Formación en ciberseguridad. Consejos.

Varios.

Lo primero, hay muy pocos expertos reales en materia de seguridad. Muy, muy pocos. La mayoría de la gente aprende a usar una serie de herramientas y aplica las mismas técnicas una y otra vez.

De hecho, gracias a suites de seguridad como Nessus o Acunetix están saliendo expertos en seguridad de debajo de las piedras.

¿Que quiero decir con esto? Que como mínimo vas a necesitar tener esos conocimientos para estar al nivel del menos pintado de los "expertos".

Lo segundo, aprende el vocabulario. Cógete un libro como "Hacker Epico" y leetelo. La historia no es muy buena pero describe bastante bien un proceso de pentesting agresivo. Visita sitios como la página del CCN, subscríbete a rss de noticias de seguridad y prepárale un altar en tu habitación o despacho a Bruce Schneider.

Por ultimo, especialízate en UNA cosa. Ningún experto en seguridad es famoso por saber de todo y los equipos siempre están formados por expertos. Cualquiera puede entender mas o menos el trabajo de otro compañero, pero tienes que ser un experto en tu campo para poder sacar adelante una auditoria compleja. Ya sea el análisis estático de código, el pentesting, las auditorias web, la configuración de sistemas o el análisis de redes, escoge uno y márcate como meta ser el mas capacitado en ese campo.

Con un poco de suerte acabaras descubriendo algo que nadie sabe y haciéndote un nombre.

Y por ultimo, recuerda que es un campo exclusivamente vocacional. Tiene que gustarte cacharrear y enfrentarte a retos y problemas sin solución. En caso contrario te vas a frustrar con rapidez.

Y bueno, por añadir, el 70% del trabajo es realizar un buen informe, así que prepárate para un trabajo de oficina con dosis de seguridad. Y solo sácate aquellos cursos que puedan pedirte en la empresa. En la mayoría de empresas TE LOS VAN A COSTEAR. Basta con que añadas en tu curriculum tus conocimientos, tu background y algunos valoran la asistencia regular a congresos de seguridad.


En definitiva, es un mundo nuevo y hay MUCHÍSIMO trabajo.

Más que un máster pensaría en entrar en el mercado español ir aprendiendo.

Los máster esta muy bien pero sin varios años de experiencia en seguridad no vas a conseguir mucho.

Shikamaru escribió:Varios.

Y por ultimo, recuerda que es un campo exclusivamente vocacional. Tiene que gustarte cacharrear y enfrentarte a retos y problemas sin solución. En caso contrario te vas a frustrar con rapidez.
[...]
En definitiva, es un mundo nuevo y hay MUCHÍSIMO trabajo.

Realmente es vocacional. Me llama mucho el tema. Y me interesa porque es algo que creo que tiene futuro.

¿Qué tal está Hacker Épico? Tengo algún libro técnico sobre hacking (hay mucha literatura), pero no había oído hablar de ése. ¿Por qué lo recomendarías?

Gracias por los consejos.

@SalomonRM.

Ya estoy trabajando, pero no como especialista de seguridad. Me gustaría trabajar de ello, pero quizá antes me pidan certificaciones.

Yo estoy entrando en el tema por interés también y la verdad es que es inmenso. Además, hay que dedicarle mucho tiempo y darte muchos cabezazos contra la pared realizando labs pero da gusto cuando ves resultados.

banderas20 escribió:¿Qué tal está Hacker Épico? Tengo algún libro técnico sobre hacking (hay mucha literatura), pero no había oído hablar de ése. ¿Por qué lo recomendarías?

A mí me gustó y me pareció muy fácil de leer. De hecho tengo pendiente leer Got root, que es similar.

banderas20 escribió:Ya estoy trabajando, pero no como especialista de seguridad. Me gustaría trabajar de ello, pero quizá antes me pidan certificaciones.

