Cómo Iniciarse como Hacker / Pentester en 2024

Iniciar una carrera en hacking ético y pentesting es un viaje apasionante en el mundo de la ciberseguridad. Este artículo proporcionará una guía completa sobre los cursos, recursos, certificaciones y oportunidades laborales para aquellos que deseen adentrarse en este emocionante campo. Desde los fundamentos hasta la especialización, exploraremos los pasos clave para iniciar y avanzar tu carrera de hacker.

Índice

Bienvenidos a la guía 2024 de Cómo Iniciarse en Hacking y Ciberseguridad

Este articulo tiene como objetivo servir como guía para los que se están iniciando en seguridad informática y va a estar en continuo cambio, renovándose y agregando cursos. Tomaré en cuenta sus recomendaciones para ir ampliándolo.

Esta guía va a tener una actualización constante durante todo el año. Para no hacer de esta guía un post maratónicamente largo voy a dividirlo en varios capítulos que van desde como iniciar en hacking y ciberseguridad, pasando por conocimientos básicos como Redes, Linux, Programación, Hasta como obtener certificaciones y trabajo. Cada capítulo contiene links a otros posts en donde desarrollo mejor cada tema y a webs externas que complementan este material. Este artículo se divide en 10 capítulos:

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Cómo convertirse en hacker: la guía definitiva para 2024

Fácilmente, la pregunta más frecuente que recibimos es: «¿Cómo puedo convertirme en Hacker?»

Quizás ya sepas que es una carrera apasionante, bien remunerada y muy solicitada. O es posible que recientemente haya despertado su interés en hacking para ganarse la vida. De cualquier manera, sin alguna orientación, saber por dónde empezar puede resultar muy difícil.

Desde Udemy, hemos capacitado a más de 2.000.000 estudiantes en ciberseguridad. Y ahora, hemos creado esta guía épica sobre cómo convertirse en hacker para ayudarle en su trayectoria profesional en pentesting.

Lo guiaremos a través de las habilidades duras y sociales necesarias para este trabajo, cómo obtener capacitación, qué certificaciones profesionales buscar, cómo conseguir un mentor y prepararlo para las entrevistas.

Al final, tendrá todas las herramientas y el conocimiento que necesita para comenzar su viaje hacia una carrera emocionante y gratificante como Pentester.

¿Qué es un Pentester?

Un Pentester, a veces conocido como hacker ético, es un individuo que prueba la seguridad de un sistema o red intentando hackearlo.

Utilizando las mismas herramientas, trucos y técnicas que los black hat, un pentester busca debilidades de seguridad e intenta ingresar al sistema del cliente.

El cliente casi siempre tendrá un objetivo específico y un alcance de prueba limitado. Según el acuerdo con el cliente, es posible que desee que intente acceder a una base de datos particular que contiene información importante o que se haga cargo de su dominio y, por lo tanto, de todo su sistema.

Es posible que especifiquen que no se puede utilizar una técnica como la ingeniería social porque solo les preocupan las configuraciones técnicas incorrectas. O pueden decirle que no puede probar su servidor de producción ya que un daño accidental o un tiempo de inactividad en ese sistema podría costarles dinero.

Todas estas limitaciones y objetivos se establecerán claramente antes de que comiencen las pruebas.

Hay dos diferencias principales entre un hacker ético y un Ciberdelincuente .

En primer lugar, el hacker ético tiene el permiso por escrito del cliente para piratear su red, y a menudo trabaja dentro de un alcance de prueba permitido (como que ciertas partes de una red estén fuera de los límites o prohíban ciertos tipos de ataques que pueden dañar el tiempo de actividad de la empresa).
La segunda diferencia es que un ciberdelincuente a menudo intentará algo destructivo, como robar información valiosa como propiedad intelectual o contraseñas, liberar malware o ransomware, o desactivar el sistema y dejarlo inutilizable. Un hacker ético se detiene antes de ese punto y elabora un informe de auditoría para el cliente.

Lo que el cliente busca es un informe de auditoría: un resumen claro de las debilidades de seguridad, cómo pueden explotarse y, lo más importante, cómo remediarse.

¿Dónde encaja un hacker en la industria de la ciberseguridad?

La seguridad cibernética se puede dividir en varios dominios diferentes , como operaciones de seguridad, inteligencia sobre amenazas y seguridad de aplicaciones.

Si miramos a continuación, podemos ver cuán vasto es realmente el panorama de la seguridad cibernética. Tenga en cuenta que esto es sólo una descripción general de alto nivel: hay demasiada información para incluirla toda en un solo gráfico, pero mantengámoslo simple por ahora.

Algunas carreras encajarán claramente en un dominio. Las pruebas de penetración son ciertamente una excepción. Mirando a continuación, veremos todas las diferentes áreas que puede cubrir.

Cada uno de estos dominios consta de múltiples habilidades, bases de conocimientos y elementos. Vea nuestras descripciones detalladas a continuación.

Arquitectura de seguridad

La arquitectura de seguridad es un diseño de seguridad integral que considera tanto los requisitos como los peligros potenciales presentes en una situación o entorno particular. Además, detalla dónde y cuándo implementar controles de seguridad.

Seguridad de la red: Garantizar la confidencialidad, integridad y disponibilidad (conocida como Tríada de la CIA ) de una red o sistema. Los pentester intentarán contrarrestar las protecciones que los clientes y proveedores implementaron para mantener a la Tríada de la CIA en su lugar.

Gestión de parches: garantizar que las últimas actualizaciones y correcciones de seguridad estén implementadas en los sistemas y programas. Los pentesters a menudo buscan sistemas obsoletos y parches de seguridad faltantes para atacar y afianzarse en un sistema.

Configuración de línea base: “Un conjunto de especificaciones para un sistema, o elemento de configuración (CI) dentro de un sistema, que ha sido revisado y acordado formalmente en un momento determinado, y que sólo puede modificarse mediante procedimientos de control de cambios. La configuración básica se utiliza como base para futuras compilaciones, lanzamientos y/o cambios”. (NIST SP 800-128 en Configuración básica). Los pentesters probarán la seguridad de las configuraciones básicas y ayudarán a crear una que sea más segura para el cliente.

Protección DDoS : DDoS, o denegación de servicio distribuida , es un ataque en el que un sistema se inunda con datos basura maliciosos, normalmente solicitudes de ping, para ralentizar el servicio para los usuarios legítimos. El objetivo es inutilizar el sistema o colapsar debido a su incapacidad para gestionar la avalancha de solicitudes. Estos ataques a menudo se realizan a través de botnets (una vasta red de computadoras infectadas y esclavizadas administradas por un solo ciberdelincuente). A los pentesters se les puede pedir que realicen una simulación controlada para probar la capacidad de un cliente para manejar tal ataque.

Construcción segura de un sistema : diseño e implementación de una red, software, instancia de máquina u otra infraestructura “reforzada”. El propósito de una prueba de penetración es auditar la seguridad de un sistema y ayudar a los clientes a cerrar agujeros en su seguridad.

Gestión de certificados : monitorear, habilitar y ejecutar certificados SSL digitales son partes de la administración de certificados. Es esencial para el funcionamiento continuo, el cifrado y la seguridad de las conexiones cliente-servidor.

Criptografía : el uso de matemáticas complejas para ofuscar la comunicación o los documentos digitales y hacerlos ilegibles para cualquiera que no sea el destinatario previsto. El método se conoce como «cifrado». Cada vez que necesita una contraseña para leer un documento o ver el pequeño ícono del candado en la barra de direcciones URL de su navegador web, se utiliza el cifrado para proteger la información. Los pentesters utilizarán una variedad de herramientas para intentar aplicar fuerza bruta o evitar este cifrado.

Control de acceso : al validar varias credenciales de inicio de sesión, como nombres de usuario y contraseñas, PIN, escaneos biométricos y tokens de seguridad, el «control de acceso» identifica a los usuarios. Los pentesters intentarán eludir los controles de acceso para obtener acceso a los sistemas.

Gestión de claves y secretos : la gestión de claves y secretos es el almacenamiento seguro y sencillo de claves API, contraseñas, certificados y otra información privada. Úselo para administrar, acceder y auditar información que debe mantenerse en secreto.

Seguridad en la nube : la nube es actualmente la tecnología de redes de más rápido crecimiento. Los sistemas de nube pública (como Amazon Web Services (AWS), Microsoft Azure y Google Cloud) y los sistemas de nube privada (como los que ofrecen Oracle y VMWare) están reemplazando a los sistemas físicos locales tradicionales debido a sus bajos costos iniciales y su capacidad. para ampliar y disminuir rápidamente los recursos según sea necesario. La creciente popularidad de los sistemas basados en la nube los ha convertido en un objetivo atractivo para ciberdelincuentes. Los pentesters tienen métodos únicos para probar y proteger estos sistemas.

Gestión de identidad y acceso : «La gestión de identidad (IdM), también conocida como gestión de identidad y acceso (IAM), garantiza que las personas autorizadas (y sólo las personas autorizadas) tengan acceso a los recursos tecnológicos que necesitan para realizar sus funciones laborales». ( VMWare ) Los Pen Testers ven si pueden superar la gestión de identidad falsificando/asumiendo la identidad necesaria, creando una nueva con autorización o evitándola por completo.

Seguridad de aplicaciones

El proceso de desarrollo y prueba de funciones de seguridad de aplicaciones para prevenir vulnerabilidades y defenderse de ataques.

Escaneo de código fuente: al realizar una «prueba de caja blanca», los pentesters tienen acceso a información interna que no está disponible para el público, incluido el código fuente de los sistemas y el software que están probando. Esto les permite revisar el código y buscar de manera más eficiente vulnerabilidades de seguridad resultantes de errores en la programación.

Seguridad API: la interfaz de programación de aplicaciones (API) es la interfaz entre el software y un usuario. La mayoría del software como servicio (como Google Maps y Twitter) se consideran API. Algunas empresas crean API públicas a las que los programadores pueden volver a llamar y utilizar en su software, como sistemas de reconocimiento facial o de voz. Las API se han convertido en una parte común del pentesting de aplicaciones web.

Marcos y estándares

Un conjunto de reglas, recomendaciones y mejores prácticas para controlar los peligros en la esfera digital. Los objetivos de seguridad, como impedir el acceso no autorizado al sistema, suelen ir acompañados de controles, como políticas de contraseñas adecuadas, etc.

OWASP Top 10: Un estándar de referencia para los riesgos de seguridad de aplicaciones web más críticos. Los hackers utilizarán este estándar como guía de referencia para probar el sistema de un cliente.

Marco de seguridad cibernética del NIST : un conjunto de mejores prácticas y recomendaciones para la seguridad cibernética del Instituto Nacional de Estándares y Tecnología.

Seguridad física

La Seguridad Física limita el acceso a las áreas donde se encuentran los datos y los controles del sistema. Cercas, puertas, personal de seguridad, cámaras, insignias RFID, cerraduras, etc., pueden mantener alejados a los ciberdelincuentes que desean ingresar a las instalaciones y acceder a datos/dispositivos directamente.

SCADA/ICS : Control de supervisión y adquisición de datos/Sistemas de control industrial, como los utilizados en plantas de energía, fabricación, tratamiento de agua, etc. Los ataques a estos sistemas se han convertido en un punto de ataque favorito entre los estados-nación y deben protegerse.

Seguridad de IoT : las pruebas y la seguridad de los dispositivos de Internet de las cosas (IoT), como los sistemas de «hogares inteligentes». Los dispositivos de IoT son notoriamente inseguros y muchos carecen de cifrado y controles de seguridad adecuados o utilizan contraseñas predeterminadas muy simples. Los probadores de penetración probarán la seguridad de estos sistemas e intentarán utilizarlos como trampolín hacia otros sistemas cliente.

Evaluación de riesgos

Determinar los riesgos de seguridad de un sistema, incluida la gravedad de la vulnerabilidad y el impacto potencial si se explota.

Análisis de vulnerabilidades : un análisis amplio, que generalmente utiliza una herramienta automatizada como Nessus , para buscar vulnerabilidades y riesgos de seguridad conocidos; a menudo uno de los primeros pasos en una prueba de penetración.

Red Team : un equipo específico de pruebas de penetración formado por hackers que intenta simular completamente un ataque real y pasar desapercibido. Una prueba de penetración estándar puede ser similar a una inspección de una casa en la que la gente sabe que está allí y sabe cuál es su propósito; En una prueba del equipo rojo, permaneces oculto del equipo de seguridad y no dejas ningún rastro. Como resultado, las interacciones del equipo rojo a menudo duran más que un pentest estándar, pero simulan con mayor precisión un actor de amenaza real.

Prueba de penetración : Evaluación de la seguridad de un sistema mediante un ataque simulado.

DAST : Pruebas dinámicas de seguridad de aplicaciones: análisis de aplicaciones web para encontrar vulnerabilidades.

Pruebas de penetración de aplicaciones : las pruebas de seguridad de una «aplicación», generalmente un sitio web, pero pueden extenderse a aplicaciones utilizadas para blockchain, comercio electrónico, API, servidores front-end y back-end, etc.

Ingeniería Social: La manipulación de un humano para convencerlo de actuar en contra de su propio interés o del interés de la empresa mediante el engaño.

Bug Bounty : la convocatoria abierta para probar vulnerabilidades o errores en una aplicación. Estos suelen estar en manos de la organización del cliente directamente o a través de un corredor, como Bugcrowd .

Educación del usuario

Educar a los usuarios finales sobre prácticas de seguridad cibernética y capacitar a personas en cualquiera de los dominios de seguridad cibernética, como hacking, ciberforense y análisis de malware.

Ejercicio práctico de seguridad cibernética : las reuniones se utilizan para analizar los incidentes de seguridad, cómo prepararse para ellos y cómo responder cuando ocurren. Generalmente es dominio del equipo de seguridad defensiva, esto se puede hacer como parte del informe del pentest o como sustituto para sistemas demasiado sensibles al riesgo de pruebas activas.

Gobernancia

Establecer un sistema de gobernanza de la ciberseguridad garantiza que los programas de seguridad de una empresa se alineen con sus objetivos comerciales, cumplan con las reglas y regulaciones y cumplan los objetivos de gestión de la seguridad y los riesgos.

