Cómo evitar que te hackeen con ingeniería social
Clase 1 de 30 • Curso de Ciberseguridad para Desarrollo Web
Contenido del curso
Funciona en mi local
Introducción a DevSecOps
Seguridad en la arquitectura
- 11
Arquitectura AWS para métricas de Git
02:24 min - 12
Configuración de AWS CLI para Terraform
09:34 min - 13
Terraform IAM: roles y policies automáticos
17:44 min - 14
Modificando main.tf para enlazar módulos IAM en Terraform
06:02 min - 15
Bucket S3 para Lambdas con Terraform
16:44 min - 16
Configuración de Postgres RDS con VPC y seguridad
14:10 min - 17
Configurando VPC para AWS Lambda con Terraform
12:29 min - 18
Cómo configurar API Gateway para Lambdas
05:42 min
Evitando vulnerabilidades en el código
- 19
Configuración completa de Auth0 para tokens
07:14 min - 20
Authorizer Lambda con Auth0 y JWT
16:56 min - 21
Conecta Go a Postgres usando AWS Secrets
13:35 min - 22
Conexión segura de Lambdas a Secrets con VPC
11:27 min - 23
Validación de webhooks desde GitHub con user-agent
12:08 min - 24
Cómo validar integridad de webhooks con HMAC
14:32 min
Controles de seguridad sobre datos
Monitoring y alertas
CORS y cierre
Resumen
La ciberseguridad efectiva empieza por las personas. En desarrollo de software, el riesgo crítico no se resuelve solo con un servidor robusto, sino con hábitos seguros y decisiones informadas. Con un caso práctico que integra GitHub Webhooks, Auth0 e IAM, aprenderás a proteger datos, credenciales y API keys sin convertirte en el head de seguridad.
¿Por qué el mayor riesgo de seguridad eres tú?
La mayor amenaza no siempre es técnica. Los riesgos se reducen cuando toda la organización aprende ciberseguridad y evita caer en engaños que explotan el factor humano.
¿Cómo afectan los ataques de social engineering?
Los atacantes usan la persuasión para robar credenciales. En enero de 2024, miles de usuarios de Payoneer Argentina fueron hackeados mediante mensajes que simulaban ser de Movistar con un link fraudulento. También se ha visto el robo de accesos por llamadas haciéndose pasar por el jefe. Todo esto es social engineering.
- Mensajes de texto que aparentan ser de Movistar y roban credenciales con un enlace falso.
- Llamadas telefónicas que se hacen pasar por el jefe para obtener accesos.
- Sin técnicas avanzadas: solo interacciones sociales.
¿Qué construirás con GitHub Webhooks y Auth0 de forma segura?
Trabajarás en un escenario real: ayudar a un engineering manager a recolectar métricas de desarrolladores para su performance review. La información llegará en tiempo real desde GitHub Webhooks y se guardará en una base de datos de forma segura. El acceso estará limitado al engineering manager mediante un token de autenticación de Auth0.
¿Qué flujo seguirá la información?
- Conexión a GitHub Webhooks para recibir contribuciones a distintos repositorios en tiempo real.
- Almacenamiento seguro de los datos en una base de datos.
- Acceso restringido únicamente con un token de Auth0.
¿Qué habilidades y conceptos de ciberseguridad aplicarás?
El objetivo no es que seas el head de seguridad, sino que tomes decisiones responsables en materia de seguridad en proyectos personales y en tu vida profesional. Practicarás competencias clave orientadas a minimizar brechas.
- Validación de entradas: controlar lo que ingresa para reducir riesgos.
- Manejo de credenciales: proteger accesos y usos de credenciales.
- Roles y policies con IAM: delimitar permisos con precisión.
- GitHub Actions: automatizar flujos sin exponer información sensible.
- Infraestructura como código con Terraform: definir y gestionar recursos de forma consistente.
- Observabilidad y alertas: monitorear eventos y reaccionar a tiempo.
Todo apunta a que estés un paso adelante en seguridad y seas mejor desarrollador al interactuar con sistemas, bases de datos, información de usuarios, permisos y API keys.
¿Has enfrentado phishing por SMS o llamadas que suplantan a un jefe? Comparte tus dudas o experiencias en los comentarios.