Yo justamente estuve revisando el tema de certificaciones:
- OSCP
- CREST CRT (Esta según leí es examen presencial en UK y tienes curro seguro. Si tienes OSCP te convalidan la práctica)
- CEH
- CISM
- CISA

P.D.: Tienes labs para pentesting (Kioptrix del 1 al 4), Web Security Dojo, DVWA y algunas otras webs online para practicar como Root Me o Hack this site

@Zekisoft. Yo compré El Libro del Hacker, que toca un poco todos los temas y se mete bastante en lo técnico. También probaré los labs que comentas.

Mil gracias por la info!

banderas20 escribió:
Realmente es vocacional. Me llama mucho el tema. Y me interesa porque es algo que creo que tiene futuro.

¿Qué tal está Hacker Épico? Tengo algún libro técnico sobre hacking (hay mucha literatura), pero no había oído hablar de ése. ¿Por qué lo recomendarías?

Gracias por los consejos.

Pues es una historia bastante normalilla en la que un hacker tiene que rescatar a una chica, usando durante todo el libro técnicas reales de hacking con capturas de pantalla y extractos de consola.

El proceso que sigue es un pentesting bastante fiel a la realidad, por no decir que en ocasiones puedes que lo tengas que seguir punto por punto. Los comentarios que hace el personaje sobre el trabajo en este mundillo son exactos también, así que te da una idea de lo que te espera.

Lo edita 0xWord, de los que solo te recomiendo uno, el de "Seguridad en redes IPv4 e IPv6" que es para tenerlo de libro de cabecera. El resto son mejor no comprar hasta que no te hayas metido en profundidad en materia y sepas que necesitas un libro.

Por ultimo, haz el curso gratuito de Kali de Offensive Security y, en caso de plantearte una certificación, planteate la Offensive Security Certified Professional que mentaba el compañero. Es muy técnica y esta muy valorada entre los auténticos profesionales.

El CISA, CEH y derivados solo los necesitan las empresas para poder usarte para presentarse a concursos y ofertas publicas.

Pagas, haces el examen, sales con tu titulo con fecha de caducidad. Aprendizaje 0.

@Shikamaru Entiendo que cuando tu dices... Seguridad en redes IPv4 e IPv6, quieres decir... Ataques en redes de datos IPv4 e IPv6.

Jar-Jar escribió:@Shikamaru Entiendo que cuando tu dices... Seguridad en redes IPv4 e IPv6, quieres decir... Ataques en redes de datos IPv4 e IPv6.

Entiendes bien, soy un melón y lo he dicho de memoria, mis disculpas.

@Shikamaru No, si te lo decía porque ando interesado en el tema, y por más que buscaba no aparecía nada.

@Shikamaru.
¿El curso es éste?
https://www.offensive-security.com/info ... ali-linux/
Por lo que veo, no es gratis...

Había oído hablar de esa distribución. Me interesa ese tipo de formación, pero los plazos de tiempo pueden ser un problema. ¿Hay alguna otra manera de tener el material e ir a mi ritmo?

Gracias!

EDIT: ¿Alguien conoce este libro?
https://www.amazon.es/Penetration-Testi ... 1593275641

@Jar-Jar

Nada, igualmente he sido un melón.

@banderas20

Si, el curso es ese y de nuevo mi coeficiente de melonismo sube como la espuma. Consecuencia directa de las horas que no duermes gracias al maravilloso mundo de la seguridad informática.

El curso al que me quería referir es este:

https://www.offensive-security.com/meta ... unleashed/

Es un curso de Metasploit, una suite de seguridad que incorpora diversas herramientas y permite, en algunos casos, realizar el proceso completo de test de penetración, intrusión, toma de control, desplazamiento lateral y afianzamiento de acceso.

Es gratis (dona unos dolares si te parece útil), toca un poco algunos palos elementales de este mundillo (como el uso de distribuciones de seguridad) y te va a venir bien.

