4h/día · Lun–Vie · 4 Ago 2026 → 6 Feb 2027
Backend
Engineering
4 horas diarias, lunes a viernes. 540 horas de contenido completadas en 27 semanas. Inicia tras 15 dias de descanso al terminar el Frontend.
27
Semanas
540h
Totales
8
Fases
20h
Por semana
Scroll
01 — Fases del programa
Roadmap completo
8 fases progresivas que cubren todo el stack backend, desde Linux hasta sistemas distribuidos.
01
Linux & Terminal
Semanas 1–2 · 45h
Sistema de archivos, permisos, procesos, senales, shell scripting, SSH, cron jobs y manejo de logs del sistema.
Proyecto Script bash que automatiza el setup completo de un entorno de desarrollo.
02
Redes & HTTP
Semanas 3–4 · 45h
TCP/IP, DNS, puertos, sockets. HTTP/HTTPS a fondo: verbos, headers, cookies, sesiones. TLS/SSL, WebSockets, CORS y caching HTTP.
Proyecto Analisis con curl + Wireshark del ciclo completo de una request HTTP.
03
Bases de Datos
Semanas 5–9 · 90h
Modelado relacional, normalizacion, ACID, indices, query planner. NoSQL: cuando y como. Migraciones, backups, replicacion, connection pooling. ORM y Query Builders para integración programática.
Proyecto BD completa de una app de facturacion freelance con migraciones versionadas.
04
Diseno de APIs
Semanas 10–14 · 90h
Framework backend (Node.js/NestJS/Express), REST a fondo, idempotencia, autenticacion JWT y OAuth 2.0, versionado, paginacion, rate limiting. GraphQL y cuando tiene sentido.
Proyecto API REST completa con JWT, Swagger, manejo de errores y rate limiting.
05
Seguridad
Semanas 15–16 · 45h
OWASP Top 10, SQL injection, XSS, CSRF. Hashing de contrasenas, manejo de secretos, HTTPS en produccion y headers de seguridad.
Proyecto Security audit de la API anterior. Encontrar y corregir vulnerabilidades reales.
06
Arquitectura
Semanas 17–20 · 75h
Clean Architecture, DDD, event-driven, CQRS. Monolito modular vs microservicios. Circuit breaker, retry, timeout y patrones de resiliencia.
Proyecto Refactorizar la API del portafolio aplicando Clean Architecture.
07
Infraestructura & DevOps
Semanas 21–24 · 75h
Docker a fondo, multi-stage builds, Docker Compose. CI/CD con GitHub Actions. VPS + Nginx reverse proxy + SSL. Monitoreo con Grafana y Prometheus.
Proyecto Deploy en VPS real con Docker, Nginx, SSL y pipeline de CI/CD automatico.
08
Escalabilidad & Proyecto Final
Semanas 25–27 · 75h
Load balancing, caching con Redis, Message Queues (Kafka/RabbitMQ), CAP theorem, consistencia eventual, sistemas distribuidos. Backend testing aplicado. Proyecto integrador completo con 2 semanas de desarrollo.
Proyecto Final Backend completo de un SaaS: API, BD, auth, deploy en produccion, CI/CD, monitoreo y suite de tests completa.
02 — Semana tipo
Distribucion semanal
20 horas semanales en 4 horas diarias, de lunes a viernes. Mismo ritmo que el Frontend. Los 36 modulos de contenido se completan en 27 semanas calendario.
Distribucion diaria · 4h · Lunes a Viernes
📖 Lectura, videos y documentacion2h
⌨️ Practica, codigo y experimentacion1h 30min
📝 Notas, resumen y documentar30min
Contenido de la semana
- Jerarquía FHS: /bin, /etc, /var, /home, /proc — qué vive donde y por qué
- Navegación: ls -la, find, locate, which, whereis, file — flags importantes
- Permisos UNIX: chmod (numérico y simbólico), chown, chgrp, umask, SUID/SGID/sticky bit
- Gestión de usuarios y grupos: useradd, usermod, passwd, /etc/passwd, /etc/shadow
- Hard links vs symbolic links: comportamiento, inodos, cuándo usar cada uno
- Redirección y pipes: >, >>, <, |, tee, xargs — combinar comandos en pipelines
Fuentes de referencia
Libro
The Linux Command Line
William Shotts. Capítulos 1–6. Navegación, permisos y filesystem. Gratuito en linuxcommand.org
Abrir →Roadmap
roadmap.sh/linux
Mapa visual interactivo. Nodos: Filesystem, Permissions, Users & Groups
Abrir →YouTube
LearnLinuxTV
Serie "Linux for Beginners". Ejemplos reales en terminal, progresivo.
Contenido de la semana
- Gestión de procesos: ps aux, top/htop, pgrep, kill, nice/renice, jobs, fg/bg
- Señales UNIX: SIGTERM, SIGKILL, SIGHUP, SIGINT — diferencias y cuándo usar cada una
- Variables de entorno: PATH, export, /etc/environment, .bashrc vs .bash_profile vs .profile
- Shell scripting: shebang, variables, argumentos ($1, $@, $?), if/for/while, funciones
- Redirección avanzada: stderr (2>), /dev/null, here-docs (<<EOF), process substitution
- Text processing: grep, sed, awk, cut, sort, uniq, wc — pipelines de procesado real
Fuentes de referencia
Libro
The Linux Command Line
Capítulos 7–16. Procesos, shell scripting y text processing en profundidad.
Libro
How Linux Works
Brian Ward. Capítulo sobre procesos y el kernel scheduler.
YouTube
LearnLinuxTV — Shell Scripting
Serie dedicada a bash scripting con casos de uso reales y progresivos.
