paint-brush
No está aprendiendo solo: una guía estructurada para principiantes en ciberseguridadpor@davidecarmeci
13,625 lecturas
13,625 lecturas

No está aprendiendo solo: una guía estructurada para principiantes en ciberseguridad

por Davide Carmeci12m2023/11/11
Read on Terminal Reader

Demasiado Largo; Para Leer

Sumérjase en una guía integral de ciberseguridad que cubre capacitación práctica para principiantes, la importancia de la tutoría y una lista de herramientas gratuitas. Ya sea que sea nuevo o esté progresando, esta guía garantiza que esté bien equipado para el cambiante panorama de la seguridad digital.
featured image - No está aprendiendo solo: una guía estructurada para principiantes en ciberseguridad
Davide Carmeci HackerNoon profile picture
0-item



Unirme al campo de la ciberseguridad como un outsider sin experiencia técnica fue un viaje transformador para mí. Lo que inmediatamente me cautivó de la industria fue su ritmo implacable y el estimulante desafío que presentaba constantemente. Al interactuar con profesionales en el campo, me animó su abrumador apoyo a los recién llegados que realmente mostraron la voluntad de aprender. Sin embargo, rápidamente encontré un sentimiento predominante: existe una expectativa general de que los recién llegados sean autodidactas independientes. Esta podría ser una expectativa desalentadora, especialmente considerando que muchos principiantes potenciales en ciberseguridad no son inherentemente autodidactas. Si bien la curiosidad innata es sin duda un rasgo valioso, es esencial reconocer que muchas personas, incluso aquellas con un potencial inmenso, necesitan un marco estructurado para dar sus primeros pasos en este vasto dominio.


En los últimos años, se han logrado avances significativos para cerrar la brecha de talento en la industria. Sin embargo, a partir de 2023, según el Estudio de la fuerza laboral de ciberseguridad de ISC2 , se crearon 440.000 nuevos puestos de trabajo en ciberseguridad a nivel mundial (un aumento del 8,7 % año tras año), pero la asombrosa cifra de 4 millones de puestos permanecieron sin cubrir (un aumento del 12,6 % año tras año). . Esta enorme brecha es el resultado de la desconexión entre las necesidades de los empleadores de contar con profesionales experimentados y la escasez de dicha experiencia en el mundo real.


La solución a esta escasez de talento radica en centrarse en las primeras etapas de las carreras de los posibles profesionales de la ciberseguridad, especialmente los estudiantes jóvenes. Como comunidad, es imperativo que proporcionemos a los jóvenes las herramientas que necesitan para explorar la ciberseguridad como una opción profesional viable. La clave es ofrecer rutas de aprendizaje estructuradas, prácticas y accesibles. A continuación se muestran algunos pasos y ejemplos de cómo hacerlo.


Marcos de estudio como NIST-NICE

El marco NIST-NICE clasifica el trabajo de ciberseguridad en siete categorías de alto nivel: analizar, recopilar y operar, investigar, operar y mantener, supervisar y gobernar, proteger y defender, y aprovisionar de forma segura. Cada categoría se divide a su vez en áreas de especialidad y roles laborales, lo que proporciona una hoja de ruta integral para la progresión profesional.

Tabla 1: Categorías de roles de trabajo del marco NICE

Categoría

Descripción

Número de roles laborales

Aprovisionamiento seguro (SP)

Conceptualiza, diseña, adquiere y/o construye sistemas de TI seguros. Responsable de aspectos de desarrollo de sistemas y/o redes.

11

Operar y Mantener (OM)

Proporciona el soporte, la administración y el mantenimiento necesarios para garantizar el rendimiento y la seguridad efectivos y eficientes del sistema de TI.

7

Supervisar y Gobernar (OV)

Proporciona liderazgo, gestión, dirección o desarrollo y defensa para que la organización pueda llevar a cabo eficazmente el trabajo de ciberseguridad.

14

Proteger y Defender (PR)

Identifica, analiza y mitiga amenazas a los sistemas y/o redes internas de TI.

4

Investigar (EN)

Investiga eventos o delitos de ciberseguridad relacionados con sistemas de TI, redes y evidencia digital.

3

Analizar (AN)

Realiza una revisión y evaluación altamente especializada de la información entrante de ciberseguridad para determinar su utilidad para la inteligencia.

7

Recopilar y operar (CO)

Proporciona operaciones especializadas de denegación y engaño y recopilación de información de ciberseguridad que puede utilizarse para desarrollar inteligencia.

