Sobre el programa
de respuesta a incidentes. El foco está en el proceso operativo: cómo
detectar, triagar, contener y documentar un incidente de seguridad de forma efectiva.
No se asume experiencia previa en ciberseguridad — solo conocimiento sólido de
infraestructura IT.
Horas académicas
Código Wawiwa
Tier analista
ejecutar un runbook de IR básico, documentar evidencia con criterios forenses y
coordinar escalamientos con el equipo de seguridad o con QMA como MSSP de soporte.
Lo que aprenderás
El programa cubre los cuatro pilares de la respuesta a incidentes en entornos
enterprise: proceso, inteligencia, forense y análisis de malware.
Respuesta a incidentes
Entender y aplicar los principios y procesos del ciclo de IR: preparación,
detección, contención, erradicación, recuperación y
lecciones aprendidas. Ejecutar las actividades necesarias frente a incidentes comunes.
Cyber Threat Intelligence
Comprender los fundamentos de CTI y cómo integrarlo al proceso de respuesta.
Identificar fuentes de inteligencia, tipos de indicadores y cómo priorizar
la respuesta según el contexto de la amenaza.
Digital Forensics
Aplicar principios básicos de forense digital durante la fase de
investigación: recolectar evidencia sin contaminar la cadena de custodia,
identificar artefactos relevantes y documentar hallazgos para escalamiento o reporte.
Malware Analysis
Entender los fundamentos del análisis de malware: cómo identificar
comportamiento sospechoso en endpoints, las diferencias entre análisis
estático y dinámico, y cómo usar esa información para
mejorar la respuesta y el control de daños.
Estructura del programa
40 horas distribuidas en módulos progresivos. El ritmo se define por cohorte
— sesiones semanales de 4 horas o formato intensivo según el calendario
del equipo.
Fundamentos de IR
Marco conceptual del ciclo de respuesta. Roles, responsabilidades y
criterios de escalamiento en un equipo SOC.
Detección y triage
Identificar y clasificar alertas. Diferenciar falsos positivos de
incidentes reales. Criterios de prioridad y activación del runbook.
Contención y evidencia
Tácticas de contención sin destruir evidencia. Cadena
de custodia básica. Documentación de hallazgos durante el incidente.
CTI & Forensics
Integrar inteligencia de amenazas al proceso de IR. Artefactos forenses
comunes. Análisis básico de malware como soporte a la investigación.
A quién va dirigido
Audiencia principal
- IT y Security juniors con background en infraestructura
- Analistas de ciberseguridad y practitioners
- Equipos de Security Operations (SecOps)
- Analistas de ciberseguridad TIER 1
- Estudiantes STEM (año 3 en adelante)
- Operadores SOC que necesitan formalizar el proceso de IR
Prerequisitos
- Conocimiento básico de IT: redes y sistemas operativos
- Experiencia básica con procesos y tecnologías IT
- No se requiere experiencia previa en ciberseguridad
operaciones SOC, combina este curso con
SOCOPS (20h)
como primer paso.
Modelo de entrega
Formato
Cohorte cerrada de 10 a 20 participantes. Remoto (Zoom/Teams) o presencial
en CDMX/Querétaro.
Duración
40 horas académicas. Distribución por acuerdo: sesiones semanales
de 4h o formato intensivo (2–3 días).
Certificación
Certificado Wawiwa al completar el programa. Instructores QMA con
experiencia en manejo de incidentes en entornos enterprise reales.
Ruta de continuidad
CSIR40 es el punto de entrada al track de Incident Response. Después de este programa, el equipo tiene la base para avanzar hacia capacidades forenses y de investigación avanzada.
Siguiente recomendado
IR Basic — Training of IR Team (40h)
Profundiza en procesos de IR con enfoque en herramientas de investigación, análisis de red y patrones de ataque.
Track avanzado
IR Advanced — Advanced Training (40h)
Forensics avanzado de OS y redes. Investigaciones complejas con herramientas especializadas.
Track forense
EXIR — Advanced IR & Forensics (40h)
Para equipos SOC/IR que necesitan capacidades de threat hunting y forensics de nivel avanzado.
Preguntas frecuentes
¿Necesita mi equipo experiencia previa en ciberseguridad?
No. El programa está diseñado para profesionales con background en IT
(redes, sistemas operativos) que quieren entrar al mundo de la ciberseguridad operativa.
El único prerequisito es familiaridad con infraestructura IT básica.
¿El curso incluye laboratorio práctico?
Sí. El programa incluye simulaciones de incidentes reales donde los
participantes practican detección, triage y respuesta en un entorno
controlado. Los instructores tienen experiencia directa en manejo de incidentes
en entornos enterprise.
¿Cómo se combina con SOCOPS?
SOCOPS (20h) cubre los fundamentos operativos del SOC: cómo funciona,
qué herramientas usa y cómo se generan y manejan los eventos.
CSIR40 toma ese contexto y lo lleva al siguiente nivel: qué haces cuando
algo se convierte en incidente. Son complementarios y se pueden tomar en
paralelo o en secuencia.
¿Qué pasa después del curso con QMA?
El programa genera contexto compartido que hace más eficiente cualquier
servicio de retainer QMA. Un equipo entrenado en metodología IR puede
co-diseñar runbooks, participar en tabletop exercises y colaborar de
forma efectiva en incidentes reales con QMA como MSSP de soporte.
Agenda la cohorte para tu equipo
20–30 minutos para definir audiencia, nivel de partida, calendario y
propuesta. Sin compromiso.