Tabla de contenidos

Bienvenidos a la guía 2024 de Cómo Iniciarse en Hacking y Ciberseguridad.

Este articulo tiene como objetivo servir como guía para los que se están iniciando en seguridad informática y va a estar en continuo cambio, renovándose, agregando cursos, recomendando profesionales y hasta compañeros para transitar juntos este camino, tomaré en cuenta sus recomendaciones para ir ampliándolo. Aquí no hablaremos solo de hacking y seguridad, sino que también abordaremos temas importantes como aprender más eficazmente y ser un buen profesional.

No hay una ruta mágica ni una receta que les sirva a todos, lo que me sirvió a mi tal vez no les sirva a ustedes. Esto no es un camino de A a B, más que un camino diría que es un laberinto.

¿Cuánto tiempo les va a llevar aprender? Depende de muchos factores, desde lo que quieran aprender hasta las capacidades que tengan y la voluntad que pongan.

¿Cuándo van a conseguir su primer trabajo? lo mismo, sin recetas mágicas, una mezcla de voluntad, capacidad y sin duda suerte. Tengo amigos que apenas terminaron el curso más básico de CEH empezaron a trabajar, crudos y a medio amasar, pero arrancaron. Otros con varios cursos y un par de certificaciones les llevo más de un año. Vean este articulo como lo que es: un mapa, es mejor navegar con un mapa que sin él, pero sepan que el mapa no es el terreno.

En el dinámico mundo de la ciberseguridad, iniciar un viaje en el hacking ético requiere más que nunca un enfoque estructurado y actualizado. En este artículo, exploraremos los pasos fundamentales para adentrarse en el fascinante y crítico campo de la ciberseguridad en el año 2024. Desde los conceptos básicos hasta las habilidades avanzadas, proporcionaremos una guía práctica para aquellos que buscan convertirse en profesionales de la seguridad digital.

¿Te gustaría enterarte de cuando lanzamos descuentos al Máximo o Nuevos Cursos?

Lo que vas a aprender en esta guía de Hacking y Ciberseguridad

Esta guía va a tener una actualización constante durante todo el año. Para no hacer de esta guía un post maratónicamente largo voy a dividirlo en varios capítulos que van desde como iniciar en hacking y ciberseguridad, pasando por conocimientos básicos como Redes, Linux, Programación, Hasta como obtener certificaciones y trabajo. Cada capítulo contiene links a otros posts en donde desarrollo mejor cada tema y a webs externas que complementan este material. Este artículo se divide en 10 capítulos:

7 Recomendaciones para estudiar Hacking

1. Ten una ruta de aprendizaje o busca a un mentor que te guie:

Evita tomar cursos aislados y aprender cosas de forma desorganizada. Ten en claro donde estas y donde quieres llegar. Ahorraras mucho tiempo, esfuerzo y dinero. En esta guía te daremos una/varias rutas para que elijas la tuya. https://achirou.com/ruta-de-aprendizaje/

2. Toma contacto con TODO el material del curso:

Mira, escucha, lee superficialmente lo que vas a aprender. Tener una idea general te permite comprender mejor que estas aprendiendo y hacia dónde se dirige cada paso que das. Si estás viendo un curso en video te recomiendo verlo rápido primero y luego ir paso a paso realizando las práticas.

3. Estudia todo el tiempo que puedas:

Llevo cursos conmigo todo el tiempo. Aprovecha al máximo tu tiempo que nunca es mucho. Yo lo hago en cada viaje, en cada espera. Tanto el celular como la notebook nos dan esa gran libertad. Si estudias desde Udemy puedes descargar los videos para verlos sin conexión a internet.

4. Ten tu espacio para estudiar en profundidad y practicar:

que esto no es fácil. Pero haz lo posible por tener tu espacio. Donde puedas estar concentrado y tengas todas las herramientas para obtener el mayor rendimiento.

5. Puedes con todo, pero no con todo a la vez:

concéntrate en una sola cosa. Lo sé, queremos aprenderlo todo y lo queremos hacer ya. lleva tiempo asimilar e integrar nuevos conceptos. Pero es más fácil si estos se integran con otros conocimientos previos.

6. No estás solo:

Ya sea que estudies online o vayas a la universidad. Participa activamente en comunidades, foros y grupos en telegram. Toma el tiempo para buscar a los mejores del grupo o clase. Para ser un fuera de serie debes juntarte con personas fuera de serie. te dejo el link a nuestros canales en donde podrás ser ayudado por la comunidad, resolver tus dudas y encontrarás mucho material nuevo y gratis para que avances más rápido en tu camino: https://t.me/achackinghttps://t.me/recursoshacking

7. Capacitación continua:

No te oxides, no pierdas el ritmo. No quedes obsoleto ni te conviertas en material de arqueología. Todo avanza muy rápido y en esta nueva era, desaprender y volver a aprender es vital.

También te puede interesar este articulo en donde profundizo mas este tema: 

Aprende a estudiar ciberseguridad y hacking

Domina la ciberseguridad y hacking con nuestra guía definitiva. Descubre estrategias efectivas para el aprendizaje y eleva tu expertise.

El aprendizaje es algo que lleva tiempo, mejor ser constante que hacer maratones y luego abandonar. Para tener una mejora constante necesitan subir la vara. Siempre es mejor ser cola de león que cabeza de ratón. Ser un experto es mucho más que las famosas 10000hs de práctica. Les dejo un video que explica esto:

Definamos de que va esto

Para los que están interesados en el mundo del Hacking, acá les comparto algunos tips para arrancar y aprender más. Antes de empezar, quiero dar una definición del Hacking: es cuando alguien con conocimientos en informática accede a sistemas o redes, ya sea autorizado o no, para identificar posibles debilidades de seguridad y buscar maneras de mejorarla. Pero a veces, esta actividad se asocia con cosas malas como el robo de datos o manipulación de sistemas. Por eso, en este artículo nos enfocaremos en el Ethical Hacking, que es hacer lo mismo pero de manera correcta y legal.

El Ethical Hacking es cuando alguien con habilidades en informática busca descubrir vulnerabilidades en los sistemas con el objetivo de mejorar su seguridad. Por lo general, los hackers éticos trabajan en empresas de seguridad informática o de manera independiente. Entre las técnicas que se usan, podemos encontrar el escaneo de puertos y servicios, explotación de vulnerabilidades, análisis de código fuente, escalada de privilegios, movimientos laterales, ingeniería inversa, y más. Estas técnicas se pueden hacer manualmente o con herramientas automatizadas.

¿Quién no quiere aprender a hackear? 🤔

¿Quién no quiere aprender un superpoder basado en habilidades que podría usarse para bien… o para mal?

Si bien yo llevo 20 años en IT y siempre estuve en temas de seguridad hoy por hoy vivo exclusivamente de esto. Hoy formar parte de una grupo me permite aprender cada vez mas día a día y compartir conocimientos de hacking siendo parte de una comunidad única que hace que la habilidad de hackear sea accesible para cualquiera que esté dispuesto a aprenderla.🤘 

En esta publicación, comparto la verdad detrás de la maravillosa magia que es el hacking. ¡Verás lo que se necesita para aprender a hackear desde cero y los pasos necesarios para comenzar! 

Una definición de libro de texto de hacking es el acto de encontrar debilidades explotables en sistemas informáticos, dispositivos digitales o redes para obtener acceso no autorizado a sistemas y datos. Sin embargo, el verdadero hacking es más que eso. 

Es una disciplina técnica y una mentalidad que requiere pensamiento innovador, creatividad y perseverancia frente a desafíos cambiantes e imprevistos. ¿Qué sucede cuando sigues un camino establecido para exponer una vulnerabilidad o falla y no hay nada que encontrar? ¿Cómo evitas la detección una vez que te has infiltrado en un sistema seguro? ¿Cómo se pueden mejorar las defensas del objetivo que estás hackeando? 

Esta mentalidad innovadora se aplica a los diferentes tipos de piratería, que incluso incluyen la física (probar la seguridad de una ubicación) y la social (explotar errores humanos o vulnerabilidades). 

Hacker Vs Ciberdelincuente

Muchas referencias al hacking lo describen como una actividad maliciosa orquestada por «magos de la tecnología» que usan sudaderas con capucha. Este no es el caso. En este blog y en nuestros cursos, defendemos el hacking ético porque es similar a una habilidad técnica que puede usarse para un bien mayor: ayudar a proteger la infraestructura y las personas modernas.

El hacking ético requiere el conocimiento y el permiso de la empresa antes de la infiltración. Se trata de encontrar los puntos débiles antes de que lo hagan los cibertelincuentes y corregir cualquier falla antes de que puedan explotarlos. 