6


Esta tabla muestra el amplio espectro de roles dentro del panorama de la ciberseguridad. Al comprender estas categorías, los principiantes pueden posicionarse mejor para una trayectoria profesional más personalizada e informada.

Para obtener una comprensión integral del marco NIST-NICE y acceder a una gran cantidad de recursos diseñados para principiantes, se puede visitar el Centro de recursos de introducción de NICE .

El objetivo es explorar diversas facetas de la ciberseguridad y determinar dónde se cruza la pasión con la competencia. Dado que la ciberseguridad es un campo dinámico, siempre hay espacio para que un individuo gire, aprenda y evolucione.


Hazte amigo de verdaderos hackers

La comunidad de ciberseguridad apoya excepcionalmente a los recién llegados. Incluso los profesionales experimentados suelen estar abiertos a compartir sugerencias y consejos y son increíblemente accesibles para los principiantes. El secreto para conocer a estas personas es asistir a eventos en vivo.


Las interacciones en tiempo real en eventos presenciales ofrecen preguntas espontáneas, debates y la posibilidad de una comprensión más profunda. No se trata sólo de empaparse de conocimientos; también se trata de establecer contactos. Estos lugares son excelentes oportunidades para establecer conexiones significativas, lo que podría conducir a tutorías, colocaciones laborales o incluso proyectos colaborativos. Además, muchas de estas reuniones cuentan con desafíos en vivo o talleres prácticos donde los asistentes pueden poner la teoría en práctica, a menudo bajo la guía de un experto.


He aquí por qué asistir a eventos en persona puede resultar tan beneficioso para un entusiasta de la ciberseguridad:


  • Demostraciones de habilidades: participe directamente en desafíos o talleres, perfeccionando habilidades en tiempo real.
  • Mantenerse actualizado: la ciberseguridad está en constante evolución. Participe en debates nuevos y de vanguardia que quizás aún no hayan llegado a la comunidad en línea en general.
  • Apoyo moral: compartir experiencias y desafíos con compañeros. Es reconfortante y motivador saber que otros enfrentan desafíos similares.


En cuanto a sedes, destacan algunas plataformas y organizaciones:


  • OWASP (Proyecto abierto de seguridad de aplicaciones web): reconocido por sus conocimientos sobre las vulnerabilidades web, sus capítulos globales celebran periódicamente reuniones y talleres.
  • BSides : estos eventos impulsados por la comunidad ofrecen un entorno más acogedor e íntimo para debates y aprendizaje.
  • DEF CON : Una de las convenciones de hackers, es un lugar excelente para alguien interesado en profundizar en la piratería y la ciberseguridad.

Cuando planee asistir, aquí hay algunos consejos:


  • Participe activamente: no sea simplemente un participante pasivo. ¡Participe, pregunte, discuta!
  • Prepárese: revise el cronograma del evento, anote las sesiones de interés e investigue a los oradores.
  • Seguimiento: ¿Te conectaste con alguien interesante? Envíeles una nota de agradecimiento o un mensaje sencillo después del evento. Podría ser el comienzo de una relación valiosa.

Por lo tanto, si su objetivo es profundizar su conocimiento y su red de ciberseguridad, asistir a dichos eventos podría ser el trampolín hacia su próxima gran oportunidad.


Participe en desafíos y hackathons de CTF

Los desafíos Capture The Flag (CTF) son competencias en las que los participantes resuelven acertijos de ciberseguridad que van desde criptografía hasta vulnerabilidades de aplicaciones web. Estos desafíos ofrecen a los principiantes una experiencia práctica para resolver problemas de ciberseguridad del mundo real . Por ejemplo, el evento DEF CON CTF atrae anualmente a una audiencia global y tiene acertijos adecuados para todos los niveles.

Participar en los desafíos del CTF se correlaciona directamente con varias áreas descritas en el marco NIST-NICE:


  • Analizar (AN): Descifrar acertijos criptográficos en CTF mejora las habilidades pertinentes a la categoría Analizar, donde se evalúa la información de ciberseguridad entrante.

  • Proteger y defender (PR): abordar las vulnerabilidades durante un CTF fortalece las capacidades de un participante para identificar, analizar y mitigar amenazas a los sistemas de TI, alineándose estrechamente con la categoría Proteger y defender.

  • Investigar (IN): algunos CTF implican desafíos forenses, alineándose con la categoría Investigar, donde se examinan eventos de ciberseguridad o delitos relacionados con los sistemas de TI.

  • Provisión segura (SP): abordar desafíos en los que los participantes deben proteger o reforzar los sistemas refleja la categoría Provisión segura, enfatizando el diseño y la creación de sistemas de TI seguros.


