Cómo llegar a ser un hacker: varios expertos en seguridad nos lo cuentan

Root Password

La seguridad es, sin duda, uno de los sectores más calientes y activos dentro del panorama tecnológico. Afortunadamente, empresas y gobiernos se preocupan cada vez más por la seguridad de sus sistemas o la protección de los datos de sus usuarios y, en poco tiempo, el sector comienza a demandar cada vez más profesionales expertos en auditorías de seguridad, hacking, análisis de vulnerabilidades, mitigación de ataques…

La ciberseguridad es un sector muy activo, sin embargo, ¿cómo se puede entrar en este sector? ¿cómo llegar a ser un hacker? Cuando uno se plantea esta pregunta, una de las primeras respuestas que te vienen a la cabeza es que hay que ser un poco autodidacta, tener muchas ganas de aprender, experimentar y dedicar tiempo a documentarse y hacer experimentos. Básicamente, una de las imágenes que asociamos a este proceso de "aprender a ser un hacker" es la del joven Matthew Broderick en la mítica película Juegos de Guerra de 1983:

Aunque pueda parecer un tópico, expertos de peso del sector como Bernardo Quintero, fundador de VirusTotal (empresa adquirida por Google en 2012), suelen comentar que la película Juegos de Guerra (y el Spectrum) fueron los dos puntos de inflexión que marcaron su trayectoria profesional.

Más allá de los protagonistas de películas y series de televisión, nombres como Kevin Mitnick o Kevin Poulsen son auténticos mitos vivientes en el sector de la seguridad y, en el caso de España, vale la pena dedicar tiempo a leer el libro Hackstory de Mercé Molist para adentrarse en la historia del hacking en España y en sus protagonistas.

Como comentábamos al inicio, las ganas de aprender por cuenta propia y el learning by doing, son dos factores que han marcado mucho esta disciplina. Sin embargo, hoy en día, cada vez es más habitual encontrar formación reglada alrededor del ámbito de la seguridad entre títulos de Máster, expertos universitarios, etc.

Para intentar arrojar algo más de luz sobre este asunto, le hemos preguntado a varios expertos del sector, precisamente, sobre las capacidades y competencias que se debería tener para convertirse en un hacker y trabajar en el ámbito de la ciberseguridad.

Con ese objetivo, hemos charlado de este asunto con varios expertos del sector como Yago Jesús, María García y Oliver López.

Yago Jesús es uno de los editores de Security By Default, responsable de la plataforma eGarante y también imparte cursos de formación sobre seguridad a través de la plataforma online Securízame. María García es editora de A Penny of Security y es empleada pública, precisamente, dentro del área de seguridad IT y Oliver López es experto en gestión de la seguridad de la información con 11 años de experiencia en grandes empresas y administraciones públicas.

"La seguridad informática tiene mucho de creativo. Al ritmo que avanzan las protecciones, encontrar formas de saltarlas resulta muy emocionante" – Yago Jesús

Yago Jesus En Rooted Con 2012 Yago Jesús en la conferencia de seguridad Rooted CON 2012. Imagen: Rooted CON

¿Cómo iniciarse en la seguridad informática?

La pregunta más básica, a veces, es una de las más complicadas de responder pero, si alguien quisiera desarrollar su carrera dentro del ámbito de la ciberseguridad ¿por dónde tendría que empezar?

Para Yago, afortunadamente, los tiempos han cambiado mucho y la información no es tan underground como era antes, por tanto, ésta está mucho más accesible y al alcance de cualquiera con interés:

En este punto claramente los tiempos han cambiado y mucho. Hace unos 10 o 15 años la única vía de formación pasaba por leer canales de IRC y en general un proceso muy auto-formativo. Actualmente, desde que la seguridad se ha profesionalizado, existe mucha y muy buena formación, tanto en formato presencial como en formato online.

María apostó por sentar las bases de unos cimientos sólidos en áreas clave como programación, administración de sistemas, matemáticas… y, por ejemplo, pasar por la universidad puede ser un buen punto de partida:

No tiene sentido atacar directamente la seguridad si no tienes unos buenos fundamentos en esos temas (salvo que te quieras dedicar a la parte normativa). Una ingeniería técnica, que es lo que yo cursé, estaría bien. Aunque también hay gente que ha aprendido de forma autodidacta o en la experiencia profesional, creo que unos estudios reglados ayudan a ordenar las cosas en la cabeza sin dejar lagunas.