Las organizaciones contratan hackers éticos  para simular de forma proactiva ataques contra sus redes, dispositivos, software, usuarios, aplicaciones y casi cualquier cosa que pueda exponerlos. Esto les permite estar un paso por delante de cualquier pirata informático infame al obtener información y mejorar las debilidades. 

Al fin y al cabo, estos profesionales de la seguridad están ahí para ayudar a las empresas y hacer todo lo que esté a su alcance para mantenerlas lo más protegidas posible. Tener un conjunto de pautas distingue a los buenos de los ciberdelincuentes y también permite a las empresas emplear hackers con más confianza.  

Diferentes tipos de Hackers

El hackingno es innatamente «bueno» o «malo». Al igual que Internet en sí, o cualquier dispositivo digital al alcance de todos nosotros, podría usarse para ambos propósitos dependiendo de la intención del usuario y de cómo realiza sus acciones. Esta es la razón por la que los hackers suelen agruparse según su intención:

Hackers de sombrero blanco:

Los hackers de sombrero blanco o éticos a menudo se describen como los “buenos”. Fortalecen la seguridad evaluando un sistema informático, red, infraestructura o aplicación con la intención de encontrar vulnerabilidades y fallas de seguridad que los desarrolladores u otros profesionales de la seguridad pueden pasar por alto.

Script kiddies:

Personajes poco cualificados que utilizan scripts o programas desarrollados por otros para realizar ataques, pero que no comprenden realmente cómo funcionan las cosas. Los script kiddies utilizan kits de explotación prediseñados o programas separados porque no pueden escribir herramientas maliciosas por sí solos. Los motivos del hackeo suelen ser personales, como impresionar a sus amigos, vengarse o divertirse.

Hacker de sombrero negro:

Los hackers de sombrero negro son ciberdelincuentes que irrumpen en redes y sistemas con intenciones maliciosas. Un ejemplo de un (ex) hacker de sombrero negro era Kevin Mitnick, conocido por hackear grandes organizaciones como IBM, Motorola y el sistema de Defensa Nacional de Estados Unidos. Afortunadamente, Kevin luego se paso al equipo White Hat. Lamentablemente falleció el año pasado. Remenber Kevin!

Hacker de sombrero gris: 

Los hackers de sombrero gris se encuentran en algún lugar entre los hackers de sombrero blanco y negro. Si bien sus intenciones son generalmente bondadosas, sus acciones suelen ser ilegales porque infiltrarse en sistemas y redes sin acceso autorizado es ilegal. 

Hacker de sombrero gris es un término para alguien que puede estar actuando por las razones correctas pero utilizando enfoques poco éticos.

Sus intenciones pueden ser puras (es decir, buscar errores en el sitio web de una empresa), pero si operan fuera de los límites de un programa formal de recompensas por errores o un contrato para pruebas de penetración, aún así están infringiendo la ley.  

Dato curioso: estos términos están inspirados en el simbolismo de las películas occidentales en las que los héroes llevaban sombreros blancos y los villanos llevaban sombreros negros. 

Algo de vocabulario

Infosec : Seguridad de la información, que es la práctica de impedir el acceso, uso, divulgación, interrupción, modificación, inspección, registro o destrucción no autorizados de la información. La información o los datos pueden adoptar cualquier forma, por ejemplo, electrónica o física. Infosec también puede ser una persona que practica la seguridad ética.

Opsec : Seguridad de operaciones, que es un proceso que identifica información crítica para determinar si la inteligencia enemiga puede observar las acciones amigas, determina si la información obtenida por los adversarios podría interpretarse como útil para ellos y luego ejecuta medidas seleccionadas que eliminan o reducen al adversario. explotación de información crítica amigable.

Red Team: Es un grupo independiente que desafía a una organización a mejorar su efectividad asumiendo un rol o punto de vista adversario. Es particularmente eficaz en organizaciones con culturas sólidas y formas fijas de abordar los problemas. La comunidad de inteligencia de Estados Unidos (militar y civil) tiene equipos rojos que exploran futuros alternativos y escriben artículos como si fueran líderes mundiales extranjeros. Existen pocas doctrinas o publicaciones formales sobre Red Teaming en el ejército. En los ejercicios de seguridad de la información, los miembros del Equipo Rojo desempeñan el papel de atacantes.

Blue Team: Es un grupo de personas que realizan un análisis de los sistemas de información para garantizar la seguridad, identificar fallas de seguridad, verificar la efectividad de cada medida de seguridad y asegurarse de que todas las medidas de seguridad sigan siendo efectivas después de su implementación. Como resultado, se desarrollaron equipos azules para diseñar medidas defensivas contra las actividades del equipo rojo. En los ejercicios de seguridad de la información, los miembros del equipo azul desempeñan el papel de defensores.

¿Qué es un Pentester?  

El objetivo de los hackers éticos es encontrar estas debilidades para poder corregirlas o protegerlas antes de que otros las exploten. Los pentesters son hackers empleados por empresas para probar sistemas y redes.

Los hackers profesionales operan bajo un código de ética. La organización profesional de ciberseguridad, (ISC) 2, por ejemplo, tiene un código de ética que consta de cuatro pilares:

  1. Proteger la sociedad, el bien común, la necesaria confianza pública y la infraestructura.
  2. Actuar con honor, honestidad, justicia, responsabilidad y legalidad.
  3. Proporcionar un servicio diligente y competente a los directores.
  4. Promover y proteger la profesión.

Entonces ¿Qué hace un hacker ético? 

El objetivo de un hacker ético es ayudar a descubrir y recomendar soluciones para fallas ocultas en redes y sistemas antes de que sean explotadas. Las empresas pedirán a los hackers que hagan esto en sistemas, redes o infraestructuras específicas que estarán dentro del alcance de las pruebas. 

Luego utilizarán herramientas de piratería ética para detectar vulnerabilidades de seguridad, documentar procesos y actividades, y redactar informes  para colegas y el cliente.  Ejemplos específicos de las actividades diarias de un hacker ético incluyen:

  • Realización de evaluaciones de vulnerabilidad de aplicaciones web/redes. 
  • Escaneando redes con una herramienta como Nmap . 
  • Realización de un análisis de estructura y protocolos de red con una herramienta como Wireshark .
  • Procesar y revisar grandes cantidades de datos o buscar archivos compartidos para buscar contraseñas (he pasado días enteros buscando detalles de inicio de sesión en archivos compartidos). 
  • Enumerar y atacar entornos de Active Directory y aplicaciones web.
  • Comunicarse con los clientes y ayudar a los altos directivos y titulares de cuentas con informes de seguridad y responder preguntas de los clientes; esto podría incluir llamadas de ventas o lanzamientos de proyectos. 
  • Documentar los hallazgos en un informe formal que contenga detalles de alto nivel para lectores no técnicos y detalles técnicos para que aquellos encargados de remediar cualquier hallazgo puedan reproducir el problema.

No todo el tiempo de un hacker se dedica a «hackear». Al menos el 25% se gastará en escribir documentación, comunicarse con los clientes e informar sobre actividades y hallazgos a las partes interesadas internas y externas. 

¿Alguien puede aprender a hackear?  

La respuesta corta es: sí, la mayoría de las personas pueden aprender a hackear siempre que se den suficiente tiempo, tengan la actitud correcta y se comprometan con el proceso que tienen por delante. Dicho esto, hay rasgos compartidos entre los hackers exitosos que indican cuánto disfrutarás aprendiendo a hackear: 

Persistente y metódico 

Ser capaz de persistir en un problema hasta que se resuelva y abordarlo de forma metódica es esencial en el hacking. No sólo por poder persistir en un problema hasta que se solucione sino también por realizar tareas rutinarias que, para ser sinceros, pueden resultar aburridas y repetitivas. 

Pasión por la resolución de problemas :

Una certificación universitaria o de capacitación reconocida ciertamente te ayuda a adquirir los conocimientos y las habilidades necesarias para trabajar como pentester; ¡Pero un gran hacker es un tenaz solucionador de problemas en el fondo! 

La capacidad de pensar fuera de lo común:

Para defenderte de un atacante, debes pensar y actuar como tal. Esto requiere la capacidad no sólo de respetar, sino también de pensar más allá de las prácticas rutinarias como las revisiones de firewall y el escaneo de vulnerabilidades conocidas. Para pensar de forma innovadora, primero hay se debe tener una base técnica y una comprensión de cómo piensan y actúan las diversas personas involucradas en el sistema. 

Si comprende las suposiciones que hace un desarrollador al implementar un protocolo o un fragmento de código, puede pensar de manera innovadora para descubrir nuevas vías de ataque. Del mismo modo, si sabes cómo piensa un atacante potencial, puedes ver cómo podría combinar una cadena de exploits para afianzarse en una máquina, moverse lateralmente en una red y pasar desapercibido.

