La seguridad es, sin duda, uno de los sectores más calientes y activos dentro del panorama tecnológico. Afortunadamente, empresas y gobiernos se preocupan cada vez más por la seguridad de sus sistemas o la protección de los datos de sus usuarios y, en poco tiempo, el sector comienza a demandar cada vez más profesionales expertos en auditorías de seguridad, hacking, análisis de vulnerabilidades, mitigación de ataques...
La ciberseguridad es un sector muy activo, sin embargo, ¿cómo se puede entrar en este sector? ¿cómo llegar a ser un hacker? Cuando uno se plantea esta pregunta, una de las primeras respuestas que te vienen a la cabeza es que hay que ser un poco autodidacta, tener muchas ganas de aprender, experimentar y dedicar tiempo a documentarse y hacer experimentos. Básicamente, una de las imágenes que asociamos a este proceso de "aprender a ser un hacker" es la del joven Matthew Broderick en la mítica película Juegos de Guerra de 1983:
Aunque pueda parecer un tópico, expertos de peso del sector como Bernardo Quintero, fundador de VirusTotal (empresa adquirida por Google en 2012), suelen comentar que la película Juegos de Guerra (y el Spectrum) fueron los dos puntos de inflexión que marcaron su trayectoria profesional.
Más allá de los protagonistas de películas y series de televisión, nombres como Kevin Mitnick o Kevin Poulsen son auténticos mitos vivientes en el sector de la seguridad y, en el caso de España, vale la pena dedicar tiempo a leer el libro Hackstory de Mercé Molist para adentrarse en la historia del hacking en España y en sus protagonistas.
Como comentábamos al inicio, las ganas de aprender por cuenta propia y el learning by doing, son dos factores que han marcado mucho esta disciplina. Sin embargo, hoy en día, cada vez es más habitual encontrar formación reglada alrededor del ámbito de la seguridad entre títulos de Máster, expertos universitarios, etc.
Para intentar arrojar algo más de luz sobre este asunto, le hemos preguntado a varios expertos del sector, precisamente, sobre las capacidades y competencias que se debería tener para convertirse en un hacker y trabajar en el ámbito de la ciberseguridad.
Con ese objetivo, hemos charlado de este asunto con varios expertos del sector como Yago Jesús, María García y Oliver López.
Yago Jesús es uno de los editores de Security By Default, responsable de la plataforma eGarante y también imparte cursos de formación sobre seguridad a través de la plataforma online Securízame. María García es editora de A Penny of Security y es empleada pública, precisamente, dentro del área de seguridad IT y Oliver López es experto en gestión de la seguridad de la información con 11 años de experiencia en grandes empresas y administraciones públicas.
La pregunta más básica, a veces, es una de las más complicadas de responder pero, si alguien quisiera desarrollar su carrera dentro del ámbito de la ciberseguridad ¿por dónde tendría que empezar?
Para Yago, afortunadamente, los tiempos han cambiado mucho y la información no es tan underground como era antes, por tanto, ésta está mucho más accesible y al alcance de cualquiera con interés:
En este punto claramente los tiempos han cambiado y mucho. Hace unos 10 o 15 años la única vía de formación pasaba por leer canales de IRC y en general un proceso muy auto-formativo. Actualmente, desde que la seguridad se ha profesionalizado, existe mucha y muy buena formación, tanto en formato presencial como en formato online.
María apostó por sentar las bases de unos cimientos sólidos en áreas clave como programación, administración de sistemas, matemáticas... y, por ejemplo, pasar por la universidad puede ser un buen punto de partida:
No tiene sentido atacar directamente la seguridad si no tienes unos buenos fundamentos en esos temas (salvo que te quieras dedicar a la parte normativa). Una ingeniería técnica, que es lo que yo cursé, estaría bien. Aunque también hay gente que ha aprendido de forma autodidacta o en la experiencia profesional, creo que unos estudios reglados ayudan a ordenar las cosas en la cabeza sin dejar lagunas.