Para empezar en el mundo de la seguridad, Oliver cree que lo principal es la motivación:

Hay que empezar por tener interés y curiosidad por alguna de las áreas de la seguridad. Pero esto es común a cualquier cosa, sin interés ni curiosidad no tendrás la motivación suficiente para dedicar tiempo y esfuerzo a aprender y mejorar. Así que si no te interesa mejor ahorra tiempo y dedícate a lo que te motive.
Y una vez que lo tienes claro… pues igual que la metáfora: ¿cómo se come un elefante?… bocado a bocado.

Hay muchas formas de empezar, leer libros y blogs, formación y certificaciones, etc. En mi caso, empecé con una beca y aprendiendo de grandes profesionales (Chema, Manolo, Ricardo, Laura, Abel…) fueron buenos tiempos.

"Es difícil aburrirse ya que siempre tienes nuevos horizontes que explorar. Muchas cosas que se ven en la ficción son superadas por la realidad" – María García

¿Qué plataforma escoger?

Otro de los aspectos básicos a plantearse es qué plataforma utilizar. Parece claro que los sistemas basados en Linux están muy asociados al ámbito de la seguridad pero, según los expertos, el espectro es aún más amplio.

Yago Jesús apuesta tanto por Linux como por Windows, dado que el sistema de Microsoft es uno de los más extendidos y tiene todo el sentido del mundo conocerlo perfectamente:

Yo creo que hoy día tanto Linux como Windows han avanzado de forma transversal, tanto uno como otro tienen funcionalidades similares. Una persona con inquietudes técnicas puede avanzar y profundizar mucho en ambas plataformas, aunque lo ideal es comprender y dominar ambas.

Dado que Windows es un sistema operativo más conocido y en el que todos, más o menos, tienen experiencia, un desafío interesante es desinstalar Windows por completo, instalar una distribución de Linux y aprender a vivir al menos 1 año con ella.

Para María, si hubiese que centrarse en una plataforma, opta por poner el foco en Linux:

A mí, Linux me ha dado menos guerra pero Windows está más extendido.

Oliver fue mucho más práctico en cuanto a herramientas y plataformas:

En cuanto a sistemas operativos, todos y ninguno. Desde mi punto de vista lo importante es tener los conceptos claros, las herramientas no son lo más importante. Creo que hay que ser heterodoxo en eso, probar todo y usar en cada momento lo que mejor encaje con la situación y tus conocimientos.

Oliver Lopez Oliver López en una sesión sobre Equipos de Respuesta ante Emergencias Informáticas (CERT: Computer Emergency Response Team) en la Junta de Andalucía

Otros recursos recomendados

Como comentábamos al inicio, en la red podemos encontrar mucha información pero, evidentemente, también podemos encontrar libros y publicaciones enfocadas en el ámbito de la seguridad, las auditorías y el haacking. ¿Cuáles son las lecturas que nos recomiendan los expertos? ¿Qué libros, blogs o perfiles de Twitter deberíamos leer?

Para Yago, el problema de los libros es que no son algo "vivo" como pueda ser un blog. Hoy en día, las fuentes vivas de información están en Internet y, bajo su punto de vista, en las redes sociales:

El problema de los libros es que no se actualizan como lo puede hacer un curso o un blog, por tanto, sólo se pueden recomendar de forma atemporal libros clásicos tipo Applied Cryptography o Computer Networks. Para el resto de libros aplica la fecha de publicación, cuanto más nueva, mejor. En este sentido, 0xWord mantiene una lista actualizada de libros técnicos que se van actualizando

Con el advenimiento de las redes sociales, habría que plantearse la pregunta ¿a quién debo seguir para obtener buena información? Es, sin duda, la mejor forma de acceder a material relevante. Me gustan muchos artículos de muchos blogs. Si aprendes a construir una lista de personas que se preocupan por mover buenos enlaces, vas a obtener algo bastante mejor.

María también coincide con Yago en la lista de libros de 0XWord y, por supuesto, en el "gran manantial" de información que podemos encontrar en Internet:

El libro de Angelucho, X1RedMásSegura, sería mi recomendación para los no técnicos y para los que tienen perfil técnico pero están empezando. Los que he ido leyendo de 0XWord están bastante bien…

Lo que yo más suelo leer para asegurarme de estar al día es: Security By Default, ElevenPaths, Security Art Work, la lista RootedCon y la newsletter de SANS. También tiro mucho de Twitter: tengo una lista "Security" con gente interesante y, siempre que puedo, le doy un vistazo rápido.