Cumplimiento y aplicación : algunos países exigen que las empresas privadas realicen una prueba de penetración como parte del cumplimiento legal para industrias o sistemas particulares, a menudo cuando se trata de información confidencial, como tarjetas de crédito e información médica de identificación personal (PII).

Títulos de trabajo comunes para los probadores de penetración

Algunos términos a tener en cuenta al buscar un puesto de pentesting incluyen

Trayectoria profesional para probadores de penetración

Ahora que comprendemos mejor qué es un probador de penetración, examinemos la trayectoria profesional que puede tomar con este puesto.

Los roles secundarios pueden considerarse trabajos de nivel inicial que son más fáciles de lograr sin experiencia previa, pero que aún pueden conducir a una carrera en seguridad cibernética. Proporcionan suficiente experiencia y exposición en la industria para facilitar la movilidad ascendente a puestos más complejos. A menudo, puede comenzar a solicitar tareas relacionadas con la seguridad o seguir a alguien que trabaja en el departamento de seguridad como plataforma de lanzamiento hacia su carrera ideal.

Support Desk es un punto de entrada común para los profesionales de TI que solucionan problemas de escritorios, teléfonos y otros sistemas de empleados o clientes.
Los roles de TI pueden incluir cualquier cosa relacionada con redes y administración de sistemas . Puede ayudar al administrador de la red, implementar nuevo hardware para el personal, configurar conmutadores y dispositivos de red, etc.
El administrador de sistemas es un poco más técnico que los roles de TI, como configurar reglas de firewall, administrar cuentas de usuario en Active Directory, etc. Varios roles de nivel básico proporcionarán esta capacitación práctica.
Los graduados de programas universitarios o universitarios pueden obtener un puesto de nivel de entrada según su título.
Las pasantías pueden ofrecer experiencia práctica y capacitación y pueden conducir a un puesto dentro de la organización.
La capacidad comprobada de sus habilidades a través de certificaciones profesionales, participación en la comunidad de seguridad de la información (a través de blogs/GitHub/YouTube/etc.), eventos competitivos de CTF (Capture The Flag) y más pueden hacer que los empleadores lo noten.

¿En qué etapa se encuentra en su camino para convertirse en un Pentester?

Veamos el diagrama a continuación. Representa, a un alto nivel, las etapas que debes atravesar para convertirte en un hacker ético. El objetivo de esta guía es brindarle las habilidades, el conocimiento y la experiencia de la Etapa Cuatro .

Hablemos de las etapas. Lea las descripciones a continuación y decida en qué etapa se encuentra ahora. Sea honesto consigo mismo, ya que esto determinará sus próximos pasos. A todos nos encantaría avanzar y pasar directamente a hackear, pero las habilidades se acumulan unas sobre otras. Sin una base sólida, todo lo demás puede desmoronarse.

Etapa 1: TI esencial

Comienza en la Etapa Uno si no tiene (o casi ningún) conocimiento de TI y seguridad cibernética y necesita comenzar desde cero . Aquí es donde obtendrá una comprensión razonable de Windows y tal vez de Linux y Mac. Aprenderá PC, puertos, administración de archivos, redes básicas, etc. Aprenderá a instalar y configurar sistemas operativos y a solucionar problemas de TI. Puede obtener certificados como LPCI-1 de Linux o A+ de CompTIA.

Cómo crear un Laboratorio de Hacking en 2024

Cómo Iniciarse en Hacking y Linux en 2024: Cursos, Recursos y Certificaciones

Lee nuestra Guía Completa:

Además te recomiendo leer estas guías y artículos:

Tambien es importante que sepa programar. Para seguridad el lenguaje recomendado sin lugar a dudas es Python.

Guía Rápida de Python

Cómo Iniciarse en Hacking y Programación en 2024: Cursos, Recursos y Certificaciones

Si esta es tu etapa podemos ayudarte a iniciar:

Aprende Linux desde 0 y prepara la Certificación LPIC-1.

Calificación: 4,7 de 54,7 (827 calificaciones) – 4477 estudiantes – Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide

Inicia desde 0 en Linux. Prepara la Certificación LPIC-1 con todo el contenido Teórico, practica y modelos de Examen.

Lo que aprenderás

Automatizar Procesos en Linux con Bash
Comandos de Linux desde lo básico hasta avanzado.
Realizar Conexiones seguras con SSH desde Linux y Windows
Certificarse en LPIC 1 Para tener mayor salida laboral
Practicaras con modelos de exámenes REALES de la certificación LPIC 1
Seguridad informática en Linux
Redes en Linux
Cómo realizar Tareas Administrativas

¿Te gustaría empezar a aprender Linux desde 0?

Este curso empieza desde los inicios, enseñándote lo mas básico, acompañándote en cada paso y duda que tengas hasta llegar a los conocimientos necesarios para si tu gustas, puedas trabajar con Linux y rendir la certificación LPIC-1.

Me caracterizo por tener Mucha Practica en mis cursos, y este no es la excepción. Es más, te brindo Modelos de Exámenes de la certificación para que puedas practicar y ver lo que te espera al momento de rendir.

Aquí aprenderás:

Linux desde 0.
Como realizar conexiones Seguras con SSH.
Automatizar tareas con Bash
Te preparare para rendir la certificación LPIC-1 con modelos de exámenes.-
Seguridad Informatica en Linux
Fundamentos de redes en Linux
Aprenderás a realizar tareas de Administrador.

Inicia ahora: https://achirou.com/certificacion-lpic-linux

Python Practicando. Desde 0 hasta Desarrollador en Python

Aprende Python, donde iniciamos desde 0, sin conocimientos previos hasta desarrollar aplicaciones con mucha practica!

Calificación: 4,5 de 54,5 (20.576 calificaciones) – 248.871 estudiantes – Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide, Walter Coto || +440,000 Estudiantes

Lo que aprenderás

Ejercitar la lógica de programación
Comprender cómo la vida cotidiana puede ser fácilitada o simulada con código
Aprender programación desde cero
Usar Visual Studio Code como Editor de Código
Conocer y aprender el lenguaje de programación Python
Ser un programador desde cero, sin conocimiento en otro lenguaje o con algo previo
Mejorar las habilidades de programación, mejorar procesos y fácilitar la comprensión de código
Preparar un entorno dónde programar en Python
Operaciones aritméticas y jerarquía de Python
Manejo de cadenas en Python
Digitar datos por teclado con Python
Mostrar Datos por Pantalla al usuario en Python
Operadores Relacionales de Python
Operadores Lógicos de Python
Condicionales en Python
Estructuras de Datos: Listas, Tuplas y Diccionarios
Iteraciones y bucles repetitivos de Python
Segmentar Código y hacerlo más eficaz con las Funciones en Python
Gestionar posibles errores que puedan dar tus programas
Programación Orientada a Objetos
HTML y CSS
Selenium Web Driver con Python
Ejercitar todo lo Aprendido con Ejercicios

Python es Hoy uno de los lenguajes más utilizados por Excelencia.

Esto se debe por su simpleza al momento de Desarrollar aplicaciones.

Por su capacidad de procesamiento a altas velocidades con grandes volúmenes de información.

Es un increíble lenguaje con el cual si no sabes programar, podrás aprender.

Y si ya sabes desarrollar, te aconsejo aprenderlo ya que en el mercado cada vez se solicitan más desarrolladores en Python.

Aspirar al trabajo que desean, o mejorar sus ingresos con un aumento de salario.

Python se utiliza para muchisimas cosas como:

Machine Learning
Data Science
Inteligencia Artificial.
Y mucho más!

En este curso te acompañare en el proceso por el cual aprenderás las bases del lenguaje, para luego determinar qué camino quieres seguir.

Te invito que me acompañes a conocer este Gran Lenguaje!

Certificación en Python: Certifícate como Programador PCEP

Aprende Python desde 0 a Profesional, con mucha practica y prepara la Certificación PCEP de Python. Simulacro de examen

Lo más vendido – Calificación: 4,8 de 54,8 (50 calificaciones) – 384 estudiantes – Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide, Walter Coto || +440,000 Estudiantes

Lo que aprenderás

Certificarse en Python PCEP
Qué es la Certificación PCEP
Temas para rendir la certificación PCEP
Simulaciones de Exámenes sobre la Certificación PCEP
Lógica y estructuras de Python
Variables y tipos de datos en Python
Operadores en Python, jerarquía, comparación
Ingreso de datos en Python
Estructuras de datos en Python, listas, tuplas, diccionarios
Estructuras de control en Python,
Funciones en Python, manejo de errores y excepciones
Práctica de Ejercicios para Reforzar temas de la certificación PCEP

¡Bienvenido al curso online de Certificación en Python: Certifícate como Programador PCEP!

Este curso está diseñado para brindarte las habilidades y conocimientos necesarios para convertirte en un programador certificado en Python (PCEP, por sus siglas en inglés). A través de una combinación de lecciones teóricas y prácticas, te guiaremos en un viaje de aprendizaje completo que te permitirá comprender y dominar los fundamentos de la programación en Python.

Ya sea que seas un principiante absoluto en la programación o un desarrollador con experiencia en otros lenguajes, este curso te proporcionará una base sólida para desarrollar tus habilidades de programación en Python. Comenzaremos desde lo básico, cubriendo los conceptos fundamentales como variables, tipos de datos, estructuras de control y funciones. A medida que avances, exploraremos temas más avanzados como listas, tuplas, diccionarios, programación orientada a objetos y manejo de excepciones.

Nuestro enfoque se basa en la combinación de teoría y práctica. Cada lección teórica será seguida de ejercicios prácticos, desafíos de programación y proyectos para aplicar los conceptos aprendidos. También tendrás acceso a recursos adicionales, como ejemplos de código, documentación y bibliotecas populares de Python, que te ayudarán a desarrollar tus habilidades y explorar diferentes áreas de aplicación.

Al finalizar el curso, estarás preparado para presentar el examen de certificación PCEP (Python Institute Certified Entry-Level Python Programmer). La certificación PCEP es reconocida a nivel internacional y demuestra tus habilidades como programador en Python, lo que puede abrirte muchas puertas en la industria de la programación y el desarrollo de software.

No importa si estás buscando mejorar tus habilidades para tu carrera actual, cambiar de campo o iniciar tu camino como programador, este curso te brindará los conocimientos necesarios para destacar como un programador certificado en Python. ¡Únete a nosotros y comienza tu viaje hacia el éxito en la programación con Python!

Inicia ahora: https://achirou.com/certificacion-python

Seguridad Informática para Principiantes. Empieza desde 0 Ya

Aprenderás las bases de seguridad informática para que puedas iniciar y proteger tus datos de ataques informáticos.

Calificación: 4,5 de 54,5 (1.011 calificaciones) 3671 estudiantes Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide

Lo que aprenderás

Detectar ataques de Phishing (Para que no caigas en sus trampas y te roben contraseñas o claves de tarjeta de crédito)
Revelar las contraseñas que se usaron en una computadora
Configurar tu celular para que sea más seguro.
Serás capaz de detectar si te están robando información
Podrás identificar si hay un malware en tu computadora u celular
Sabrás si tu correo o contraseña son vulnerables.
Detectará si alguien esta conectado a tu wifi sin autorización.
Evitaras estafas telefónicas.
Conocerás las vulnerabilidades de Whatsapp.
Aprenderás a realizar Google Hacking.
Aplicaras Hardening. (como hacer más segura una computadora).
Identificarás noticias falsas con trampa.

Los dispositivos no son seguros, todo es vulnerable y la información se encuentra al alcance de personas dispuestas a lo que sea por sacar provecho de ella, por eso es necesario que las organizaciones de hoy cuenten con personal altamente calificado en la protección de sus datos.

En la actualidad se libra una batalla global por la seguridad informática que abarca gobiernos, empresas, industrias, organizaciones de todo tipo y hasta individuos.

Desde la filtración de información privada, hasta la difusión de fotos y vídeos íntimos tomados de sitios, supuestamente, seguros, ponen de manifiesto la importancia de capacitarse para estar protegidos y prevenir situaciones de vulnerabilidad que pueden poner en riesgo nuestra integridad.

Mi trabajo en la Policía, específicamente a cargo de la investigación, prevención y combate de delitos en los que la informática es una cuestión medular, me permiten aportar, a través de este curso herramientas de probada eficacia para cuidar los dos recursos más importantes de una organización, su información y su gente.

Inicia ahora: https://achirou.com/seguridad-informatica-principiantes

Etapa 2: Creación de Redes

Ingrese a la Etapa Dos cuando tenga sus habilidades de TI esenciales y necesite aprender TCP/IP, enrutadores, conmutadores e Internet. Puede obtener certificados como CCNA de CISCO.

CCNA vs Network+ 2024: ¿Qué certificación es mejor?

Si esta es tu etapa podemos ayudarte a iniciar o profundizar en redes:

Fundamentos de Redes. Como se realizan las Comunicaciones.

Aprenderás que función cumple cada dispositivo involucrado para que se pueda establecer una comunicación con practica.

Calificación: 4,6 de 54,6 (1.542 calificaciones) – 15.128 estudiantes – Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide

Lo que aprenderás

Modelo OSI
Redes de computadoras
Redes Inalámbricas
Que es un Reuters y que función cumple
Que es un Switches y que función cumple
Que es un Firewall y que función cumple
Que es un Proxy que función cumple
Que es un DHCP y que función cumple
Que es un DNS y que función cumple
Aprenderás sobre Protocolos, Puertos y Servicios
Topologías de red

En este curso te enseñare como se realizan las comunicaciones de bit a bit, entendiendo como esto es posible desde nivel digital hasta los dispositivos involucrados para poder crear una red.

Aprenderás que tipo de redes puedes conformar, cuales son sus medios de conexión y que hardware debes de utilizar en diferentes circunstancias dependiendo el tipo de rea que deseas crear.

Este curso es ideal para todo aquel que quiera entender en profundidad como funcionan las redes y estar a la altura de poder diagramar una red hogareña o empresarial e implementarla.

Empieza a aprender ya mismo!

Certificación Cisco CCNA 200-301: Introducción a las Redes.

