Cuando llevas unos cuantos años online como nosotros en la comunidad [estamos online desde el 2001], es normal que quienes apenas se están interesando por ingresar en estos temas, te hagan constantemente preguntas al respecto y entre todas las preguntas que suelen realizar, siempre hay una que destaca…. ¿cómo empiezo en hacking o en seguridad informática?, parece una pregunta simple, pero personalmente pienso muy bien su respuesta por que esta pregunta «tan simple» suele esconder una gran responsabilidad, ya que estás trazando el camino que seguirá esta persona los próximos días, meses o años hasta que consiga lograr su meta.
Tabla de Contenido
La Experiencia Detrás de las Recomendaciones
Al principio cuando tenia un poco más de tiempo solía realizar respuestas personalizadas a esta pregunta, basándome en las habilidades con las que ya contaba la persona que formulaba la pregunta y era muy satisfactorio ver el progreso de cada uno normalmente con los aportes que realizaban en el foro de la comunidad, después cuando cada vez las responsabilidades le empezaron a quitar espacio al tiempo libre, decidí realizar una búsqueda a conciencia para optimizar mis tiempos de respuesta a esta pregunta, pero donde realmente aportara valor a quien preguntara.
Finalmente mis recomendaciones a quienes inician en seguridad informática y en general en hacking ético, empezaban un poco así:
¡Desbloquea tu futuro en ciberseguridad, te regalamos las bases!
Completa el formulario y obtén acceso inmediato a nuestro curso gratuito de introducción al pentesting. Empieza hoy a dominar las bases y herramientas esenciales para convertirte en un profesional de la seguridad informática.
¿Sabes como esta compuesto un computador?, ¿que hace que funcione?, ¿cuales son los componentes esenciales para que realice sus funciones?, si no sabes responder alguna de estas preguntas, mi recomendación es empezar a documentarte sobre el tema, cuando superes esta etapa que no debe ser muy extensa, ya puedes iniciar a documentarte sobre como todos estos componentes que forman una computadora, logran comunicarse entre si, por lo que aprender sobre TCP/IP, protocolos como HTTP, FTP, SSH y todo lo que tiene que ver con redes es tu siguiente tarea.
Aprendiendo a Dar Órdenes y Programar en Scripting
¿Ya sabes como funciona un computador y como se comunican entre otros?, genial, ahora puedes aprender a darle ordenes al computador, te recomiendo por lo menos aprender los lenguajes de scripting que vienen integrados en los sistemas operativos más usados, por tanto meterle mano a Bash, PowerShell, Bat y AppleScript, cuando ya sepas moverte bien por esos lenguajes puedes aprender cualquier otro lenguaje de scripting como Python o Perl.
Si vas a meterte en el campo de la seguridad debes dejar atrás cualquier concepto relacionado con «X o Y sistema operativo es mejor», debes saberte mover por lo menos en los sistemas operativos mas usados [Windows, GNU/Linux, Mac], por que en muchos casos no sabrás que te vas a encontrar durante una auditoria y una vez en ella no puedes decir, «gas yo no toco un windows’.
El Conocimiento en Seguridad…
Categorías de Ataques y Herramientas Esenciales
Una vez sepas como funcionan los equipos, como se comunican entre ellos y como manejarlos o darles ordenes, puedes pasar a aprender las diferentes técnicas y el uso de herramientas que te van formando como profesional de la seguridad informática, normalmente están clasificadas en distintas categorías:
- Ataques a la RED e INFRAESTRUCTURA, ya sea cableada o inalámbrica.
- Ataques de APLICACIÓN, independiente del lenguaje o implementación.
- Ataques de CAPA 8, normalmente enfocados en las personas y como engañarlas.
Debes conocer por lo menos cuales son los ataques más comunes y que herramientas se usan en cada una de esas categorías y sus sub-categorías, para esto recomiendo seguir metodologías como la OWASP, OSSTMM, OWISAM etc, que ademas de darte los lineamientos y pasos a seguir, normalmente van explicando en el camino el funcionamiento de cada fallo y que herramientas usar para explotarlo / corregirlo.
Mientras te estés documentando sobre esto, NO BASTA CON LEER, montate tu propio laboratorio de practicas y pon a prueba cada técnica aprendida, no una sino varias veces, inventa diferentes escenarios en los que podrías usar esa técnica y resuelve los inconvenientes o retos que te planteen cada escenario, LA LECTURA SIN PRACTICA NO SIRVE.
