Phishing Estratégico (Intermedio–Avanzado)

¿Para quién es este curso?

Profesionales de ciberseguridad ofensiva que quieren dominar el phishing moderno más allá de los ejemplos básicos.
Bug bounty hunters que necesitan entender cómo se diseñan campañas reales y cómo se integran en flujos ofensivos.
Pentesters que quieren simular ataques de phishing creíbles y éticos en evaluaciones de seguridad.
Equipos de Blue Team, SOC y respuesta a incidentes que necesitan ver “el otro lado” para defender mejor.
Personas que diseñan simulaciones internas, campañas de concienciación y ejercicios tipo Red/Purple Team.
Estudiantes que ya dominan los fundamentos y el recon y quieren dar el salto a campañas ofensivas completas.

Lo que aprenderás

Comprender en profundidad cómo operan las campañas de phishing reales de principio a fin.
Diseñar pretextos e ingeniería social basados en OSINT, roles reales y procesos internos de la organización.
Montar infraestructura ofensiva profesional: dominios, VPS, SMTP, SSL y landing pages creíbles.
Crear correos y páginas de login realistas, consistentes con la identidad visual de servicios legítimos.
Aplicar técnicas modernas de evasión: ofuscación, rotación de dominios, abuso de servicios legítimos.
Configurar y usar GoPhish para simulaciones internas medibles y éticas.
Entender y practicar ataques AITM con herramientas como Evilginx2 para bypass de MFA en entornos controlados.
Detectar y analizar campañas sofisticadas desde la perspectiva defensiva.
Responder a incidentes de phishing con un flujo profesional: contención, erradicación, análisis y lecciones aprendidas.
Evaluar la madurez de una organización frente al phishing y definir un roadmap de mejora.

Temario del Curso

10 módulos estructurados, de nivel intermedio–avanzado, con enfoque ofensivo y defensivo aplicado a casos reales.

Módulo 1: Fundamentos y evolución del phishing

Temas: Qué es el phishing hoy, tipos de campañas, por qué sigue funcionando, factores humanos, uso de servicios legítimos, relación con ransomware y brechas reales. Contexto actual del phishing profesional.

Módulo 2: Anatomía de campañas reales

Temas: Flujo completo de una campaña: OSINT, preparación del señuelo, entrega, explotación, captura de credenciales y uso posterior. Kill Chain aplicada al phishing y análisis de ejemplos inspirados en incidentes reales.

Módulo 3: Ingeniería social y pretextos

Temas: Psicología del engaño, principios de influencia, uso de OSINT para personalizar correos, diseño de pretextos por rol (técnico, financiero, dirección, RRHH), señales que hacen creíble un mensaje y límites éticos en simulaciones internas.

Módulo 4: Infraestructura ofensiva

Temas: Registro y selección de dominios, look-alike y typosquatting, configuración de VPS, Nginx, SSL, SMTP, SPF/DKIM/DMARC, buenas prácticas de OPSEC y errores típicos en campañas mal montadas.

Módulo 5: Emails y landing pages realistas

Temas: Estructura de correos profesionales, tono y estilo corporativo, plantillas HTML limpias, botones y llamadas a la acción, clonado de páginas de login, coherencia visual, pruebas en distintos dispositivos y navegadores.

Módulo 6: Evasión avanzada y campañas modernas

Temas: Ofuscación HTML, uso de servicios legítimos, rotación de dominios y rutas, phishing adaptativo, IA aplicada al phishing, suplantación de estilo, ataques AITM, Browser-in-the-Browser (BitB) y evasión de sandboxes.

Módulo 7: Defensa y detección de phishing

Temas: SPF, DKIM, DMARC, gateways de correo, análisis de cabeceras, detección de URLs sospechosas, sandboxing, señales técnicas de campañas avanzadas, integración con SIEM/SOAR y mecanismos de reporte interno.

Módulo 8: Simulación interna con GoPhish

Temas: Diseño ético de simulaciones, autorización interna, configuración de GoPhish, creación de grupos, plantillas y landings, métricas clave (clics, envíos, reportes), gestión de repetidores y comunicación post-campaña.

Módulo 9: Respuesta a incidentes de phishing

Temas: Flujo de respuesta adaptado a phishing: identificación, contención, erradicación, análisis, comunicación y lecciones aprendidas. Tratamiento de casos con credenciales comprometidas, tokens, BEC y uso de MFA.

Módulo 10: Madurez organizacional frente al phishing

Temas: Dimensiones de madurez (técnica, humana y de proceso), métricas avanzadas, modelos de niveles, diseño de roadmap de mejora, integración con programas de concienciación y ejercicios de Red/Blue/Purple Team.

Acceso y Formato

Repositorio privado Acceso en GitHub con todo el material del curso: módulos, labs, recursos y ejemplos organizados por secciones.

100% práctico Laboratorios guiados con escenarios reales: GoPhish, infraestructura ofensiva, análisis de campañas y AITM en entorno controlado.

Recursos descargables Cheatsheets, plantillas de correos, configuraciones y material auxiliar para integrar en tu propio flujo de trabajo.

Actualizaciones incluidas El contenido evoluciona con las técnicas de ataque y defensa actuales. Las mejoras se incluyen sin coste adicional.

Duración estimada Aproximadamente 25–30 horas, según tu ritmo y el nivel de profundidad con el que trabajes los labs.

Nivel Intermedio–avanzado. Se recomienda haber completado Fundamentos y Recon o tener experiencia equivalente.

Phishing Estratégico (Intermedio–Avanzado)

¿Para quién es este curso?

Lo que aprenderás

Temario del Curso

Acceso y Formato

Comprar Ahora