Para Oliver, tanto los libros como los blogs son buenas referencias para ponerse al día en el ámbito de la seguridad:

Mis libros favoritos puede que sean un poco antiguos pero aún se les puede sacar provecho: "Tao of Network Security Monitoring, The:Beyond Intrusion Detection" de Richard Bejtlich, "Security Metrics: Replacing Fear, Uncertainty, and Doubt" de Andrew Jaquith y
"The New School of Information Security" de Adam Shostack.

Además, sigo decenas de blogs y hay muchos con un nivel muy alto. Los que últimamente leo con más interés son Securosis y Security Art Work

"La seguridad te permite conocer cómo funcionan las cosas. Y no solo en el plano tecnológico, también cómo funcionan las organizaciones y las personas. No olvidemos que las tecnologías las diseñan, las desarrollan, las administran y las usan personas" – Oliver López

¿Hay alguna formación específica?

Hasta ahora, le hemos dado mucho peso a la parte más autodidacta del desarrollo de competencias de un experto en seguridad. Sin embargo, teniendo en cuenta la variada oferta de formación que empieza a existir, ¿qué formación se debería cursar?

Yago opta por la formación impartida por expertos del sector, lo importante son los docentes que están detrás de los programas formativos y, precisamente, es lo que están haciendo desde la plataforma Securízame:

Mis compañeros de Securízame son auténticas máquinas y sin duda sería mi primera opción. Se abarcan temas tan importantes como el análisis forense, pentesting o algo de lo que es realmente difícil y generalmente muy caro formarse: exploiting y reversing

María, como nos comentaba al inicio, apuesta por los cimientos básicos que puede ofrecer una ingeniería, un grado o, quizás, un ciclo formativo superior. A partir de esa base, el abanico es bastante amplio:

Yo empecé con los cursos del Centro Criptólogico Nacional, son muy básicos pero, para empezar, están bastante bien y los profesores son bastante buenos. Sin embargo, estos cursos solamente están disponibles para funcionarios, militares y miembros del CNI. Los cursos de SANS tienen muy buena fama pero son bastante caros. En mi caso, estoy cursando un programa máster para tener una base general importante en materia de seguridad y, a partir de ahí, buscar la especialización.

Oliver, que además es docente en un Máster de la Universidad de Sevilla, apunta también a la variada oferta que existe actualmente, tanto de títulos de máster como de certificaciones:

Afortunadamente cada vez hay más opciones. En la web de Incibe hay un listado de Masters de seguridad, conozco alguno de ellos y merecen la pena. También están las certificaciones, que te obligan a ponerte al día y repasar conceptos; las que más me gustan por su enfoque más práctico son las del ISC2.

¿Por qué trabajar en el mundo de la seguridad informática?

Y como colofón, una pregunta que nada tiene que ver con habilidades y capacidades pero con algo que, sin duda es totalmente necesaria: la motivación. ¿Por qué trabajar en el ámbito de la seguridad? ¿Qué es lo que atrapó a nuestros expertos?

Para Yago, la seguridad informática es pura creatividad:

Yo creo que la seguridad informática tiene mucho de creativo, incluso en los conceptos más técnicos existe un punto de belleza creativa. Al ritmo que avanzan las protecciones, encontrar formas de saltarlas resulta muy emocionante. Desde el punto de vista defensivo también es un reto proponer un sistema o herramienta y ver como la gente trata de evadirla

Para María, la seguridad es un mundo horizontal que afecta a muchos ámbitos de nuestra vida:

Lo que más me gusta del mundo de la seguridad es que es muy variado. Es difícil aburrirse ya que siempre tienes nuevos horizontes que explorar; además te puedes concentrar en aquello que te guste más y dejar un poco más de lado (nunca del todo) lo que se te dé peor y todavía serás útil.

También es un mundo bastante horizontal (afecta muchos ámbitos de nuestra vida), a la vez que "peliculero": muchas cosas que se ven en la ficción, son superadas por la realidad, y poder estar en contacto con esas cosas y ser capaz de entenderlas (hasta cierto punto), te hace la vida más apasionante.

Para Oliver, la seguridad te permite cónocer cómo funcionan las cosas:

Son muchas las cosas que me tienen enganchado. Si tengo que elegir alguna: que te permite conocer cómo funcionan las cosas. Y no solo en el plano tecnológico, también cómo funcionan las organizaciones y las personas. No olvidemos que las tecnologías las diseñan, desarrollan, administran y usan personas.