Emociona un poco porque con un objetivo metasploitable todo funciona a la primera y te sientes un hacker de cine, pero es un paso necesario, creo yo.

En 0xword tienes libros diversos como Pentesting con Kali, Metasploit para pentesters, etc. Por si quieres revisarlos

Se puede empezar con conocimientos medios de informatica.es que me gusta.romperme la cabeza con problemas imposibles

XxTheZokoxX escribió:Se puede empezar con conocimientos medios de informatica.es que me gusta.romperme la cabeza con problemas imposibles

Claro, con ganas y constancia puedes empezar a hacer cosillas... Si ves que te vas defendiendo pues sigue subiendo de nivel.

Yo he pillado el libro que os comentaba por Amazon. Ya os contaré qué tal, pero parece que va directo al grano, y usa Kali.

Tengo la versión en pdf, pero me conozco y sé que si no lo tengo en físico, no lo leeré.

@Shikamaru, gracias por la aclaración, y no te preocupes: el coeficiente de melonismo aumenta también en mi caso, q últimamente descanso poco .

Gente, perdón por responder después de tanto tiempo, pero tengo una pregunta que me gustaría haceros.

Por lo visto la universidad europea de Madrid es de las mejores, pero el master allí es una pasta. Sé de compañeros que están haciendo el master en dos años, es decir, se cogen solo la mitad de las asignaturas. ¿Se puede hacer eso allí? Me gustaría estudiar el master, pero soltar 11000 euros de golpe me resulta imposible...

Muchas gracias.

Uchigatame escribió:Gente, perdón por responder después de tanto tiempo, pero tengo una pregunta que me gustaría haceros.

Por lo visto la universidad europea de Madrid es de las mejores, pero el master allí es una pasta. Sé de compañeros que están haciendo el master en dos años, es decir, se cogen solo la mitad de las asignaturas. ¿Se puede hacer eso allí? Me gustaría estudiar el master, pero soltar 11000 euros de golpe me resulta imposible...

Muchas gracias.

Viendo lo que pone aquí http://madrid.universidadeuropea.es/con ... fesionales podrías fraccionar el master, pero lo mejor es contactar con ellos.

natulciel escribió:

Uchigatame escribió:Gente, perdón por responder después de tanto tiempo, pero tengo una pregunta que me gustaría haceros.

Por lo visto la universidad europea de Madrid es de las mejores, pero el master allí es una pasta. Sé de compañeros que están haciendo el master en dos años, es decir, se cogen solo la mitad de las asignaturas. ¿Se puede hacer eso allí? Me gustaría estudiar el master, pero soltar 11000 euros de golpe me resulta imposible...

Muchas gracias.

Viendo lo que pone aquí http://madrid.universidadeuropea.es/con ... fesionales podrías fraccionar el master, pero lo mejor es contactar con ellos.

Pues parece que sí, que no habría problema. Como tú dices creo que lo mejor es contactar, pero por ahora me esperaré al año que viene por Mayo, y a ver qué me dicen.

Muchas gracias, no había encontrado esa página.

@banderas20

No he leido los links a conciencia, eche un vistazo rapido, pero algo q no veo es el nivel de programacion que requieren, y tampoco indicas el que tu tienes

Para sistemas con codigo abierto, normalmente un dominio mas o menos fluido para leer C puede ser suficiente para ver el codigo, ya que usan este lenguaje. En caso de sistemas con codigo cerrado, donde solo tienes binarios, un conocimiento de ensablador generico es indispensable

theelf escribió:@banderas20

No he leido los links a conciencia, eche un vistazo rapido, pero algo q no veo es el nivel de programacion que requieren, y tampoco indicas el que tu tienes

Para sistemas con codigo abierto, normalmente un dominio mas o menos fluido para leer C puede ser suficiente para ver el codigo, ya que usan este lenguaje. En caso de sistemas con codigo cerrado, donde solo tienes binarios, un conocimiento de ensablador generico es indispensable

En realidad eso solo se hace necesario en caso de que te quieras especializar en reversing, investigación de vulnerabilidades y análisis de código estático.

