Episodio 2: ¿Te interesa la ciberseguridad? Manos a la obra.
Hemos analizado en el Episodio 1 el estado del arte en materia de empleabilidad para los especialistas en ciberseguridad, repasando las habilidades sobre las que deberíamos acentuar el enfoque como antesala al desarrollo de bases sólidas para ser profesionales competentes.
Ahora nuestras inquietudes giran en torno a ¿en qué debería centrarme y cuál es la mejor manera de comenzar?
Primero, comprenda que si bien hay un número casi infinito de formas de adquirir conocimiento y prácticamente no hay límites para la profundidad de esta exploración, ensuciarse las manos es la forma más rápida y eficiente para aprender. Aclaro por aquello, no estoy hablando de irrumpir en la red o los sistemas de alguien o hackear un sitio web deficiente o cometer algún ilícito digital.
¿Quieres aprender sobre redes? Puedes obtener en línea de manera gratuita amplios recursos decentes sobre TCP/IP y aprender sobre este protocolo y toda la familia de servicios/protocolos en esta pila de red y entender cómo cada capa interactúa con la otra. Así, mientras absorbes esta información, puedes ir aprendiendo a usar algunas herramientas que pueden ayudarte a poner en práctica tus nuevos conocimientos.
Por ejemplo, familiarícese con Wireshark, Tcpdump, y algunas otras herramientas útiles en las que confían los administradores de red para solucionar problemas de red y seguridad y para comprender cómo funcionan las aplicaciones de red.
Comience por inspeccionar su propio tráfico de red y su navegación web durante el uso diario de su computadora. Es importante comprender qué están haciendo las aplicaciones en tu computadora observando y analizando que tipo de datos están enviando y recibiendo, así como quien lo origina y adonde se dirige.
Luego podrás entrarla a cosas un poco más avanzadas como NetCat, Curl, etc., e ir evolucionando poco a poco.
Un poco más adentrado en este vasto mundo, puedes animarte a ingresar a plataformas que ofrecen reconocimiento y/o incentivos a través de programas de recompensas por el descubrimiento de errores, entender cómo funcionan los retos de captura de banderas (CTF), asegurándose respetar los límites de esos programa. Cito unas cuantos tipos de estas: Jeopardy, Attack-Defense, WarGame, Hardware, etc., o plataformas de CTF como Mellidora, FacebookCFT, HackerOne, RootMe, HackMe, Hack The Box, Atenea, etc.
Además, casi todo lo que quieras aprender haciendo, puede ser replicado localmente. ¿Esperando dominar técnicas comunes de vulnerabilidad y explotación? Hay innumerables recursos gratuitos disponibles; kits de herramientas de explotación especialmente diseñados como Metasploit, WebGoat, y distribuciones de Linux personalizadas como Kali Linux, Parrot, etc., que están bien respaldadas por tutoriales y videos en línea. También hay una serie de herramientas gratuitas de reconocimiento y descubrimiento de vulnerabilidades como Nmap, Nessus, OpenVAS y Nikto y/o de vulnerabilidades Web como Golismero, Maltego, OWASP, Burpsuite, etc. De ninguna manera es una lista completa, solo les ofrezco algunas ideas.
Mi consejo para iniciar es que configure sus propios laboratorios de hacking. Puede hacer esto con una computadora con recursos para montarse un kit de máquinas virtuales o con hardware antiguo que pueda reutilizar.
Hay herramientas de virtualización gratuitas como VirtualBox que pueden simplificar la tarea de familiarizarse con diferentes sistemas operativos sin la necesidad de hardware adicional.
Tambien puede valerse de servicios como Elastic Computing 2 (EC2) de Amazon o algún servidor virtual privado en servicios de nube (VPS). Sin duda son una buena opción de bajo costo. Otra opción adicional es usar equipos tipo RaspBerry Pi o Arduinos.
Ahora, si lo que desea aprender es hacer pruebas de aplicaciones web, puede instalar cualquier número de servicios web en computadoras dentro de su propia red local, como versiones anteriores de WordPress, Joomla o sistemas de carrito de compras como Magento, incluso puedes usar Dockers y/o Kubernetes en un equipo local para hacer tus propios laboratorios de análisis de aplicaciones o servicios.
Ya vimos en el Episodio 1, que si bien es cierto la programación representa solo el 39% de las competencias importantes en ciberseguridad –no termine de entender esta parte de la encuesta-, programar en idiomas como Java, Perl, Python, C pueden no ser prioridad en la lista de habilidades que exigen los empleadores, tener uno o más idiomas en su conjunto de habilidades, sin duda hará más fácil aumentar tu conocimiento y aventurarte a niveles más profundos de dominio.
Empieza por aprender a familiarizarte con las herramientas básicas de línea de comandos en Linux, luego adéntrate en la escritura de scripts básicos que automatizan tareas manuales. Si no eres programador, sin duda te ayudara. Al igual que aprender un instrumento musical o un nuevo idioma, adquirir habilidades de ciberseguridad requiere mucho tiempo y esfuerzo, téngalo claro. Al final, ¡no hay almuerzo gratis!
Tenga algún grupo o comunidad de apoyo. Aproveche las conferencias y reuniones de los grupos locales. Muchas de estas reuniones son gratuitas, incluidos eventos de seguridad, grupos de DEFCON y capítulos de OWASP, entre otros.
Estoy seguro que ustedes –los que estamos de cabeza en este universo-, también tendrán más y mejores aportes que este servidor en este tema. Por favor, siéntase libre de opinar. Sería muy bonito ampliar con un nuevo episodio incluyendo muchas de las buenas recomendaciones que sin duda ustedes aportaran.