Al sumergirse en los CTF, los principiantes no sólo obtienen una valiosa experiencia práctica sino que también comprenden mejor los diferentes roles y áreas que podrían interesarles según el marco NICE. Proporciona una forma tangible y atractiva de explorar y profundizar competencias específicas en ciberseguridad.


Únase a las campañas de recompensas por errores

En una campaña de recompensas por errores, las empresas incentivan a los piratas informáticos éticos a encontrar e informar vulnerabilidades en sus sistemas. Esta práctica es cada vez más frecuente entre las empresas de tecnología líderes, al darse cuenta del valor del grupo global de investigadores de seguridad independientes. Por ejemplo, gigantes tecnológicos como Google, Facebook, Apple, Microsoft y Twitter han implementado sus propios programas de recompensas por errores, alentando a los piratas informáticos éticos a identificar y revelar de manera responsable posibles fallas de seguridad en sus plataformas. Al ofrecer estas campañas, estas organizaciones no solo mejoran la seguridad de sus sistemas sino que también fomentan una relación simbiótica con la comunidad de la ciberseguridad. Por ejemplo:


  • El Programa de recompensa por vulnerabilidades (VRP) de Google recompensa a los investigadores que descubren vulnerabilidades de seguridad en los productos y servicios de Google. Los montos de sus recompensas pueden oscilar entre $100 y más de $30,000, dependiendo de la gravedad del defecto y del producto afectado. En algunos casos excepcionales se han concedido recompensas aún mayores. El VRP de Google ha sido fundamental para garantizar la seguridad de productos como Google Chrome, Android y Google Cloud Platform.
  • El programa Security Bounty de Apple invita a los investigadores de seguridad a encontrar vulnerabilidades en iOS, macOS y otro software de Apple. Los pagos pueden ser bastante sustanciales, con recompensas por los problemas más críticos que alcanzan hasta el millón de dólares. Esto refleja el compromiso de Apple con la privacidad y seguridad del usuario.

Plataformas como Bugcrowd, Hackerone e Intigrity también han simplificado el proceso, actuando como intermediarios que conectan a los hackers éticos con organizaciones, incluidas aquellas que tal vez no tengan programas independientes como Google o Apple. Una vez que una vulnerabilidad es identificada y reportada a través de estas plataformas o directamente a las empresas con programas establecidos, pasa por un proceso de verificación. Si se valida, el investigador podría recibir una recompensa financiera, un reconocimiento o ambos.


Centrarse en la formación práctica

Para los principiantes, existen laboratorios basados en navegador web. Estos laboratorios permiten a los usuarios practicar en un entorno controlado directamente desde sus navegadores. Si bien son convenientes y de fácil acceso, es posible que estas plataformas no repliquen completamente las complejidades y complejidades de los sistemas del mundo real. Son buenas herramientas introductorias, pero a medida que los usuarios avanzan en su recorrido por la ciberseguridad, es posible que las encuentren menos desafiantes.


Por otro lado, existen entornos virtualizados que requieren acceso VPN. Estas plataformas ofrecen entornos casi idénticos a las infraestructuras empresariales reales. Los escenarios virtualizados están meticulosamente diseñados para emular redes, servidores y estaciones de trabajo del mundo real. Cuando los usuarios se conectan a través de VPN, se sienten como si realmente estuvieran dentro de una red operativa, lo que proporciona un nivel de autenticidad del que podrían carecer los laboratorios basados en navegadores web. Este tipo de entorno permite una exploración más profunda de herramientas, tácticas y procedimientos, capacitando eficazmente al participante para abordar amenazas genuinas de ciberseguridad. La capacitación rigurosa en estos entornos garantiza que los participantes estén listos para trabajar y completamente preparados para abordar los desafíos multifacéticos que podrían enfrentar en sus carreras de ciberseguridad.


Al experimentar ambos tipos de capacitación, los candidatos pueden apreciar el gradiente de complejidad de los desafíos de ciberseguridad y perfeccionar sus habilidades para ser profesionales eficaces.

Aquí hay una lista de recursos prácticos de capacitación en ciberseguridad gratuitos o asequibles para principiantes:


  • sobre el cable : Proporciona una serie de juegos de guerra diseñados para enseñar los principios de seguridad desde los conceptos básicos hasta los avanzados. Es un excelente punto de partida para principiantes que desean aprender comandos de Linux y técnicas simples de prueba de penetración.


