Disponible para nuevos proyectos

Mario Martín.

Consultor de ciberseguridad especializado en simulación ofensiva y detection engineering — el lado morado de la sala.

La defensa solo es real cuando la valida un ataque real.

Contactar Ver proyectos

años en seguridad

repos públicos

certificaciones

cyberknight91 ~ profile

mario@cyberknight $ whoami

mario.martin.feliz · cyberknight91

mario@cyberknight $ ./profile.sh --summary

# cargando perfil…

─────────────────────────────────────

perfil · consultor de ciberseguridad

enfoque · purple-team · detection eng

base · león, es · remote-friendly

stack · sigma · yara · wazuh · att&ck

─────────────────────────────────────

mario@cyberknight $ echo $STATUS

[OK] disponible para nuevos proyectos

mario@cyberknight $

v0.1.0 · desplegado en cloudflare online

Últimos vídeos

nuevo

Ver todos →

HTB: Conversor | XSLT Injection → SQLite → needrestart (Linux Easy)

Último vídeo

@cyberknight91

HTB: Conversor | XSLT Injection → SQLite → needrestart (Linux Easy)

18 may 2026

Ver vídeo

Tu Linux guarda TUS Wi-Fi en texto plano 🚨 #shorts

18 may 2026

CURSO LINUX OFENSIVO - CLASE 4 - Detectar Backdoors y Reverse Shells en Linux (ps, netstat, lsof)

17 may 2026

CURSO LINUX OFENSIVO - CLASE 3 - Permisos Especiales en Linux (SUID, SGID y Sticky Bit) + CHMOD

15 may 2026

HTB: GiveBack | GiveWP RCE → PHP-CGI → runc Escape (Linux Medium)

14 may 2026

CURSO LINUX OFENSIVO - CLASE 2 - Cómo encontrar contraseñas en Linux como un hacker | CyberKnight

11 may 2026

Proyectos destacados · 04 / 7

Donde se cruzan ofensiva y detección.

Cada laboratorio publica el ataque y la detección que lo caza. Nada de demos sueltas — la cadena completa, end-to-end.

./projects/ purple-lab

flagship

Simulación de adversarios emparejada con detection engineering.

Cada técnica MITRE ATT&CK (T1059, T1566, T1548…) se publica con la regla Sigma que la caza, los eventos SIEM esperados y una baseline de 72 horas para falsos positivos.

atomic-red-teamsigmamitre-att&ckwazuh

github.com/cyberknight91/purple-lab cd ./purple-lab ↵

./projects/ ad-attack-detection

Ataques de Active Directory y las detecciones que los cazan.

Kerberoasting, AS-REP Roasting, Pass-the-Hash y DCSync ejecutados end-to-end en un AD de laboratorio. Cada paso con su detección Sigma + Elastic EQL y un playbook de hardening.

active-directoryimpacketrubeuselastic

github.com/cyberknight91/ad-attack-detection cd ./ad-attack-detection ↵

./projects/ siem-homelab

SOC dockerizado. Un docker compose up y stack de detección funcional.

Wazuh 4.8 + OpenSearch + Suricata + Filebeat — toda la cadena de ingesta, parsing y dashboards lista para reproducir el SOC en minutos.

dockerwazuhopensearchsuricata

github.com/cyberknight91/siem-homelab cd ./siem-homelab ↵

./projects/ detection-engineering

Librería de reglas Sigma y YARA pensadas para producción, no demos.

Mapeo completo a MITRE ATT&CK, casos de prueba, notas reales de falsos positivos y baselines tuneadas sobre tráfico de oficina.

sigmayaramitre-att&ck

github.com/cyberknight91/detection-engineering cd ./detection-engineering ↵

Ver todos los proyectos

Filosofía

Detección sin simulación es teatro.

Simulación sin detección es postureo. Cada test ofensivo en mis labs se publica con su contraparte blue: la regla Sigma, la query de hunting, el runbook. O no se publica.

Ese solapamiento — el lado morado de la sala — es donde mejor se trabaja. Donde el ataque enseña a defender y la defensa obliga a atacar mejor.

detection-engineering ~ T1003.001.yml

# sigma rule · adversary playbook

defender@soc $ cat ./detection/T1003.001.yml

title: OS Credential Dumping (LSASS)

id: 5ad88c0e-72b1-4d12-9e3d-purple

status: production

level: high

logsource:

category: process_access

product: windows

detection: