Kelly Evelyn Ramírez

Women Who Hack: Navigating Bug Bounty Programs From the Inside 🗓 May 22 — 9 AM Two women. Two completely different paths into the bug bounty world. One managing vulnerability disclosure and bug bounty programs from inside some of the biggest tech companies in the industry. The other, reporting bugs from the researcher side as part of the Latin American hacking community. An honest conversation about breaking into bug bounty, navigating the industry, working with global programs, and what it’s really like to build your path as a woman in cybersecurity. No filters. No corporate script. Just real stories, lessons learned, and the realities behind the screens. See you in Miami. ⚡ 📅 Ekoparty Miami | May 21–22, 2026 🎟️ Get your ticket now and don’t miss out! >> https://t.co/zeyA4yWKms

🔥Actualización sobre el curso de Pentesting Web que inicia el lunes: Recuerden: en 100% gratis, será a traves de mi web y es 100% a pulmón así que sean pacientes, tratare de subir una capitulo diario. Les dejo el índice para que sepan que van a ver, este curso esta basado en las certificaciones BSCP, eWPT y eWPTX y abarca todos los temas que están en ellas y que necesitan para poder aprobarlas. Qué aprenderás este curso 🔥Introducción a las pruebas de seguridad de aplicaciones web Introducción a BSCP, eWPT, eWPTX & OSWE Arquitectura de aplicaciones web Seguridad de aplicaciones web Pruebas de seguridad de aplicaciones web Amenazas y riesgos comunes de las aplicaciones web Introducción a HTTP Solicitudes HTTP Respuestas HTTP Enumeración de métodos HTTP Metodología de pruebas de penetración de aplicaciones web OWASP TOP 10 A01:2021-Broken Access Control A02:2021-Cryptographic Failures A03:2021-Injection A04:2021-Insecure Design A05:2021-Security Misconfiguration A06:2021-Vulnerable and Outdated Components A07:2021-Identification and Authentication Failures A08:2021-Software and Data Integrity Failures A09:2021-Security Logging and Monitoring Failures A10:2021-Server-Side Request Forgery Guía de pruebas de seguridad web de OWASP (WSTG) Fase de precompromiso Documentación y comunicación de hallazgos 🔥Web Fingerprinting and Enumeration Enumeración web y la recopilación de información WHOIS Fingerprinting de sitios web con Netcraft Enumeración de DNS pasiva Revisión de metarchivos del servidor web Google Dorks Fingerprinting de tecnología de aplicaciones web Detección WAF Copiar sitios web con HTTRack Capturas de pantalla del sitio web con EyeWitness Passive Crawling & Spidering con Burp Suite & OWASP ZAP Web Server Fingerprinting DNS Zone Transfers Enumeración de subdominios Escaneo de servidores web con Nikto Fuerza bruta de archivos directorios Reconocimiento web automatizado con OWASP Amass Recopilación de correo electrónico con theHarvester Bases de datos de contraseñas filtradas 🔥Proxies web y recopilación de información web Introducción a los proxies web Introducción a Burp Suite Configuración del proxy Burp Panel de control y interfaz de usuario de Burp Suite Burp Suite Objetivo y alcance Passive Crawling with Burp Suite Burp Suite Intruder Enumeración de directorios con Burp Suite Pon a prueba tus conocimientos: Cómo atacar la autenticación básica con Intruder & Decoder Repetidor de Burp Suite Introducción a OWASP ZAP Panel de control y interfaz de usuario de OWASP ZAP Configuración del proxy OWASP ZAP Contexto y alcance de OWASP ZAP Enumeración de directorios con OWASP ZAP Escaneo de aplicaciones web con OWASP ZAP Rastreo con OWASP ZAP Ataque a formularios de inicio de sesión HTTP con OWASP ZAP 🔥Ataques XSS Introducción a los scripts entre sitios (XSS) Introducción a Javascript Anatomía de un ataque de secuencias de comandos entre sitios XSS reflejado Explotación de vulnerabilidades XSS reflejadas en WordPress Plugin XSS de WP Relevanssi XSS almacenado Explotación de vulnerabilidades XSS almacenadas XSS basado en DOM Explotación de vulnerabilidades XSS basadas en DOM Identificación y explotación de vulnerabilidades XSS con XSSer Ataques de inyección Introducción a la inyección SQL Anatomía de un ataque de inyección SQL Tipos de vulnerabilidades