Calificación: 4,6 de 54,6 (656 calificaciones) 2991 estudiantes Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide, Andrés Muro

Introducción de Camino a la Certificación del CCNA, donde vas a tener tu primer acercamiento al mundo de las redes

Lo que aprenderás

Planear, crear y desplegar una red desde 0
Entender cómo solucionar los distintos problemas que se puedan llegar a presentar
Comprender las posibles amenazas que podrían comprometer, tanto a un único host, como a toda la red
Crear redes a medida, según los requisitos del cliente
Tendrán una base sólida en redes, tanto para certificarse como CCNA, como para introducirse en otras áreas, como lo es la ciberseguridad

Cisco es una empresa que existe desde 1984. Su reconocimiento y popularidad en las empresas es conocida por su excelencia en el producto y servicio.

A raíz de tener tantos años en el mercado, muchas empresas hoy tienen sus redes conformadas por Cisco, lo cual hace que necesiten de personas con conocimientos en sus tecnologías para que puedan administrar sus redes.

Por esa razón, saber de redes y entender como funciona la tecnología Cisco, es clave. Y no solo eso, además de enseñarte todo lo que debes de conocer sobre esta marca y sus redes, te prepararemos para que si quieres, puedas certificarte en Cisco.

Te enseñaremos:

Una base sólida en los principales temas que se cubren a lo largo de la certificación
Entender cómo funciona internamente una red en lo que a protocolos se refiere
un primer acercamiento a los fundamentos de la seguridad de la red
posibles amenazas, ataques, mitigación de los mismos y automatización en redes con cisco
armar su primera red funcional dentro del simulador, sería una red pequeña, pero con eso ya quedarían las bases sentadas para seguir en CCNA 2

Contaras con nuestra supervisión, experiencia y respuesta a todas tus preguntas que tengas sobre el contenido.

Así también sobre las actualizaciones que hagamos sobre el curso, el cual será tuyo de por vida y recibirás dichas actualizaciones sin tener que volver a pagar.

Empieza a aprender ya mismo! https://achirou.com/ccna200301-parte1

Certificación CCNA Versión 200-301. Aprende CCNA 2 y 3.

Aprenderás Switching, Routing, and Wireless Essentials y Enterprise Networking, Security and Automation para ser un CCNA

Calificación: 4,5 de 54,5 (196 calificaciones) – 1793 estudiantes – Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide, Andrés Muro

Lo que aprenderás

Implementar VLANs y enlaces troncales en la red
Solucionar problemas de VLANs
Implementar STP para prevenir redundancia de capa 2
Implementar DHCPv4
Entender las vulnerabilidades que se pueden encontrar en una LAN
Configurar la seguridad de los switches para prevenir ataques
Entender e implementar WLANs
Entender cómo toman decisiones los routers
Configurar rutas estáticas en IPv4 e IPv6
Solucionar problemas de rutas estáticas
Entender el funcionamiento y configurar OSPF
Comprender como mitigar las posibles vulnerabilidades, amenazas y exploits para asegurar la red
Entender cómo funciona las ACL para mejorar la seguridad
Configurar ACLs de IPv4
Configurar NAT dentro de una red
Comprender el funcionamiento de las VPNs
Implementar protocolos para administrar la red
Entender las características de una red de arquitectura escalable
Solucionar problemas en redes empresariales
Comprender el propósito de la virtualización de una red
Entender las bases de la automatización haciendo uso de APIs RESTful y herramientas de administración

Descripción

En esta oportunidad les traemos la posibilidad de aprender todo lo que vas a necesitar para rendir el CCNA.

Puntualmente en este curso te encontraras el CCNA 2: Aprenderás Switching, Routing, and Wireless Essentials y CCNA 3:Enterprise Networking, Security and Automation

Esta es la continuación del primer curso que hemos lanzado de CCNA con la introducción a redes donde te enseñamos a usar packet tracer con mucha practica además de todas las explicaciones de la teoría que debes saber.

Contaras con nuestra supervisión, experiencia y respuesta a todas tus preguntas que tengas sobre el contenido.

Así también sobre las actualizaciones que hagamos sobre el curso, el cual será tuyo de por vida y recibirás dichas actualizaciones sin tener que volver a pagar.
Aprenderas:

CCNA 2

– Implementar VLANs y enlaces troncales en la red
– Solucionar problemas de VLANs
– Implementar STP para prevenir redundancia de capa 2
– Implementar DHCPv4
– Entender las vulnerabilidades que se pueden encontrar en una LAN
– Configurar la seguridad de los switches para prevenir ataques
– Entender e implementar WLANs – Entender cómo toman decisiones los routers
– Configurar rutas estáticas en IPv4 e IPv6
– Solucionar problemas de rutas estáticas

CCNA 3

– Entender el funcionamiento y configurar OSPF
– Comprender como mitigar las posibles vulnerabilidades, amenazas y exploits para asegurar la red
– Entender cómo funciona las ACL para mejorar la seguridad
– Configurar ACLs de IPv4
– Configurar NAT dentro de una red
– Comprender el funcionamiento de las VPNs
– Implementar protocolos para administrar la red
– Entender las características de una red de arquitectura escalable
– Solucionar problemas en redes empresariales
– Comprender el propósito de la virtualización de una red
– Entender las bases de la automatización haciendo uso de APIs RESTful y herramientas de administración

Empieza a aprender ya mismo! https://achirou.com/certificacion-ccna

Hacking Wifi Profesional. Realiza Auditorias sobre Seguridad

Aprenderás a realizar Auditorias sobre redes Wifi como un Hacker Profesional. Hacking Wifi en WEP/WPA/WPA2 & Enterprise

Calificación: 4,4 de 54,4 (124 calificaciones) 1040 estudiantes Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide, Walter Coto || +440,000 Estudiantes

Lo que aprenderás

Hackear Redes Wi-Fi
Ataques disponibles para atacar Redes Wi-Fi
Herramientas que ayudan a Hackear Redes Wi-Fi
Preparar un Entorno de Pruebas
Definiciones Teóricas necesarias de Wi-Fi
Creación de Diccionarios para Crackear contraseñas
Hacer un escaneo de las redes disponibles para atacar
Resolución de Errores Comunes
Atacar redes con cifrado WEP
Atacar redes con cifrado WPA2
Formas de capturar el Handshake
Crackear contraseñas de redes
Hacer ingeniería social para obtener la clave
Uso de Wifislax

Empieza a aprender todo lo referido a redes wifi y su seguridad. Iniciamos preparando el entorno de trabajo para la práctica, compartiéndote nuestra experiencia y recomendaciones como ser adaptadores compatibles. Este curso inicia desde 0 así que también veremos los conceptos básicos que debes saber en relación a redes y wifi.

Luego empezamos con las fases de recolección de información, diccionarios para fuerza bruta para vulnerar en un principio redes WEP y WPA2, capturar handshake, realizar ataques de fuerza bruta es decir crackear contraseñas de redes wifi, utilizaremos herramientas como ser wifislax y resolveremos los errores mas comunes.

Sumate a esta furmacion profesional llena de practica y asistencia a tus dudas y problemas sobre el contenido dado. Nos vemos en clase

Empieza a aprender ya mismo!

Etapa 3: Ciberseguridad general

Ingrese a la Etapa Tres cuando tenga experiencia trabajando con todos los temas mencionados anteriormente y tenga buena experiencia con TI, redes y aplicaciones . Es posible que tenga conocimientos básicos de TI, A+ o un título en tecnología, o que haya trabajado en soporte de TI.

Al final de la Etapa Tres, tendrá conocimiento/experiencia en temas como cifrado, autenticación, amenazas y vulnerabilidades, hacking basico, seguridad del sistema operativo, etc. Es posible que ya tenga calificaciones, como EJPT v2, CEH o SSCP de ISC(2).

Guía Rápida para el examen de Hacker Ético Certificado (CEH) 2024

Si esta es tu etapa podemos ayudarte a iniciar en el mundo del hacking:

Prepara la Certificación EJPT v2, con practica del Examen

La primera Certificación para ser un Hacker es la EJPT, te enseñamos todo lo que necesitas saber para pasar el examen.

Calificación: 4,6 de 54,6 (133 calificaciones) 959 estudiantes Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide, Kevin Lopez || +85,000 Estudiantes, Walter Coto || +440,000 Estudiantes

Lo que aprenderás

Aprenderás sobre la definición de pentesting
Conocerás la metodología que debes seguir para un pentesting exitoso
Aprenderás diferentes formas de usar herramientas de testeo
Conocerás sobre la certificación de EJPT
Pondrás en practica tus conocimientos mediante maquinas virtuales
Aprenderás definiciones para poder realizar la prueba de EJPT
Realizaras ataques de fuerza bruta y las diferentes formas de aplicarlas
Conocerás las definición de un informe y como hacerlo correctamente
Aprenderás a crear un informe para tu pentesting
Conocerás definiciones de redes y sus protocolos

Descripción

La certificación eLearnSecurity Junior Penetration Tester (eJPT v2) es una excelente opción para aquellos que buscan adentrarse en el mundo de la ciberseguridad y, específicamente, en el campo de las pruebas de penetración. Rendir la certificación eJPT v2 ofrece varios beneficios para los profesionales y aquellos que buscan ingresar al campo:

Desarrollo de habilidades prácticas: A diferencia de otras certificaciones, la eJPT v2 se enfoca en proporcionar una experiencia práctica y práctica en pruebas de penetración. Los estudiantes trabajan en escenarios del mundo real y adquieren habilidades valiosas en la identificación y explotación de vulnerabilidades en sistemas y redes.
Reconocimiento en la industria: La certificación eJPT v2 es reconocida y respetada en la industria de la ciberseguridad. La obtención de esta certificación demuestra a empleadores y colegas que posees las habilidades y el conocimiento necesarios para llevar a cabo pruebas de penetración de manera efectiva y ética.
Base sólida: La eJPT v2 proporciona una base sólida en pruebas de penetración y ciberseguridad, lo que facilita la transición a certificaciones más avanzadas en el futuro, como la eCPPT (Certified Professional Penetration Tester) y la OSCP (Offensive Security Certified Professional).
Crecimiento profesional: La demanda de profesionales de ciberseguridad y, en particular, de probadores de penetración es alta en todo el mundo. Obtener la certificación eJPT v2 puede abrir oportunidades de empleo, permitiendo a los profesionales avanzar en sus carreras y aumentar su potencial de ingresos.
Aprendizaje a tu propio ritmo: La eJPT v2 se ofrece a través de un modelo de aprendizaje en línea que permite a los estudiantes avanzar a su propio ritmo y adaptar el proceso de aprendizaje a sus necesidades y horarios personales.

En resumen, rendir la certificación eJPT v2 es una excelente manera de desarrollar habilidades prácticas en pruebas de penetración, obtener reconocimiento en la industria y establecer una base sólida para futuras certificaciones y oportunidades profesionales en el campo de la ciberseguridad.

Empieza a aprender ya mismo! https://achirou.com/ejptv2

Universidad Hacking. Todo en Ciberseguridad. Curso Completo

Aprende Hacking Ético y Ciberseguridad sin necesitar conocimientos Previos. Practica Hacking Ético y Ciberseguridad aquí

Calificación: 4,7 de 54,7 (2.852 calificaciones) – 15.212 estudiantes Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide

Lo que aprenderás

Aprende Seguridad informática
Te enseñare Hacking Ético
Veremos Ciberseguridad
La base principal del Hacking, Redes
Esto es alternativo que puedes aprender, Programación (python)
Necesitaras saber Python para, Hacking con Python
Te enseñare Análisis de Malware, además haremos laboratorios, practicas y ejecutaremos Malware para que veas su comportamiento
Te enseñare a reforzar tu Privacidad y Anonimato
Aprenderás una de las herramientas mas populares por excelencia en el mundo del Hacking, Metasploit
Es importante que aprendas Seguridad informática Mobile ya que usamos nuestro celular como una PC
Veremos también el top 10 de Owasp Web
Veremos también el top 10 de Owasp mobile
Veremos también el top 10 de Owasp API
Ante la demanda del mercado, te enseñare Seguridad informática para empresas
Veras también la suit de herramientas de seguridad informática en un sistema operativo, Kali Linux
Herramientas de hacking para el celular en Termux
Seguridad informática en WordPress
Análisis de trafico en Wireshark

El Hacking Ético y Ciberseguridad es Transversal a todo lo que sea Tecnología. Es decir, cualquier dispositivo inteligente, sea Celular, Computadora, o hasta hoy un Vehículo, debe haber Seguridad informática.

¿Esto que significa?

Que hoy más que nunca, se necesitan personas capacitadas en este rubro para trabajar.

Por esa razón cree esta formación profesional para compartirte mis conocimientos y experiencia en la materia y puedas iniciar en este mundo del Hacking Ético y Ciberseguridad.

Te voy a estar acompañando en el proceso de aprendizaje, donde si estas empezando desde 0, sin conocimientos previos, no es un impedimento ya que iniciaremos como si no supieras nada de la materia.

Y si sos una persona con conocimientos, podrás iniciar directamente en el nivel más avanzado o en el que tu elijas.

Como en todos mis cursos en udemy, tendrás muchísima practica para que materialices lo que vas aprendiendo.

Empieza a aprender ya mismo!

Hacking Ético Ofensivo. 100% Practico en Red Team. +42hs

Aprende Hacking Ético y Pentesting 100% Practicando. Laboratorios donde te explicamos detalladamente cada herramienta.

Lo que aprenderás

Hacking Ético Ofensivo
Ser un Hacker Ético Profesional Ofensivo (Red Team)
Utilizar Herramientas para Hacking
Montar un Laboratorio para hacer las Prácticas
Introducción a Redes
Modelo OSI
Dirección IP, Protocolos de Red y Puertos
Conexiones Inversas, Directas y Lado del Cliente
Las 5 Fases del Pentesting
Herramientas Útiles para Realizar Escaneo
Herramientas Útiles para Encontrar Vulnerabilidades
Herramientas Útiles para Obtener Acceso al Sistema
Utilizar Tryhackme
Diferencias entre Red Team y Blue Team
Cómo Realizar Investigaciones Autodidactas
Manejar Linux como todo un Profesional
Usa la Herramienta Nmap como todo un Profesional
Entender, Escanear y Explotar el Servicio de Red SMB
Entender, Escanear y Explotar el Servicio de Red Telnet
Entender, Escanear y Explotar el Servicio de Red FTP
Entender, Escanear y Explotar el Servicio de Red NFS
Entender, Escanear y Explotar el Servicio de Red SMTP
Entender, Escanear y Explotar el Servicio de Red MySQL
Cómo Funcionan y se Crean los Sitios Web
Cómo Funciona toda la Web
Uso de la Herramienta Burp Suite como todo un profesional
Entender, Enumerar, Explotar y Reconocer las TOP 10 Vulnerabilidades de OWASP
Poner en Práctica la Explotación de las Vulnerabilidades OWASP
Entender, Enumerar, Reconocer y Explotar la Vulnerabilidad de Carga de Archivos
Escenarios Reales donde Prácticar Pentesting Ofensivo

Cuando hablamos de Hacking y Pentesting. Debemos hablar de mucha practica, ya que son escenarios en los cuales nos encontraremos en nuestra vida profesional, y por esa razón hemos creado este curso donde lo que encontraras, es mucha practica!.