Las pruebas de penetración en el mundo real requieren un elemento de intuición humana pura. Si no fuera necesaria la intuición humana, entonces un programa ya habría resuelto la seguridad. Esto demuestra que no se puede confiar en el pensamiento programático o orientado a herramientas porque la creatividad, la adaptabilidad y el pensamiento innovador son fundamentales.

Amor por aprender:

la mayoría de los hackers profesionales que conozco disfrutan aprendiendo, lo cual tiene sentido considerando lo rápido que se mueve el mundo en seguridad. Y esa es una de las muchas ventajas de aprender a hackear; Siempre hay nuevo hardware, aplicaciones, conceptos y vulnerabilidades para explorar. Eres libre de especializarte, mejorar tus habilidades o seguir una carrera (no es ningún secreto que los hackers profesionales tienen una demanda extremadamente alta) en cualquier especialidad que desees. 

Aquí es donde te preguntas si realmente disfrutas resolviendo problemas. 

Si tiene todos los atributos mencionados anteriormente, conocimiento técnico, perseverancia y creatividad innovadora, ¿disfruta aplicándolos para resolver problemas arcanos que podrían ser solo una pieza de un rompecabezas de 1000 piezas? Entonces estas en el lugar correcto.

En resumen las cualidades que debes tener para ser un Buen Hacker:

  • Debe seguir una sólida ética de trabajo.
  • Deberías ser bueno en el enfoque de resolución de problemas.
  • Deberías ser bueno en habilidades de comunicación.
  • Siempre debes mantenerte motivado.
  • Deberías ser bueno resolviendo problemas.
  • Debes estar mentalmente preparado para afrontar los peores casos.
  • Deberías ser bueno en Ingeniería Social.

Si no tienes algunas de estas habilidades, necesitas invertir tiempo y aprenderlas porque estas habilidades sociales no te ayudarán solo en hacking sino también en toda tu vida.

Cuando comencé, había menos recursos disponibles públicamente que los que hay ahora y practicamente nada en español. La mayor parte de nuestro aprendizaje se realizó a través de foros. Hoy en día, el contenido y la capacitación son más accesibles con plataformas. 

¿Por dónde deberían empezar los hackers principiantes?  

Los principiantes deben comenzar con las habilidades fundamentales de ciberseguridad que siempre necesitarán al piratear: redes, Linux, Windows y secuencias de comandos. Independientemente de cuán avanzados o básicos sean sus exploits, siempre recurrirá al conocimiento y las habilidades relacionadas con estos dominios centrales. Dominar estos fundamentos también acelerará su capacidad para aprender conceptos, técnicas y herramientas de hacking más avanzados.

La seguridad no es EL área ideal por donde iniciarse en informática, sin embargo, tampoco es imposible. Llevará un poco más de tiempo y es fuerzo, pero se puede. En la siguiente imagen muestro los pre-requisitos ideales necesarios para iniciarse en seguridad. Una base mínima es saber de redes, Linux, programación (al menos Python) e inglés. Se puede arrancar sin saber programar e inglés (dependiendo el área), pero más temprano que tarde vas a tener que aprender.

Veamos un muy breve resumen. más adelante abordaremos estos con mayor profundidad:

Redes:

La mayoría de las cosas en hacking o ciberseguridad giran en torno a una red. Esta es la razón por la que un conocimiento firme de los fundamentos de las redes es fundamental para los hackers principiantes que están aprendiendo a manejar. 

Comprender cómo están estructuradas las redes y cómo se comunican los dispositivos significa que puede identificar, proteger, explotar y, por supuesto, remediar las debilidades de las redes. Con este conocimiento, sabrá qué servicios se ejecutan en un servidor, qué puertos y protocolos utilizan y cómo se comporta el tráfico.

Protocolos : los protocolos TCP/IP forman la base de la comunicación de red moderna. Los hackers deben tener una base sólida de protocolos como IP, TCP, UDP, ICMP y DNS. Saber cómo funcionan estos protocolos y sus vulnerabilidades permite a los hackers identificar posibles debilidades y explotarlas si es necesario.  

Cortafuegos y enrutadores: son fundamentales para proteger las redes. Los hackers deben comprender cómo funcionan estos dispositivos, incluidas sus configuraciones, conjuntos de reglas y mecanismos de seguridad. La familiaridad con las tecnologías de firewall y enrutador permite a los hackers analizar el tráfico de la red, identificar posibles vulnerabilidades y recomendar medidas de seguridad adecuadas.  

Redes inalámbricas: se han convertido en una parte importante de nuestra vida cotidiana, los hackers deben poseer conocimientos de los protocolos inalámbricos, los métodos de cifrado y las vulnerabilidades asociadas con las redes Wi-Fi. Comprender conceptos como WEP, WPA, WPA2 y WPA3, así como técnicas como la detección de puntos de acceso no autorizados y la captura de paquetes inalámbricos, permite a los hackers evaluar la seguridad de las redes inalámbricas. 

Un buen inicio podría ser el gestionar el router de casa utilizando las diferentes funcionalidades como, por ejemplo, filtrar por MAC Address, abrir puertos (port forwarding), NAT.

  • Firewall, módulos IDS, IPS, etc
  • WAF y lista blanca

Linux

Un sistema operativo es un software que administra todos los recursos de hardware asociados con una computadora. Eso significa que un sistema operativo gestiona la comunicación entre el software y el hardware. 

Aprender Linux es un paso esencial e inevitable en la ciberseguridad porque Linux cubre alrededor de dos tercios de los servidores del mundo, incluido macOS, que también está basado en Linux. Los sistemas operativos basados ​​en Linux se ejecutan en servidores, mainframes, computadoras de escritorio, sistemas integrados como enrutadores, televisores, consolas de videojuegos y más. 

Bash es un lenguaje de interfaz de línea de comandos que se utiliza para realizar instrucciones y solicitudes a sistemas operativos como Linux. Como hacker, aprender a crear scripts bash (que son una colección de comandos) le ayudará a aprovechar todo el poder del sistema operativo Linux al automatizar tareas y permitirle trabajar con herramientas.

Windows

Es importante comprender cómo navegar por el sistema de archivos y la línea de comandos de Windows, ya que se utilizan mucho en entornos corporativos. Durante las pruebas de penetración los hackers a menudo necesitarán obtener acceso a un host de Windows. 

Además, muchos servidores se ejecutan en Windows y la mayoría de las empresas implementan estaciones de trabajo Windows para sus empleados debido a la facilidad de uso para las personas y la administración centralizada que se puede aprovechar mediante Active Directory. 

Programación (al menos Python)

Python es un lenguaje de programación muy utilizado dentro de la ciberseguridad. Ofrece marcos que simplifican las tareas relacionadas con el hacking (por ejemplo, desarrollo de exploits). Python es un poderoso lenguaje de programación de nivel básico que se debe aprender a piratear porque es versátil, relativamente fácil de aprender y desempeña un papel importante a la hora de comprometer sistemas y redes. Lo usarás para:

  • Automatizar tareas
  • Escribir scripts personalizados
  • Extraer datos de la web 
  • Analizar paquetes y datos.
  • Identificar y desarrollar malware 

Bash/Shell: permitirán a los piratas informáticos éticos optimizar tareas repetitivas, realizar operaciones a nivel de sistema y manipular datos de manera eficiente.

C/ C++: Es un lenguaje de programación de bajo nivel que proporciona una comprensión más profunda del imán de memoria, las interacciones del hardware y los exploits. Todo esto facilitará la vida como hacker ético.

JavaScript: comprender JavaScript le ayudará a identificar vulnerabilidades en las aplicaciones web, ya que las aplicaciones web suelen ser los objetivos principales de los piratas informáticos.

Lenguaje de consulta estructurado (SQL): SQL se utiliza para interactuar con bases de datos y es importante para identificar y explotar cualquier vulnerabilidad de la base de datos. Como la mayoría del software basado en web almacena información valiosa, como las credenciales de los usuarios, en algún tipo de base de datos. Entonces, cuando tenga un buen conocimiento de bases de datos y lenguajes como SQL, podrá protegerlos y contrarrestar cualquier ataque a las bases de datos.

PHP: te permite llevar sus aplicaciones web desde aburridos sitios web estáticos hasta elegantes caballos de batalla impulsados ​​por el back-end. Podrás crear aplicaciones útiles para almacenar datos y mucho más. La desventaja de este lenguaje es que permitirá algunas cosas que lenguajes más estrictos como ASPX no permiten. Pero dado que puedes implementar fácilmente una aplicación PHP y obtener un poco más de tolerancia a errores, es una gran ventaja.