Herramienta
ShellCheck
Linter para scripts bash. Detecta errores y malas prácticas automáticamente.
Abrir →Contenido de la semana
- SSH: generación de claves (Ed25519 vs RSA), ssh-agent, ssh-copy-id, config file (~/.ssh/config)
- sshd_config: deshabilitar root login, cambiar puerto, AllowUsers, autenticación por clave
- scp y rsync: transferencia de archivos, opciones -avz, --delete, sincronización remota
- Cron y crontab: sintaxis (min hora día mes dow), crontab -e, variables de entorno en cron
- Logs del sistema: journalctl -u, -f, --since, /var/log/, logrotate, niveles de syslog
- Vim: modos (normal/insert/visual/command), navegación, búsqueda, :wq, :q!, macros básicas
Fuentes de referencia
Libro
How Linux Works
Brian Ward. Capítulos sobre SSH, logging y administración del sistema Linux.
YouTube
NetworkChuck — SSH
"SSH in 100 Seconds" y la serie completa de SSH. Muy didáctico y visual.
YouTube
ThePrimeagen — Vim as Your Editor
La serie de Vim desde cero más práctica. El enfoque correcto para aprender Vim.
Contenido de la semana
- Modelo OSI vs TCP/IP: qué pasa realmente en cada capa, dónde viven HTTP, TLS, TCP e IP
- IP addressing: IPv4/IPv6, CIDR notation, subnets, routing basics, NAT
- TCP: three-way handshake (SYN/SYN-ACK/ACK), FIN/RST, flow control, congestion control
- DNS: resolución recursiva, registros A/AAAA/MX/CNAME/TXT, TTL, dig/nslookup/host
- Puertos: well-known (22/80/443/5432), efímeros, netstat/ss, lsof -i
- Wireshark: captura de paquetes, filtros de display (tcp.port == 80), análisis de handshake
Fuentes de referencia
Libro
Computer Networking: A Top-Down Approach
Kurose & Ross, 8ª Ed. Capítulos 1–3. El más riguroso sobre TCP/IP y DNS.
YouTube
ByteByteGo
"How does the internet work?" y "TCP vs UDP explained". Diagramas excelentes.
Docs
Wireshark Documentation
User Guide oficial. Enfocarse en Display Filters y Protocol Dissectors.
Abrir →Contenido de la semana
- Anatomía de una request/response: request line, headers, body, CRLF separators
- Verbos HTTP: GET, POST, PUT, PATCH, DELETE, HEAD, OPTIONS — semántica e idempotencia
- Status codes: 1xx/2xx/3xx/4xx/5xx — los más importantes y cuándo usarlos correctamente
- Headers críticos: Content-Type, Accept, Authorization, Cache-Control, If-None-Match, ETag
- Cookies: Set-Cookie, HttpOnly, Secure, SameSite (Strict/Lax/None), domain y path
- Sesiones: cookie-based vs token-based, session fixation, gestión de estado en HTTP stateless
Fuentes de referencia
MDN
MDN Web Docs — HTTP
La guía más completa y actualizada. Secciones: HTTP messages, Status codes, Headers.
Abrir →Libro
High Performance Browser Networking
Ilya Grigorik, O'Reilly. Capítulos 1–2. HTTP/1.x en profundidad. Gratuito en hpbn.co
Abrir →YouTube
Traversy Media — HTTP Crash Course
Todos los conceptos HTTP con ejemplos en curl en vivo. Muy práctico.
Herramienta
curl + Postman
curl para entender HTTP raw; Postman para exploración interactiva de APIs.
Contenido de la semana
- TLS handshake: ClientHello, ServerHello, certificate chain, session keys, TLS 1.3 vs 1.2
- Certificados X.509: CA, CN, SANs, OCSP, certificate pinning — cómo verifica el browser
- WebSockets: upgrade handshake HTTP→WS, frames, ping/pong, cuándo usar WS vs SSE vs polling
- CORS: mismo origen, preflight (OPTIONS), Access-Control-* headers, credenciales
- HTTP caching: Cache-Control directivas (max-age, no-store, no-cache, private, public)
- ETags y conditional requests: If-None-Match, If-Modified-Since, 304 Not Modified
Fuentes de referencia
Libro
High Performance Browser Networking
Capítulos 3–4: TLS, WebSockets. Capítulo 10: HTTP/2. Gratuito en hpbn.co
Abrir →YouTube
ByteByteGo — How HTTPS works
"HTTPS, SSL, TLS explained" — diagrama del handshake paso a paso.
Herramienta
SSL Labs Server Test
Analiza la configuración TLS de cualquier servidor. Útil para auditoría.
Abrir →Contenido de la semana
- Entidad-Relación (ER): entidades, atributos, cardinalidad (1:1, 1:N, N:M), diagramas
- Normalización: 1NF (atomicidad), 2NF (dependencia total), 3NF (no transitiva), BCNF
- Claves: primaria, foránea, candidata, compuesta, surrogate vs natural key — trade-offs
- Relaciones en SQL: tabla de unión para N:M, ON DELETE (CASCADE/RESTRICT/SET NULL)
- Tipos de datos PostgreSQL: numéricos, text/varchar, timestamp/timestamptz, UUID, JSONB
- DDL básico: CREATE TABLE, ALTER TABLE, constraints (NOT NULL, UNIQUE, CHECK, DEFAULT)
Fuentes de referencia
YouTube
freeCodeCamp — Database Design Course
8 horas. El curso más completo de modelado relacional en YouTube. Gratuito.
Docs
PostgreSQL Documentation — DDL
Capítulo "Data Definition". Cubre tipos, constraints y DDL en profundidad.