Particularmente en este curso creamos entornos controlados, laboratorios ya montados en una infraestructura web, en este caso tryhackme, para optimizar los recursos de las maquinas y no tener que estar virtualizando diferentes.

Contaras con nuestra supervisión, experiencia y respuesta a todas tus preguntas que tengas sobre el contenido. Así también sobre las actualizaciones que hagamos sobre el curso, el cual será tuyo de por vida y recibirás dichas actualizaciones sin tener que volver a pagar.

Empieza a aprender ya mismo!

Hacking Ético Avanzado. Prácticas en Kali Linux. Retos CTF

Toma el Control de otra computadora con Kali Linux, superando retos de diferentes niveles donde te enseñare paso a paso

Lo más vendido – Calificación: 4,8 de 54,8 (375 calificaciones) – 2960 estudiantes – Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide

Lo que aprenderás

Seguridad Informática
Herramientas de Kali Linux
Conocimientos Básicos de redes que necesitaran para el curso.
El curso es 100% Práctico.
Veras como accedo a la computadora objetivo y te explico, paso a paso que voy haciendo para conseguirlo.

Kali Linux es la herramienta por Excelencia en Seguridad informática, la cual es Open Source y cuenta con una Suite de aplicaciones para aplicar Hacking Ético.

En este curso te llevare paso por paso, por diferentes niveles (de principiante a experto) superando diferentes desafíos (CTF) mostrándote paso a paso cómo logró obtener el control de la máquina objetivo.

Empieza a aprender ya mismo y acompáñame en este increíble curso.

Pentesting Web. Prácticas de un Ethical Hacker Profesional.

Aprende Pentesting Web, Hacking Ético y Ciberseguridad. Practicas reales y aprender todo sobre Vulnerar entornos Web.

Calificación: 4,3 de 54,3 (607 calificaciones) 30.464 estudiantes – Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide, Walter Coto || +440,000 Estudiantes

Lo que aprenderás

Hacking Ético Web
El TOP 10 Vulnerabilidades Web de OWASP
Uso de Burp Suite
Identificar Vulnerabilidades Web
Explotar Vulnerabilidades Web
Identificar Vulnerabilidades que NO son de OWASP TOP 10
Prácticar con Escenarios Reales de Hacking Web
Las 5 Fases del Pentesting Web

El Pentesting Web se enfoca principalmente en aplicaciones y paginas funcionando en internet. Esto genera que su demanda laboral sea además de muy alta, sumamente importante.

La gran ventaja de esta profesión es que efectivamente, puedes llevarla adelante desde cualquier parte del mundo, con una computadora e internet.

Nosotros te brindaremos los fundamentos teóricos y la base necesaria para que empieces desde 0, y vayas avanzando hacia el ámbito profesional, con laboratorios simulando entornos reales

Hemos creado esta formación profesional donde aprenderás todo lo que necesitas para ser un experto, y con practicas que podrás aplicar en escenarios reales.

Empieza a aprender ya mismo!

Prepara la Certificación EJPT v2, con practica del Examen

La primera Certificación para ser un Hacker es la EJPT, te enseñamos todo lo que necesitas saber para pasar el examen.

Calificación: 4,6 de 54,6 (134 calificaciones) – 962 estudiantes – Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide, Kevin Lopez || +85,000 Estudiantes, Walter Coto || +440,000 Estudiantes

Lo que aprenderás

Aprenderás sobre la definición de pentesting
Conocerás la metodología que debes seguir para un pentesting exitoso
Aprenderás diferentes formas de usar herramientas de testeo
Conocerás sobre la certificación de EJPT
Pondrás en practica tus conocimientos mediante maquinas virtuales
Aprenderás definiciones para poder realizar la prueba de EJPT
Realizaras ataques de fuerza bruta y las diferentes formas de aplicarlas
Conocerás las definición de un informe y como hacerlo correctamente
Aprenderás a crear un informe para tu pentesting
Conocerás definiciones de redes y sus protocolos

Desarrollo de habilidades prácticas: A diferencia de otras certificaciones, la eJPT v2 se enfoca en proporcionar una experiencia práctica y práctica en pruebas de penetración. Los estudiantes trabajan en escenarios del mundo real y adquieren habilidades valiosas en la identificación y explotación de vulnerabilidades en sistemas y redes.
Reconocimiento en la industria: La certificación eJPT v2 es reconocida y respetada en la industria de la ciberseguridad. La obtención de esta certificación demuestra a empleadores y colegas que posees las habilidades y el conocimiento necesarios para llevar a cabo pruebas de penetración de manera efectiva y ética.
Base sólida: La eJPT v2 proporciona una base sólida en pruebas de penetración y ciberseguridad, lo que facilita la transición a certificaciones más avanzadas en el futuro, como la eCPPT (Certified Professional Penetration Tester) y la OSCP (Offensive Security Certified Professional).
Crecimiento profesional: La demanda de profesionales de ciberseguridad y, en particular, de probadores de penetración es alta en todo el mundo. Obtener la certificación eJPT v2 puede abrir oportunidades de empleo, permitiendo a los profesionales avanzar en sus carreras y aumentar su potencial de ingresos.
Aprendizaje a tu propio ritmo: La eJPT v2 se ofrece a través de un modelo de aprendizaje en línea que permite a los estudiantes avanzar a su propio ritmo y adaptar el proceso de aprendizaje a sus necesidades y horarios personales.

Empieza a aprender ya mismo!

Al terminar estos cursos ya estaras listo para un puesto Pentester Jr

Etapa 4 – Especialización en seguridad cibernética – Pentester

Después de completar la Etapa Tres, avanzará hacia la obtención de un conocimiento más profundo de las pruebas de penetración y la piratería . Aquí puede optar por especializarse en un área de pruebas de penetración, como aplicaciones web, dispositivos móviles, red team, etc. Podrías obtener certificados como

Guía Rápida para el examen de CISSP 2024

Si esta es tu etapa podemos ayudarte a profundizar tus conocimientos:

Auditorias de Sistemas. Detecta fallos en la Ciberseguridad.

Aprenderás a auditar sistemas para detectar vulnerabilidades, fallas en su ciberseguridad para asi poder solucionarlas

Calificación: 4,4 de 54,4 (259 calificaciones) 9336 estudiantes Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide, Walter Coto || +440,000 Estudiantes

Lo que aprenderás

Teoría Necesaria para Comprender Cómo Realizar una Auditoría a Sistemas
Poner en Práctica los conocimientos Teóricos con Laboratorios de Ejemplo
Crear la Documentación que Debe Tener la Auditoría a Sistemas
Crear un Laboratorio de Pruebas para la parte Práctica del Curso
Conocer qué es una Auditoría a Sistemas y cómo Realizar una
Comprender los Conceptos Iniciales de Ciberseguridad
Saber los Elementos más Importantes por Auditar de una Empresa
Analizar el Riesgo dentro de la Empresa
Auditar Windows Server

En esta formación profesional aprenderás todo el marco teórico para llevar adelante una auditoria de sistemas.

Contemplando los Objetivos de la empresa o red y fortificando la seguridad informática en la misma.

Como en todos nuestros cursos, contaras con la practica de todo lo aprendido de forma teórica, con ejemplos claros y sencillos.

Aprenderás a preparar toda la documentación que es importante para llevar adelante una auditoria completa.

Por ultimo, también aprenderás a auditar Active Directory en Windows Server, donde veremos las mejores practicas de seguridad informática que se deben implementar.

Empieza a aprender ya mismo!

Powershell para Administración de Servidores y Seguridad.

Aprende Powershell desde 0, a crear scripts y herramientas para administrar y brindar seguridad a tu servidor.

Calificación: 4,5 de 54,5 (131 calificaciones) 11.338 estudiantes Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide, Walter Coto || +440,000 Estudiantes,

Lo que aprenderás

Aprenderas el manejo de Powershel y sus funcionalidades en servidores
Conoceras las definiciones basicas de programacion aplicadas en powershell
Conoceras los conceptos basicos de powershell
Aprenderas la forma de como crear scripts y ejecutarlos mediante la consola de powershell
Medidas a tener en cuenta en la ciberseguridad con powershell
Aprenderas a como administrar carpetas compartidas con powershell
Administracion de usuarios de un servidor y sistema operativo comun usando powershell

Windows es hoy uno de los sistemas operativos más utilizados, más cuando hablamos de Servidores. Por ello saber powershell es un conocimiento además de muy útil, muy bien valorado.

¿Quieres aprender powershell desde 0?

¿Te gustaría saber como crear scripts en powershell?

¿Buscas aplicar seguridad a tus servidores con powershell?

Si la respuesta a algunas de estas preguntas es que si, este curso es para ti.

Empieza a aprender powershell sin conocimientos previos, donde te enseñaremos todo lo que necesitas saber sobre el manejo de esta consola de Windows para que puedas administrar de forma avanzada Windows.

La ventaja de saber powershell es que permite automatizar y crear scripts para aumentar la seguridad en tu servidores con Windows.

Empieza a aprender ya mismo!

Master en Metasploit. De 0 a Experto con Prácticas.

La herramienta por Excelencia en el Ethical Hacking es Metasploit, ya que cubre todas las fases del Pentesting.

Lo que aprenderás

Conocimientos básicos para el uso de Metasploit
Comandos de Metasploit
Fases del Pentesting con Metasploit
Hacking Ético con Metasploit
Laboratorios reales donde podrá aplicar lo aprendido

La herramienta por Excelencia en el Hacking Ético: Metasploit

Con Metasploit puedes realizar todas las fases del Pentesting, es una herramienta sumamente completa. Podrás realizar:

1 Recopilación de información.

Antes que nada hay que recopilar información sobre el sistema que vamos a atacar, tenemos que conocerlo todo lo que podamos para realizar una auditoría completa, la información lo es todo y cuanta más tengamos más fácil se nos harán los pasos posteriores.

2 Búsqueda de vulnerabilidades.

Una vez hemos recopilado suficiente información hay que buscar vulnerabilidades. Para ello justamente utilizaremos Metasploit.

3 Explotación de vulnerabilidades.

Una vez hemos detectado vulnerabilidades, mediante la explotación se “obtiene provecho” de ellas, accediendo al sistema u obteniendo provecho de él.

4 Post-explotación.

Ésta fase no se da siempre, cómo indica su nombre es lo que se realiza después de la explotación y de haber obtenido acceso. Sería posible hacer una recogida de información a nivel interno para intentar ganar privilegios o realizar otras acciones.

5 Elaboración de informes

En el caso de un test de penetración real se elaborarán informes que indiquen las vulnerabilidades que se han encontrado y cómo se han explotado..

Hemos creado esta formación profesional donde aprenderás todo lo que necesitas para ser un experto, y con practicas que podrás aplicar en escenarios reales.

Empieza a aprender ya mismo!

Firewall: Pfsense. Instalación y configuración con Práctica.

Implementa Pfsense desde 0. Aprenderás lo necesario de redes para instalar un firewall y brindar Seguridad a tu Red.

Calificación: 4,4 de 54,4 (463 calificaciones) 22.982 estudiantes Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide, Walter Coto || +440,000 Estudiantes

Lo que aprenderás

Implementar PFSense para aumentar la Seguridad de una Red
Configurar PFSense
Administrar PFSense
Qué es un Firewall
Qué es PFSense
Crear Usuarios y Grupos, con Permisos para cada uno
Configurar el DHCP de PFSense
Conectarse por medio de SSH
Usar PFSense como un Servidor Proxy
Limitar Ancho de Banda de una Red
Interceptar y Manipular tráfico HTTP y HTTPS
Controlar Accesos a la Navegación
Realizar conexiones Seguras desde fuera de PFSense
Instalación de Windows Server
Configuración de Active Directory en Windows Server
Configuración de Dominio en Windows Server
Conocimientos de Redes necesarios para realizar el Curso
SquidGuard: Instalación y configuración
Integraremos Squidguard con Windows Server Active Directory
Integración de Squid Proxy con Windows Server Active Directory
pfblockerNG: Instalación y configuración

El manejo de Firewall para proteger nuestra información, la red, servidores y computadoras es hoy una de las mayores demandas del mercado ya que todo se encuentra digitalizado a través de redes.

Pfsense es un Firewall Open Source y Gratuito que lleva años de uso y de mejora permanente.

La documentación oficial de esta herramienta cuenta con casi 700 paginas donde toda esta información, te la enseñamos en esta formación profesional en español y formato video, con Práctica.

Contar con el conocimiento de esta herramienta puede ampliar significativamente tus oportunidades laborales, ya que es muy valorado a nivel redes y seguridad.

Te enseñaremos las bases, todo lo que necesitas saber desde 0, acompañándote en tu crecimiento hasta llegar a aprender como implementar este Firewall, e inclusive, montar un laboratorio e instalar un windows server para integrarlo con Pfsense.

Empieza a aprender ya mismo!

Etapa 5 – Especialización en seguridad cibernética – Pentester Sr

Es el momento de la Etapa Cinco, cuando llevas más de cinco años trabajando como probador de penetración y quieres convertirte en un experto en un área especializada. Por ejemplo, Es un pentester que quiere pasar a la ingeniería inversa y crear exploits personalizados. Podrías obtener certificados como

Si esta es tu etapa podemos ayudarte a iniciar destacar en tu área de interes:

Seguridad Informática- Ingeniería social: El arte del engaño

El eslabón mas Débil en Seguridad Informática son las personas. Con ingeniería social realizamos ataques y Auditorías.

