Trabajo público.
Todos los repositorios siguen la misma regla: si publico el ataque, publico la detección. No hay laboratorios sin contraparte blue-team.
Ataques de Active Directory y las detecciones que los cazan.
Kerberoasting, AS-REP Roasting, Pass-the-Hash y DCSync ejecutados end-to-end en un AD de laboratorio. Cada paso con su detección Sigma + Elastic EQL y un playbook de hardening.
SOC dockerizado. Un docker compose up y stack de detección funcional.
Wazuh 4.8 + OpenSearch + Suricata + Filebeat — toda la cadena de ingesta, parsing y dashboards lista para reproducir el SOC en minutos.
Librería de reglas Sigma y YARA pensadas para producción, no demos.
Mapeo completo a MITRE ATT&CK, casos de prueba, notas reales de falsos positivos y baselines tuneadas sobre tráfico de oficina.
HTB y TryHackMe a través de una lente purple-team.
Cada writeup incluye la cadena de explotación (CVE-2007-2447, MS17-010…) y la detección que desplegarías en un SOC real.
Reconocimiento pasivo unificado en una sola herramienta Python.
Subdominios, exposición y detección de tecnologías. Salida JSON lista para alimentar pipelines de informes.
Pipeline automatizado de informes técnicos en LaTeX.
Entrada JSON → salida PDF lista para entregar, con identidad corporativa y maquetación profesional. Pensada para informes de auditoría a escala.