Abrir →Libro
Designing Data-Intensive Applications
Martin Kleppmann. Capítulo 2: Data Models and Query Languages — el contexto más amplio.
Contenido de la semana
- JOINs: INNER, LEFT/RIGHT OUTER, FULL OUTER, CROSS, SELF JOIN — cuándo y cómo
- Subqueries: correlated vs non-correlated, EXISTS vs IN, scalar subqueries
- Window functions: ROW_NUMBER(), RANK(), DENSE_RANK(), LAG/LEAD, PARTITION BY
- CTEs (WITH): recursive CTEs para datos jerárquicos, legibilidad vs performance
- Transacciones: BEGIN/COMMIT/ROLLBACK, SAVEPOINT, isolation levels
- ACID: Atomicity, Consistency, Isolation, Durability — qué garantiza y qué no
Fuentes de referencia
Libro
Designing Data-Intensive Applications
Capítulo 7: Transactions. La explicación más clara de ACID e isolation levels.
YouTube
Fireship — SQL Explained
"SQL in 100 Seconds" y la serie extendida de SQL. Muy conciso y visual.
Docs
PostgreSQL — Window Functions
Guía oficial con ejemplos. La referencia definitiva para funciones de ventana.
Abrir →Contenido de la semana
- B-Tree index: estructura interna, cómo acelera lookups y range queries, cuándo no ayuda
- Hash index: solo igualdad, más rápido que B-Tree en selects puntuales
- Composite indexes: orden de columnas, prefix matching, index-only scans
- EXPLAIN ANALYZE: Seq Scan vs Index Scan vs Bitmap Scan, cost, rows, actual time
- Índices parciales y de expresión: WHERE status = 'active', lower(email)
- Bloat, VACUUM, ANALYZE: mantenimiento de índices en tablas con muchos updates/deletes
Fuentes de referencia
Libro
Database Internals
Alex Petrov. Capítulos 1–4. La estructura interna de B-Trees explicada a fondo.
Guía
Use The Index, Luke
Guía gratuita sobre índices SQL. Todos los patrones con ejemplos reales.
Abrir →Docs
PostgreSQL — EXPLAIN
Referencia completa del output de EXPLAIN ANALYZE con interpretación.
Abrir →YouTube
Hussein Nasser — PostgreSQL Performance
Videos sobre indexing, query planning y vacuuming en Postgres real.
Contenido de la semana
- Document stores (MongoDB): flexibilidad de esquema, embedding vs referencing, aggregation pipeline
- Key-value stores (Redis): strings, hashes, lists, sets, sorted sets, TTL, Pub/Sub
- Wide-column (Cassandra): partitioning key, clustering columns, write-heavy workloads
- Time-series (InfluxDB/TimescaleDB): casos de uso, downsampling, retención de datos
- Cuándo NoSQL: alta escritura, esquema dinámico, datos semi-estructurados, geoespaciales
- CAP theorem introducción: Consistency, Availability, Partition tolerance — solo 2 de 3
Fuentes de referencia
Libro
Designing Data-Intensive Applications
Capítulo 2: Data Models — comparativa SQL vs NoSQL más completa del mercado.
YouTube
ByteByteGo — NoSQL Databases
"NoSQL explained" y "Redis vs Memcached". Diagramas de arquitectura comparativos.
Interactivo
MongoDB University
Cursos gratuitos oficiales: M001 (basics) y M121 (aggregation pipeline).
Abrir →Docs
Redis Documentation
redis.io/docs — Commands y Data Types. Imprescindible para semanas 32+.
Abrir →Contenido de la semana
- Estrategias de migración: expand-contract (backwards-compatible), blue-green schema changes
- Herramientas: Flyway (SQL files versionados), Liquibase, Prisma Migrate — cuándo cada una
- Backups: pg_dump (logical), pg_basebackup (physical), PITR (Point-in-Time Recovery), 3-2-1
- Replicación streaming: primary-replica, WAL shipping, pg_replication_slot, lag monitoring
- Connection pooling: por qué Postgres crea un proceso por conexión, PgBouncer transaction mode
- pg_stat_activity: monitorear conexiones activas, idle, locks y long-running queries
Fuentes de referencia
Libro
Designing Data-Intensive Applications
Capítulo 5: Replication. El mejor recurso sobre primary-replica y consistency.
Docs
PostgreSQL — Backup and Restore
Guía oficial de backup, WAL archiving y Point-in-Time Recovery.
Abrir →YouTube
Hussein Nasser — PostgreSQL Replication
Videos específicos sobre replicación streaming y connection pooling con PgBouncer.
Docs
PgBouncer Documentation
Configuración de connection pooling. Enfocarse en transaction mode vs session.
Abrir →Contenido de la semana
- Prisma: schema.prisma, tipos de datos, relaciones (1:1, 1:N, N:M con tabla implícita), enums
- Prisma Migrate: dev vs deploy, squashing migrations, baseline en BD existente
- TypeORM: entities con decoradores, DataSource, relaciones (@OneToMany, @ManyToMany), eager vs lazy
- N+1 problem: cómo detectarlo, cómo solucionarlo con include/relations eager o DataLoader
- Raw queries en ORM: cuándo usarlas, Prisma.$queryRaw, TypeORM query builder
- Transacciones en ORM: Prisma.$transaction, TypeORM queryRunner, rollback explícito
Fuentes de referencia
Docs
Prisma Documentation
Guía oficial — Schema, Migrate, Client API, Relations. Documentación excelente.
Abrir →YouTube
Traversy Media — Prisma Crash Course
Prisma con Node.js desde cero. Schema, migrate y CRUD completo.