También es útil familiarizarse con:

  • Codificar pequeños scripts
  • Leer sobre Desarrollo Seguro
  • Git

Análisis de Seguridad

  • Conocer sobre los tipos de test de seguridad que existen (test de intrusión, phishing, ingeniería social, DoS, etc.).
  • Qué es una vulnerabilidad.
  • Qué es un exploit (0 -DAY), qué es un payload y cuál es la diferencia.
  • Aprender que es OWASP y su famoso TOP 10.
  • Qué es Nmap, como utilizarlo.
  • Conocer las herramientas más usadas de hacking (Metasploit, Hydra, JohntheRipper, Hashcat, Nessus, Nikto, Burpsuite, SQLMAP, OWASP ZAP, etc).
  • Aprender a usar operadores como Google Dorks.
  • Utilizar plataformas para ejercitarse como Hack The Box, DVWA, entre otras

Aprende inglés

𝗜𝗻𝗴𝗹é𝘀 𝗹𝗮𝗯𝗼𝗿𝗮𝗹 𝗴𝗿𝗮𝘁𝗶𝘀 𝘆 𝗿𝗲𝗰𝘂𝗿𝘀𝗼𝘀 𝘀𝘂𝗽𝗲𝗿 ú𝘁𝗶𝗹𝗲𝘀. Cursos para ir subiendo de nivel, uno de inglés de negocios y otro de vocabulario de viaje

Crea un potente plan de formación para optimizar el aprendizaje  

La mayoría de los humanos (normales) no entenderán suficientemente bien toda esta nueva información de la noche a la mañana si aprenden a hackear desde cero. Así que tómate el tiempo suficiente para desarrollar una comprensión firme de los fundamentos. 

Te sugiero que te tomes un poco de tiempo para desarrollar un plan organizado o un cronograma para estudiar y dominar los conceptos básicos. Esto te ayudara:

  • Prevenir sentimientos de abrumador y agotamiento.
  • Mide tu progreso y realiza un seguimiento de tu viaje. 
  • Supere la inevitable frustración y los obstáculos que son perfectamente normales al aprender nuevas habilidades. 

Digamos que tienes dos a cuatro horas al día para estudiar, deberás dedicar al menos de cuatro a ocho meses a los fundamentos mientras miras algunos videos de contenido retirado en YouTube. Tómese dos meses para cada dominio: redes, Linux, Windows y Python, además de cualquier script como bash/powershell (opcional) para construir una base sólida. ¡Este enfoque realista combinado con cursos guiados de ciberseguridad y ejercicios prácticos de ciberseguridad significa que comenzará a trabajar!

Además debes enfocarte en una área, aprenderla lo más a fondo posible y tratar de monetizarla. Es improbable que seas contratado si sabes un poquito de todo pero no sabes hacer nada bien.

Define tu rol en seguridad informática

Hay muchas áreas. En este link podrás ver más ampliamente esta imagen.

Puede parecer que la elección que está a punto de tomar es definitiva, pero nada más lejos de la verdad. Todas las opciones a continuación son solo un punto de entrada a lo que es un campo muy fluido que puede permitirnos interactuar y aprender cosas de otras disciplinas. Al igual que la ciencia, eventualmente necesitamos saber cosas de muchas disciplinas para convertirnos en un buen hacker.

¿Tipos de hacking ético?

Dado que prácticamente todos los componentes de los sistemas pueden ser hackeados, existen varios procedimientos de hackeo. Hackear un componente requiere una comprensión profunda de este. Algunos enfoques distintos incluyen:

Hackeo de aplicaciones web

El hackeo de webs puede parecer un campo limitado, pero puede dar lugar a muchas opciones. Puede probar suerte y nivel de habilidad contra otros hackers en la búsqueda de recompensas por errores o podemos realizar trabajos más estables, como pruebas de penetración. Lo bueno del hackeo de aplicaciones web es que también nos permitirá realizar exploits muy funcionales o muy técnicos.

Los sitios web y las aplicaciones basadas en la web son formas muy comunes para que las personas compartan y obtengan información en línea, lo que los convierte en objetivos ideales para los ciberataques. Por lo tanto, los hackers deben comprender cómo proteger los datos digitales en línea contra ciberdelincuentes. 

Debe poder identificar y corregir fallas o vulnerabilidades de las aplicaciones web si desea ser considerado un hacker. Debe comprender HTML y poder manejar código escrito en lenguajes de programación de aplicaciones web estándar, como JavaScript y PHP. stos son los aspectos clave de la seguridad de las aplicaciones web: 

1)  Cross-Site Scripting (XSS) : los atacantes inyectan scripts maliciosos en las páginas web, comprometiendo la integridad de la aplicación y potencialmente robando información confidencial .   

2)  Inyección de SQL : los atacantes aprovechan los campos de entrada mal desinfectados para inyectar código SQL malicioso, lo que les permite manipular la base de datos y obtener acceso no autorizado .   

3)  Falsificación de solicitudes entre sitios (CSRF) : los atacantes engañan a los usuarios para que realicen acciones no deseadas en una aplicación web explotando su sesión autenticada .   

4)  Configuraciones erróneas de seguridad : servidores, marcos o componentes configurados incorrectamente pueden provocar información confidencial expuesta, acceso no autorizado u otros problemas de seguridad. 

5)  Autenticación y gestión de sesiones rotas : los mecanismos de autenticación débiles o el manejo inadecuado de la sesión pueden provocar acceso no autorizado o secuestro de sesión.

Hackeo de red

Hackear redes es muy técnico; si persigues esta especialización, podrías convertirte en pentester o haciéndote cargo de una red para proteger, gestionar y responder a incidentes. Para llegar allí, deberá centrarse en la ingeniería de redes con certificados básicos como CCNA de Cisco que ayuden a fortalecer nuestro conocimiento, aunque con menos enfoque en la seguridad y más en el conocimiento general de la red.

Como hacker en materia de seguridad, puede probar sitios como hack-the-box y vulnhub que nos permiten practicar nuestras habilidades de piratería y luego obtener certificados de seguridad como eJPT y OSCP.

Análisis de malware

Analizar el malware puede resultar un poco más complicado, pero las recompensas son mucho mayores. Los hackers pueden esperar un trabajo más especializado en el que el aprendizaje desempeñará un papel central. Para llegar hasta aquí, tendremos que centrarnos más en el análisis de código estático y en la descompilación de aplicaciones.

Ingeniería social

La ingeniería social es la técnica de influir en las personas para que revelen información confidencial. Los delincuentes utilizan la eugenesia porque es más fácil atacar su incapacidad natural para confiar que descubrir cómo falsificar su dispositivo. 

Además de tácticas técnicas, los ciberdelincuentes emplean estrategias psicológicas para dañar a las personas y para engañar a los usuarios legítimos para que revelen contraseñas u otra información privada a un tercero, que posteriormente utilizan para acceder a un sistema.

También pueden utilizar correos electrónicos, sitios de destino y anuncios digitales engañosos para engañar a los consumidores y obligarlos a abrir un archivo adjunto o hacer clic en un enlace que contiene malware. Para aprender a contrarrestar eficazmente estas estrategias, los hackers también deben aprender técnicas de psicología e ingeniería social.

Los hackers éticos deben conocer estas técnicas para comprender y prevenir ataques de ingeniería social. Aquí hay tres técnicas comunes de ingeniería social:  

1)  Phishing : el phishing es una técnica de ingeniería social frecuente en la que los atacantes se hacen pasar por entidades confiables para engañar a las víctimas y obligarlas a revelar información confidencial. Por lo general, utilizan correos electrónicos, mensajes de texto o sitios web falsos para engañar a las personas para que proporcionen datos confidenciales, como credenciales de inicio de sesión, detalles financieros o información personal.  

2)  Pretexto : El pretexto implica crear un escenario o pretexto falso para engañar a las personas para que divulguen información o realicen acciones que normalmente no harían. Los atacantes pueden hacerse pasar por personas legítimas o figuras de autoridad para ganarse la confianza del objetivo. Manipulan las emociones, crean urgencia o explotan las tendencias humanas para manipular a las víctimas para que compartan información confidencial.  

3)  Baiting : una técnica común de ingeniería social que atrae a las personas con una promesa o recompensa para explotar su curiosidad o deseo de beneficio personal. Los atacantes pueden dejar medios físicos infectados, como unidades USB o CD, en lugares públicos, con la esperanza de que alguien los recoja y los conecte a sus dispositivos. Una vez conectado, se instala malware, lo que otorga al atacante acceso no autorizado. 

Criptografía

La criptografía describe el proceso de convertir un dato legible (como texto o datos numéricos) a un formato no legible para enviarlo entre dispositivos o redes sin que un tercero pueda entenderlo incluso si logra leerlo.