Ya que sabes por lo menos los ataques básicos en cada categoría y como solucionarlos, deberías elegir lo que mas te ha gustado y enfocarte en ello, tienes muchísimas lineas por las que irte:
- Volverte experto en un seguridad, web, wireless, de aplicaciones, reverser, exploit writer, de aplicaciones móviles, de infraestructura, etc…
- Puedes ir por el lado de la seguridad ofensiva, para descubrir siempre nuevas formas de explotar sistemas de información y reportar sus fallos
- También puedes ir por el lado de la seguridad defensiva, donde buscaras siempre formas de mitigar los riesgos constantes a los que esta expuesto un sistema de información.
- Incluso podrías especializarte en el área forense, donde ocurrido un incidente puedes determinar que fue lo sucedido con un sistema de información.
Independiente de lo que elijas, siempre necesitaras, mucha lectura acompañada siempre de practica, actualización constante sobre los nuevos vectores / técnicas / herramientas / etc… y algo que pocos te dicen, pero que sin ello no seria posible llegar a tu meta, CONSTANCIA, si tomas la seguridad como una moda, algo que vas a aprender por unos meses hasta que llegue el nuevo tema actual, seguro que esto no es lo tuyo.
Otros consejos…
Estos son los consejos a grandes rasgos que le doy a quienes desean comenzar en esta área, pero también me he tomado el trabajo de reunir los mejores consejos para iniciar en seguridad informática, realizados por grandes profesionales en nuestro idioma, los cuales te dejo a continuación para que complementes lo dicho en este post:
- Un par de libros que deberías leer para tener una idea mas general del tema es el de «Hacking Etico» escrito por Carlos Tori y el de la gente de Root-Secure «Ethical Hacking – Un enfoque metodológico para profesionales«, que te muestra a grandes rasgos que es esto de la seguridad informática.
- Fausto Cepeda en su momento nos daba sus «Sugerencias para que Empieces Tu Camino en el Área de Seguridad«, desafortunadamente no siguió con el proyecto hacking.mx, pero rescatamos estos grandes consejos en el foro para que sigan inspirando nuevas generaciones.
- Los consejos sobre el eterno dilema de las certificaciones de seguridad que nos deja Miguel Angel Hernandez en su sitio ya cerrado no podían dejarse perder, por eso fueron recuperados y posteados en el foro Seguridad: ¿Por donde empezar? (I) Segunda parte (II).
- Finalmente pero no menos importante dejo los comentarios del famoso Maligno, en el post Cómo ser hacker o Cómo aprender hacking del español Chema Alonso están claros los lineamientos a seguir para iniciarse en la temática, pero no siendo suficiente lo escrito en el post, recientemente ha grabado un video en su canal de Youtube, donde continua dando consejos para empezar en el Hacking & Seguridad Informática y el cual comparto con ustedes.
Si tienes otro consejo que darle a quienes apenas empiezan, no dudes en dejarlo en los comentarios.
Preguntas Frecuentes
¿Qué es la seguridad informática y por qué debería interesarme?
La seguridad informática se enfoca en proteger sistemas, redes y datos contra amenazas y ataques. Empezar en este campo te permite entender cómo se vulneran los sistemas y cómo implementar medidas para prevenir incidentes, lo cual es esencial en un mundo digital cada vez más interconectado.
¿Cuál es el primer paso para iniciarse en seguridad informática?
El primer paso es adquirir conocimientos sólidos sobre los fundamentos de la informática: conocer la arquitectura de los computadores, el funcionamiento de las redes y los protocolos básicos (como TCP/IP, HTTP, FTP y SSH). Estos conceptos son la base para comprender cómo y por qué se producen las vulnerabilidades.
¿Qué recursos educativos recomiendan para comenzar en este campo?
Se sugiere iniciar con cursos introductorios y materiales gratuitos, como libros, tutoriales en línea y guías prácticas. Además, participar en comunidades y foros especializados, como el de DragonJar, puede ser de gran ayuda para intercambiar conocimientos y experiencias.
¿Por qué es fundamental practicar en un laboratorio propio?
La teoría sin práctica resulta insuficiente en seguridad informática. Montar un laboratorio virtual o físico te permite experimentar con herramientas, simular ataques y defensas, y afianzar tus conocimientos en un entorno controlado, sin poner en riesgo sistemas reales.
¿Cómo puedo mantenerme actualizado en un campo tan dinámico?
El área de seguridad informática evoluciona rápidamente. Es crucial seguir blogs especializados, asistir a conferencias, participar en cursos de actualización y formar parte de comunidades de expertos. La formación continua y la curiosidad por aprender nuevas técnicas son clave para mantenerse al día.
¿Qué habilidades complementarias debo desarrollar para tener éxito?
Además de la base técnica, es importante cultivar habilidades analíticas, pensamiento crítico y la capacidad de resolver problemas. La perseverancia, el autoaprendizaje y una mentalidad orientada a la solución de desafíos son cualidades indispensables para destacar en este sector.