← Volver al inicio

Roadmap Inicial de 90 Días

Este roadmap no promete convertirte en experto en 90 días.

La ciberseguridad toma tiempo. Lo que sí puede hacer un plan de 90 días es darte estructura para construir base, crear hábito y dejar de saltar entre temas sin dirección.

La meta es terminar con:

  • Fundamentos más claros.
  • Notas propias.
  • Laboratorios básicos.
  • Una ruta principal elegida.
  • Primeros proyectos o writeups.
  • Mejor criterio para seguir estudiando.

Cómo Usarlo

No necesitas seguirlo perfecto.

Puedes adaptarlo a tu tiempo, escuela, trabajo o energía. Si una semana se complica, no abandones. Retoma.

La regla es avanzar con consistencia, no con ansiedad.

Días 1 a 15: Base Técnica

Objetivo: entender cómo funcionan computadoras, sistemas operativos y permisos.

Estudia:

  • Computación básica.
  • Sistemas operativos.
  • Archivos y procesos.
  • Usuarios y permisos.
  • Terminal básica.

Practica:

  • Instala una máquina virtual Linux.
  • Usa comandos básicos.
  • Crea carpetas y archivos.
  • Cambia permisos.
  • Observa procesos.
  • Escribe notas de lo que aprendes.

Resultado esperado:

Puedes explicar qué es un proceso, qué son permisos y por qué no todo debe ejecutarse como administrador.

Días 16 a 30: Redes y Linux

Objetivo: entender comunicación entre sistemas.

Estudia:

  • IP.
  • Puertos.
  • DNS.
  • HTTP básico.
  • Modelo OSI/TCP-IP.
  • Comandos de red en Linux.

Practica:

  • Usa ping, ip, ss, curl, dig o nslookup.
  • Revisa qué puertos escucha tu máquina.
  • Abre una web con curl.
  • Dibuja cómo viaja una petición desde navegador a servidor.

Resultado esperado:

Puedes explicar qué pasa, a alto nivel, cuando entras a una página web.

Días 31 a 45: Web y Seguridad Básica

Objetivo: entender aplicaciones web y fallas comunes.

Estudia:

  • HTTP.
  • Cookies.
  • Sesiones.
  • Autenticación.
  • Autorización.
  • OWASP Top 10.
  • XSS.
  • SQL Injection.
  • Broken Access Control.

Practica:

  • Usa PortSwigger Web Security Academy.
  • Lee una petición HTTP.
  • Identifica parámetros.
  • Explica diferencia entre autenticación y autorización.

Resultado esperado:

Puedes explicar por qué una app puede fallar aunque "funcione bien" para el usuario.

Días 46 a 60: Blue Team y Logs

Objetivo: empezar a pensar como defensor.

Estudia:

  • Logs.
  • Alertas.
  • SIEM.
  • MITRE ATT&CK.
  • Respuesta a incidentes.
  • Evidencia vs hipótesis.

Practica:

  • Revisa logs de Linux.
  • Haz un reto básico de CyberDefenders o TryHackMe SOC.
  • Escribe un pequeño reporte: qué pasó, qué evidencia hay, qué harías después.

Resultado esperado:

Puedes explicar una alerta sencilla sin inventar conclusiones.

Días 61 a 75: Ruta Principal

Objetivo: elegir una dirección inicial.

Elige una:

  • SOC / Blue Team.
  • AppSec.
  • Cloud Security.
  • Vulnerability Management.
  • GRC.
  • Red Team ético.

No tienes que casarte con esa ruta para siempre. Solo necesitas una dirección para dejar de estudiar todo al mismo tiempo.

Practica según tu ruta:

  • SOC: logs, SIEM, CyberDefenders.
  • AppSec: PortSwigger, OWASP, APIs.
  • Cloud: IAM, storage, logging, AWS/Azure básico.
  • Vulnerability Management: CVE, CVSS, priorización.
  • GRC: riesgo, controles, evidencia.
  • Red Team ético: Linux, redes, enumeración, CTFs legales.

Resultado esperado:

Puedes explicar por qué elegiste esa ruta y qué necesitas estudiar después.

Días 76 a 90: Portafolio Inicial

Objetivo: convertir estudio en evidencia pública o presentable.

Puedes crear:

  • Un writeup de laboratorio.
  • Una nota técnica explicada con tus palabras.
  • Un reporte Blue Team simulado.
  • Una revisión AppSec conceptual.
  • Un mapa de aprendizaje.
  • Un script pequeño.
  • Un README de tu homelab.

No busques impresionar con complejidad. Busca claridad.

Un buen proyecto junior debe explicar:

  • Qué problema estudiaste.
  • Qué hiciste.
  • Qué aprendiste.
  • Qué evidencia tienes.
  • Qué harías mejor después.

Qué Evitar Durante Estos 90 Días

Evita:

  • Comprar muchas certificaciones por ansiedad.
  • Saltar de herramienta en herramienta.
  • Copiar writeups sin entender.
  • Atacar sistemas reales.
  • Estudiar solo viendo videos.
  • Creer que no avanzas porque todavía no sabes temas avanzados.

Después de los 90 Días

Después de este roadmap, no "terminaste" ciberseguridad.

Pero deberías tener una base más clara para elegir:

  • Profundizar Blue Team.
  • Profundizar AppSec.
  • Aprender cloud.
  • Hacer más laboratorios.
  • Mejorar portafolio.
  • Preparar una certificación.
  • Buscar prácticas o empleo junior.

La meta no es terminar. Es saber continuar.

← Anterior

Cómo Usar Esta Guía

Siguiente →

Plataformas de Práctica

En esta página