Roadmap 90 dias para junior CTI/CTH

Roadmap 90 dias para junior CTI/CTH

Extraccion atomica de la nota madre cti-recursos-juniors-unificado. Seccion fuente: "I. Roadmap 90 días junior CTI/CTH". El master sigue intacto para lectura lineal.

I. Roadmap 90 días junior CTI/CTH

Tip

Plan progresivo. Si te sientes ahogado en la semana 1, no pasa nada — el primer mes es turbulento por diseño. Si en el día 60 aún no entiendes ATT&CK, pide refuerzo: no es vergüenza, es eficiencia.

Semanas 1-2 — onboarding y vocabulario

  • Lee §B (glosario) entero y haz tu propia tabla con dudas pendientes
  • Lee §C (doctrina mínima viable) tres veces; abre las entidades vault de cada framework
  • Lee Visser2026_cti-fundamentos-lecciones + Doe2024_cti-theory-vs-experience
  • Crea cuenta en VirusTotal, AlienVault OTX, AbuseIPDB, GreyNoise Free, Censys Free, Shodan (free trial)
  • Configura tu OpenCTI/MISP de prácticas (puedes correr https://demo.opencti.io/ o spin-up local con Docker)
  • Lee 5 reports A1 enteros (Mandiant + Microsoft + Unit 42 + Talos + CrowdStrike) — observa estructura y rigor
  • Aprende a navegar MITRE ATT&CK Navigator y ATT&CK groups page (cubre 5 actores)
  • Lee PAI2026_guia-obsidian-vault-cti-l1 para entender la vault si vas a usar Obsidian/PAI

Semanas 3-6 — operación supervisada

  • Triaje de alertas SIEM (workflow §D.1) — al menos 50 alertas, todas peer-reviewed
  • Enrichment de IOCs (workflow §D.2) — 100+ IOCs cruzados en 4+ fuentes
  • Escribe tu primer reporte §4.6 (CVE crítico) sobre una CVE real del mes — peer-review obligatorio
  • Escribe tu primer reporte §4.4 (campaña ransom/malware) basado en un report A1 reciente
  • Hunt con 3 reglas Sigma públicas convertidas a tu SIEM (workflow §D.5)
  • Domina [[entidad-mitre-attack]] + [[entidad-cyber-kill-chain]] + [[entidad-diamond-model]] — sé capaz de explicar la diferencia entre los tres en una pizarra
  • Lee 3 IRM CERT-SG completos (recomendados: [[certsg-irm-13-customer-phishing]], [[certsg-irm-17-ransomware]], [[certsg-irm-11-information-leakage]])

Semanas 7-12 — especialización inicial

  • Elige UNA vertical para profundizar primero: ransomware, threat actor profiling, OSINT/HUMINT, CTH/Sigma+YARA, dataleaks/dark web
  • Empieza un perfil de threat actor relevante para el sector del cliente (workflow §D.3, plantilla §4.5)
  • Aporta una regla Sigma original al repo del SOC + corresponding hunt
  • Resuelve 5 retos de OSINT CTF Newsletter (https://ctf.osintnewsletter.com/challenges)
  • Lee [[entidad-psychology-intelligence-analysis]] (Heuer) — el fundacional, especialmente capítulo 8 ACH
  • Aprende a aplicar ACH ([[entidad-ach]]) en una investigación real con 3+ hipótesis
  • Si vas a CTH puro: domina Sigma, YARA, KQL/SPL/ES|QL del SIEM del cliente
  • Pide a tu lead un objetivo de progresión a L2 con criterios concretos
Lectura constante (todo el primer año)
  • Daily: Talos blog, Microsoft Security blog, CISA alerts, BleepingComputer
  • Weekly: SANS NewsBites, Risky Business podcast, tldr.sec
  • Monthly: Mandiant M-Trends summary, Recorded Future Insikt selected
  • Yearly: Verizon DBIR, Microsoft Digital Defense Report, ENISA Threat Landscape

Themes