  • Rootearme : Esta plataforma ofrece más de 300 desafíos en diferentes dominios para ayudar a los usuarios a mejorar sus habilidades de piratería. Proporciona un enfoque práctico para aprender sobre seguridad de redes, seguridad de aplicaciones web y más.


  • Academia PortSwigger : Desarrollada por los creadores de Burp Suite, esta academia ofrece capacitación práctica gratuita en seguridad web. Cubre una amplia gama de temas, desde vulnerabilidades web básicas hasta avanzadas.


  • PWNX.io : Proporciona cursos para principiantes combinados con una experiencia de capacitación del mundo real basada en VPN, emulando escenarios genuinos de ciberseguridad.


  • PWN.college : Una plataforma diseñada principalmente para que los estudiantes aprendan sobre ciberseguridad. Ofrece módulos educativos adaptados a diferentes niveles de habilidad.


  • PruebaHackMe : Una plataforma en línea que ayuda al aprendizaje en ciberseguridad a través de laboratorios virtuales prácticos. Sus desafíos gamificados van desde los más básicos hasta los más avanzados, y están dirigidos a usuarios de todos los niveles.


  • Hackear la caja: Una plataforma que ofrece diversos laboratorios y desafíos de ciberseguridad. Si bien está dirigido a usuarios de todos los niveles, algunos de los desafíos pueden ser muy avanzados, lo que lo hace ideal para aquellos que buscan progresar más allá de lo básico.


  • Seguridad de la medicina tradicional china: TCM Security ofrece cursos de ciberseguridad a su propio ritmo que cubren temas como pruebas de penetración, capacitación en seguridad y cumplimiento. Además, brindan certificaciones que están ganando cada vez más reputación en la industria.


Los recursos mencionados anteriormente representan solo una instantánea de las muchas herramientas y plataformas que han ganado atención y reconocimiento dentro de la comunidad de ciberseguridad. El ámbito de la capacitación en ciberseguridad es amplio y la lista de recursos valiosos se extiende mucho más allá de lo que se proporciona aquí. Además, existen numerosos proyectos de código abierto y otros contenidos disponibles en línea que pueden ser fundamentales para mejorar el viaje de aprendizaje.


Los foros y sitios web especializados, que detallaré en el siguiente párrafo, pueden resultar muy valiosos para descubrir reseñas o comentarios de otros miembros de la comunidad. Esta retroalimentación proporciona información sobre la calidad de los nuevos recursos que se publican constantemente.


Aproveche las redes sociales y los foros para encontrar un mentor

En el vasto ámbito de la ciberseguridad, la orientación de alguien con experiencia puede marcar la diferencia. Plataformas como LinkedIn pueden resultar especialmente beneficiosas, no sólo para establecer contactos, sino también para identificar mentores potenciales. Al revisar cuidadosamente los perfiles, unirse a grupos relevantes y participar activamente en debates, puede mostrar su entusiasmo y captar la atención de profesionales experimentados dispuestos a guiar a los recién llegados.


Discord, una plataforma creada inicialmente para jugadores, se ha convertido en un centro para varias comunidades profesionales.


Los foros y sitios web especializados amplían aún más la oportunidad:


  • Comunidades de ciberseguridad de Reddit: plataformas como La ciberseguridad de Reddit y seguridad de red Los subreddits están repletos de profesionales y entusiastas que discuten lo último en tendencias, desafíos y soluciones de seguridad. El estudiantesnetsec subreddit está especialmente diseñado para estudiantes y principiantes, fomentando un espacio enriquecedor para consultas y orientación.

  • Foros de seguridad de Wilders: profundice en los debates sobre privacidad, seguridad y protección de datos en línea en Foros de seguridad de Wilders . La amplia gama de hilos y publicaciones significa una comunidad dedicada, lo que la convierte en un recurso invaluable para todos los temas relacionados con la ciberseguridad.

  • MalwareTips y foros de Antionline: sitios web como Consejos sobre malware y Antilinea Son comunidades vibrantes donde uno puede participar en debates en profundidad sobre diversas facetas de la seguridad, desde amenazas de malware hasta seguridad de la red.

  • Bleeping Computer y Spiceworks Community: foros como Computadora que suena y el Foro de seguridad de Spiceworks están dedicados a debates integrales relacionados con la seguridad, desde firewalls y VPN hasta administradores de contraseñas y ataques de malware.

  • Hacklido: Una plataforma única, Hacklido es donde los hackers más brillantes se reúnen para compartir conocimientos, experiencias y orientación. Es una rica fuente de conocimientos prácticos y ejemplos del mundo real.