de inyección SQL bases de datos y sistemas DBMS Bases de datos relacionales vs. NoSQL SQL Búsqueda de vulnerabilidades de inyección SQL Metodología de pruebas de inyección SQL Cómo encontrar vulnerabilidades de inyección SQL manualmente Cómo encontrar vulnerabilidades de inyección SQL con OWASP ZAP Explotación de vulnerabilidades de inyección SQL basadas en errores Explotación de vulnerabilidades de inyección SQL basadas en uniones Vulnerabilidades de inyección SQL basadas en valores booleanos Explotación de vulnerabilidades de inyección SQL basadas en valores booleanos Explotación de vulnerabilidades de inyección SQL basadas en el tiempo Inyección NoSQL Inyección NoSQL de MongoDB Fundamentos de SQLMap Uso avanzado de SQLMap GeniX CMS SQLi (CVE-2015-3933) SQLi a través del encabezado de agente de usuario Inyección SQL fuera de banda (OOB) Inyección SQL de segundo orden LDAP Inyección LDAP ORM XML Inyección XML XXE 🔥Pruebas para detectar ataques comunes Manipulación de métodos HTTP Ataque a la autenticación HTTP básica Ataque a la autenticación HTTP Digest Vulnerabilidades de exposición de datos confidenciales Ataque a formularios de inicio de sesión con Burp Suite Ataque a formularios de inicio de sesión con seguridad OTP Inyección de comandos Inyección de código PHP RCE a través de MySQL 🔥Ataques a archivos y recursos Vulnerabilidades de carga arbitraria de archivos Explotación de vulnerabilidades básicas de carga de archivos Cómo eludir los filtros de extensión de carga de archivos Cómo eludir las listas negras de PHPx Carga de archivos de WordPress wpStoreCart Directory Traversal OpenEMR Directory Traversal OpenEMR Arbitrary File Read Local File Inclusion (LFI) WordPress IMDb Widget LFI Remote File Inclusion (RFI) 🔥Pruebas de penetración de API Web Services Web Services Vs APIs Implementaciones de servicios web Fundamentos del lenguaje WSDL Pruebas de seguridad de servicios web Divulgación de WSDL y enumeración de métodos Invocación de métodos ocultos Pruebas de inyección SQL Prueba de inyección de comandos Permisos mal configurados Validación de entrada incorrecta Manipulación de parámetros Mala configuración de seguridad 🔥Pruebas de seguridad de CMS Introducción a las pruebas de seguridad de CMS Introducción a las pruebas de seguridad de WordPress Enumeración de versiones de WordPress Enumeración de usuarios, complementos y temas de WordPress WordPress RCE Enumeración de archivos ocultos e información confidencial Divulgación de información confidencial del complemento Registro de auditoría de seguridad de WP Enumeración de WordPress con scripts Nmap NSE Análisis de vulnerabilidades de WordPress con WPScan Ataques de fuerza bruta en WordPress Plugin de WP: Vulnerabilidad de carga arbitraria de archivos Plugin de WP - Vulnerabilidad de XSS almacenado (CVE-2020-9371) Prueba de penetración de caja negra de WordPress 🔥Técnicas de evasión de filtros y omisión de WAF Codificación, filtrado y evasión Introducción a la codificación Codificación HTML Codificación de URL Codificación Base64 Filtrado de entrada Cómo eludir los filtros del lado del cliente Cómo eludir los filtros del lado del servidor Cómo evitar los filtros XSS en Chamilo LMS Introducción a la evasión Cómo eludir el proxy Squid: restricciones del navegador 🔥Pruebas de autenticación y gestión de sesiones Metodología de pruebas de autenticación Enumeración de nombre de usuario Prueba de políticas de contraseñas débiles Portal bancario vulnerable: ataque de diccionario Prueba de un mecanismo de bloqueo débil: eludir el CAPTCHA Prueba de un mecanismo de bloqueo débil: omisión del bloqueo de cuentas Evitar el esquema de autenticación: manipulación de parámetros Gestión de sesiones e ID de sesiones Cookies y atributos de las cookies Esquema de gestión de sesiones de prueba: manipulación de cookies Secuestro y fijación de sesiones Falsificación de solicitud entre sitios (CSRF) CSRF Avanzado Autenticación basada en tokens Tokens web JSON (JWT) La vulnerabilidad del algoritmo None Reclamaciones expuestas OAuth Autenticación de dos factores (2FA) Ataque a formularios de inicio de sesión