Contenido de la semana
- Node.js event loop: call stack, task queue, microtask queue, libuv — por qué es single-threaded
- CommonJS vs ESModules en Node.js: require vs import, interoperabilidad, package.json "type"
- NestJS: módulos, controladores, providers, inyección de dependencias (DI container implícito)
- Middleware, Guards, Interceptors, Pipes, Exception Filters — el request lifecycle completo
- Validation Pipe: class-validator, class-transformer, whitelist, forbidNonWhitelisted
- NestJS CLI: generación de recursos, estructura de proyecto recomendada por dominio
Fuentes de referencia
Docs
NestJS Documentation
Overview → Fundamentals → Techniques. La documentación oficial es excelente.
Abrir →Libro
Node.js Design Patterns
Mario Casciaro 3ª Ed. Capítulos 1–3: Event loop, module system, async patterns.
YouTube
Marius Espejo — NestJS Course
El más detallado sobre el ciclo de vida de requests en NestJS.
Contenido de la semana
- Richardson Maturity Model: niveles 0–3 — la mayoría de APIs están en nivel 2, no en 3
- Diseño de URIs: recursos (sustantivos), jerarquía, pluralización, /users/:id/posts
- Idempotencia: GET/PUT/DELETE son idempotentes, POST no — implicaciones en retries
- Manejo de errores consistente: RFC 7807 Problem Details, estructura de error response
- Content negotiation: Accept/Content-Type, versioning por header vs URI vs query param
- HATEOAS: links en respuestas, HAL format — por qué la mayoría lo ignora en la práctica
Fuentes de referencia
Libro
API Design Patterns
JJ Geewax, O'Reilly. Capítulos 1–4: resource naming, standard methods, errors.
Docs
restfulapi.net
Referencia rápida de principios REST con ejemplos concretos y bien explicados.
Abrir →YouTube
Coding Garden — REST API Best Practices
Diseño de APIs REST con Node.js — ejemplos reales y errores comunes.
RFC
RFC 7807 — Problem Details
Estándar de error responses en APIs REST. Leer la spec completa.
Abrir →Contenido de la semana
- JWT: estructura (header.payload.signature), algoritmos (HS256 vs RS256), claims estándar
- Refresh token rotation: access token (15m) + refresh token (7d), detección de reuse attacks
- OAuth 2.0: flujos (Authorization Code + PKCE, Client Credentials, Device Flow) — cuándo cada uno
- OIDC (OpenID Connect): ID token, /userinfo endpoint, scopes (openid, profile, email)
- API Keys: generación segura, hashing antes de almacenar, rate limiting por key
- Gestión de sesiones: cookie-based vs token-based, CSRF protection, SameSite
Fuentes de referencia
YouTube
ByteByteGo — OAuth 2.0
"OAuth 2.0 explained with examples" — el diagrama de flujos más claro disponible.
Docs
Auth0 Docs — JWT & OAuth
Artículos técnicos profundos sobre JWT, OAuth 2.0 y OIDC con diagramas.
Abrir →Roadmap
roadmap.sh/backend
Sección "Authentication" — JWT, OAuth, session-based, recursos por subtema.
Abrir →Contenido de la semana
- Estrategias de versionado: URI (/v1/users), header, query param — trade-offs reales
- Cursor pagination vs offset pagination: performance en tablas grandes, estabilidad de resultados
- Filtros y sorting: query params (?status=active&sort=-createdAt), validación, SQL injection prevention
- OpenAPI 3.x: spec YAML/JSON, paths, schemas, components, security schemes, examples
- Swagger UI en NestJS: @ApiProperty, @ApiOperation, @ApiResponse, @ApiBearerAuth
- Generación de clientes: openapi-generator, TypeScript SDK autogenerado desde spec
Fuentes de referencia
Libro
API Design Patterns
JJ Geewax. Capítulos sobre versioning, pagination y filtering.
Docs
OpenAPI Specification
Spec oficial de OpenAPI 3.1. Referencia para escribir documentación completa.
Abrir →Docs
NestJS — OpenAPI
Integración de Swagger con NestJS. Decoradores y configuración paso a paso.
Abrir →YouTube
freeCodeCamp — API Documentation
Tutorial completo de documentación de APIs con Swagger y OpenAPI.
Contenido de la semana
- Rate limiting: token bucket vs leaky bucket vs sliding window — algoritmos y trade-offs
- Implementación: Redis para rate limiting distribuido, @nestjs/throttler, respuesta 429 + Retry-After
- Exception filters en NestJS: mapeo de errores de dominio a HTTP, formato consistente
- Logging estructurado: JSON logs, Pino vs Winston, niveles (debug/info/warn/error/fatal)
- Correlation IDs: X-Request-ID header, propagación a través de servicios para trazabilidad
- Distributed tracing intro: span, trace, OpenTelemetry SDK — base para observabilidad en Fase 7
Fuentes de referencia
Docs
NestJS — Exception Filters
Implementación de exception filters globales y por módulo con ejemplos.
Abrir →YouTube
ByteByteGo — Rate Limiting
"Rate Limiting explained" — los 5 algoritmos con animaciones claras.
Docs
Pino Documentation
Logger JSON de alta performance. La elección estándar en producción Node.js.
Abrir →Contenido de la semana
- GraphQL schema: types, queries, mutations, subscriptions, scalar types, enums, interfaces, unions
- Resolvers: field resolvers, context, dataSources, error handling con extensions
- N+1 problem en GraphQL: por qué ocurre, cómo detectarlo, medición con query complexity
- DataLoader: batching y caching de requests, implementación con NestJS
- Subscriptions: WebSocket-based, cuando usar subscriptions vs polling vs SSE
- REST vs GraphQL: trade-offs reales — over/underfetching, caching, tooling, complejidad
Fuentes de referencia
Docs
graphql.org/learn
Tutorial oficial de GraphQL. El punto de partida correcto antes de frameworks.
