Cobertura del malware en 3 capas: educativa (CEH-07 — fundamentos academicos de tipos de malware), respuesta operativa Windows (IRM-07), y respuesta operativa smartphone (IRM-09). Permite al junior aprender el "que" antes del "como responder".

CEH-07 cubre taxonomia clasica: virus, worms, trojans, rootkits, ransomware, fileless, memory-resident — el conocimiento que da contexto. IRM-07 (Windows malware) y IRM-09 (Smartphone malware) son los runbooks que aplica el L1 cuando llega la alerta. Diferencia critica: en mobile (IRM-09) la limitacion forense es enorme (sandboxes Android/iOS limitados, jailbreak/root requerido para deep analysis).

Lectura recomendada: CEH-07 primero (1-2 horas), luego skim IRM-07 y IRM-09 para conocer el flow de respuesta. Practicar en lab con muestras Any.Run/Joe Sandbox de los tipos cubiertos. NO ejecutar muestras reales fuera de sandbox aislado.

Faltan notas sobre: Linux/macOS malware playbooks (CERT-SG no los cubre), supply chain malware (SolarWinds-style), AI-generated malware (2026 trend), y in-memory only malware sin disk artifacts.