Es importante que los piratas informáticos comprendan los diferentes métodos de cifrado y conozcan sus debilidades para poder probar las redes y los canales de comunicación y protegerlos de los piratas informáticos de sombrero negro.

Esto es importante no sólo para combatir a los piratas informáticos malintencionados, sino también para evitar que personas dentro de una organización filtren información, ya sea intencionalmente o no.

Seguridad de aplicaciones móviles 

Las aplicaciones móviles son ahora un aspecto esencial de nuestras rutinas diarias y es crucial mantenerlas seguras. Los hackers deben poseer conocimientos sobre la seguridad de las aplicaciones móviles para identificar vulnerabilidades, proteger la información confidencial de los usuarios y mantener su confianza. 

Los hackers éticos son vitales para detectar vulnerabilidades, evaluar riesgos y ayudar a desarrollar aplicaciones móviles seguras. Aquí hay dos aspectos clave de la seguridad de las aplicaciones móviles: 

1)  Modelos de seguridad de plataformas móviles : comprender los modelos de seguridad de las plataformas móviles es esencial para los Hackers. Los diferentes sistemas operativos móviles, como Android e iOS, tienen sus propios marcos y arquitecturas de seguridad. Los hackers deben estar familiarizados con estos modelos, incluidos los sistemas de permisos, las técnicas de sandboxing y las prácticas de codificación segura específicas de cada plataforma.  

2)   Vulnerabilidades y pruebas de aplicaciones móviles: las aplicaciones móviles son susceptibles a diversas vulnerabilidades que comprometen los datos y la privacidad del usuario. Los hackers deben ser conscientes de estas vulnerabilidades, como el almacenamiento de datos inseguro, la comunicación insegura, la inyección de código y los mecanismos de autenticación débiles. Emplean técnicas de prueba, incluido el análisis estático y dinámico, para identificar vulnerabilidades en estas aplicaciones. 

Seguridad en la nube 

La computación en la nube ha revolucionado la forma en que las organizaciones almacenan y procesan datos. Sin embargo, también plantea desafíos de seguridad únicos. Los hackers deben comprender la seguridad de la nube para evaluar y mejorar la seguridad de los sistemas basados ​​en la nube. Estos son los aspectos clave de la seguridad en la nube: 

1)  Conceptos básicos de la computación en la nube: para evaluar eficazmente la seguridad de la nube, los hackers deben comprender los fundamentos de la computación en la nube. Esto incluye comprender los modelos de servicios en la nube (p. ej., infraestructura como servicio, plataforma como servicio, software como servicio) y los modelos de implementación (p. ej., público, privado, híbrido).  

2)  Consideraciones de seguridad en la nube : los hackers deben conocer las consideraciones de seguridad únicas asociadas con los entornos de nube. Estas consideraciones incluyen la privacidad y protección de los datos, los controles de acceso y la autenticación, la seguridad de la red y el cumplimiento de las regulaciones pertinentes.  

3)  Evaluación de seguridad de las plataformas en la nube: hackers evalúan la seguridad actual para identificar vulnerabilidades y evaluar la postura general de seguridad de las plataformas en la nube. Esto incluye evaluar los controles de acceso, los mecanismos de cifrado, las configuraciones de red y los procedimientos de respuesta a incidentes. 

Respuesta a incidentes y análisis forense 

La respuesta a incidentes y la ciencia forense digital son fundamentales para manejar e investigar eficazmente las violaciones de seguridad. Aquí hay dos componentes esenciales de la respuesta a incidentes y el análisis forense: 

1)  Las metodologías de respuesta a incidentes se refieren a gestionar y responder eficazmente a incidentes de seguridad. Los hackers conocen bien las metodologías de respuesta a incidentes, que implican pasos y procedimientos predefinidos para abordar y solucionar los efectos de una violación de seguridad. Estas metodologías suelen incluir: 

a)  Preparación 

b)  Detección y análisis 

c)  Contención 

d)  Erradicación 

e)  Recuperación 

f)  Actividades posteriores al incidente.  

Los hackers desempeñan un papel crucial en los equipos de respuesta a incidentes, ya que brindan experiencia para identificar la causa raíz de los incidentes, contener la infracción y ayudar a las organizaciones a recuperarse del ataque.  

2)  Técnicas forenses digitales : Implica investigar y analizar evidencia digital para determinar la causa, el alcance y el impacto de un incidente de seguridad. Los hackers emplean diversas técnicas forenses digitales, como la adquisición, preservación, análisis y generación de informes de datos.    

Utilizan herramientas y metodologías especializadas para examinar sistemas, redes y dispositivos de almacenamiento en busca de evidencia relacionada con incidentes de seguridad. Al recopilar y analizar evidencia digital, los Ethical Hackers ayudan a descubrir el alcance de una infracción, identificar las técnicas del atacante y ayudar en los procedimientos legales, si es necesario. 

Cyber Security Expert

Guía paso a paso para convertirse en un experto en ciberseguridad: https://roadmap.sh/cyber-security

Explore esta hoja de ruta de capacitación interactiva para encontrar los cursos de ciberseguridad adecuados para su desarrollo de habilidades de ciberseguridad y para sus objetivos profesionales a largo plazo. Más de 80 cursos brindan habilidades críticas en las operaciones de ciberdefensa, análisis forense digital, seguridad en la nube, operaciones cibernéticas ofensivas, sistemas de control industrial y áreas de práctica de liderazgo en seguridad cibernética.

Explore esta hoja de ruta de capacitación interactiva para encontrar los cursos de ciberseguridad adecuados para su desarrollo inmediato de habilidades de ciberseguridad y para sus objetivos profesionales a largo plazo. Más de 80 cursos brindan habilidades críticas en las operaciones de ciberdefensa, análisis forense digital, seguridad en la nube, operaciones cibernéticas ofensivas, sistemas de control industrial y áreas de práctica de liderazgo en seguridad cibernética.

Diferentes fases del hacking

Se requiere una enorme cantidad de trabajo y perseverancia para encontrar y explotar por completo las vulnerabilidades de los sistemas. Cuando se trata de piratería ética, es importante recordar que los ciberdelincuentes siempre idean nuevos métodos para atacar las debilidades.

Las etapas del proceso de hacking ayudan a abordar secuencialmente las amenazas a la seguridad y a identificar los daños causados ​​por el vector de ataque. Si bien la secuencia de las etapas no está estandarizada, todo hacker pasa por las siguientes etapas para identificar daños y amenazas:

1. Reconocimiento

Los hackers capturan una «huella» del sistema para adquirir la mayor cantidad de información posible antes de comenzar una prueba de penetración. Registra las solicitudes de la organización durante la vigilancia, recopila información vital de configuración del sistema e información de inicio de sesión y realiza escaneos de red para comprender el sistema. Esto surge de la comprensión de que los ataques exitosos son el resultado de vulnerabilidades importantes:

  • Convenciones de nombres
  • Servicios en la red
  • Servidores que manejan cargas de trabajo en la red.
  • Direcciones IP
  • Nombres y credenciales de inicio de sesión
  • Ubicación física de la máquina de destino

2. Escaneo

El hacker investiga los sistemas en busca de vulnerabilidades. Las tecnologías de escaneo automatizado adquieren datos en todas las computadoras, usuarios y servicios de la red. A menudo se utilizan tres tipos de escaneos en las pruebas de penetración:

Mapeo de red

En este paso se explora la topología de la red, incluidos detalles como información del host, servidores, enrutadores y firewalls dentro de la red del host. Para que el hacking ético tenga éxito, estos profesionales deben comprender el diseño de la red.

Escaneo de puertos

Los hackers utilizan herramientas automatizadas para detectar cualquier puerto de red abierto. Esto lo convierte en una forma eficaz de identificar los servicios y sistemas activos en una red y cómo conectarse a ellos.

Escaneo de vulnerabilidades

Se utilizan herramientas automatizadas para encontrar fallas de seguridad que puedan aprovecharse para lanzar ataques. Existen muchas herramientas; sin embargo, existen algunos populares que se utilizan durante la fase de escaneo del hacking.

3. Obtener acceso

Una vez eliminados los requisitos iniciales, los hackers buscan explotar las vulnerabilidades para el acceso de administrador en esta etapa. Implica intentar transferir una carga útil maliciosa a la aplicación a través de la red, una subred adyacente o utilizando directamente una máquina vinculada.

Para imitar un intento de acceso no autorizado, los hackers suelen utilizar una variedad de tácticas que incluyen:

  • Desbordamientos del búfer
  • Suplantación de identidad
  • Ataques de inyección
  • Procesamiento de entidad externa XML
  • Usar componentes con vulnerabilidades conocidas

Si los ataques tienen éxito, el hacker tendrá control total o parcial del sistema y podrá llevar a cabo más ataques, como fugas de datos y ataques de denegación de servicio distribuido (DDoS).

