estático y dinámico

Arquitecturas y sistemas

• Arquitecturas de 32 bits y 64 bits (x86 y x86-64)
• Sistemas numéricos
• Memoria: RAM, swap y espacio de direcciones virtuales

Herramientas y conceptos clave

• Debuggers, disassemblers y otras herramientas necesarias (cómo usarlas)
• Registros, stack y heap
• Decisiones, instrucciones y referencias a strings

Módulo 9: Projects & Methodology

• Introducción a los diferentes tipos de evaluaciones de seguridad.
• Definición genérica de evaluación de seguridad.
• Motivaciones por las cuales las organizaciones requieren evaluaciones de seguridad.
• Clasificación de evaluaciones según:

• Nivel de conocimiento del evaluador.
• Nivel de conocimiento del evaluado.
• Tipos de evaluaciones de seguridad sobre sistemas y redes.
• Introducción a:

• Análisis de vulnerabilidades.
• Test de intrusión (Ethical Hacking / Pentest).

• Profundización en tipos específicos de evaluaciones:
• Auditorías de seguridad.
• Análisis de infraestructura.
• Evaluaciones específicas de plataformas.
• Evaluaciones de software.
• Evaluaciones sobre procesos.
• Evaluaciones de entornos físicos.
• Red Team test.
• Importancia de seguir una metodología en evaluaciones de seguridad.
• Introducción a las bases de la metodología estándar de ethical hacking.
• Análisis de las fases de un penetration test:

• Reconocimiento (incluye OSINT e Ingeniería Social).
• Escaneo y enumeración.
• Fase de acceso.
• Fase de mantenimiento de acceso y actividades posteriores al acceso.
• Fase de eliminación de rastros y salida.
• Proceso completo de evaluaciones de seguridad con foco en ethical hacking / penetration test.
• Expectativas y necesidades del cliente en evaluaciones de seguridad.
• Tipos de entregables:

• Informes.
• Presentaciones.
• Formalización de recomendaciones.
• Herramientas colaborativas actuales para realizar pentests.
• Recorrido por metodologías representativas en penetration testing.
• Etapas y recomendaciones para realizar un proyecto de penetration test / ethical hacking:

• Solicitud del servicio (parte inicial).
• Iniciación (subetapas).
• Planificación (etapa y subetapas).
• Ejecución (actividades de evaluación de seguridad).
• Presentación y cierre (resultados y recomendaciones).

¿CÓMO ES LA MODALIDAD DE CURSADA?

Modalidad: 100% asincrónico, para hacerlo a tu ritmo y en el horario que puedas.

Tené en cuenta que deberás contar con tiempo extra para la realización de las actividades, trabajos prácticos y estudio, por lo cual te sugerimos que tengas una amplia disponibilidad.

El medio de comunicación oficial de Hackademy es Discord. Para cursar debes sumarte obligatoriamente a esta plataforma.

¿CÓMO ES LA FORMA DE EVALUACIÓN?

A fin de evaluar los conocimientos adquiridos, se realizarán cuestionarios semanales de cada submódulo, además de un examen teórico final.

¿CUÁLES SON LAS FECHAS DE INSCRIPCIÓN? 

La inscripción para el programa: Safe Code Essentials se encuentra abierta.

¿CÓMO ES EL PROCESO DE INGRESO?

Para inscribirte en el programa de especialización “Safe Code Essentials” completá el siguiente formulario: PRE INSCRIPCIÓN

¡Recordá despejar todas tus dudas ANTES de llenarlo!

Nuestros expertos lo revisarán para verificar que cumples las condiciones necesarias para cursar el programa correspondiente. En caso de que así sea, te enviaremos una notificación de ingreso aprobado con todos los datos para realizar el pago. 

¿CUÁLES SON LOS ARANCELES?

Argentina: el curso tiene un valor de $ 520.979 (*)

• Planes de financiación con tarjeta de crédito en 3 ó 6 cuotas fijas.
• 3 cuotas sin interés para clientes de Banco Galicia con tarjeta de crédito.
• Con BBVA, todos los viernes 3 cuotas sin interés y el miércoles 14/01 6 cuotas sin interés.
• Los días martes 3 cuotas sin interés con todas las tarjetas de crédito bancarias.

*Valores válidos hasta el 31/01/2026. Los valores se actualizan quincenalmente consultar por mail capacitacion@ekoparty.org

¿CUÁLES SON LAS FORMAS DE PAGO DISPONIBLES?

Podés abonar con los siguientes medios dentro de Argentina:

• MercadoPago 
• Tarjeta de crédito
• Transferencia bancaria
• Cripto DAI

Fuera de Argentina: consultar valores y medios de pago escribiéndonos al mail: capacitacion@ekoparty.org