Para empezar en el mundo de la seguridad, Oliver cree que lo principal es la motivación:
Hay que empezar por tener interés y curiosidad por alguna de las áreas de la seguridad. Pero esto es común a cualquier cosa, sin interés ni curiosidad no tendrás la motivación suficiente para dedicar tiempo y esfuerzo a aprender y mejorar. Así que si no te interesa mejor ahorra tiempo y dedícate a lo que te motive. Y una vez que lo tienes claro... pues igual que la metáfora: ¿cómo se come un elefante?... bocado a bocado.
Hay muchas formas de empezar, leer libros y blogs, formación y certificaciones, etc. En mi caso, empecé con una beca y aprendiendo de grandes profesionales (Chema, Manolo, Ricardo, Laura, Abel?) fueron buenos tiempos.
Otro de los aspectos básicos a plantearse es qué plataforma utilizar. Parece claro que los sistemas basados en Linux están muy asociados al ámbito de la seguridad pero, según los expertos, el espectro es aún más amplio.
Yago Jesús apuesta tanto por Linux como por Windows, dado que el sistema de Microsoft es uno de los más extendidos y tiene todo el sentido del mundo conocerlo perfectamente:
Yo creo que hoy día tanto Linux como Windows han avanzado de forma transversal, tanto uno como otro tienen funcionalidades similares. Una persona con inquietudes técnicas puede avanzar y profundizar mucho en ambas plataformas, aunque lo ideal es comprender y dominar ambas.
Dado que Windows es un sistema operativo más conocido y en el que todos, más o menos, tienen experiencia, un desafío interesante es desinstalar Windows por completo, instalar una distribución de Linux y aprender a vivir al menos 1 año con ella.
Para María, si hubiese que centrarse en una plataforma, opta por poner el foco en Linux:
A mí, Linux me ha dado menos guerra pero Windows está más extendido.
Oliver fue mucho más práctico en cuanto a herramientas y plataformas:
En cuanto a sistemas operativos, todos y ninguno. Desde mi punto de vista lo importante es tener los conceptos claros, las herramientas no son lo más importante. Creo que hay que ser heterodoxo en eso, probar todo y usar en cada momento lo que mejor encaje con la situación y tus conocimientos.
Como comentábamos al inicio, en la red podemos encontrar mucha información pero, evidentemente, también podemos encontrar libros y publicaciones enfocadas en el ámbito de la seguridad, las auditorías y el haacking. ¿Cuáles son las lecturas que nos recomiendan los expertos? ¿Qué libros, blogs o perfiles de Twitter deberíamos leer?
Para Yago, el problema de los libros es que no son algo "vivo" como pueda ser un blog. Hoy en día, las fuentes vivas de información están en Internet y, bajo su punto de vista, en las redes sociales:
El problema de los libros es que no se actualizan como lo puede hacer un curso o un blog, por tanto, sólo se pueden recomendar de forma atemporal libros clásicos tipo Applied Cryptography o Computer Networks. Para el resto de libros aplica la fecha de publicación, cuanto más nueva, mejor. En este sentido, 0xWord mantiene una lista actualizada de libros técnicos que se van actualizando
Con el advenimiento de las redes sociales, habría que plantearse la pregunta ¿a quién debo seguir para obtener buena información? Es, sin duda, la mejor forma de acceder a material relevante. Me gustan muchos artículos de muchos blogs. Si aprendes a construir una lista de personas que se preocupan por mover buenos enlaces, vas a obtener algo bastante mejor.
María también coincide con Yago en la lista de libros de 0XWord y, por supuesto, en el "gran manantial" de información que podemos encontrar en Internet:
El libro de Angelucho, X1RedMásSegura, sería mi recomendación para los no técnicos y para los que tienen perfil técnico pero están empezando. Los que he ido leyendo de 0XWord están bastante bien...
Lo que yo más suelo leer para asegurarme de estar al día es: Security By Default, ElevenPaths, Security Art Work, la lista RootedCon y la newsletter de SANS. También tiro mucho de Twitter: tengo una lista "Security" con gente interesante y, siempre que puedo, le doy un vistazo rápido.