con seguridad OTP 🔥Ataques del lado del servidor Arquitectura de aplicaciones web modernas Ataques del lado del servidor Falsificación de solicitud del lado del servidor (SSRF) Explotación básica de SSRF SSRF a RCE Deserialización insegura Deserialización insegura de Java Deserialización insegura de PHP Reporte de Pentesting Introducción a los reportes de pentesting Reportes ejecutivos Reportes Tecnicos Registro de control, Alcance, Calendario y limitaciones Autorización y aspectos legales Metodología y estándares Detalles de vulnerabilidades (por hallazgo) Prioridad y plan de remediación Análisis de riesgo Pruebas de seguridad adicionales y hallazgos menores Evidencias y anexos técnicos Checklist técnica Métricas del engagement Lecciones aprendidas y mejoras para futuros tests Plan de estudio y práctica 🔥Qué son las certificaciones BSCP, eWPT y eWPTX Objetivos de las certificaciones BSCP, eWPT y eWPTX Diferencias entre cada certificación (nivel, enfoque y profundidad) Requisitos previos de conocimiento y experiencia Organización del tiempo de preparación (por semanas) Combinar teoría, práctica y escritura de reportes Recursos recomendados y plataformas de práctica Laboratorios sugeridos (PortSwigger, INE, HackTheBox, TryHackMe) Seguimiento del progreso y autoevaluación Estrategias para cada examen (BSCP, eWPT, eWPTX) 🔥BSCP — Burp Suite Certified Practitioner Introducción al examen BSCP Estructura y formato del examen Entorno del laboratorio y reglas del reto Metodología de resolución paso a paso Conceptos clave de Burp Suite Configuración avanzada del proxy Repeater, Intruder, Decoder, Comparer y Extender Burp Collaborator y análisis de tráfico HTTP Uso de Burp Scanner y validación manual Vulnerabilidades más comunes en el examen SQL Injection Cross-Site Scripting (XSS) Directory Traversal Access Control / Authentication bypass File upload & Path manipulation Insecure deserialization Técnicas prácticas Identificación y explotación de endpoints ocultos Creación de payloads personalizados Validación de explotación y extracción de flags Automatización básica con Burp Suite API Preparación del entorno Instalación y configuración de Burp Suite Pro Configuración de navegador y certificados SSL Creación de proyectos y sesiones Recursos de estudio Web Security Academy (PortSwigger Labs) Documentación oficial de Burp Suite Write-ups y laboratorios comunitarios Estrategias para el examen y gestión del tiempo 🔥eWPT — eLearnSecurity Web Application Penetration Tester Introducción y objetivos del examen eWPT Fundamentos de pruebas de seguridad web Metodología basada en OWASP y PTES Módulos principales Reconocimiento y recolección de información Análisis de autenticación y sesiones Cross-Site Scripting (XSS) SQL Injection y Command Injection File Inclusion (LFI/RFI) Cross-Site Request Forgery (CSRF) Vulnerabilidades de lógica de negocio Herramientas recomendadas Burp Suite, OWASP ZAP, Nmap, sqlmap Preparación para el examen Laboratorios de INE Simulaciones prácticas Generación de reportes técnicos claros y detallados 🔥eWPTX — eLearnSecurity Web Application Penetration Tester eXtreme Introducción al nivel avanzado (eWPTX) Formato y duración del examen práctico Temas avanzados Explotación avanzada del lado del servidor SSRF, deserialización insegura y RCE Evasión de WAF y filtros de seguridad Ataques en entornos modernos (API, GraphQL, microservicios) Client-side attacks avanzados Bypass de controles de autenticación complejos Técnicas y herramientas Modificación de payloads y fuzzing avanzado Scripting y automatización personalizada (Python, Bash) Post-explotación en entornos web Preparación para el examen Gestión del tiempo y documentación de hallazgos Elaboración del reporte de pentesting Laboratorios y simulaciones avanzadas Buenas prácticas para entregar el examen final 🔥Certificación Proceso de registro y requisitos técnicos Políticas de examen y normas de conducta Entrega del examen y envío de reportes Recepción del certificado digital y validación Cómo mostrar tu certificación (LinkedIn, CV, portafolio) Próximos pasos en la ruta profesional (OSWE)