Calificación: 4,5 de 54,5 (552 calificaciones) 2835 estudiantes Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide

Lo que aprenderás

A realizar ataques de ingeniería social.-
Influir a las personas para alcanzar tus objetivos.-
Métodos y casos reales de Phishing.-
Herramientas para no caer en la Ingeniería Social.-
Ingeniería social con OSINT.-
A defenderte y detectar los ataques de Ingeniería Social.-
Conocerás casos reales donde se aplico Ingeniería Social.

En la actualidad se libra una batalla global por la seguridad informática que abarca gobiernos, empresas, industrias, organizaciones de todo tipo y hasta individuos.

Por ello es clave conocer mecanismos como la Ingeniería Social, tanto para defendernos como para detectar las vulnerabilidades en nuestras empresas.

Empieza a aprender ya mismo y acompáñame en este increíble curso.

ISO/IEC 27001. Prepara a las Empresas para la Certificación

Prepara a las Empresas para Obtener la Certificación ISO/IEC 27001 y a proteger su información de los Ciberdelincuentes.

Calificación: 4,0 de 54,0 (435 calificaciones) 10.476 estudiantes Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide, Walter Coto || +440,000 Estudiantes

Lo que aprenderás

La Normativa ISO 27001
Los 114 Controles del Anexo A de ISO 27001
Implementar un SGSI
Las 10 Clausulas para Implementar un SGSI
Conceptos de Seguridad de la Información
Conceptos de Seguridad Informática
Conceptos Importantes para Comprender la ISO 27001
Auditorias basadas en la ISO 27001
Preparar a las Empresas para certificarse en ISO 27001
Mejorar la Seguridad de la Información dentro de la Empresa
Crear Documentación sobre el Proceso de Auditoria a una Empresa

Las empresas hoy necesitan brindar seguridad sobre su información, comercial y de sus clientes. Es parte de su responsabilidad, incluso legal.

Por esa razón buscan una norma que los certifique y garantice que brindan dicha seguridad.

En este punto es donde entra en juego la ISO 27001.

Por ello es clave formarse en esta norma, dado que las empresas buscan personas con este conocimiento.

Hemos creado esta formación profesional donde aprenderás todo lo que necesitas para ser un experto, y con practicas que podrás aplicar en escenarios reales.

Empieza a aprender ya mismo!

Recuperación y Prevención de datos perdidos o ransomware

Aprende respuesta ante incidentes, las opciones de recuperación de datos borrados que existen y como prevenir su perdida

Calificación: 4,5 de 54,5 (117 calificaciones) 664 estudiantes – Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide

Lo que aprenderás

Aprenderás como realizar una Gestión de riesgo
Sabrás como proceder ante un incidente de seguridad
Aprenderás como funciona un ransomware
Entenderás en que casos es factible recuperar la información perdida
Aplicaras la gestión de riesgo orientada al Ransomware

Toda nuestra información, se encuentra digitalizada.

Por eso es clave el saber cómo protegerla y también las empresas buscan personas con este conocimiento.

¿Te gustaría aprender a cómo realizar una gestión de riesgo y prevención?

¿Quieres saber cómo se realiza una respuesta ante incidentes?

¿Deseas realizar una recuperación de datos que se perdieron?

Si alguna de las respuestas a estas preguntas, es que si, este curso es para ti.

Empieza a aprender ya mismo!

Seguridad informática para Empresas. Protege tus Datos.

Aprende como aplicar seguridad informática a los ataques cibernéticos para proteger tu información personal/corporativa.

Calificación: 4,7 de 54,7 (1.111 calificaciones) 5707 estudiantes Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide

Lo que aprenderás

Seguridad informática en sus dispositivos celulares.
Creación y gestión de contraseñas seguras.
A detectar estafas a través de correos electrónicos (Phishing)
A no caer en las trampas de Ingeniería Social
Detectar y evitar el ataque de virus y malware.
Ganarás la experiencia de casos reales de personas que han sufrido este tipo de ataques.
Aprenderás como mantener la privacidad de la empresa en internet.

En la actualidad se libra una batalla global por la seguridad informática que abarca gobiernos, empresas, industrias, organizaciones de todo tipo y hasta individuos.

Te invito a que recorramos juntos este camino de prevención. ¡

Empieza a aprender ya mismo y acompáñame en este increíble curso.

¿Qué hace un Pentester?

Desde un nivel alto, pentester evalúa la seguridad de un sistema probándolo en busca de debilidades e intentando explotar las vulnerabilidades.

Una vez que se hayan acordado todos los requisitos legales con el cliente, en los que, como hacker, puede o no estar directamente involucrado (su empresa puede tener un departamento legal y de ventas para el fin contractual), se le asignará la tarea de realizar pruebas activas para vulnerabilidades conocidas y configuraciones incorrectas que podrían dañar al cliente.

Habrá un alcance predefinido para las pruebas, como que algunos sistemas se consideren fuera de los límites, si se permiten o no cosas como ataques DDoS (denegación de servicio distribuido) o ingeniería social, qué días y horas se pueden realizar las pruebas y cuáles son los objetivos específicos. de la prueba son.

El pen tester normalmente seguirá un patrón de recopilación, escaneo y enumeración de información, explotación y obtención de acceso, mantenimiento del acceso y recopilación adicional de información para que pueda escalar el control sobre el sistema comprometido y pasar a otros sistemas dentro de la red.

Existen muchos tipos de pruebas de penetración, incluidas, entre otras, externas, internas, de presunta infracción, de aplicaciones web, físicas e inalámbricas.

Una vez que se completa la fase de prueba, el pentester organizará toda la documentación que tomó durante la prueba y elaborará un informe que muestre cuáles fueron las vulnerabilidades, cómo fueron explotadas, las pruebas, el nivel de riesgo para el cliente y cómo se implementaron. El departamento de TI puede mitigar la amenaza.

Perspectivas laborales y salariales para los Hackers

Como ocurre con cualquier carrera, el salario promedio puede variar según las características específicas del puesto, el lugar donde trabaja y su experiencia individual. Pero tomemos algunas estadísticas de diversas fuentes para obtener una imagen más completa.

Según ZipRecruiter , al 3 de octubre de 2022, el salario anual promedio de un pentester en los Estados Unidos es de $118,340 por año (con un promedio de $57 por hora).

“Si bien ZipRecruiter recibe salarios anuales de hasta $ 173 000 y tan bajos como $ 63 000, la mayoría de los salarios de los probadores de un pentester actualmente oscilan entre $ 97 500 (percentil 25) y $ 135 000 (percentil 75) y las personas con mayores ingresos (percentil 90) ganan $ 156 000 al año en todo Estados Unidos.

Según el libro “ Hack the Cybersecurity Interview ” de Ken Underhill, Christophe Foulon y Tia Hopkins (publicado en julio de 2022):

“He visto salarios tan bajos como $76,000 y tan altos como $270,000+ para trabajos especializados en el sector público. Para un pentester de nivel junior, normalmente puede esperar entre 70.000 y 100.000 dólares… ”

Payscale enumera el salario anual promedio de un pentester junior en $70,000 USD .

¿Hay demanda de Pentesters?

Sí. Podríamos terminar esta sección con eso, pero de todos modos echemos un vistazo más profundo.

Total de ofertas de empleo en EE.UU. durante 12 meses en la bolsa de trabajo

La frase «Pentester junior» en LinkedIn mostró 29.453 puestos disponibles en los Estados Unidos, 2.717 en el Reino Unido y 868 en Canadá.

Según Rob Sobers en su artículo de Varonis, » 166 Estadísticas y tendencias de ciberseguridad «, en febrero de 2022, hay casi 600.000 puestos vacantes en la industria de la seguridad cibernética (solo el 68% de los puestos vacantes están cubiertos), y el 40% de los líderes de TI dicen que los trabajos de ciberseguridad son los más difíciles de cubrir. Además, para 2025 habrá 3,5 millones de puestos de trabajo de ciberseguridad vacantes en todo el mundo .

Un informe de la industria de 2022 proyecta que el mercado global de ciberseguridad crecerá hasta alcanzar los 345.400 millones de dólares en 2026.

¿Hay futuro en las pruebas de penetración?

Las pruebas de penetración son un campo cuya demanda no hará más que crecer a medida que las empresas y los gobiernos sigan enfrentándose a ataques de ciberdelincuentes. FinancesOnline revela estas preocupantes estadísticas sobre delitos cibernéticos :

El costo global del ciberdelito alcanzó más de 2 billones de dólares en 2020.
Los ataques de ransomware pueden costar hasta 84.116 dólares .
Las pequeñas empresas pierden, en promedio, 200.000 dólares por incidente de ransomware si se consideran el tiempo de inactividad y los costos de recuperación.
El 51% de las empresas admite que no están preparadas para responder a un ciberataque.

Estudios similares, como las » Estadísticas cibernéticas alarmantes para mediados de año 2022 que necesita saber » de Forbes y las » Más de 300 estadísticas aterradoras sobre ciberdelincuencia y seguridad cibernética (edición 2022) » de Comparitech, muestran que la necesidad de auditores de ciberseguridad y pentesters es cada vez mayor. sólo creciendo.

Todos somos parte de una economía global que depende completamente de la funcionalidad sostenida de nuestra tecnología moderna. Los ciberdelincuentes, los terroristas y las naciones enemigas lo saben.

Un ataque de ransomware a una empresa podría llevarla a la quiebra basándose únicamente en el tiempo de inactividad. Atacar infraestructura importante como una central eléctrica podría paralizar a gran parte de una nación. Derribar la red de un hospital podría provocar rápidamente muertes. Gracias a las redes globales, las infracciones y las infecciones no se limitan a un solo sitio.

En 2016, Maersk, la empresa de contenedores marítimos más grande del mundo, fue víctima de un ciberataque que derribó casi 50.000 puntos finales en 600 sitios en 130 países durante diez días. Esto le costó a la empresa más de 300 millones de dólares y dañó su reputación.

Depender más de esta tecnología y trasladar más negocios al ámbito digital crea una superficie de ataque más grande y tentadora para aquellos actores de amenazas con una agenda (financiera, política o de otro tipo).

No se puede subestimar la importancia de las pruebas de penetración para proteger estas redes. La tecnología está en constante desarrollo para ayudar y fortalecer tanto el lado del defensor como el del atacante. Como ocurre con cualquier tecnología, cuanto más se pueda automatizar el proceso, más fácil será de utilizar y más atractivo resultará.

Vemos la implementación de la Inteligencia Artificial en campos que nunca habíamos considerado en el pasado. Hemos visto a la IA generar obras de arte (para disgusto de artistas y diseñadores), escribir ficción, actuar como un recurso de conocimiento y integrarse en diferentes sistemas de seguridad (como Microsoft Security Copilot ).

Cubrimos cómo utilizar ChatGPT como hacker ético en nuestro artículo » Desbloquear ChatGPT para hackear: liberar restricciones éticas «. Se puede utilizar para escribir código malicioso, proporcionar posibles soluciones cuando un pen tester se atasca, ayudar a redactar campañas de ingeniería social y más.

También hemos sido testigos de cómo gusanos como NotPetya y BadRabbit combinaron una vulnerabilidad común con una herramienta de prueba de penetración (EternalBlue y Mimikatz, para aquellos interesados) para automatizar completamente su ataque con gran efecto. Esto no requirió nada tan complejo como la IA.

La gran pregunta aterradora es: «¿Reemplazará la IA a los hackers?»

No podemos descartar la posibilidad por completo. En nuestra opinión, la Inteligencia Artificial desempeñará un papel más importante en la ciberseguridad, tanto para los atacantes como para los defensores, pero seguirá siendo necesario contar con pentesters humanos. Las pruebas de penetración y el hacking requieren un cierto nivel de creatividad que la IA aún no alcanza

Al igual que los diversos escáneres de vulnerabilidades disponibles en el mercado, es probable que la IA ayude en la enumeración básica y la recopilación de información, pero aún requerirá un pentester humano con conocimientos para indicarle y saber qué hacer con la información recopilada. Creemos que se convertirá en una herramienta indispensable en el arsenal de un hacker, pero una herramienta al fin y al cabo.

¿Convertirme en Hacker es adecuado para mí?

No podemos decirle si ser un pentester es una carrera que disfrutará. Lo que podemos hacer es discutir los rasgos de personalidad que mejor se adaptan al trabajo de pentester.

Las habilidades sociales clave que discutimos incluyeron el pensamiento analítico, la atención al detalle y la resolución de problemas. ¿Eres ese tipo de persona? Si te gustan los acertijos, la resolución de problemas, el dividir los problemas en partes más pequeñas para resolverlos, esta puede ser una carrera que te inspire.

También hablamos sobre habilidades de comunicación, colaboración y honestidad. Puede parecer extraño que estos sean rasgos más emocionales que analíticos, pero se encuentran uno al lado del otro como rasgos importantes en este campo. ¿Porqué es eso?

Evaluación del Código Holland para hackers éticos

Esta pregunta fue examinada en el trabajo de investigación » Exploración de los intereses vocacionales de los participantes en la competencia de ciberseguridad «. Es una lectura interesante, pero resumiremos un hallazgo clave.

El artículo utilizó el “modelo RIASEC de Holanda” para determinar los tipos de personalidad. Asume seis personalidades vocacionales.

Realista
Investigador
Artístico
Social
Emprendedor
Convencional

Después de algunas investigaciones, el artículo señaló que,

“Los participantes en el concurso de ciberseguridad obtienen las puntuaciones más altas en las áreas de investigación, social y artística, lo que difiere en cierta medida de otros grupos relacionados con la informática . Los aspectos sociales de la competencia grupal y los aspectos creativos de la resolución de problemas de seguridad cibernética pueden explicar esta diferencia”.

Los aspectos creativos de resolución de problemas de la seguridad cibernética requieren rasgos más artísticos que otros campos de la informática. Esto tiene sentido cuando se compara el rol con el de un arquitecto cloud o administrador de red, que requiere un pensamiento menos innovador.