4. Mantener el acceso

La cuarta fase del hacking implica procedimientos para determinar si el hacker tiene acceso a la aplicación después del hackeo inicial. Por ejemplo, un hacker ataca regularmente el sistema en busca de nuevas fallas y aumenta los privilegios para ver cuánta influencia tienen los atacantes después de obtener la autorización de seguridad.

Algunos atacantes también pueden intentar ocultar su identidad borrando cualquier rastro de un ataque e instalando una puerta trasera que les permita acceder en el futuro.

5. Limpiar pistas

Para evitar dejar evidencia de su comportamiento dañino, los ciberdelincuentes utilizan procesos que eliminan cualquier rastro de sus acciones. Algunos de ellos incluyen:

  • Desinstalar scripts/aplicaciones utilizadas para llevar a cabo ataques.
  • Modificar valores de registro
  • Borrar registros
  • Eliminar carpetas creadas durante el ataque.

El hacker finaliza el proceso registrando un informe sobre las vulnerabilidades y ofreciendo sugerencias de reparación después de completar las cinco fases del hacking.

Conozce los diferentes tipos de ataques cibernéticos.

Lo primero que tienes que hacer es entender los diferentes tipos de ataques. Esto le ayudará a tener una idea de a qué se enfrentará como hacker. Estos son algunos ejemplos de los muchos tipos de ataques cibernéticos que existen en el mundo actual. Es importante que comprenda los diferentes tipos de ataques y su impacto. Esto te ayudará a planificar tu formación y a elegir una subcategoría en la que especializarte.

Tipos comunes de ataques cibernéticos.

  1. Ataques de malware: estos ataques implican el uso de software malicioso. Esto incluye virus o ransomware que bloquean el sistema y solicitan un pago.
  2. Ataques de phishing : estos ataques utilizan correos electrónicos, sitios web y mensajes de redes sociales falsos. Este ataque engaña a los usuarios para que proporcionen su información privada, como inicios de sesión, datos de tarjetas de crédito, etc.
  3. Ataques de denegación de servicio (DoS): estos ataques intentan bloquear un sistema objetivo utilizando demasiado tráfico. Un servidor solo puede manejar una cantidad específica de solicitudes. Si el servidor excede su capacidad debido a un ataque DoS, dejará de estar disponible para otros usuarios.
  4. Ataques de inyección SQL: estos ataques implican inyectar código malicioso en una base de datos. Esto sucede debido a prácticas de seguridad deficientes al crear una aplicación web. Si tienen éxito, los piratas informáticos pueden apoderarse e incluso destruir una base de datos completa.
  5. Ataques de secuencias de comandos entre sitios (XSS): estos ataques implican inyectar código malicioso en un sitio web. Por ejemplo, si su sitio web tiene una sección de comentarios sin las comprobaciones adecuadas, se pueden inyectar scripts maliciosos en ella. Este script puede luego guardarse en su base de datos y también ejecutarse en los navegadores de sus clientes.
  6. Ataques de contraseña: estos ataques implican intentar adivinar o descifrar contraseñas. Hay muchas herramientas disponibles como John the Ripper y Hashcat .
  7. Ataques inalámbricos: estos ataques implican apuntar a redes inalámbricas, como piratear el WiFi de una empresa. Una vez que un hacker obtiene acceso al WiFi, puede escuchar cada computadora que se conecte a ese WiFi.

¿Que es mejor? La universidad, las certificaciones, los bootcamps, los cursos, CTF o ser autodidacta

Respuesta corta: todo y nada. Lo que importa es que vos seas un buen estudiante y quieras ser un profesional de verdad. Los exámenes y las certificaciones están para eso: para certificar que efectivamente sabes lo que dice el papel que sabes. Queres hacer trapa, tenés 1001 formas, si ese es tu caso este articulo no es para vos. 

NO ESTAFEN A SU CLIENTE, NO ESTAFEN A SU EMPLEADOR, y por sobre todo NO SE ESTAFEN A SI MISMOS. No se preocupen tanto por si son universitarios, certificados o autodidactas. Preocúpense por ser buenos profesionales. El mundo no necesita más chupa tinta matriculados.

No existe un único camino correcto para aprender a hackear o convertirse en un hacker. Ciertamente no es el caso que necesites un título universitario en informática o ciberseguridad para tener éxito. 

Cualquier trabajo técnico, certificación o programa de autoaprendizaje aporta conocimientos y habilidades útiles. Y una vez que estés en el trabajo, podrá estudiar para llenar vacíos de conocimientos específicos. 

¿Una calificación te ayudará a poner un pie en la puerta? Seguro. Pero después de eso, tu experiencia en roles de ciberseguridad y su capacidad para establecer contactos lo ayudarán a forjar una carrera profesional.

Otro impulso profesional útil al inicio de su carrera es una certificación de algún tipo, que cubriremos con más detalle a continuación.

Se un buen estudiante, un buen profesional y un buen compañero

La universidad no es mala, si hay pésimos estudiantes a los que llamo “chupa tinta”. Son personas que repiten como loritos y tienen una comprensión 0 de cómo va la cosa. A menudo veo “ingenieros” compartiendo fake news y demostrando su conocimiento nulo acerca del tema. El sistema no es malo, siempre va a haber personas tratando de saltarse las reglas y haciendo mal las cosas, simplemente no seas uno más de ellos.

Tampoco seas el que se burla de los que no fueron a la universidad, tal vez no lo necesitan o simplemente no tuvieron la oportunidad, ni despreciemos a los te hicieron X curso. Nada tan raquítico como el que dice: tu cursito en X lado no vale más que el mío. Un daño innecesario, al final del día estamos todos tratando de ganarnos la vida. Líbrense de esas personas toxicas que no se pueden alegran por los logros de los demás.

La diferencia entre ir a la universidad o no

Deben entender la diferencia entre cursos, certificaciones y una carrera. Veámoslos en programación: no es lo mismo el programador (ni el Sr full stack) que en analista o el ingeniero en sistemas.

No son lo mismo y no hacen lo mismo. Van a ver una lucha en las redes sobre cual es mejor o peor, simplemente no se sumen a esa discusión sin sentido. Va a depender de lo que ustedes hagan lo que les sirva o no. Para ser programador ir a la universidad no tiene sentido. Para ser analista de sistemas o ingeniero sí.

Tengo amigos programadores que para sorpresa de nadie: programan. Tengo amigos ingenieros en sistemas trabajando en el Arsat. De nuevo no hacen lo mismo, no pueden compararlos. “Pero haces un curso y salís sabiendo programar mejor que en la uní” Pero es que en la universidad no vas a aprender a ser “el” programador, vas a aprender a ser en analista o el ingeniero que hacen otras cosas y no fundamentalmente programar. En seguridad hace un par de años no había tal cosa como una carrera universitaria y pasaba más por certificaciones.

Ni debemos desestimar a la gente que tiene certificaciones o cursos menos al que hizo una carrera. Pero a la vez tener en cuenta a la gente que se hace por sí misma porque sobre todo en Latinoamérica es común que la gente simplemente no se pueda pagar una ingeniería o certificados que para la mayoría resultan ser económicamente prohibitivos.

Y también comprendo que es difícil evaluar lo que sabe “el que dice que sabe”. Porque, en general se suele sobrestimar las habilidades que realmente se tienen, contra el certificado que al menos sabe eso.

Universidad

Lo bueno es que tenés una ruta de aprendizaje, vas a aprender cosas que generalmente no aprenderías comúnmente por tu cuenta como matemática (son materias que cuando sos autodidacta se suelen evitar) y ciertas cuestiones muy técnicas y legales, salís con una práctica, son la suficiente cantidad de años como para formarte profesionalmente y te prepara para un cargo más alto.

Tengo muchos amigos que llegaron hasta la tecnicatura, pero no ascienden laboralmente en la empresa por no tener un título de grado. Lo malo es que dependiendo de donde te encuentras y tu situación puede ser incosteable en dinero y en tiempo.

Se puede iniciar en este mundillo sin uno, sin más hasta hace un par de años no existían (al menos no en Argentina donde vivo) Yo estoy cursando la licenciatura en seguridad informática en la Siglo 21. Hay un par más en argentina y este año aparecieron tecnicaturas que son MUCHO más baratas. Yo NO recomiendo ni dejo de recomendar a la universidad S21. Voy a esa simplemente porque es la que está en mi ciudad.

