¿Cómo iniciar en Seguridad Informática / Hacking Ético?
Cuando llevas unos cuantos años online como nosotros en la comunidad [este mes cumplimos 14 años], es normal que quienes apenas se están interesando por ingresar en estos temas, te hagan constantemente preguntas al respecto y entre todas las preguntas que suelen realizar, siempre hay una que destaca.... ¿cómo empiezo en hacking o en seguridad informática?, parece una pregunta simple, pero personalmente pienso muy bien su respuesta por que esta pregunta "tan simple" suele esconder una gran responsabilidad, ya que estás trazando el camino que seguirá esta persona los próximos días, meses o años hasta que consiga lograr su meta.
Al principio cuando tenia un poco más de tiempo solía realizar respuestas personalizadas a esta pregunta, basándome en las habilidades con las que ya contaba la persona que formulaba la pregunta y era muy satisfactorio ver el progreso de cada uno normalmente con los aportes que realizaban en el foro de la comunidad, después cuando cada vez las responsabilidades le empezaron a quitar espacio al tiempo libre, decidí realizar una búsqueda a conciencia para optimizar mis tiempos de respuesta a esta pregunta, pero donde realmente aportara valor a quien preguntara.
Finalmente mis recomendaciones a quienes inician en seguridad informática y en general en hacking ético, empezaban un poco así:
¿Bases, las tienes?
¿Sabes como esta compuesto un computador?, ¿que hace que funcione?, ¿cuales son los componentes esenciales para que realice sus funciones?, si no sabes responder alguna de estas preguntas, mi recomendación es empezar a documentarte sobre el tema, cuando superes esta etapa que no debe ser muy extensa, ya puedes iniciar a documentarte sobre como todos estos componentes que forman una computadora, logran comunicarse entre si, por lo que aprender sobre TCP/IP, protocolos como HTTP, FTP, SSH y todo lo que tiene que ver con redes es tu siguiente tarea.
¿Ya sabes como funciona un computador y como se comunican con otros?, genial, ahora puedes aprender a darle ordenes al computador, te recomiendo por lo menos aprender los lenguajes de scripting que vienen integrados en los sistemas operativos más usados, por tanto meterle mano a Bash, PowerShell, Bat y AppleScript, cuando ya sepas moverte bien por esos lenguajes puedes aprender cualquier otro lenguaje de scripting como Python o Perl.
Si vas a meterte en el campo de la seguridad debes dejar atrás cualquier concepto relacionado con "X o Y sistema operativo es mejor", debes saberte mover por lo menos en los sistemas operativos mas usados [Windows, GNU/Linux, Mac], por que en muchos casos no sabrás que te vas a encontrar durante una auditoria y una vez en ella no puedes decir, "gas yo no toco un windows'.
El Conocimiento en Seguridad...
Una vez sepas como funcionan los equipos, como se comunican entre ellos y como manejarlos o darles ordenes, puedes pasar a aprender las diferentes técnicas y el uso de herramientas que te van formando como profesional de la seguridad informática, normalmente están clasificadas en distintas categorías:
- Ataques a la RED e INFRAESTRUCTURA, ya sea cableada o inalámbrica.
- Ataques de APLICACIÓN, independiente del lenguaje o implementación.
- Ataques de CAPA 8, normalmente enfocados en las personas y como engañarlas.
Debes conocer por lo menos cuales son los ataques más comunes y que herramientas se usan en cada una de esas categorías y sus sub-categorías, para esto recomiendo seguir metodologías como la OWASP, OSSTMM, OWISAM etc, que ademas de darte los lineamientos y pasos a seguir, normalmente van explicando en el camino el funcionamiento de cada fallo y que herramientas usar para explotarlo / corregirlo.
Mientras te estés documentando sobre esto, NO BASTA CON LEER, montate tu propio laboratorio de practicas y pon a prueba cada técnica aprendida, no una sino varias veces, inventa diferentes escenarios en los que podrías usar esa técnica y resuelve los inconvenientes o retos que te planteen cada escenario, LA LECTURA SIN PRACTICA NO SIRVE.
Ya que sabes por lo menos los ataques básicos en cada categoría y como solucionarlos, deberías elegir lo que mas te ha gustado y enfocarte en ello, tienes muchísimas lineas por las que irte:
- Volverte experto en un seguridad, web, wireless, de aplicaciones, reverser, exploit writer, de aplicaciones móviles, de infraestructura, etc...
- Puedes ir por el lado de la seguridad ofensiva, para descubrir siempre nuevas formas de explotar sistemas de información y reportar sus fallos
- También puedes ir por el lado de la seguridad defensiva, donde buscaras siempre formas de mitigar los riesgos constantes a los que esta expuesto un sistema de información.
- Incluso podrías especializarte en el área forense, donde ocurrido un incidente puedes determinar que fue lo sucedido con un sistema de información.
Independiente de lo que elijas, siempre necesitaras, mucha lectura acompañada siempre de practica, actualización constante sobre los nuevos vectores / técnicas / herramientas / etc... y algo que pocos te dicen, pero que sin ello no seria posible llegar a tu meta, CONSTANCIA, si tomas la seguridad como una moda, algo que vas a aprender por unos meses hasta que llegue el nuevo tema actual, seguro que esto no es lo tuyo.
Otros consejos...
Estos son los consejos a grandes rasgos que le doy a quienes desean comenzar en esta área, pero también me he tomado el trabajo de reunir los mejores consejos para iniciar en seguridad informática, realizados por grandes profesionales en nuestro idioma, los cuales te dejo a continuación para que complementes lo dicho en este post:
- Un par de libros que deberías leer para tener una idea mas general del tema es el de "Hacking Etico" escrito por Carlos Tori y el de la gente de Root-Secure "Ethical Hacking – Un enfoque metodológico para profesionales", que te muestra a grandes rasgos que es esto de la seguridad informática.
- Fausto Cepeda en su momento nos daba sus "Sugerencias para que Empieces Tu Camino en el Área de Seguridad", desafortunadamente no siguió con el proyecto hacking.mx, pero rescatamos estos grandes consejos en el foro para que sigan inspirando nuevas generaciones.
- Los consejos sobre el eterno dilema de las certificaciones de seguridad que nos deja Miguel Angel Hernandez en su sitio ya cerrado no podían dejarse perder, por eso fueron recuperados y posteados en el foro Seguridad: ¿Por donde empezar? (I) Segunda parte (II).
- Finalmente pero no menos importante dejo los comentarios del famoso Maligno, en el post Cómo ser hacker o Cómo aprender hacking del español Chema Alonso están claros los lineamientos a seguir para iniciarse en la temática, pero no siendo suficiente lo escrito en el post, recientemente ha grabado un video en su canal de Youtube, donde continua dando consejos para empezar en el Hacking & Seguridad Informática y el cual comparto con ustedes.
Si tienes otro consejo que darle a quienes apenas empiezan, no dudes en dejarlo en los comentarios.