Si eres sysadmin lo normal es que tires por la rama del pentesting, donde no es necesario pero te será muy útil saber programar en algún lenguaje de alto nivel o de scripting como python, ruby o en powershell en caso de Windows; pero al final del día de lo que tiras es de tus conocimientos previos, de aquello que mas te gusta y de los cursos de formación / formación por tu cuenta que hayas hecho.

En mi caso, por ejemplo, cuando me encuentro con que toca analizar código, preparar un payload o hacer cualquier tipo de cosa que requiera infinitos corchetes, se lo paso a un compañero que desayuna letras y caga programas.

Shikamaru escribió:En realidad eso solo se hace necesario en caso de que te quieras especializar en reversing, investigación de vulnerabilidades y análisis de código estático.

Si eres sysadmin lo normal es que tires por la rama del pentesting, donde no es necesario pero te será muy útil saber programar en algún lenguaje de alto nivel o de scripting como python, ruby o en powershell en caso de Windows; pero al final del día de lo que tiras es de tus conocimientos previos, de aquello que mas te gusta y de los cursos de formación / formación por tu cuenta que hayas hecho.

En mi caso, por ejemplo, cuando me encuentro con que toca analizar código, preparar un payload o hacer cualquier tipo de cosa que requiera infinitos corchetes, se lo paso a un compañero que desayuna letras y caga programas.

Pense que el nombre guay de "ciberseguridad" era algo mas que un admin de sistemas

En ese caso, mejor hacer algun curso de redes de cisco o algo asi no? con renobre para curriculum, si al final no es mas que lo mismo imagino

theelf escribió:
Pense que el nombre guay de "ciberseguridad" era algo mas que un admin de sistemas

En ese caso, mejor hacer algun curso de redes de cisco o algo asi no? con renobre para curriculum, si al final no es mas que lo mismo imagino

Literalmente Cisco tiene un curso orientado a la seguridad, el CCNP Security.

Es algo mas que ser un admin de sistemas, un programador o un técnico de redes. Es cambiar tu forma de pensar.

Lo normal para cualquiera de nosotros, lo que era normal, es que si encontrabamos un problema (necesitamos un servidor de ficheros, hay que interconectar dos redes, me piden implementar una base de datos en la aplicación...) nos buscáramos las vueltas para dar una solución que fuera funcional, eficiente, escalable o las tres cosas a la vez.

Lo que implica añadir la coletilla "seguridad" es pensar que no puedes hacer las cosas de cualquier manera. No puedes levantar un servidor de ficheros con la configuración por defecto, no puedes interconectar dos redes cascando un puente entre switches y no puedes levantar un MySQL con el usuario root en el conector y con una contraseña débil o, sorpresa que me lo he encontrado, en blanco.

Y ya esta. Coges aquello en lo que te has especializado y te especializas aun mas. Le buscas las vueltas, intentas aplicar lo que has aprendido montándolo para desmontarlo, te mueves en los foros y eventos de seguridad, haces tus propias pruebas e investigaciones y a lo tonto resulta que eres todo un señor hacker, precisamente porque eso es lo que significa el termino, un entusiasmado de algo que hace lo posible por aprender más y hacer las cosas de manera distinta a como las hace todo el mundo.

Al final lo único que necesitas para triunfar en el mundillo de la ciberseguridad es tener muchas ganas de estar delante del PC, disponer de mucho tiempo para seguir aprendiendo y no oxidarte y ejercitar el pensamiento lateral.

Tu mismo eres un hacker de la Megadrive de la leche. Si, siempre hay un tío que te hace una demo que te cagas por las patas abajo, pero igual que un futbolista de segunda es un pedazo de bicho que nos mea a todos con un balón y no tiene porque ser el central del Barcelona.