Certificaciones

Son muy preciadas por RRHH, a veces directamente excluyentes y tenés una ruta de aprendizaje. Pero puede llegar a ser estúpidamente costosas, hay que estar atento a la hora de hacerlas y no hacer por hacer al azar. He visto casos de personas que tienen al menos cuatro certificaciones que son la misma CEH con diferente nombre. Y, nos guste o no saber que está pidiendo el mercado, por ejemplo: CEH y CISSP son muy valuadas.

Si pueden hacer la CEH háganla, es muy valorada, si no llegan económicamente eJPT es (casi) lo mismo y cuesta mucho menos. Hace poco hacia esta broma. Y es que es tal la cantidad de certificaciones que es difícil saber por dónde empezar.

En este 2024 la cantidad de certificaciones, para sorpresa de nadie han aumentado, En esta lista podemos ver mas de 470.

Les dejo la web, que está muy buena, de donde tome la imagen security-certification-roadmap Como verán más adelante hay ramas y rutas para seguir. En este articulo pueden encontrar más información acerca de algunas de estas certificaciones: 

Las Mejores Certificaciones de Hacking 2024

Descubre las mejores certificaciones de hacking en 2024. Impulsa tu carrera en ciberseguridad con la guía esencial para expertos en hacking ético.

Bootcamps

Sinceramente no conozco lo suficiente ninguno en seguridad. Lo bueno sería que salís con una práctica y “aprendes” rápido. Pero basándome en los que conozco en programación diré que la forma de aprendizaje es discutible. Se aprende mejor aprendiendo un poco todos los días en vez de hacer maratones. Y la publicidad puede ser engañosa.

Algunas bootcamps pueden ser costosas y otras pueden ser nefastas a la hora de buscarte trabajo para que les pagues, trabajos muy mal pagos incluso para un jr. Antes de entrar en alguna les sugiero googlear mucho y ver experiencias de ex alumnos. Lamentablmente yo no se lo suficiente hacerca de bootcamps en seguridad asi que no puedo profundizar en este tema.

Ser o no ser Autodidacta

Ser autodidacta es difícil, pero todos los hackers mas grandes lo son. Vas a necesitar una ruta y una guía para que no te pierdas en la inmensidad de contenido. Tenes muchas opciones, CTF, Cursos Online, libros y recursos como blogs, canales, foros, etc.

Abordaremos todos estos temas. Si bien las certificaciones pueden ser, a veces, muy costosas para un latino la verdad es que podes iniciarte en el mundo de hacking, la ciberseguridad y la programación GRATIS o a muy bajo costo.

Cursos online

Hay muchas plataformas y canales: Udemy, LinkedIn y Platzi, Edteam, youtube, pluralsight (en ingles), etc

En Udemy disponemos de mas de 100 cursos y también pueden ver esta lista donde pueden encontrar algunos de los cursos GRATIS.

Capture the flag

Hay muchas webs, pero hablaremos de estos dos:

tryhackme.comIdeal para iniciar, cuesta 80 Libras y tiene una ruta de aprendizaje. Es un excelente complemento. En este blog empecé a explicar cómo abordar estas prácticas. Como dije al principio. Bien podrían ir al final ver las respuestas y ya. Queda en ustedes, mi recomendación sigue siendo: No se estafen a sí mismos. Estas guías son para aprender a desarrollar una metodología y si quedan estancados en una parte recibir una ayuda para poder seguir.

Como iniciarse en TRY HACK ME – Complete Beginner #1

Descubre los fundamentos del hacking ético con Try Hack Me en esta guía para principiantes. Inicia tu camino hacia la ciberseguridad de manera práctica y efectiva.

Hack The Box: Hacking Training: el más famoso y posiblemente el mejor, es más costoso que THM pero igual que este se puede iniciar gratis. Si pueden costearlo definitivamente lo recomiendo.

Abordaremos este tema en mayor profundidad más adelante.

SISTEMAS A USAR

Windows: Depende el área de seguridad en la que trabajen es lo que van a necesitar en hardware y software no es lo mismo ser un forense que un pentester. Como tengo que hacer reportes me sirve trabajar en Windows. Uso mucho ONENOTE para llevar todo el material que estoy estudiando y trabajando.

Además, la cantidad de herramientas de gestión de disco, archivos, documentos y gráficos al nivel que necesito trabajarlas no están disponibles en Linux. Lo más probable es que te convenga iniciar virtualizando Kali, por lo que podrás mantener como nativo a Windows.

Linux: La mayoría de herramientas están disponibles en Linux y, de hecho, Kali ya soluciona eso. Tenemos una guia de como crear tu laboratorio y resolver los problemas más comunes: Crea tu Laboratorio de Pentest con Kali Linux, Metasploitable y Beebox

HARDWARE

Arranquen con lo que tengan, al final todos empezamos con lo que tenemos. Si van a mejorar o comprar un equipo mi recomendación PC es mejor que notebook por múltiples razones. Va a depender del área en la que trabajen, si necesitan movilidad no les queda más que ir por una notebook.

Fuera de la única ventaja que tiene la notebook que es la de ser portable un PC es superior en todo. Menor costo, mayor capacidad de expansión, fácil y económico de reparar, y cuando comparas la “misma” versión entre PC y notebook la de pc tiende a ser MUY superior en rendimiento.

Otra gran ventaja son los monitores, mi recomendación es de 2 o 3 es ideal. Yo en este momento estoy usando 4. Realmente usar varios monitores simplifica mucho el trabajo. En uno podrán trabajar con Kali y en el otro realizar un informe más cómodamente. Nuevamente esto depende del área en el que estén. En este momento estoy trabajando en un i5 (algo viejo de 10ma) con 64gb de RAM y no he tenido problemas virtualizando.

Espacio en disco Virtualizando

Por citar un ejemplo si usan un scanner como ZAP verán que estos comen mucha RAM y si guardan la sección mucho disco. Me refiero a que pueden gastar 10gb/16GB de RAM y 70gb – 150gb de disco tan solo con una sola aplicación. Por eso las recomendaciones y buenas prácticas a la hora de crear su máquina virtual con Linux

   MínimoRecomendado
CPUI3 / Ryzen3 o superiorI5 / Ryzen 5 o superior
Memoria16gb32gb+
SOW10/kaliW11/Kali everything
DiscoSSD 512SSD 1TB+
Placa de VideoNo vitalPuede ser útil si desean colocar 3 o más monitores. Esto dependerá del motherboard y las entradas de sus monitores.

Empleos para acercarte a roles de ciberseguridad:

El Hacking se ha convertido en una profesión muy demandada en ciberseguridad. A medida que las organizaciones priorizan la protección de sus activos digitales y datos confidenciales, la demanda de hackers capacitados continúa creciendo. Aquí hay algunas oportunidades profesionales interesantes en Ethical Hacking:

Ingeniero en ciberseguridad. Tener un nivel técnico y de alto nivel para saber qué podemos sugerir para una organización para que esta sea más segura. Diseñan e implementan sistemas y redes seguras. Desarrollan protocolos de seguridad, configuran firewalls y garantizan la seguridad general de la infraestructura.  

Analista de ciberseguridad A nivel de red; Entender el tráfico de red. Ser capaz de detectar posibles ataques y en caso de suceder encontrar el origen de dicho ataque. Evalúan la efectividad de los controles y políticas de seguridad. Realizan auditorías, identifican vulnerabilidades y brindan recomendaciones para el cumplimiento de estándares y regulaciones de la industria.

Arquitecto de redes Es una persona que a un alto nivel es capaz de proponer la manera de estructurar una red para evitar exponer los datos de una empresa

Consultor de ciberseguridad Personas que está actualizada en tendencias de tecnología, cuáles son los ataques vigentes hoy en día. ofrecen asesoramiento y orientación expertos sobre prácticas y políticas de seguridad. Evalúan riesgos, diseñan arquitecturas de seguridad y desarrollan estrategias para proteger a las organizaciones de las amenazas cibernéticas.  

Gerente de ciberseguridad Persona encargada de todos los temas y todas las estrategias de ciberseguridad

Analista Forense: Se especializan en investigar delitos cibernéticos y recopilar evidencia digital. Analizan violaciones de datos, realizan exámenes forenses y proporcionan pruebas para procedimientos legales.  

Hacker ético/Pentester : evalúan la seguridad de sistemas, redes y aplicaciones mediante la realización de pruebas de penetración. Identifican vulnerabilidades, las explotan éticamente y recomiendan mejorar las medidas de seguridad.  

Para principiantes

  • Pentester Jr.
  • Analista Jr.
  • Técnico de redes.
  • Respuesta a incidentes.
  • Consultor Jr.

Intermedios

  • Ingeniero de preventa.
  • Ethical hacker.
  • Ingeniero Forense / Análisis forense.
  • Consultor en Seguridad de la información.

