Hace un par de años tuve la oportunidad de dar una charla en la MorterueloCON sobre cómo empezar en el “mundillo” de la ciberseguridad y el hacking, en la que planteaba un plan o bitácora con los conocimientos que considero fundamentales para dedicarse a esto. El título de dicha charla era “Seguridad informática en 50 días – YOUR hacker way” y publique las diapositivas con todos los recursos que hay en ellas. Sigue vigente a día de hoy, aunque algunos enlaces ya no se encuentran disponibles. Creo que guías como esta abundan en Internet pero aún así, son muchas las personas que aún se sienten perdidas y no saben por dónde empezar. Creo que el problema no está en la falta de recursos disponibles ya que hay muchos, tenemos grupos de Telegram, Facebook, canales en YouTube e infinidad de tutoriales disponibles online. Entonces, por qué seguimos viendo un número considerablemente alto de personas que preguntan “Por dónde empiezo”?. En mi opinión esto se debe a que se tiene la percepción de que cualquiera puede meterse en ciberseguridad sin muchos conocimientos previos ya que “hay herramientas que lo hacen todo” y lo cierto es que no hay nada más lejos de la realidad. Son necesarios unos conocimientos de base muy profundos en varias temáticas, por ese motivo es posible que resulte conveniente empezar con los fundamentos, por ejemplo aprender sobre el funcionamiento de los sistemas operativos, aprender a programar o conocer las tipologías, componentes y protocolos de red básicos. No podemos pretender salir a correr sin antes haber aprendido a caminar. En este sentido, me gustaría dejar plasmados los pasos que en mi opinión,  permiten progresar en esta profesión.

Cuantos más conocimientos tengas sobre el funcionamiento de sistemas mejor. El hacking representa precisamente un conocimiento profundo de una área determinada (algo que no solo aplica a la informática) por lo tanto debes asimilar una serie de conocimientos básicos antes de empezar. En este sentido puede ser conveniente aprender sobre el desarrollo de software, sistemas operativos y redes.

La seguridad informática está compuesta por especialidades en las que el nivel de dificultad puede ser alto, por lo tanto creo que lo primero sería entender el contexto global y las especialidades relacionadas con la seguridad informática, entendiendo que todas ellas requieren unos conocimientos base que son comunes. Por ejemplo, en el caso del Hacking web, es importante tener conocimientos en desarrollo web para entender algunas vulnerabilidades que se presentan en las aplicaciones de este tipo. Si se trata de pentesting en entornos de red, los conocimientos en redes y sistemas operativos son fundamentales y si no los tienes vas a tener dificultades. Algunas de las especialidades más comunes y amplias en este contexto son:

• Seguridad en sistemas operativos
• Seguridad entornos de red y servidores
• Seguridad en aplicaciones web
• Análisis de malware y reversing
• Respuesta ante incidentes y DFIR
• Ciberinteligencia y Thread Hunting
• Desarrollo seguro en aplicaciones de todo tipo
• Seguridad en dispositivos móviles, gadgets o industriales
• Seguridad en redes inalámbricas y radiofrecuencia
• SecDevOps
• Hardware Hacking

Esto sólo por mencionar algunas. Es recomendable saber al menos en qué consisten estas especialidades y cuáles de ellas te llaman más la atención.

Este punto de hecho, ni siquiera debería de estar incluido ya que en los tiempos que vivimos la información está al alcance de todos, solo hay que saber buscar. Sin embargo hay muchas personas que no lo hacen y prefieren preguntar cosas que son fáciles de encontrar realizando búsquedas en cualquier servicio disponible en Internet. Esto normalmente demuestra que o bien, no has llegado al paso 1 o que prefieres que te lo den todo hecho en lugar de buscar por tu cuenta una solución. Esta actitud, como te podrás imaginar, no es precisamente bien recibida en grupos o comunidades dedicadas a la seguridad informática. Y ojo, que está bien preguntar cuando no se sabe de algo o se tiene alguna dificultad, pero se espera que ya te hayas pegado con ello y demuestres que realmente necesitas ayuda porque no das con la solución a tu problema.

No me refiero a leer novelas o cómics, que están bien para pasar el rato, pero… Me refiero a leer artículos técnicos, blogs y libros. También vas a encontrar recursos interesantes en otras plataformas de streaming como YouTube, por supuesto es algo que te ayudará en tu aprendizaje pero si no tienes la sana costumbre de leer y entender documentación técnica o algo tan simple como lo que te aparece en una terminal o fichero de log, va a ser muy complicado para ti avanzar. Esta es probablemente una de las cosas más difíciles, ya que en ocasiones cuando ejecutamos programas o creamos nuestras propias herramientas los mensajes de error no son tan claros como se podría esperar, sin embargo también es cierto que si estás experimentando dificultades con algo, es posible que otras personas hayan pasado por lo mismo y la solución se encuentre documentada en Internet (o directamente en StackOverFlow). Vuelve al paso 3. Busca, lee y aprende sobre los motivos por los que estás teniendo esos problemas. La mayoría de las veces, entender el problema es suficiente para encontrar una o varias soluciones. Como técnico vas a estar en la rutina de investigar y aprender de forma constante, es una de las características de la informática en general.

Inicialmente es buena idea “tocar muchos palos” aprender las bases de las especialidades más comunes para tener una perspectiva más amplia y así identificar con cuáles te sientes más a gusto o se te dan mejor. Esto puede llevar tiempo, pero es una estupenda forma de aprender y reforzar las bases que son comunes a dichas especialidades.

Todo está en Internet. Sí es cierto, pero tienes que buscar, categorizar y en ocasiones pierdes mucho tiempo intentando comprender ciertas cosas que son muy complejas. En ese sentido puede que te resulte interesante comprar libros sobre una temática concreta y adquirir alguna formación relacionada con dicha área. Es posible que tengas que invertir en actualizar tu ordenador o comprar otros dispositivos para realizar pruebas. Esta profesión, como cualquier otra, no está exenta de gastos. Si has llegado hasta este punto es posible que hayas decidido que esto es lo que te gusta y quieres desarrollar mejor tus habilidades. Si ese es el caso, invierte. No lo veas como un gasto innecesario, es una inversión orientada a cumplir con tus objetivos por lo tanto merece la pena.

Hay mucho terreno que cubrir y sería una locura intentar abordarlo todo con un nivel de profundidad aceptable. Si eres como yo, probablemente te sentirás atraído por todas las especialidades y facetas de la informática, pero el tiempo es limitado por lo que probablemente el mejor enfoque será escoger una o varias especialidades y meterse de lleno en ellas. Luego con el tiempo, pasar a la siguiente y luego otra, luego otra. Vas a ver que los conocimientos que adquieres de una te pueden servir para la siguiente y se te hace cada vez más fácil asimilar o actualizar conocimientos.

Ya habrás visto que la seguridad informática es compleja. Requiere tiempo y dedicación, son necesarias una serie de habilidades personales relacionadas con la constancia y la resiliencia. Esto no es para todo el mundo, pero si realmente te gusta y lo has decidido, no te rindas e insiste, el esfuerzo merece la pena y da sus frutos.

Espero que estos pasos, consejos, tips o como quieras llamarlos te resulten interesantes y de ayuda, si considerás que hay algún otro que pueda ser importante y que no he tenido en cuanta aquí puedes escribirlo en un comentario.

Un saludo y Happy Hack!
Adastra.