<a href="https://colab.research.google.com/github/William-Burbano-Lima/Ciberseguridad-integrador/blob/main/4_semana_ciberseguridad_explorador.ipynb" target="_parent"><img src="https://colab.research.google.com/assets/colab-badge.svg" alt="Open In Colab"/></a>

# **Semana 4**
TALENTO TECH

**Bootcamp de Ciberseguridad Nivel Básico**
# Tema: Autenticación, Métodos Seguros, Autorización y Estrategias de Seguridad

---

## **Día 1: Lunes 27 de enero - Introducción a la autenticación**

### **1.1 Introducción**
"La autenticación es el proceso de verificar la identidad de un usuario o sistema antes de otorgarle acceso a recursos. Es el primer paso en cualquier sistema de seguridad y la base para proteger información sensible."

### **1.2 Conceptos clave**
1. **Autenticación**
   - Métodos:
     - Algo que sabes: Contraseñas, PIN.
     - Algo que tienes: Tokens, dispositivos móviles.
     - Algo que eres: Biométricos.
2. **Autenticación de dos factores (2FA)**.
3. **Hashing:** Almacenamiento seguro de contraseñas (ejemplo: SHA-256).
4. **Single Sign-On (SSO):** Una autenticación para múltiples servicios.

### **1.3 Ejercicio práctico**
#### Crear un sistema de autenticación básico en Python
```python
import hashlib

def hash_password(password):
    return hashlib.sha256(password.encode()).hexdigest()

def authenticate(input_password, stored_hash):
    return hash_password(input_password) == stored_hash

# Almacenar una contraseña
stored_password_hash = hash_password("seguridad123")
print("Contraseña almacenada con hash:", stored_password_hash)

# Verificar autenticación
input_password = input("Introduce tu contraseña: ")
if authenticate(input_password, stored_password_hash):
    print("Acceso concedido")
else:
    print("Acceso denegado")
```

---

## **Día 2: Miércoles 29 de enero - Autorización y estrategias de seguridad**

### **2.1 Introducción**
"La autorización es el proceso que sigue a la autenticación para determinar qué acciones puede realizar un usuario autenticado."

### **2.2 Conceptos clave**
1. **Autorización**: Otorgar o denegar permisos.
2. **Modelos de control de acceso:**
   - ACL (Listas de Control de Acceso).
   - RBAC (Basado en roles).
   - ABAC (Basado en atributos).
3. **Estrategias de seguridad:**
   - Cifrado de datos en tránsito y reposo.
   - Revisión de roles y permisos.

### **2.3 Ejercicio práctico**
#### Crear un sistema de autorización básico en Python
```python
roles_permissions = {
    "admin": ["leer", "escribir", "eliminar"],
    "usuario": ["leer"],
}

def check_permission(role, action):
    return action in roles_permissions.get(role, [])

# Verificar permisos
role = input("Introduce tu rol (admin/usuario): ")
action = input("Introduce la acción (leer/escribir/eliminar): ")
if check_permission(role, action):
    print(f"Permiso concedido para {action}")
else:
    print(f"Permiso denegado para {action}")
```

---

## **Día 3: Jueves 30 de enero - Ataques en la autenticación**

### **3.1 Introducción**
"Los sistemas de autenticación pueden ser vulnerables a diversos ataques como fuerza bruta, phishing y ataques de diccionario."

### **3.2 Conceptos clave**
1. **Ataques comunes:**
   - Fuerza bruta.
   - Phishing.
   - Relleno de credenciales.
2. **Medidas de mitigación:**
   - Uso de contraseñas seguras.
   - Implementación de 2FA.
   - Uso de HTTPS.

### **3.3 Simulación de ataque de fuerza bruta**
```python
# Simulación de ataque de fuerza bruta
import itertools

password = "seguro"

for attempt in itertools.product("abcdefghijklmnopqrstuvwxyz", repeat=6):
    attempt = ''.join(attempt)
    if attempt == password:
        print(f"Contraseña encontrada: {attempt}")
        break
```

---

## **Día 4: Viernes 31 de enero - Proyecto integrador y revisión de la semana**

### **4.1 Proyecto práctico**
#### Sistema de autenticación y autorización combinado
```python
users = {
    "admin": {
        "password": "admin123",
        "role": "admin"
    },
    "user": {
        "password": "user123",
        "role": "usuario"
    }
}

def authenticate(username, password):
    user = users.get(username)
    if user and user["password"] == password:
        return user["role"]
    return None

def authorize(role, action):
    return action in roles_permissions.get(role, [])

# Flujo completo
username = input("Usuario: ")
password = input("Contraseña: ")
role = authenticate(username, password)
if role:
    print(f"Autenticado como {role}")
    action = input("Acción a realizar: ")
    if authorize(role, action):
        print("Acción permitida")
    else:
        print("Acción no permitida")
else:
    print("Credenciales inválidas")
```

### **4.2 Introducción al diseño del SGSI basado en ISO 27001**
"El Sistema de Gestión de Seguridad de la Información (SGSI) es un enfoque estructurado para gestionar la información sensible de una organización, garantizando su confidencialidad, integridad y disponibilidad. La ISO 27001 establece los requisitos para implementar un SGSI."

#### **Actividades:**
1. **Identificar activos de información**: Listar datos y sistemas críticos.
2. **Evaluar riesgos**: Identificar amenazas y vulnerabilidades.
3. **Establecer controles**: Aplicar medidas para mitigar riesgos (controles ISO 27001).
4. **Documentar políticas**: Crear políticas claras de seguridad.

#### **Ejercicio práctico**
- Crear un diagrama de activos y riesgos con ejemplos reales.
- Simular un análisis básico de riesgos con una tabla:
  | Activo        | Amenaza        | Probabilidad | Impacto  | Mitigación             |
  |---------------|----------------|--------------|----------|------------------------|
  | Base de datos | Ataque de SQL  | Alta         | Crítico  | Uso de prepared statements |

### **4.3 Revisión de conceptos**
1. Diferencia entre autenticación y autorización.
2. Importancia de las estrategias de seguridad.
3. Vulnerabilidades y mitigaciones.

---

## **Recursos adicionales**
- **Herramientas de simulación:**
  - Wireshark: Para monitorear tráfico.
  - Hashcat: Para pruebas de contraseñas.
- **Textos de lectura:**
  - [OWASP Authentication Cheat Sheet](https://owasp.org/www-project-cheat-sheets/cheatsheets/Authentication_Cheat_Sheet.html)
  - [Seguridad en la web](https://developer.mozilla.org/es/docs/Web/Security)
- **Bibliografía:**
  - "Ciberseguridad para principiantes" - Raef Meeuwisse.
  - "Hacking ético" - Jon Erickson.
  - "Gestión de la seguridad de la información basada en ISO 27001" - Alan Calder.

---

## **Evaluación final**
- Ejercicio práctico: Diseñar un sistema seguro usando autenticación y autorización.
- Simulaciones: Reforzar ataques y medidas.
- Introducción al SGSI: Identificación de activos, amenazas y mitigación.
- Cuestionario: Teoría de conceptos clave.

---

## **Horarios sugeridos**
- Lunes, Miércoles, Jueves, Viernes: 8:10 AM - 11:30 AM.