Abrir →YouTube
freeCodeCamp — GraphQL Full Course
5+ horas de GraphQL con Node.js, desde schema hasta subscriptions.
Docs
Apollo Server Documentation
DataLoader, caching, performance — documentación más práctica que la oficial.
Abrir →Contenido de la semana
- A01 Broken Access Control: IDOR, privilege escalation, RBAC mal implementado, cómo testear
- A03 Injection: SQL injection (union-based, blind, time-based), prevención con parámetros
- A02 Cryptographic Failures: datos sensibles en texto plano, HTTP vs HTTPS, PII exposure
- A07 XSS: reflected, stored, DOM-based — payload injection, CSP como mitigación principal
- CSRF: cómo funciona el ataque, SameSite cookies, CSRF tokens, Double Submit Cookie pattern
- A08 Insecure Deserialization: gadget chains, prevención con validación y tipos estrictos
Fuentes de referencia
Labs
PortSwigger Web Security Academy
Gratuito. Labs interactivos por vulnerabilidad. El mejor recurso para practicar.
Abrir →OWASP
OWASP Top 10 (2021)
La lista oficial con descripción, ejemplos y mitigaciones para cada categoría.
Abrir →Libro
Alice and Bob Learn Application Security
Tanya Janca. OWASP Top 10 explicado para developers, no para pentesters.
YouTube
NetworkChuck — OWASP Top 10
Demos en vivo de cada vulnerabilidad. Muy didáctico para entender el impacto real.
Contenido de la semana
- Hashing vs encryption vs encoding: diferencias fundamentales y cuándo usar cada uno
- bcrypt: salt rounds, work factor adaptativo, comparación en tiempo constante (timing attacks)
- argon2id: ganador del PHC, parámetros (memory, iterations, parallelism) — por qué es mejor
- Gestión de secretos: .env solo en desarrollo, Vault (HashiCorp), AWS Secrets Manager
- Rotación de credenciales: estrategia blue-green para DB passwords sin downtime
- Dependency audit: npm audit, Snyk, Dependabot — supply chain security básica en CI
Fuentes de referencia
Libro
Alice and Bob Learn Application Security
Capítulos sobre criptografía práctica y gestión de secretos para developers.
OWASP
OWASP Password Storage Cheat Sheet
Guía definitiva sobre hashing de contraseñas con recomendaciones actualizadas.
Abrir →YouTube
Computerphile — How bcrypt works
Explicación del algoritmo bcrypt. Esencial para entender el por qué del salt.
Docs
HashiCorp Vault Documentation
Gestión de secretos en producción. Getting Started + Secrets Engines.
Abrir →Contenido de la semana
- Let's Encrypt y certbot: instalación, renovación automática, certificados wildcard con DNS challenge
- Security headers: HSTS (max-age, includeSubDomains, preload), CSP, X-Frame-Options, XCTO
- Helmet.js en NestJS: configuración de todos los security headers con un middleware
- CORS en producción: lista blanca de orígenes, preflight caching, credenciales
- OWASP ZAP: automated scan, active vs passive scan, interpretación y priorización de reportes
- npm audit y Snyk: integración en pipeline CI/CD, políticas de severidad mínima
Fuentes de referencia
Herramienta
Mozilla Observatory
Analiza security headers de cualquier URL. Score y recomendaciones de mejora.
Abrir →Labs
PortSwigger Web Security Academy
Labs de CORS y security headers con exploits reales para entender el impacto.
Abrir →Docs
Let's Encrypt Documentation
Guía completa de certbot y renovación automática de certificados SSL.
Abrir →Contenido de la semana
- La regla de dependencia: outer layers dependen de inner layers, nunca al revés
- Entities (Enterprise Business Rules): objetos de dominio puros, sin dependencias externas
- Use Cases (Application Business Rules): orquestan entities, definen la lógica de aplicación
- Interface Adapters: controllers, presenters, gateways — traducen entre use cases y el exterior
- Ports & Adapters (Hexagonal): ports son interfaces, adapters son implementaciones intercambiables
- Inversión de dependencias en NestJS: interfaces + inyección, testing con mocks de adapters
Fuentes de referencia
Libro
Clean Architecture
Robert C. Martin. Capítulos 15–22: The Clean Architecture. Lectura obligatoria.
YouTube
CodeOpinion — Clean Architecture
Derek Comartin. Serie crítica y práctica sobre Clean Architecture en .NET/Node.
Blog
blog.cleancoder.com — The Clean Architecture
Artículo original de Uncle Bob. La fuente primaria del patrón.
Abrir →Roadmap
roadmap.sh/software-design-architecture
Sección "Architectural Patterns" con recursos por patrón.
Abrir →Contenido de la semana
- Lenguaje ubicuo: terminología del dominio compartida entre devs y expertos de negocio
- Entities vs Value Objects: identidad vs igualdad por valor, inmutabilidad de VOs
- Aggregate Root: límite de consistencia transaccional, regla de referencia solo por ID
- Domain Events: eventos que expresan algo que ocurrió en el dominio, desacoplamiento
- Repository pattern: abstracción de persistencia en la capa de dominio, no filtra infraestructura
- Bounded Contexts: límites del modelo, context mapping (shared kernel, anti-corruption layer)
Fuentes de referencia
YouTube
Amichai Mantinband — DDD
La serie más clara de DDD en YouTube. Conceptos agnósticos al lenguaje.