Un pen tester también tiene la tarea de comunicar sus hallazgos a personas de un amplio espectro de conocimientos técnicos, desde ejecutivos que solo conocen los conceptos básicos del uso de Internet hasta administradores de TI e ingenieros de redes que se espera que apliquen las soluciones sugeridas. Estas son ciertamente habilidades sociales.

Hay varios sitios en línea donde puede realizar la evaluación RIASEC de Holanda para ver su código vocacional. Pruebe algunos y vea si devuelve un código ISA o IAS.

Autoevaluación rápida: ¿está hecho para convertirse en un pentester?

Eche un vistazo a su trabajo actual (si está empleado) o a los cursos que está tomando (si todavía está en la escuela) y pregúntese: «¿Qué me gusta y qué no me gusta de lo que estoy haciendo?» Ahora imagínese en el rol de pentester. ¿Cuántos gustos y disgustos se superponen con este trabajo tal como lo imaginas?

Este campo cambia constantemente y deberá mantenerse al día. No es tanto difícil sino que exige dedicación.

Debes seguir aprendiendo nuevas tecnologías, técnicas, sistemas y vulnerabilidades. Habrá mucha documentación muy aburrida y a veces mal explicada que necesitarás leer. Y es posible que se encuentre trabajando en horas extrañas si el cliente lo exige.

Si estas nociones te asustan, está perfectamente bien. Simplemente significa que es posible que ser hacker no sea lo suyo. Si todo esto le suena bien, es posible que haya encontrado una vocación.

Pasos para convertirte en un Hacker

Paso 1: busque un mentor de pentesting y conéctese con personas
Paso 2: Identifique la brecha de capacidades entre usted y un hacker
Paso 3: obtenga las habilidades y calificaciones necesarias para ser un pentester
Paso 4: obtenga experiencia práctica en pestenting y seguridad cibernética
Paso 5: Solicite trabajos de pruebas de penetración

Por eso estás aquí. Se ha despertado su interés y desea dar los siguientes pasos. Pero este es un campo que muchos no saben que existe. ¿Entonces, dónde empezamos? Analicemos las habilidades y cualificaciones necesarias y le mostremos cómo crear una hoja de ruta hacia el éxito.

Encuentre un mentor de Pentesters y conéctese con personas

encontrar un mentor

¿Por qué conseguir un mentor?

Cuando comienzas por primera vez cualquier carrera profesional o aprendes una nueva habilidad/oficio técnico, no sabes lo que no sabes. No es tan simple como buscar en Google cómo dar el siguiente paso si no está seguro de cuáles seguir. Un mentor puede decirle cómo empezar.

Hay muchos cursos y certificaciones para pruebas de penetración que puede realizar, pero algunos no valen la pena, mientras que otros son casi estándares de la industria. Un mentor puede decirte cuál es cuál. Pueden decirle cómo adquirir experiencia que pueda mostrar a los empleadores y cómo establecer conexiones valiosas en la industria.

Un mentor no es sólo alguien que te enseñará habilidades duras, aunque sería fantástico si pudieras encontrar a esa persona. Un mentor puede decirle qué habilidades se demandan en este momento y ofrecerle consejos sobre cómo aprender y estudiar estos temas. Pueden decirle qué les funcionó y qué no, cómo tuvieron éxito y por qué fracasaron, y qué camino tomarían si comenzaran de nuevo.

Únase a un grupo de mente maestra

Un Mastermind Group es un grupo pequeño y autorregulado de personas con ideas afines que se unen para ayudarse mutuamente a alcanzar nuevos niveles de éxito personal.

El grupo se reunirá periódicamente para compartir ideas, generar responsabilidad, apoyarse mutuamente y crecer para tener éxito. Tambien te invito a uniter a mi grupo donde creamos una comunidad y hay nuevos recursos diarios: https://t.me/recursoshacking

¿Por qué deberías unirte a un grupo de expertos?

Se ha demostrado que le ayudan a establecer buenos hábitos para lograr sus objetivos y aumentar sus tasas de retención de aprendizaje.

Establece sistemas de buenos hábitos para alcanzar objetivos.

Ya sea estudiante o profesional, se ha observado que aquellos que habían escrito sus objetivos tenían mayores posibilidades de alcanzarlos: una tasa de éxito del 42 % frente al 60 %. Comprometerse públicamente con sus objetivos crea un sentido de responsabilidad personal, elevando el porcentaje de finalización al 64%.

Aumente sus tasas de retención de aprendizaje

Cuando comentas lo que estás aprendiendo con otros, simplemente hablar de ello puede aumentar tu tasa de retención al 50%. Aún mejor, enseñar a otros lo que has aprendido aumenta tu tasa de retención al 90%.

Establezca contactos con otros estudiantes de pentester en la comunidad

No se pueden subestimar los beneficios de la creación de redes. Algunas personas piensan que la creación de redes es sólo una forma de ingresar a una empresa en particular, como tener un amigo interno que lo ayude a ser contratado. El networking es mucho más que eso.

La creación de una red proporciona apoyo profesional, asesoramiento y nuevas perspectivas. Le ayuda a reevaluar sus habilidades y base de conocimientos. También le ayuda a hacer crecer su marca personal y a establecer un nombre profesional más sólido.

Todos los miembros de su red son una biblioteca de recursos, y construir una llena de personas que comparten una pasión por la seguridad cibernética significa que obtendrá acceso a una fuente de información muy específica.

Entonces, ¿cómo se construye una red?

LinkedIn y twitter es una plataforma excelente para llegar a otras personas, ya que algunas personas declaran claramente que quieren conectarse con otras personas en su campo. Los reclutadores casi siempre aceptarán invitaciones de conexión. Mucha gente publica artículos y blogs sobre su campo de especialización; al responderles sobre el tema, puedes abrir un diálogo y construir una conexión.

Puede conectarse con Alvaro Chirou y compartir su red profesional. También puedes seguirlo en Twitter.

Infosec Twitter está lleno de profesionales a quienes les encanta compartir ideas, consejos y tecnologías. Como plataforma abierta, puedes retuitear y responder a estas publicaciones. Compartir sus ideas, luchas y éxitos puede atraer la atención y ayudar a construir su red. Asegúrate de seguirme: Laprovittera en Linkeding y en Twitter.

Hay muchos eventos y reuniones de la industria, tanto grandes como pequeños, que se llevan a cabo durante todo el año. Vea lo que está sucediendo en su área. Puede planear viajar a algunas de las conferencias más importantes. Muchos de estos también ocurren completamente en línea (como en Discord).

Identifique la brecha de capacidades entre usted y un Hacker

Hablemos de habilidades y capacidades. Tendrá que pensar qué habilidades y capacidades tiene que se aplican a este rol y cuáles deben desarrollarse. Comenzaremos analizando posibles especializaciones que puedan interesarle dentro del pentesting, identificando su conjunto de habilidades actual y analizando en qué necesita trabajar.

Encuentre una pasión y especialización

El pentesting es sin duda una función especializada dentro de la seguridad cibernética, pero aún puedes profundizar más y centrarte en áreas particulares si así lo deseas. Por supuesto, comenzará como un generalista y muchos continuarán manteniéndose completos en todas las áreas del pentesting. Si deseas especializarte , puedes considerar:

Pentester de aplicaciones web

Prueban sitios web y aplicaciones web, como formularios, bases de datos y cualquier cosa que interactúe con un usuario a través de la web. Aquí se centrará más en bases de datos SQL , JavaScript , PHP, API y back-ends de gestión de contenidos como WordPress y Drupal. Vea nuestros cursos de hacking de aplicaciones web .

Pentester móvil

En este campo, se centrará en dispositivos móviles como teléfonos inteligentes y tabletas, así como en dispositivos IoT (Internet de las cosas), como dispositivos domésticos inteligentes. Deberá familiarizarse más con iOS y Android, SSL, jailbreak y OWASP Top Ten para dispositivos móviles. Vea nuestros cursos de hacking móvil .

Pentester Red Team

Los Red Team están simulando ataques del mundo real. Esto implicará técnicas de ofuscación, evasión antivirus, falsificación de certificados SSL y modificación de archivos de registro. Necesitará estar mucho más familiarizado con la forma en que los sistemas Windows y Linux registran eventos. Vea nuestros cursos de hacking del Red Team.

Desarrollador de exploits

Si bien la mayoría de las especialidades de pruebas de penetración no requieren programación avanzada, escribir exploits requerirá conocimientos de Python y C como mínimo. Ensamblaje de 32 bits, Ruby, Powershell , depuración e ingeniería inversa también serán habilidades que probablemente desarrollará. Vea nuestro curso para desarrolladores.

También puede especializarse en hackear Active Directory , WiFi , infraestructuras en la nube como Azure, Google Cloud y Amazon Web Services , sistemas SCADA/ICS y más.

Para ver si algo específico te entusiasma como especialidad, mira:

Los mas de 100 diferentes cursos disponibles que tenemos
Ofertas de empleo en CyberSecurityJobs.com
El blog de Alvaro Chirou
El canal de YouTube de Alvaro Chirou
Cualquiera de los muchos blogs y canales de YouTube sobre hackers y pentesting que existen (recomendamos los de CristianBorghello, Jose Maria Alonso y EkopartyConference).
Las áreas resaltadas en el mapa de dominios discutido anteriormente para ver si algo específico le entusiasma

Identifique sus capacidades duras, blandas y transferibles actuales

Es hora de hacer un inventario de las habilidades que posee actualmente y cómo podrían transferirse a esta nueva carrera.

Una vez que haya analizado detenidamente lo que tiene para ofrecer en términos de habilidades duras (como Linux o TCP/IP ) y habilidades blandas (como gestión del tiempo y redacción de informes), es hora de alinearlas con las habilidades. que ve en la lista de los tipos de anuncios de trabajo que desea solicitar. Determine lo que falta y establezca un plan para llenar los vacíos.

Obtenga las habilidades y calificaciones necesarias para ser un Hacker

Se espera que los evaluadores de penetración tengan una amplia gama de habilidades. No se deje intimidar por esto, pero reconozca que este trabajo pondera las habilidades técnicas duras con casi el mismo valor que las habilidades sociales.

Recuerde, el hacking le brinda la información que necesita para su informe, pero su redacción y presentación son lo que le paga.

Las habilidades duras necesarias para el hacking ético

Las habilidades duras son las habilidades técnicas que debes poseer. Recuerde, se le pedirá que pruebe muchos sistemas diferentes.

No nos referimos sólo a los entornos de escritorio Windows y Linux. Es necesario probar sitios web, sistemas telefónicos VoIP, dispositivos móviles, enrutadores, Active Directory, entornos Azure, bases de datos SQL y muchos otros sistemas e infraestructuras.

Es imposible ser un experto en todo, pero es necesario desarrollar suficiente conocimiento superficial para hablar con un experto y mantenerse al día en algunas conversaciones informales.

Al mirar anuncios de empleo, las habilidades duras más solicitadas por los empleadores son:

Redes
Seguridad de información
Pruebas de penetración
linux
Directorio Activo
Pitón
Java
Evaluación de vulnerabilidad
Sistemas de información
Desarrollo de software
Gestión de proyectos

Algunas de estas habilidades requeridas son muy amplias y generales. “Trabajar en red”, por ejemplo, puede significar muchas cosas. Para ilustrar esto, Cisco tiene cinco niveles de certificación (Principal, Asociado, Profesional, Experto y Arquitecto) y nueve rutas de aprendizaje diferentes. Todos ellos son “conexión en red”, pero no son iguales.

Existe una gran diferencia entre un Cisco Certified Network Associate (CCNA) y un Cisco Certified Internetwork Expert (CCIE). El salario por sí solo difiere en aproximadamente 50.000 dólares al año entre los dos.

Entonces, analicemos estas habilidades y definámoslas en temas más concretos y procesables.

Redes

En este contexto, definimos las redes como la comprensión de cómo se comunican los dispositivos.

Esto se puede hacer físicamente a través de dispositivos de red, como conmutadores y enrutadores. También se puede hacer virtualmente a través de la nube y la tecnología de virtualización (por supuesto, aún se requieren dispositivos físicos para acceder a la red).

Comprender el cómo y el por qué de las redes es crucial para saber cómo manipularlas y abusar de ellas. La suplantación de identidad de Arp , el salto de VLAN, la configuración de un DHCP fraudulento y el secuestro de DNS son ataques que un hacker ético puede realizar si comprende cómo funcionan las redes.

No es necesario ser ingeniero de redes, pero sí debe comprender los fundamentos de las redes empresariales. Una base de conocimientos equivalente a CompTIA Network+, Cisco CCNA o Juniper JNCIA es suficiente. Lea nuestro artículo Network+ vs CCNA para ayudar a determinar cuál es el más adecuado.

Seguridad Cibernética / Seguridad de la Información

Otro fundamental necesario. Comprensión del cifrado, autenticación, seguridad del sistema operativo y de las aplicaciones, amenazas y vulnerabilidades. El conocimiento equivalente a Security+ de CompTIA o SSCP (Practicante certificado en seguridad de sistemas) de (ISC)2 es una base sólida sobre la que desarrollar sus habilidades.

Linux

El 96,3% del millón de servidores más importantes del mundo se ejecutan en Linux. El 90% de toda la infraestructura de la nube opera en Linux. En la mayoría de los casos, utilizará un sistema operativo Linux (como Kali , Parrot o Black Arch) para realizar las pruebas. ¡Acostúmbrate a Linux!

Active Directory

El 90% de las empresas Global Fortune 1000 utilizan Active Directory, lo que significa que lo más probable es que lo ataque. Aprenda cómo funciona.

Python

La mayoría de los exploits modernos están escritos en Python. Es un lenguaje de programación simple pero versátil, capaz de ejecutarse de forma nativa en Linux y macOS, y puede configurarse en máquinas con Windows. Si bien no necesita el nivel de habilidad de un programador, debería poder ver el script de Python y comprenderlo lo suficientemente bien como para realizar modificaciones simples.

JavaScript

Java se utiliza principalmente en aplicaciones web. Cada vez más software se basa en la web, y el pentesting de aplicaciones web se ha convertido en un campo vasto y lucrativo, lo que hace que la experiencia en Java sea valiosa.