Para Oliver, tanto los libros como los blogs son buenas referencias para ponerse al día en el ámbito de la seguridad:
Mis libros favoritos puede que sean un poco antiguos pero aún se les puede sacar provecho: "Network Security Monitoring, The:Beyond Intrusion Detection" de Richard Bejtlich, "Security Metrics: Replacing Fear, Uncertainty, and Doubt" de Andrew Jaquith y "The New School of Information Security" de Adam Shostack.
Además, sigo decenas de blogs y hay muchos con un nivel muy alto. Los que últimamente leo con más interés son Securosis y Security Art Work
Hasta ahora, le hemos dado mucho peso a la parte más autodidacta del desarrollo de competencias de un experto en seguridad. Sin embargo, teniendo en cuenta la variada oferta de formación que empieza a existir, ¿qué formación se debería cursar?
Yago opta por la formación impartida por expertos del sector, lo importante son los docentes que están detrás de los programas formativos y, precisamente, es lo que están haciendo desde la plataforma Securízame:
Mis compañeros de Securízame son auténticas máquinas y sin duda sería mi primera opción. Se abarcan temas tan importantes como el análisis forense, pentesting o algo de lo que es realmente difícil y generalmente muy caro formarse: exploiting y reversing
María, como nos comentaba al inicio, apuesta por los cimientos básicos que puede ofrecer una ingeniería, un grado o, quizás, un ciclo formativo superior. A partir de esa base, el abanico es bastante amplio:
Yo empecé con los cursos del Centro Criptólogico Nacional, son muy básicos pero, para empezar, están bastante bien y los profesores son bastante buenos. Sin embargo, estos cursos solamente están disponibles para funcionarios, militares y miembros del CNI. Los cursos de SANS tienen muy buena fama pero son bastante caros. En mi caso, estoy cursando un programa máster para tener una base general importante en materia de seguridad y, a partir de ahí, buscar la especialización.
Oliver, que además es docente en un Máster de la Universidad de Sevilla, apunta también a la variada oferta que existe actualmente, tanto de títulos de máster como de certificaciones:
Afortunadamente cada vez hay más opciones. En la web de Incibe hay un listado de Masters de seguridad, conozco alguno de ellos y merecen la pena. También están las certificaciones, que te obligan a ponerte al día y repasar conceptos; las que más me gustan por su enfoque más práctico son las del ISC2.
Y como colofón, una pregunta que nada tiene que ver con habilidades y capacidades pero con algo que, sin duda es totalmente necesaria: la motivación. ¿Por qué trabajar en el ámbito de la seguridad? ¿Qué es lo que atrapó a nuestros expertos?
Para Yago, la seguridad informática es pura creatividad:
Yo creo que la seguridad informática tiene mucho de creativo, incluso en los conceptos más técnicos existe un punto de belleza creativa. Al ritmo que avanzan las protecciones, encontrar formas de saltarlas resulta muy emocionante. Desde el punto de vista defensivo también es un reto proponer un sistema o herramienta y ver como la gente trata de evadirla
Para María, la seguridad es un mundo horizontal que afecta a muchos ámbitos de nuestra vida:
Lo que más me gusta del mundo de la seguridad es que es muy variado. Es difícil aburrirse ya que siempre tienes nuevos horizontes que explorar; además te puedes concentrar en aquello que te guste más y dejar un poco más de lado (nunca del todo) lo que se te dé peor y todavía serás útil.
También es un mundo bastante horizontal (afecta muchos ámbitos de nuestra vida), a la vez que "peliculero": muchas cosas que se ven en la ficción, son superadas por la realidad, y poder estar en contacto con esas cosas y ser capaz de entenderlas (hasta cierto punto), te hace la vida más apasionante.
Para Oliver, la seguridad te permite cónocer cómo funcionan las cosas:
Son muchas las cosas que me tienen enganchado. Si tengo que elegir alguna: que te permite conocer cómo funcionan las cosas. Y no solo en el plano tecnológico, también cómo funcionan las organizaciones y las personas. No olvidemos que las tecnologías las diseñan, desarrollan, administran y usan personas.
Imagen de inicio: Scott Schiller (Flickr)
.
Fecha: 25-06-19
Categoría: Informática
Leer Más
Todas las noticias