Blog
martinfowler.com — DDD
Artículos de Fowler sobre Bounded Contexts, Aggregates y Domain Events.
Abrir →Libro
Building Microservices
Sam Newman. Capítulos sobre modeling services y bounded contexts.
GitHub
ddd-crew / ddd-starter-modelling
Guía práctica de DDD. Canvas de modelado de dominios gratuito.
Abrir →Contenido de la semana
- Event-driven vs request-response: acoplamiento temporal, tolerancia a fallos, latencia
- Message broker: Kafka (log distribuido, topics, partitions) vs RabbitMQ (exchanges, queues)
- Pub/Sub pattern: publishers y subscribers desacoplados, fan-out, dead letter exchange
- Outbox pattern: garantía de at-least-once delivery sin pérdida en transacciones
- Event Sourcing: estado como log de eventos, snapshots, replay, casos de uso reales
- CQRS intro: separar modelos de lectura y escritura — cuándo tiene sentido y cuándo no
Fuentes de referencia
Libro
Designing Data-Intensive Applications
Capítulo 11: Stream Processing. La explicación más profunda de event-driven.
YouTube
ByteByteGo — Event-Driven Architecture
"Event-Driven Architecture explained" y "Kafka in 100 Seconds". Excelentes.
Blog
martinfowler.com — Event Sourcing
Artículo definitivo de Fowler sobre Event Sourcing con patrones relacionados.
Abrir →Docs
CloudEvents Specification
Estándar CNCF para formato de eventos entre servicios. Referencia de interoperabilidad.
Abrir →Contenido de la semana
- Monolito modular: módulos con límites claros, dependencias internas controladas, shared DB
- Microservicios: servicios independientes, datos propios, deploys independientes, comunicación en red
- Cuándo NO hacer microservicios: equipos pequeños, dominio no claro, falta de DevOps maduro
- Strangler fig pattern: migración incremental sin big bang, anti-corruption layer
- API Gateway: point of entry único, routing, auth, rate limiting, circuit breaking
- Service discovery: Consul, Kubernetes DNS, cuándo necesitas descubrimiento dinámico
Fuentes de referencia
Libro
Building Microservices
Sam Newman 2ª Ed. 2021. Capítulos 1–5: qué son, cómo modelarlos, pros y contras.
YouTube
TechWorld with Nana — Microservices
"Microservices explained" — comparativa clara con monolito con diagramas.
Blog
martinfowler.com — Microservices
Artículo original de Fowler y Lewis que definió el término. Lectura obligatoria.
Abrir →Blog
martinfowler.com — Strangler Fig
Patrón de migración de monolito a microservicios sin big bang.
Abrir →Contenido de la semana
- CQRS completo: command handlers, query handlers, event bus, proyecciones de lectura
- Saga pattern: coreografía (eventos) vs orquestación (saga orchestrator), compensating transactions
- Circuit Breaker: estados (closed/open/half-open), threshold, timeout, fallback — Opossum en Node.js
- Retry con backoff exponencial: jitter, idempotency keys para reintentos seguros
- Bulkhead: aislar fallos por servicio, semáforos — evitar cascade failures en microservicios
- Timeout patterns: connection timeout vs read timeout, fail fast vs wait-and-retry
Fuentes de referencia
Libro
Designing Data-Intensive Applications
Capítulos 8–9: problemas en sistemas distribuidos y garantías de consistencia.
YouTube
ByteByteGo — Circuit Breaker Pattern
"Circuit Breaker Design Pattern" — animación del ciclo de estados open/closed.
Docs
Opossum — Node.js Circuit Breaker
Librería de circuit breaker para Node.js. Documentación con ejemplos reales.
Abrir →Contenido de la semana
- Dockerfile: FROM, RUN, COPY, WORKDIR, EXPOSE, CMD vs ENTRYPOINT — diferencias importantes
- Layer caching: orden de instrucciones para maximizar cache hits, cuándo se invalida
- Multi-stage builds: build stage + production stage, reducción drástica de tamaño de imagen
- Volúmenes: named volumes vs bind mounts, cuándo usar cada uno, datos persistentes entre reinicios
- Redes Docker: bridge (default), host, none, comunicación entre contenedores por nombre
- Seguridad en imágenes: user no-root, minimal base images (alpine/distroless), trivy scanning
Fuentes de referencia
Libro
Docker Deep Dive
Nigel Poulton, Ed. 2024. El libro más conciso y actualizado sobre Docker.
Docs
Docker Documentation
Dockerfile reference y Best practices guide — la fuente oficial completa.
Abrir →YouTube
TechWorld with Nana — Docker Tutorial
Curso completo de Docker desde cero hasta multi-stage builds en producción.
Contenido de la semana
- docker-compose.yml: services, networks, volumes — formato Compose v2 vs v3
- depends_on + healthcheck: orden de arranque con condición de salud real del servicio
- Environment variables: .env file, env_file, variable substitution, secretos en compose
- Profiles: servicios opcionales (monitoring, herramientas) activados por perfil
- Override files: docker-compose.override.yml para dev, .prod.yml para producción
- Caso real: app + PostgreSQL + Redis + PgAdmin + Mailhog en un único compose local
Fuentes de referencia
Docs
Docker Compose Documentation
Compose file reference completa. La sección de Networking es crítica.
Abrir →YouTube
TechWorld with Nana — Docker Compose
"Docker Compose Tutorial" — del YAML al entorno completo en minutos.
GitHub
docker/awesome-compose
Colección oficial de ejemplos de compose para múltiples stacks de tecnología.