Avanzado

  • Análisis de malware / Malware reversing.
  • Ingeniería reversa.
  • Líder de Red Team / Blue Team.
  • Experto en nube.
  • CISO, CSO, DPO.
  • Especialista en incidencias.

Entonces ¿Cuáles son las etapas de una carrera en hacking?

Si desea continuar una carrera como hacker ético, deberá desarrollar paciencia. No puedes esperar conseguir un trabajo de alto rango y un gran salario de inmediato, ¡pero hay muchas posibilidades de hacer ambas cosas en un corto período de tiempo!

1. Empezando

Muchos hackers éticos comienzan sus carreras obteniendo una licenciatura en informática. También puedes obtener una certificación. Puede esperar ganar un promedio de $44,000 por año en esta etapa de su carrera. Sin embargo, debe adquirir experiencia y obtener una certificación Network+ o CCNA antes de poder avanzar en su carrera. La certificación Network+ verifica la experiencia fundamental en redes, como la gestión, el mantenimiento, la instalación y la resolución de problemas de la red. La certificación CCNA proporciona las mismas habilidades y se centra en habilidades fundamentales.

2. Soporte de red

Una vez que haya obtenido su certificación, podrá pasar al siguiente nivel de su carrera: el soporte de red. Monitorear y actualizar, instalar programas de seguridad y probar debilidades son las cosas que harás. Su objetivo debe ser conseguir un puesto como ingeniero de redes después de adquirir experiencia en el campo de la seguridad de redes.

3. Ingeniero de redes

Puede esperar ganar entre $60 000 y $65 000 después de adquirir experiencia en soporte de red. En lugar de limitarse a dar soporte a las redes, ahora deberá diseñarlas y planificarlas. De ahora en adelante, debes centrarte en la parte de seguridad de tu camino para convertirte en un hacker ético. Ahora es el momento de trabajar en certificaciones de seguridad, como CISSP.

El CISSP es una certificación de seguridad reconocida mundialmente que verifica las habilidades de gestión de riesgos, computación en la nube y desarrollo de aplicaciones. Esta experiencia, junto con su acreditación, debería ser suficiente para ayudarle a aceptar un trabajo en seguridad de la información.

4. Trabajar en seguridad de la información

¡Este es un gran paso hacia ser un hacker ético porque estás lidiando con la seguridad de la información por primera vez! Este puesto paga un promedio de $69,000 por año. Un analista de seguridad de la información analiza la seguridad de un sistema o red, responde a violaciones de seguridad y trabaja para implementar soluciones de seguridad. Para obtener experiencia práctica con algunas de las herramientas del oficio, debe centrarse en las pruebas de penetración para esta profesión.

Aprendamos cómo convertirnos en un hacker ético después de comprender cuáles son las expectativas del trabajo.

Recursos GRATIS para empezar a aprender

Canales de YouTube de hacking y seguridad

Blogs de interés

Les recomiendo usar feedly que, además tiene una función para curar contenido de seguridad.

Integrate a la comunidad de Hacker

En las películas el personaje de lobo solitario va muy bien, el hacker que solo puede con todo y con cuatro comandos burla al FBI, la CIA, LA NSA y hackea satélites a la NASA. En la realidad hay que salir del café de la película y comprender que para avanzar es vital ser parte de una comunidad, integrarse, pedir ayuda está bien. La seguridad tiene una comunidad muy buena que ayuda y genera recursos y educación constante. Recuerda el punto 6:

6. No estás solo: Ya sea que estudies online o vayas a la universidad. Participa activamente en comunidades, foros y grupos en telegram. Toma el tiempo para buscar a los mejores del grupo o clase. Para ser un fuera de serie debes juntarte con personas fuera de serie. te dejo el link a nuestros canales en donde podrás ser ayudado por la comunidad, resolver tus dudas y encontrarás mucho material nuevo y gratis para que avances más rápido en tu camino: https://t.me/achackinghttps://t.me/recursoshacking

Grupos de Telegram

Foros:

Twitter y Linkedin

Conclusión:

Al concluir este artículo, esperamos haber brindado una hoja de ruta clara para aquellos que desean iniciarse en el hacking y la ciberseguridad en 2024. La evolución constante de las amenazas cibernéticas requiere un aprendizaje continuo y una mentalidad proactiva. Recuerda, la ética y la responsabilidad son fundamentales en este viaje. ¡Bienvenido al emocionante mundo de la ciberseguridad!

Esta guía se estara actualizando mensualmente. Saludos a todos y pueden dejar en los comentarios o en mis redes que se podría agregar a esta entrada. EY!!!! Me olvidaba en Argentina se celebra cada año la EKOPARTY Espero poder verlos a todos este año ahí =)

Comparto estos recursos para ayudar a la comunidad de ciberseguridad. COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación.

NOS VEMOS EN EL CAPITULO 2: Cómo Iniciarse en Redes: Cursos, Recursos y Certificaciones

Así que aquí tienes un propósito para este 2024 que debes considerar seriamente: si has querido mejorar tus habilidades en seguridad cibernética pero nunca lo has logrado, ahora es definitivamente el momento de dar el siguiente paso. Nuestro curso Universidad Hacking. Todo en Ciberseguridad. Curso Completo tiene una excelente relación calidad-precio?¡Desarrolla tus habilidades cibernéticas y avanza en tu carrera! y Aprovecha nuestros cursos a un precio increíble y aprende sobre Linux, Hacking y Certificate.

Universidad Hacking. Todo en Ciberseguridad. Curso Completo

Aprende Hacking Ético y Ciberseguridad sin necesitar conocimientos Previos. Practica Hacking Ético y Ciberseguridad aquí: https://achirou.com/universidad

El Hacking Ético y Ciberseguridad es Transversal a todo lo que sea Tecnología. Es decir, cualquier dispositivo inteligente, sea Celular, Computadora, o hasta hoy un Vehículo, debe haber Seguridad informática.

¿Esto que significa?

Que hoy más que nunca, se necesitan personas capacitadas en este rubro para trabajar.

Por esa razón cree esta formación profesional para compartirte mis conocimientos y experiencia en la materia y puedas iniciar en este mundo del Hacking Ético y Ciberseguridad.

Te voy a estar acompañando en el proceso de aprendizaje, donde si estas empezando desde 0, sin conocimientos previos, no es un impedimento ya que iniciaremos como si no supieras nada de la materia.

Y si sos una persona con conocimientos, podrás iniciar directamente en el nivel más avanzado o en el que tu elijas.

Como en todos mis cursos en udemy, tendrás muchísima practica para que materialices lo que vas aprendiendo.

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 500.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma.

Empieza a aprender ya mismo!

Recuerda que tienes Acceso de por vida al curso y recibirás las actualizaciones que se hagan sobre el mismo.

Lo que aprenderás

  • Aprende Seguridad informática
  • Te enseñare Hacking Ético
  • Veremos Ciberseguridad
  • La base principal del Hacking, Redes
  • Esto es alternativo que puedes aprender, Programación (python)
  • Necesitaras saber Python para, Hacking con Python
  • Te enseñare Análisis de Malware, además haremos laboratorios, practicas y ejecutaremos Malware para que veas su comportamiento
  • Te enseñare a reforzar tu Privacidad y Anonimato
  • Aprenderás una de las herramientas mas populares por excelencia en el mundo del Hacking, Metasploit
  • Es importante que aprendas Seguridad informática Mobile ya que usamos nuestro celular como una PC
  • Veremos también el top 10 de Owasp Web
  • Veremos también el top 10 de Owasp mobile
  • Veremos también el top 10 de Owasp API
  • Ante la demanda del mercado, te enseñare Seguridad informática para empresas
  • Veras también la suit de herramientas de seguridad informática en un sistema operativo, Kali Linux
  • Herramientas de hacking para el celular en Termux
  • Seguridad informática en WordPress
  • Análisis de trafico en Wireshark

Aprende Hacking Ético y Ciberseguridad sin necesitar conocimientos Previos. Practica Hacking Ético y Ciberseguridad aquí: https://achirou.com/universidad

¿Te gustaría enterarte de cuando lanzamos descuentos al Máximo o Nuevos Cursos?

Sobre los autores

Álvaro Chirou

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 1.800.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma. Puedes serguirme en mis redes:

Laprovittera Carlos

Soy Laprovittera Carlos Analista de Sistemas, SysAdmin y Ethical Hacker con más de 20 años de experiencia brindando soporte y servicios de programación y seguridad para profesionales, seguros, bancos y empresas. Puedes saber mas de mi y de mis servicios en mi sitio web: laprovittera.com y seguirme en mis redes:

NOS VEMOS EN EL CAPITULO 2: Cómo Iniciarse en Redes: Cursos, Recursos y Certificaciones