Evaluación de vulnerabilidad

La evaluación de vulnerabilidades consiste en determinar si una vulnerabilidad es una amenaza real y, de ser así, cómo mitigarla. Las herramientas de escaneo de vulnerabilidades como Nessus y Qualys pueden acelerar el descubrimiento de vulnerabilidades y proporcionar una puntuación de riesgo para que pueda priorizar más fácilmente cuál solucionar primero y cuál puede considerar un riesgo aceptable.

Sistemas de información

«Sistemas de información» puede significar diferentes cosas en diferentes contextos. En este contexto, estamos hablando de cualquier dispositivo que pueda acceder e interactuar con una red.

Desde la perspectiva de las pruebas de penetración, comprender para qué sirven las entradas de registro en los sistemas Windows, cómo los sistemas operativos almacenan cuentas de usuario y contraseñas, las credenciales predeterminadas típicas utilizadas por diferentes fabricantes y cómo saber qué versión de Linux está ejecutando un host son información para un hacker. puede utilizar en sus ataques.

Desarrollo de software

Existen diferentes niveles de habilidad en el desarrollo de software.

No necesitarás saber demasiado sobre codificación como Pentester junior.
Un desarrollador de exploits requiere un conocimiento significativo de la programación y de cómo funcionan los sistemas operativos «bajo el capó».
Los pentesters de aplicaciones web querrán entender PHP, Javascript y SQL. Es posible que se les proporcione el código fuente de la aplicación para revisar y corregir los fallos que hayan encontrado.
Incluso en un nivel básico, la mayoría de los exploits públicos modernos están escritos en C o Python. Muchas herramientas de pruebas de penetración para sistemas Windows están escritas en Powershell. Muchos requerirán algunos cambios antes de que funcionen.

No es necesario ser un experto en todo, pero como mínimo, debería poder mirar el código y seguir lo que hace.

Gestión de proyectos

Si bien no sería necesario obtener certificaciones PRINCE2 o Project Management Professional, la capacidad de analizar un proyecto, dividirlo en hitos razonables y llevarlo a cabo es importante. Es necesario seguir muchos pasos, desde el contacto inicial con el cliente hasta el informe final. Incluso las pruebas en sí se realizan por etapas.

Algunas de las principales habilidades cuya demanda está creciendo son

Seguridad de contenedores
Seguridad integral del software
Caza de amenazas
Seguridad de aplicaciones SaaS (software como servicio)
Detección de anomalías

Hay cursos disponibles sobre casi todos estos temas en la sección de cursos.

Habilidades interpersonales necesarias para el hacking ético

Si bien las ofertas de trabajo suelen tener pocos requisitos de habilidades sociales, pueden ser tan importantes, si no más, que las habilidades duras. Estas habilidades le permiten venderse al cliente, organizar un informe legible por el que valga la pena pagar y seguir adelante cuando se topa con un muro.

Estas habilidades incluyen

Habilidades interpersonales y de comunicación : la habilidad más importante de esta lista. Estás trabajando con clientes. Te confían su red. Están recurriendo a su experiencia para protegerse. En algunos casos, estás promocionando el servicio. ¡Aprende esta habilidad!
Pensamiento crítico/analítico : no existe un camino sencillo a seguir cuando se intenta hackear un sistema. Claro, existen metodologías a seguir, pero las situaciones son únicas. Necesita poder ver el panorama general, encontrar lo que no pertenece, lo que está mal configurado y de qué se puede abusar o cambiar. Es un enigma que puede tener o no respuesta.
Persuasión : esto es más útil para roles superiores, como consultoría y gestión. También entra en juego si estás haciendo ingeniería social.
Adaptabilidad : La famosa frase motivacional y meme: “improvisar, adaptarse y superar”, ciertamente se aplica al pentesting. Como dijimos antes, chocarás contra paredes. Encontrarás tecnología que nunca antes habías visto. Se le acabará el tiempo. Es hora de adaptarse.
Colaboración/trabajo en equipo : A veces, trabajarás solo. Otras veces puedes ser parte de un equipo en el mismo proyecto. A menudo, tendrá un contacto técnico, como un administrador de red, en el cliente en caso de que surja un problema. Necesita poder trabajar sin problemas con los demás.
Atención al detalle : preparará informes que indiquen cuáles son las vulnerabilidades, qué herramientas se utilizaron, imágenes como prueba y recomendaciones para su solución. Estos deben ser de alto nivel para los ejecutivos y muy detallados para sus administradores de TI. También debe asegurarse de no hacer nada que pueda causarles tiempo de inactividad o dañar sus sistemas.
Pasión : Este no es un trabajo en el que haces lo mínimo mientras miras el reloj. Necesitas amar esto. El hacking debe motivarte. Si no es así, busque otro campo dentro de la seguridad cibernética.
Resolución de problemas : eso es el hacking: resolución de problemas. El sistema está diseñado para mantenerte fuera. Quieres entrar. Resuelve el problema.
Honestidad y ética : te piden que actúes como un criminal. Los clientes confían mucho en para que no abuse de su acceso robando información, extorsionándolos o mintiendo para encubrir un error.

¿Necesito saber programación para convertirme en un Hacker?

La respuesta está en algún punto intermedio. Un probador de penetración junior puede arreglárselas sin poder codificar. Sin embargo, los pentesters de cualquier nivel necesitan comprender los conceptos básicos lo suficiente como para revisar y modificar ligeramente el código. A medida que avanzas en tu carrera, la codificación se vuelve mucho más importante.

A menudo utilizará código disponible públicamente denominado «exploits». Estos exploits públicos suelen estar escritos en Python o C (principalmente Python). Sin saber qué hace realmente el exploit, activarlo en un sistema cliente es un riesgo enorme.

¿El exploit está realizando cambios permanentes que necesitarás restaurar?
¿Se están agregando credenciales predeterminadas a un sistema cliente que los atacantes podrían conocer?
¿Es malicioso y vuelve a llamar a otro hacker?

Si no tiene suficiente confianza en su capacidad para leer el código, no podrá utilizarlo de forma segura.

En niveles más altos, se vuelve más importante por varias razones.

Las pruebas de penetración de aplicaciones web, como se mencionó anteriormente, constituyen un gran porcentaje del panorama de las pruebas de penetración. JavaScript y PHP son comunes en esta disciplina. Conocer estos lenguajes te convierte en un mejor pentester y te permite decirle a un cliente qué es lo que debe corregirse específicamente para proteger su código.

Bash y PowerShell son lenguajes de programación utilizados por los sistemas Linux y Windows respectivamente. Python , como ya mencionamos, es un lenguaje de scripting comúnmente usado en pentesting y lo utilizan los administradores de red para implementar cambios masivos en un sistema, especialmente en entornos de nube. Los utilizará a diario como pentester.

Por último, cualquier código público que puedan utilizar los hackers probablemente haya sido catalogado por al menos algunas de las principales empresas de seguridad y antivirus. Hacer cambios para evitar la detección o, en niveles mucho más avanzados, codificar sus propias herramientas, lo convertirá en un hacker ético mucho más fuerte.

También diríamos que aprender Python es una de las mejores formas de desarrollar tus habilidades y avanzar en tu carrera.

Obtener las calificaciones necesarias para convertirse en un Hacker

Hay innumerables certificaciones de seguridad cibernética disponibles y, para muchos estudiantes, resulta abrumador intentar decidir cuáles tienen valor y cuáles no. Esto puede resultar frustrante si se tiene en cuenta la cantidad de estudio requerido y el costo que implica redactar los exámenes.

Examinemos algunas de las certificaciones más solicitadas:

Certificaciones generales de ciberseguridad

Seguridad CompTIA+
Profesional certificado en seguridad de sistemas de información (CISSP)
Varias certificaciones SANS/GIAC

Si bien estas son algunas de las certificaciones más comunes que se ven en las ofertas de trabajo, queremos dejar claro que nuestras recomendaciones solo se alinean parcialmente con esta lista.

Security+ es una certificación excelente que debes obtener si eres principiante porque cubre los fundamentos de la seguridad de la información. Tener esta certificación les indica a los empleadores que comprenda la terminología y tiene conocimientos de una amplia variedad de prácticas de seguridad.

CISSP , por el contrario, NO son certificaciones de nivel de entrada. Estos son para personas que buscan pasar de un nivel profesional intermedio a uno avanzado.

Deberías obtener CISSP como certificación en tu carrera. CISSP es lo más cercano que existe a una certificación estándar para toda la industria y debería ser el objetivo de cualquiera que desee una carrera en seguridad de la información. Dicho esto, no es para quienes recién se inician en la ciberseguridad.

También vale la pena señalar que las certificaciones SANS son muy costosas y es común que aquellos en la industria soliciten a los empleadores que paguen por la capacitación y la certificación en lugar de que la obtengan ellos mismos.

Certificaciones de pruebas de penetración

Certified Ethical Hacker aparece con más frecuencia en las ofertas de trabajo , mientras que La Certificación EJPT v2 es más asequible y cubre un plan de estudios más completo. Elija el que crea que es adecuado.

Si bien ahora existen varios exámenes prácticos de hacking en el mercado (consulte nuestra lista de las Las Mejores Certificaciones de Hacking 2024), OSCP ofrecido por Offensive Security sigue siendo el más conocido y buscado . Es famoso por su examen de 24 horas que requiere el hacking de una red Active Directory de tres máquinas y tres cajas independientes. Es tanto un ritual de novatadas como un examen, pero es imprescindible para los aspirantes a pentesters.

Produzca una hoja de ruta de éxito personal para convertirse en un Hacker

Revisemos.

Has decidido si hay una especialización en la que deseas trabajar. ¡Excelente!
Luego ha analizado sus habilidades duras y blandas actuales. ¡Buen trabajo!
Después de mirar las ofertas de trabajo, completó las habilidades y certificaciones que necesitará para este puesto y analizó las brechas. ¡Perfecto!
Juntos, cubrimos los cursos recomendados para aprender pentesting y cómo capacitarse para las certificaciones requeridas. Incluso miramos algunos libros para aprender más. ¡Asombroso!

Comencemos a unirlo y a crear una hoja de ruta personal para el éxito.

Discutiremos los últimos pasos en las próximas secciones, pero puede comenzar a trabajar en su hoja de ruta ahora.

¿Necesita un título para convertirse en un Hacker?

Hay mucho debate en torno a esta cuestión, pero en lugar de entrar en detalles citando análisis y encuestas globales, intentaremos resumirlo de forma sencilla.

¿Necesitas un título? No.

¿Puede ayudar un título? definitivamente sí . Más aún si tiene la intención de convertirse en algo así como Director de Seguridad de la Información (CISO).

Veámoslo así. La actitud tradicional entre las empresas para puestos altamente técnicos siempre ha sido la de exigir un título.

La brecha entre la cantidad de puestos de seguridad cibernética y los candidatos disponibles se está ampliando, y exigir un título en ciencias de la computación o un campo similar limita los candidatos potenciales que una empresa puede considerar.

Si bien los títulos generales en ciencias de la computación son bastante comunes, los títulos específicos en seguridad cibernética (y mucho menos los de pentesting) son más especializados y más difíciles de encontrar.

Al comparar certificaciones y títulos, queda claro por qué se solicitan más certificaciones. Las certificaciones están estandarizadas. Si tiene una certificación de una organización acreditada, el empleador sabrá exactamente lo que sabe.

No importa dónde escriba su examen OSCP, CISSP o La Certificación EJPT v2. Puedes escribirlo en cualquier país y ciudad del mundo, y será igual. Las preguntas y tareas variarán para cada participante, por supuesto, pero las expectativas y calificaciones son equivalentes entre sí sin importar a dónde las lleves.

Los programas de grado varían de un colegio o universidad a otro. El empleador no sabe si los cursos son prácticos y prácticos o cursos de preparación para la certificación glorificados. Sin estar familiarizado con cada programa y su plan de estudios, el empleador solo está adivinando si tiene las habilidades requeridas. Las certificaciones están mucho más definidas y reguladas.

Tener una licenciatura, una maestría o un título superior nunca te detendrá, y sí, algunos empleadores quieren verlo. Un título podría inclinar la balanza si todas las demás condiciones son iguales entre y otro candidato.

Sin embargo, generalmente su experiencia y certificaciones tendrán más peso que un título.

Obtenga experiencia práctica en pestenting y ciberseguridad

Los estudiantes a menudo se sienten atrapados en el ciclo de «no puedo conseguir un trabajo sin experiencia» y «no puedo conseguir experiencia sin un trabajo». Afortunadamente, existen varias formas de ampliar la sección de experiencia de su currículum.

Estas son algunas de nuestras acciones recomendadas para obtener esa experiencia:

Dentro de tu trabajo actual, busca y solicita cualquier tarea de seguridad por pequeña que sea.
Si trabaja en TI, redes, ingeniería de software o un puesto similar, cuéntelo como experiencia.
Realiza los ejercicios prácticos y laboratorios virtuales
Únase a un grupo de expertos
Establecer contactos con otros profesionales de la seguridad a través de la comunidad
Responda preguntas dentro de la comunidad
Escriba sus propias herramientas de seguridad, publíquelas y promuévalas en la comunidad
Considere las pasantías
Intenta ser voluntario
Vaya a clubes y reuniones de seguridad cibernética en su área o en línea
Aprovecha tu título o curso universitario haciendo una tesis práctica
Pruebe el trabajo independiente: considere la recompensa por errores y sitios como Upwork
Participa en concursos de capturar la bandera (CTF)
Asistir a conferencias de seguridad
Participar en conferencias y grupos de seguridad.
Contribuir a proyectos de código abierto.
Ingresa a GitHub y comparte cualquier script que crees
Red en las redes sociales
Trabaja en tu marca personal: accede a las redes sociales, consigue un blog, escribe artículos.
Si estás considerando obtener un título, elige uno con un año de prácticas en la industria.
En la universidad, los profesores suelen tener trabajos remunerados que puedes solicitar
CVE (vulnerabilidades y exposiciones comunes): descubrimiento y divulgación de fallas de seguridad

¿Puedo conseguir un trabajo sin experiencia laboral?

Podrías pensar: «Todo lo anterior es fantástico, pero ¿me pueden contratar sin experiencia laboral remunerada?»

Feeder Roles : Sí. Generalmente, estos implican un bajo nivel de comprensión técnica. Las certificaciones A+, Network+ o CCNA serán de gran ayuda en este caso. La experiencia adquirida en el apartado anterior debería ser más que suficiente.