Abrir →Libro
Docker Deep Dive
Nigel Poulton. Capítulos sobre Docker Compose y multi-container applications.
Contenido de la semana
- Workflow syntax: on (push, pull_request, schedule), jobs, steps, uses vs run
- Actions Marketplace: checkout, setup-node, docker/build-push-action — reutilizar en lugar de escribir
- Secrets y environments: GITHUB_TOKEN, secrets.MY_SECRET, environments con protección y revisores
- Matrix builds: test en múltiples versiones de Node y OS simultáneamente
- Deployment jobs: deploy a VPS via SSH, Docker Hub push, deploy condicional por rama
- Reusable workflows: DRY en pipelines, composite actions, llamadas entre workflows
Fuentes de referencia
Docs
GitHub Actions Documentation
Workflow syntax reference completa — el recurso principal y más actualizado.
Abrir →YouTube
TechWorld with Nana — GitHub Actions
Curso completo de GitHub Actions CI/CD desde cero hasta deploy automatizado.
Roadmap
roadmap.sh/devops
Mapa completo de DevOps — CI/CD, containers, orchestration con recursos.
Abrir →Contenido de la semana
- Configuración inicial de VPS: SSH hardening, firewall (ufw), usuarios no-root, fail2ban
- Nginx como reverse proxy: server blocks, proxy_pass, upstream, load balancing básico
- SSL/TLS con Let's Encrypt: certbot --nginx, renovación automática con systemd timer
- Health check endpoints: /health (liveness) vs /ready (readiness) — diferencias y uso en LB
- Zero-downtime deploy: rolling restart con pm2 o Docker, señal SIGTERM graceful shutdown
- Monitoreo básico: htop, df, netstat, log de Nginx — antes de Grafana y Prometheus
Fuentes de referencia
Docs
Nginx Documentation
Directives reference y guides de reverse proxy. Referencia oficial completa.
Abrir →Docs
Let's Encrypt — Getting Started
Guía de certbot para Nginx. Cobertura de renovación automática.
Abrir →YouTube
Traversy Media — Deploy Node.js to VPS
Deploy completo en DigitalOcean con Nginx, PM2 y Let's Encrypt.
YouTube
NetworkChuck — Linux Server Setup
Hardening inicial de servidor Linux con ufw, SSH keys y fail2ban.
Contenido de la semana
- Los 3 pilares de la observabilidad: logs (qué pasó), metrics (cuánto), traces (cómo fluye)
- Prometheus: métricas pull-based, scrape config, PromQL queries, tipos (counter, gauge, histogram)
- Grafana: dashboards, data sources, alerting rules, provisioning via YAML
- OpenTelemetry: instrumentación automática de Node.js, spans, context propagation, exporters
- Log aggregation: Loki + Grafana (stack ligero), ELK (Elasticsearch + Logstash + Kibana)
- Alerting: alertmanager, Slack webhooks, runbooks — qué alertar y qué no
Fuentes de referencia
Docs
OpenTelemetry — Node.js
Getting started con Node.js — instrumentación automática y manual.
Abrir →Docs
Prometheus Documentation
Getting started, Data model, PromQL. La base de todo el stack de observabilidad.
Abrir →YouTube
TechWorld with Nana — Prometheus & Grafana
Curso completo de setup de Prometheus, Grafana y alerting desde cero.
Contenido de la semana
- Load balancing algorithms: round-robin, weighted, least connections, IP hash — cuándo cada uno
- Nginx como load balancer: upstream block, health_check, sticky sessions
- Redis caching patterns: cache-aside (lazy loading), write-through, write-behind, refresh-ahead
- Cache invalidation: TTL-based, event-based, tag-based — el problema más difícil del caching
- CDN: edge nodes, origin pull, cache-control headers, invalidación, cuándo tiene sentido usarlo
- Session management distribuida: Redis session store, stateless JWT vs stateful sessions
Fuentes de referencia
Libro
Designing Data-Intensive Applications
Capítulos 5–6: Replication y Partitioning — base teórica del escalado horizontal.
Libro
System Design Interview Vol. 1
Alex Xu. Capítulos de caching, CDN y load balancing. Muy visual y práctico.
Docs
Redis Documentation
Data types, Keyspace notifications, Cluster — referencia oficial completa.
Abrir →YouTube
ByteByteGo — Caching Strategies
"Cache Systems Every Developer Should Know" — los 5 patrones con diagramas.
Contenido de la semana
- Kafka internals: topics, partitions, offsets, consumer groups, compaction — por qué es un log
- Kafka producers: acks (0/1/all), retry, idempotent producer, exactly-once semantics
- RabbitMQ: exchanges (direct/fanout/topic/headers), queues, bindings, delivery acknowledgment
- Dead Letter Queue (DLQ): mensajes fallidos, x-dead-letter-exchange, retry con delay exponencial
- Backpressure: qué es, cómo detectarlo, rate limiting de consumidores, circuit breaking
- NestJS Microservices: transporte Kafka/RabbitMQ, @MessagePattern, @EventPattern
Fuentes de referencia
Libro
Designing Data-Intensive Applications
Capítulo 11: Stream Processing — Kafka explicado como log distribuido inmutable.
YouTube
TechWorld with Nana — Apache Kafka
Curso completo de Kafka — topics, partitions, consumers, producers con demos.
Docs
Apache Kafka Documentation
Introduction, Design, Configuration — la referencia oficial del proyecto.
Abrir →Docs
RabbitMQ Tutorials
7 tutoriales oficiales progresivos: hello world → topics → RPC → dead letters.