Al participar activamente en estos foros y comunidades, no sólo se pueden ampliar sus conocimientos sino también construir conexiones significativas. A medida que participa y contribuye, las posibilidades de conocer mentores potenciales que reconozcan su pasión y dedicación aumentan significativamente. Recuerde, la tutoría en ciberseguridad no se trata solo de aprender a manejar; se trata de orientación, retroalimentación y comprensión de los matices del mundo de la protección digital en rápida evolución.


Utilice herramientas gratuitas

Al embarcarse en su viaje hacia la ciberseguridad, es esencial que se familiarice con la gran cantidad de herramientas gratuitas disponibles. Estas herramientas, ampliamente reconocidas y utilizadas por profesionales en el campo, pueden aumentar significativamente su experiencia de aprendizaje:


  • Tiburón de alambre:

    • Descripción: Wireshark, un analizador de paquetes de código abierto, permite a los usuarios ver lo que sucede en su red a nivel microscópico. Se utiliza ampliamente para la resolución de problemas de redes, análisis, desarrollo de software y protocolos de comunicaciones y educación.
    • Recurso: La herramienta viene con una variedad de documentación y guías oficiales para ayudar a los recién llegados a comprender sus funcionalidades.
  • OWASP ZAP (Proxy de ataque Zed):

    • Descripción: Desarrollado por OWASP (Open Web Application Security Project), ZAP es un escáner de seguridad de aplicaciones web gratuito y de código abierto. Ayuda a encontrar vulnerabilidades de seguridad en aplicaciones web mientras las desarrolla y prueba.
    • Recurso: Los nuevos usuarios pueden beneficiarse de la herramienta documentación oficial y varias guías aportadas por la comunidad.
  • Edición comunitaria de Metasploit:

    • Descripción: Como parte del Proyecto Metasploit, esta edición es una herramienta de prueba de penetración gratuita que ayuda a verificar vulnerabilidades y gestionar evaluaciones de seguridad. Ayuda en el descubrimiento, análisis y explotación de vulnerabilidades.
    • Recurso: Metasploit proporciona una gran cantidad de tutoriales y guías de usuario para diversas funcionalidades.
  • Bufido:

    • Descripción: Como sistema de prevención de intrusiones en la red (NIPS) y sistema de detección de intrusiones (IDS) de código abierto, Snort es experto en realizar análisis de tráfico y registro de paquetes en tiempo real.
    • Recurso: Los principiantes pueden encontrar documentación extensa y una comunidad de usuarios en el Sitio web oficial de Snort .
  • OpenVAS (Sistema abierto de evaluación de vulnerabilidades):

    • Descripción: OpenVAS es un escáner de vulnerabilidades con todas las funciones que viene con numerosas pruebas y ofrece actualizaciones para las últimas vulnerabilidades. Ayuda a identificar problemas en sistemas y aplicaciones.
    • Recurso: La comunidad OpenVAS proporciona un conjunto completo de documentación para ayudar a los nuevos usuarios a comprender y maximizar las capacidades de la herramienta.
  • KaliLinux:

    • Descripción: Kali Linux es una distribución de Linux basada en Debian que está orientada a pruebas de penetración avanzadas y auditorías de seguridad. Viene preinstalado con cientos de herramientas de seguridad integradas, lo que lo convierte en un elemento básico en la comunidad de ciberseguridad.
    • Recurso: Para aquellos nuevos en Kali, el documentación oficial ofrece una guía completa, que va desde la instalación hasta el uso de su amplia gama de herramientas.


Aprovechar las capacidades de estas herramientas no sólo brinda a los principiantes una comprensión práctica de diversos dominios de ciberseguridad, sino que también proporciona un enfoque práctico para combatir amenazas potenciales. Recuerde explorar la documentación y los tutoriales asociados para cada herramienta, ya que a menudo contienen una gran cantidad de conocimientos y mejores prácticas.


Potencial no aprovechado y necesidad de orientación

Si bien hay autodidactas que logran conectar los puntos por sí solos, una gran cantidad de talentos en ciernes aún no forman parte del ecosistema de ciberseguridad , principalmente porque carecen de una orientación inicial. Al brindar orientación práctica y específica, podemos ayudar a allanar el camino para una nueva generación de profesionales de la ciberseguridad listos para asumir los desafíos y oportunidades que este campo en rápida evolución tiene para ofrecer.


El aprendizaje estructurado se puede lograr de varias maneras, y esta guía tiene como objetivo ofrecer una perspectiva alternativa, proveniente de un profesional de ciberseguridad no tradicional que tuvo la oportunidad única de aprender de piratas informáticos genuinos.