Nivel de entrada : Generalmente, sí. Eso es lo que se supone que es un puesto de nivel inicial , un trabajo para quienes recién ingresan al campo sin mucha experiencia. Las certificaciones y la experiencia de la sección anterior harán que se destaque aquí.

Intermedio y avanzado : No. Para puestos intermedios, tendrá que ganar horas en un puesto de nivel inicial antes de que se le confíen más responsabilidades. Los niveles avanzados requieren no sólo experiencia técnica sino también habilidades gerenciales comprobadas.

Solicite trabajos de Pentester

Recapitulemos. Ha planificado su hoja de ruta hacia el éxito. Has desarrollado tus habilidades duras y blandas. Ya has tomado los cursos, has obtenido las certificaciones y quieres que te contraten. ¿Ahora que?

A medida que las prácticas de contratación cambian para satisfacer la demanda de profesionales capacitados, todos debemos adaptarnos para promocionarnos adecuadamente.

Desarrolle una marca personal para su carrera en pruebas de penetración

Debe pensar en usted mismo como un producto que está intentando vender a un empleador. ¿Qué te hace atractivo? Bueno, ¿qué hace que un producto sea atractivo para una empresa?

Un buen producto les ahorrará tiempo, reducirá sus costos y aumentará sus ingresos. ¿Eres tu? ¿Cómo saben que eres el producto que necesitan?

Aquí es donde entra en juego la marca personal. Usted se anuncia de la misma manera que se anuncian software pagos como Burp Suite Pro, Cobalt Strike y PlexTrack. Demuestra que ofreces habilidades, conocimientos, pasión y determinación que podrían ser de ellos si te contratan.

Ingrese a las redes sociales, particularmente Twitter y LinkedIn. Considere una cuenta de Twitter profesional separada de la habitual. Comparte tus logros. Agradece a los influencers que te inspiran. ¿Completar un curso? Etiqueta al instructor. ¿Pasar una certificación? Etiqueta a la organización y/o al instructor de cualquier curso de preparación que hayas realizado.

Consíguete un blog. Compartir sus experiencias es una excelente manera de hacerse notar. No importa si otros han escrito sobre el tema antes porque usted nunca ha escrito sobre él . Escriba opiniones, tutoriales y experiencias de exámenes (sin romper los acuerdos de confidencialidad), registre su viaje y asegúrese de incluir luchas y victorias.

Cree un excelente currículum para Hackers

En la actualidad existen tres tipos de currículums y deberías considerar crear los tres.

Primero, LinkedIn . Obtenga un perfil de LinkedIn si aún no lo ha hecho. Si está construyendo una red profesional, aquí es donde lo está haciendo. Muchos sitios de solicitud de empleo completarán automáticamente sus formularios desde su perfil de LinkedIn. Los reclutadores rastrean LinkedIn todo el tiempo en busca de talentos potenciales.

En segundo lugar, tenga una plantilla de currículum y carta de presentación tradicional . Muchas empresas todavía quieren cargar un currículum .pdf o .docx.

Los departamentos de Recursos Humanos y los gerentes de contratación a menudo utilizan una búsqueda de palabras clave para seleccionar qué currículums revisar, así que prepárese para editar su currículum y carta de presentación con cada solicitud para utilizar tantas palabras clave de la oferta de trabajo como sea posible.

Por último, un sitio web personal . Puede ser un blog gratuito en Medium, una página de GitHub o un sitio web con su nombre o alias en la URL. Puede descargar plantillas de estilo de currículum para WordPress y otros CMS para facilitar las cosas. Combinar esto con un blog actualizado periódicamente recibirá la mayor atención.

Cómo encontrar trabajos de pruebas de penetración

Hay varios lugares para buscar ofertas de trabajo.

Cyber Security Jobs está diseñado específicamente para nuestra industria y organiza publicaciones por especialización y certificaciones. Le recomendamos que se registre aquí y se registre para recibir alertas de empleo de probadores de pentesters en su área.
LinkedIn tiene una función de búsqueda de empleo. Con una membresía paga, puede proporcionar información sobre cómo sus habilidades se alinean con el puesto de trabajo y cómo se compara con otros solicitantes.
De hecho, es un sitio popular de publicación de empleos. Puede cargar un currículum y permitir que los reclutadores se comuniquen con usted con posibles ofertas de trabajo.
Si se encuentra en los EE. UU., consulte el mapa de calor de oferta y demanda de seguridad cibernética.
Busque empresas de seguridad cibernética en su área y consulte la bolsa de trabajo en su sitio web. Algunos le permitirán registrarse para recibir notificaciones por correo electrónico cuando se publique un puesto.

La entrevista para Pentester

Una vez que obtenga la puntuación de la entrevista, debe prepararse. Por supuesto, habrá las habituales preguntas sobre usted , su experiencia previa , sus fortalezas y debilidades , y otras preguntas probadas y verdaderas.

Ahora son más comunes las preguntas de las entrevistas conductuales. Estas se analizan mejor en el artículo “ 41 preguntas de entrevistas conductuales que debes conocer ” de Akshay Sachdeva en The Martec. El explica,

“El propósito de las preguntas de la entrevista conductual es comprender quién es usted, cómo piensa y cómo aborda los dilemas del mundo real. Sus respuestas a estas preguntas de comportamiento pueden ayudar al entrevistador a evaluar cómo puede (o no) complementar el equipo actual”.

Algunos ejemplos que incluye en el artículo son

Describe un momento en el que no estuviste de acuerdo con un miembro del equipo. ¿Cómo resolviste el problema?
Háblame de algún momento en el que fallaste.
Dame un ejemplo de cuando tuviste que asumir el liderazgo de un equipo.
¿Cuál es la situación más difícil o desafiante que haya tenido que resolver en el lugar de trabajo?
Cuénteme sobre un momento en el que no estuvo de acuerdo con un supervisor.
¿Cómo abordas los problemas? ¿Cuál es tu proceso?

Mi mejor consejo es pensar como un empleador y estar preparado para demostrar cómo cumple o supera los requisitos laborales. Ofrezca ejemplos específicos de experiencias para cada deber/tarea publicada en los requisitos del trabajo utilizando PAR (describa el problema , las acciones que tomó y el resultado ).

Los empleadores contratan personas cuyas respuestas sean creíbles y memorables. Si tiene un historial laboral limitado o nulo, hable sobre las habilidades transferibles que aprendió en la escuela.

Ejemplos de preguntas de entrevista para un evaluador de penetración

Las entrevistas de seguridad cibernética tendrán algunas preguntas muy específicas para el puesto. A continuación se muestran algunos ejemplos para los que debe prepararse.

Preguntas de introducción

¿A dónde vas para investigar las últimas vulnerabilidades?
¿Cuál es el último guión que escribiste?
¿En qué áreas planeas mejorar?
¿Cómo ha retribuido a la comunidad de seguridad de la información?
¿Qué personas u organizaciones sigues en las redes sociales, o qué blogs lees que recomiendas que otros sigan y por qué?

Menos técnico

¿Cuál es el propósito de una prueba de penetración?
Define la diferencia entre equipos rojos, equipos azules y equipos morados.
¿En qué se diferencia una prueba de caja negra de una prueba de caja blanca?
¿Qué harías si vieras señales de una infracción previa durante un pentest?
¿Cuáles son algunos tipos de actores de amenazas?

Técnico moderado

¿Cuáles son las vulnerabilidades de red más comunes?
Defina el secuestro de sesión y algunos métodos.
¿Qué comando de Nmap no hace ping al host?
¿Qué es el Kerberoasting?

Altamente Técnico

¿Puede la inyección SQL conducir a la ejecución remota de código? ¿Cómo?
¿Qué es lo primero que debe hacer antes de que comiencen las pruebas?
Tiene credenciales locales para una máquina pero no credenciales de red. ¿Qué vas a hacer después?
En una red de Active Directory, tiene un nombre de usuario válido pero no tiene credenciales. ¿Qué harías después?
Obtiene una inyección de comando simple en un servidor web a través de la barra de direcciones. ¿Qué harías para conseguir un caparazón?

Para resumir

Si busca una carrera emocionante, desafiante, financieramente gratificante y segura a largo plazo, el probador de penetración es una excelente opción. A pesar de todas las comodidades y prosperidad que nos ha brindado la tecnología moderna, el panorama cibernético sigue siendo un campo de batalla. Las empresas y los gobiernos necesitan hackers que les ayuden a mantenerse seguros. Eso no va a cambiar pronto.

Si eres la persona que buscan, te espera un mundo de oportunidades para trabajar y destacar en este campo. Estos roles se pueden brindar desde la sede de las empresas más grandes del mundo hasta su hogar, desde cualquier parte del mundo. Los únicos límites en esta carrera son tu propia creatividad e ingenio.

Esperamos que este artículo le ayude en su camino para convertirse en un pentester. Si tiene alguna pregunta, háganoslo saber en la sección de comentarios a continuación.

Preguntas frecuentes

¿Puedes trabajar de forma remota como Pentester?

Sí, eventualmente . Sin duda, el mundo ha cambiado desde Covid. Muchos trabajos pasaron a ser remotos para cumplir con las restricciones de bloqueo, y los empleadores descubrieron que hay menos gastos generales y una mejor retención de los empleados manteniéndolo así.

El pentesting suele realizarse desde casa, siempre que tenga una conexión a Internet constante y el hardware necesario. Dicho todo esto, es posible que muchos nuevos en el campo no tengan la libertad inmediata de trabajar desde casa y, en cambio, se les pedirá que sigan a alguien de mayor rango mientras reciben capacitación.

Todo esto dependerá de las políticas particulares que tenga vigente su nuevo empleador.

¿Es el Pentesting un trabajo divertido?

Para muchos, sí . El pentesting es como navegar por un laberinto lleno de trampas y callejones sin salida. Si te fascina ese desafío y te emociona resolver esos acertijos, entonces sí, este es un trabajo divertido.

Después de todo, puedes interpretar el papel del malo, pero de forma legal y sin consecuencias negativas. Tu trabajo consiste en irrumpir en un sistema como un espía o un técnico en una película de atracos. Por supuesto, no todo es emoción.

Hay mucha investigación y uso de inteligencia de código abierto. Está estudiando cada exploit público que pretende utilizar para asegurarse de saber lo que está haciendo. Hay mucha documentación e informes que completar. Pero a quienes disfrutan de este trabajo les encanta.

¿Es estresante ser un Pentester?

Por lo general, no; depende del puesto específico y del día. Es posible desactivar accidentalmente una red si no se tiene cuidado. Tratar de convencer a la gerencia ajena a la seguridad de que es necesario solucionar un problema importante puede ser difícil, especialmente si la solución requiere dinero.

Es posible que su contacto técnico dentro de la organización del cliente esté contento de trabajar con usted, pero es posible que se sienta resentido porque está haciendo agujeros en su red, lo que puede dificultar el trabajo.

Los puestos más altos conllevan más estrés, ya que ahora se trata de políticas de la empresa no relacionadas con el pentesting. Sin embargo, en general el trabajo es más interesante que estresante.

¿Es aburrido trabajar como Pentester?

No.

Hay una broma corriente en Infosec Twitter. Windows tiene lo que se llama “Martes de parches”, donde, el segundo martes de cada mes, lanzan parches de seguridad para sus sistemas. Para los especialistas en ciberseguridad, el día siguiente se llama “Miércoles de explotación”, donde todos trabajan para subvertir los nuevos parches. Incluso puedes encontrar camisetas online con el eslogan.

El punto al que nos referimos es que el panorama de amenazas cambia constantemente. Los ciberdelincuentes siempre están desarrollando nuevas formas de ingresar a los sistemas. Como pentester, se le pedirá que se mantenga al día con los nuevos vectores de ataque, cómo explotarlos y cómo remediarlos. Este no es un trabajo estancado y nunca dejas de aprender.

¿El Pentesting requiere muchas matemáticas?

No . Independientemente de lo que le haya dicho un consejero de la escuela secundaria, no se requieren matemáticas en este trabajo, excepto calcular la factura de su cliente.

¿Es difícil ser un Pentester?

Esta es una cuestión de perspectiva . Habrá conceptos difíciles y algunas cosas requerirán conocimientos más técnicos. Sin embargo, las habilidades que te llevarán más lejos son la capacidad de pensar críticamente, el deseo y la pasión por aprender y la atención al detalle.

Si tiene la mente para investigar y la paciencia para investigar, puede aprender las habilidades técnicas necesarias para completar el resto del camino.

¿Es ser Pentester una buena carrera?

Sí . La respuesta es un claro y rotundo sí por todos los motivos que hemos mencionado hasta este punto.

¿Cuánto tiempo lleva aprender a convertirse en u Pentester?

Depende de dónde empieces y de lo que consideres el final.Si tiene experiencia en TI, podrá progresar mucho más rápido que si necesita aprender los conceptos básicos de redes y sistemas Linux.

Le brindamos una hoja de ruta de estudio para que sepa qué cursos y certificados debe tomar y en qué orden, según sus habilidades actuales y objetivos profesionales.

A partir de este momento, conseguir un trabajo debería llevar entre 6 y 12 meses .

Conclusión:

En conclusión, el camino para convertirse en un hacker ético o pentester implica un compromiso constante con la educación, la práctica y el desarrollo de habilidades. Con la evolución constante de las amenazas cibernéticas, la demanda de profesionales de ciberseguridad sigue en aumento. Al aprovechar los recursos disponibles y mantenerse actualizado, puedes forjar una carrera sólida y contribuir de manera significativa a la defensa contra las crecientes amenazas en el ciberespacio.

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre los autores

Álvaro Chirou

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 1.800.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma. Puedes serguirme en mis redes:

Laprovittera Carlos

Soy Laprovittera Carlos Analista de Sistemas, SysAdmin y Ethical Hacker con más de 20 años de experiencia brindando soporte y servicios de programación y seguridad para profesionales, seguros, bancos y empresas. Puedes saber mas de mi y de mis servicios en mi sitio web: laprovittera.com y seguirme en mis redes:

NOS VEMOS EN EL CAPITULO 8: Cómo Iniciarse en CTF Aprende a hackear de forma práctica en 2024