Imagen de inicio: Scott Schiller (Flickr)

También te recomendamos


EL MIT crea un sistema de IA capaz de detectar el 85% de los ciberataques


Microsoft demanda a los Estados Unidos: si te investigan, deben decírtelo


¿Sabías que 4 de cada 5 clientes buscan online antes de comprar un producto?


La noticia

Cómo llegar a ser un hacker: varios expertos en seguridad nos lo cuentan

fue publicada originalmente en

Xataka

por
Juan Jesús Velasco

.

Chequea también

Elon Musk dice que las baterías de Tesla podrían reemplazar el sistema eléctrico de Puerto Rico

Elon Musk quiere volver a salvar el mundo, o por lo menos ayudar a que en Puerto Rico vuelvan a tener luz. El creador de Tesla dice estar dispuesto a trabajar en la reconstrucción del sistema energético del país, que quedó prácticamente destruido tras el devastador paso del huracán María dejando a millones de ciudadanos a oscuras y sin luz. Tras el huracán, algunos medios apuntaron a que toda la destrucción que había provocado le brindaba a la isla una oportunidad única de replantearse su modelo energético. Elon Musk respondió a una de esos medios en Twitter asegurando que Tesla había utilizado sus baterías para dar energía a pequeñas islas, y que este modelo no tiene límite de escalabilidad. The Tesla team has done this for many smaller islands around the world, but there is no scalability limit, so it can be done for Puerto Rico too. Such a decision would be in the hands of the PR govt, PUC, any commercial stakeholders and, most importantly, the people of PR.— Elon Musk (@elonmusk) 5 de octubre de 2017 "El equipo de Tesla ha hecho esto para muchas islas más pequeñas alrededor del mundo, pero no hay límite en la escalabilidad, así que se puede hacer también para Puerto Rico", ha dicho Elon Musk en su cuenta de Twitter. "Tal decisión estaría en manos del gobierno de Puerto Rico, de todas las partes comerciales interesadas y, lo que es más importante, de la gente de Puerto Rico”. Musk ya ha estado mostrando en las últimas semanas su apoyo a Puerto Rico tras la catástrofe. Por una parte donó 250.000 dólares para apoyar la reconstrucción de la isla, y por otra hizo que su empresa enviara cientos de baterías Powerwall. Estas utilizan paneles solares para recargarse, por lo que con ellas trata de ayudar a minimizar dentro de lo posible los efectos de la caída de la red eléctrica en varias zonas del país. A Musk le van los grandes proyectos No es la primera vez que Elon Musk propone un reto de esta magnitud para su empresa. Hace unos meses se ofreció a solucionar los problemas energéticos de Australia en 100 días asegurando que si no lo conseguía lo haría gratis. A día de hoy, y ya con la mitad de su proyecto completado parece que acabará cobrando por la azaña tras instalar allí la batería de litio más grande del planeta con 100 megavatios para 30.000 hogares. "Este es un gran ejemplo para el resto del mundo de lo que se puede hacer", ha dicho Musk hace unos días. Para él no sólo está en juego el dinero que perdería si tuviera que hacerlo gratis, sino el demostrar por una parte que las energías renovables sí que son una alternativa, y lo más importante, que Tesla tiene el músculo suficiente como para que se cuente con ellos para proyectos a gran escala. Cabe recordar también que Tesla está intentando llevar esta revolución al ámbito doméstico con sus proyecto de techos solares, aunque algunos expertos apuntan que invertir en ellos puede ser un grave error financiero. Aseguran que cualquier inversión a 30 años debe sopesarse con mucha cautela, y que en el plan de Tesla hay cosas que no cuadran y muchos interrogantes que pueden llevar a que la cosa no salga tan bien como la pintan. Imagen | Heisenberg MediaEn Xataka | Cambiar el tejado a Tesla Solar Roof es un error financiero. Y grande También te recomendamos Tesla está actualizando el hardware de su Autopilot de forma discreta buscando la ansiada autonomía total El nuevo camión de Tesla tendrá capacidades autónomas e iniciará pruebas en Estados Unidos, según Reuters Llevo más de 25 años trabajando en la misma empresa, ¿y qué? Entrevistamos a siete empleados senior - La noticia Elon Musk dice que las baterías de Tesla podrían reemplazar el sistema eléctrico de Puerto Rico fue publicada originalmente en Xataka por Yúbal FM .