Abrir →Contenido de la semana
- CAP theorem en la práctica: CP vs AP — cómo lo aplican PostgreSQL, Cassandra, Redis Cluster
- Consistencia eventual: modelos (monotonic read, read-your-writes, causal), CRDT intro
- Distributed locks: Redis Redlock algoritmo, problemas (clock skew, GC pauses), alternativas
- Two-Phase Commit (2PC): coordinación entre servicios, bloqueo, por qué Saga lo reemplaza
- System Design framework: estimaciones de capacidad, bottlenecks, elección de componentes
- Casos de estudio: URL shortener, feed de redes sociales, sistema de notificaciones real-time
Fuentes de referencia
Libro
Designing Data-Intensive Applications
Capítulos 8–9: Trouble with distributed systems y Consistency and consensus.
Libro
System Design Interview Vol. 1 & 2
Alex Xu. Los casos de estudio prácticos más usados en entrevistas de FAANG.
YouTube
ByteByteGo — CAP Theorem
"CAP Theorem Simplified" y "ACID vs BASE" — los más claros disponibles.
Blog
martinfowler.com — Distributed Systems Patterns
Colección de patrones con implementaciones de referencia y análisis de trade-offs.
Abrir →Contenido de la semana
- Pirámide de testing: unit (muchos) + integration (medios) + E2E (pocos) — proporciones y razones
- Unit tests con Jest: test doubles (mock/stub/spy/fake), inversión de dependencias para testabilidad
- Integration tests con Supertest: levantar la app en memoria, test de endpoints HTTP completos
- Testcontainers: BD real en Docker para tests de integración — no más mocks de PostgreSQL
- Testing en NestJS: Test.createTestingModule, override providers, e2e con supertest
- Coverage gates en CI: umbral mínimo (≥ 80%), cobertura de ramas críticas, informes
Fuentes de referencia
Docs
Jest Documentation
Mocking, matchers, setup/teardown, coverage — referencia oficial completa.
Abrir →YouTube
Academind — Testing Node.js
Unit e integration testing en Node.js con Jest — casos de uso reales.
Docs
Testcontainers for Node.js
Contenedores de PostgreSQL/Redis en tests de integración. Sin mocks de BD.
Abrir →Contenido de la semana
- Arquitectura del proyecto final: decisiones de stack, módulos, estructura de repositorio mono/multi
- API REST + JWT auth + refresh tokens + roles + rate limiting — integración de todo lo aprendido
- PostgreSQL con Prisma: schema final, migraciones, seeds, connection pooling con PgBouncer
- Suite de tests: unit (domain logic), integration (API endpoints), cobertura ≥ 80%
- Pipeline CI/CD: lint → test → build → docker build → push → deploy automático en VPS
- Observabilidad: Prometheus + Grafana + alertas + logs estructurados en producción real
Fuentes de referencia
Libro
System Design Interview Vol. 1
Alex Xu. Casos de diseño completos para validar decisiones arquitectónicas del proyecto.
Roadmap
roadmap.sh/backend
Validar que todos los nodos del roadmap están cubiertos en el proyecto final.
Abrir →YouTube
ByteByteGo — System Design
Videos de revisión de arquitectura y decisiones de diseño a nivel sistema.
Todos los recursos
Documentación acumulada del programa
NestJS, Docker, GitHub Actions, Prometheus, Redis, PostgreSQL — todo integrado en un proyecto real.
03 — Biblioteca de referencia
Libros recomendados
Recursos esenciales organizados por fase del programa.
The Linux Command Line
Fase 1 · LinuxGratuito en linuxcommand.org
How Linux Works
Fase 1 · LinuxComputer Networking: A Top-Down Approach
Fase 2 · RedesHigh Performance Browser Networking
Fase 2 · RedesGratuito en hpbn.co · HTTP/2 y HTTP/3
Designing Data-Intensive Applications
Fases 3 & 8El libro mas importante del plan
Database Internals
Fase 3 · BDAPI Design Patterns
Fase 4 · APIsDesigning Web APIs
Fase 4 · APIsGratuito en O'Reilly Safari
Alice and Bob Learn Application Security
Fase 5 · SeguridadOWASP moderno con enfoque en developers
Clean Architecture
Fase 6 · ArquitecturaNode.js Design Patterns
Fase 6 · ArquitecturaAsync avanzado, DI y patrones que NestJS usa bajo el capó
Building Microservices
Fase 6 · ArquitecturaDocker Deep Dive
Fase 7 · DevOpsSystem Design Interview Vol. 1 & 2
Fase 8 · EscalaVol. 1 (2020) + Vol. 2 (2022) · Muy visual
04 — Timeline visual
7 meses de recorrido
05 — Recursos online
Recursos complementarios
Herramientas y plataformas visuales para complementar el estudio.
Roadmap interactivo
roadmap.sh/backend
El mapa de referencia de la industria. Actualizado y con recursos por cada nodo.
Roadmap interactivo
roadmap.sh/linux
Mapa completo de Linux para devs. Complementa la Fase 1.
YouTube + Newsletter
ByteByteGo
Diagramas de sistemas y arquitectura. Esencial para Fases 6-8.
Practica SQL
PostgreSQL Docs
Documentacion oficial. La mejor fuente para entender el query planner.
Seguridad
OWASP Testing Guide
Gratuito en owasp.org. La biblia de la seguridad web para developers.
Seguridad interactiva
PortSwigger Web Security Academy
Gratuito en portswigger.net/web-security. Labs practicos de los creadores de Burp Suite. Reemplaza al libro desactualizado de Stuttard & Pinto.
CI/CD
GitHub Actions Docs
Documentacion oficial para construir pipelines en la Fase 7.
