Portafolio

Proyectos en producción

Infraestructura, seguridad y software en producción real.

Investigación académica · INAOE

Framework de identidad descentralizada para IoT

Tesis de maestría · INAOE Investigación activa · 2025–presente

Mi rol: Diseño de arquitectura, firmware, componentes criptográficos e integración

Identidad de dispositivos basada en la huella física del hardware (SRAM-PUF), autenticación mutua con criptografía post-cuántica (ML-KEM/Kyber-768 + ML-DSA-87/Dilithium-5) y ledger auditable anclado a Bitcoin via OpenTimestamps.

3 capas de identidad
41 ms keygen ML-DSA-87
10K iteraciones benchmark

Problema

Los dispositivos IoT dependen de secretos almacenados en memoria (claves, certificados, tokens) para autenticarse. Dos vulnerabilidades fundamentales: un atacante con acceso físico extrae las credenciales y clona el dispositivo, y la criptografía asimétrica actual (RSA, ECDSA) será rota por computadoras cuánticas suficientemente potentes.

Solución

Identidad de 3 capas: (1) huella física del silicio via SRAM-PUF, derivando un device ID con SHA-512 que no se puede extraer ni clonar; (2) autenticación mutua con ML-KEM/Kyber-768 para intercambio de claves y ML-DSA-87/Dilithium-5 para firmas, resistentes a computación cuántica; (3) ledger auditable (CLD) con journal append-only, cadena de hashes y árboles Merkle, anclado a Bitcoin via OpenTimestamps para verificación sin confianza en un servidor central.

ESP32SRAM-PUFML-DSA-87ML-KEM-768FastAPIOpenTimestamps

Resultado

PUF enrollment funcional con perfiles de 200/1000 mediciones. Step 0 del protocolo AKE implementado. ML-DSA-87 benchmarked en ESP32 a 240 MHz: keygen 41ms, sign 185ms, verify 42ms (10,000 iteraciones). Web flasher para provisioning sin ESP-IDF. Almacenamiento cifrado con AES-256-CBC + HMAC-SHA512 derivado de PUF.

"El dispositivo se autentica por lo que es, no por lo que almacena. Identidad hardware-bound, quantum-resistant, y verificable sin confianza en un servidor central."
Consultar sobre IoT y seguridad SRAM-PUF en ESP32: fingerprinting de hardware sin secretos Ver repositorio en GitHub

Infraestructura personal: 12 servicios, un servidor

Proyecto propio 12+ meses en producción continua

Mi rol: Arquitectura, implementación y operación completa

12 servicios consolidados en un solo VPS con Docker Compose, Traefik, y defensa en profundidad.

12+ meses activo
5 capas defensa
12+ servicios desplegados

Problema

Cada servicio corría de forma independiente: actualizaciones manuales, configuraciones dispersas, sin monitoreo centralizado. Cada componente aislado era un vector de mantenimiento y un punto ciego de seguridad.

Solución

Stack unificado bajo Docker Compose con Traefik como reverse proxy, Authentik para SSO, nftables + Fail2Ban para defensa perimetral, y monitoreo centralizado. Un solo punto de gestión para todo.

DockerTraefiknftablesFail2BanDebianAuthentik

Resultado

Stack unificado con monitoreo, backups automatizados, y zero-downtime deploys. Operación continua sin intervención manual durante más de 12 meses.

"12 meses sin intervención manual. El sistema se mantiene, se actualiza y se monitorea solo. Eso es lo que llamo infraestructura bien diseñada."
Guía: Cómo configuré 12 servicios en un servidor

Hub de IA centralizado

Proyecto propio 3 meses de implementación

Mi rol: Selección de stack, integración de servicios y configuración de SSO

Punto único de acceso para múltiples herramientas de IA con SSO y proxy centralizado.

5 herramientas integradas
1 punto de acceso

Problema

Cinco herramientas de IA separadas, cada una con sus propias credenciales, sin control de acceso unificado. Imposible auditar quién usa qué, cuándo, ni aplicar políticas de seguridad consistentes.

Solución

Proxy centralizado con Traefik, autenticación única via Authentik (SSO), y orquestación de workflows con n8n. Un solo login, una sola política de acceso, un solo punto de auditoría.

LobeChatn8nAuthentikTraefikDocker

Resultado

5 herramientas de IA accesibles desde un solo punto con SSO, logs unificados y políticas de seguridad centralizadas.

"Un login, cinco herramientas. Auditoría centralizada y políticas de seguridad consistentes sin duplicar configuraciones."
MCP en producción: 5 herramientas de IA bajo un solo acceso

Proceso

Cómo trabajo

01

Entender

Escucho tu situación actual, identifico restricciones y defino el problema real antes de proponer soluciones.

02

Diseñar

Arquitectura, stack y alcance documentados. Sabes exactamente qué se va a construir y por qué.

03

Construir

Desarrollo iterativo con entregas parciales. Cada avance es verificable y desplegado en un entorno real.

04

Validar

Testing, documentación y transferencia. El proyecto funciona sin depender de mí para operar.

¿Un proyecto similar
al tuyo?

Escríbeme con los detalles y te respondo con una evaluación honesta.

Enviar mensaje

Sin compromiso. Respuesta en menos de 24h