No os imagináis la de veces que algún alumno de una clase o de un curso me dice lo de ‘quiero ser hacker‘. Los hay que no se saltan el primer paso y me dicen que quieren estudiar CiberSeguridad o qué lecturas les recomiendo para aprender y profundizar un poco más en materia de CiberSeguridad (de eso hablaremos en otra entrada, me lo apunto). A todos les digo lo mismo: lo primero que hay que hacer es leer mucho, después especializarse en algo que de verdad NOS APASIONE, y finalmente seguir leyendo pero ya centrados en el tema que nos guste.
¿Qué tengo que estudiar?
Es decir, que no hay un manual para aprender CiberSeguridad al igual que no hay un sólo tema. La CiberSeguridad comprende muchas ramas diferentes y nadie es experto en todas. Personalmente creo que a la rama de Seguridad se llega por dos sitios distintos: el desarrollador que está aprendiendo cómo mejorar su código y hacerlo más seguro y optimizado y el administrador de sistemas que quiere comprobar que los sistemas que gestiona son seguros en todos sus aspectos. Ni siquiera uno de los dos caminos es mejor que otro, simplemente se complementan. En mi caso, di el salto a la parte de Seguridad después de estar varios años como Administrador de Sistemas. Durante esos años aprendí mucho sobre Linux y Windows, servicios, redes… y también sobre Seguridad, ya que una vez que instalaba un sistema tenía que comprobar que ese sistema era seguro antes de su puesta en producción, no bastaba con instalarlo y ponerle las últimas actualizaciones, había que comprobar que realmente era seguro. Esos años me dieron la posibilidad de montar un pequeño laboratorio con máquinas retiradas e instalar distintos sistemas operativos para ver cual de ellos hacía lo que la empresa necesitaba hacer de la forma más eficiente y más segura, así que instalé muchas versiones distintas de Windows en versión Workstation, Windows Server, Linux, Unix, *BSD… y leí miles de horas sobre configuraciones seguras, instalación de servicios, cortafuegos… De hecho había días que algún compañero me preguntaba ‘por qué no te vas a casa? ya ha acabado tu jornada hace mucho’ y yo contestaba ‘es que en casa voy a hacer lo mismo y aquí tengo más ancho de banda‘.
Pero también tengo amigos que están actualmente en Seguridad que han venido del área de Desarrollo. Además tienen una visión distinta complementaria a la mía. A muchos de ellos no les interesa saber qué es un Fortigate o un ping flood, pero saben cómo controlar las asignaciones de memoria para evitar un buffer overflow y cómo crear una consulta SQL compleja a ciegas para explotar una vulnerabilidad de Blind SQL Injection, cosas que yo sólo sé hacer a nivel básico.
En la empresa donde trabajo actualmente no sólo existen estos dos perfiles, también tengocompañeros que son muy buenos en redes. A estos les da igual qué versión de sistema operativo se esté ejecutando en el servidor porque saben en qué segmentos de la red la información ‘viaja’ sin cifrar y es susceptible de ser capturada. Y por supuesto saben cómo solucionarlo, qué hardware habría que instalar para el cifrado de todas esas comunicaciones o qué configuración modificar en el cortafuegos para que no sea posible que usuarios de la red accedan a esa información confidencial.
‘Solo no puedes, con amigos sí’
Por eso os decía antes lo de especializarse en algo que de verdad NOS APASIONE, porque no podemos saber de todo y deberemos trabajar en equipo con otras personas que nos complementen. La idea del típico hacker malo con capucha en su habitación a oscuras navegando por bases de datos tridimensionales sólo pertenece al cine. Además al cine malo. Por suerte hoy en día parece que los guionistas se documentan algo más que cuando escribieron la película ‘Hackers‘ (lo único bueno de esa película es Angelia Jolie en patines) y tenemos series como Mr.Robot donde se ejecutan algunos exploits reales para acceder a un sistema:
Llegados a este punto deberías tener las cosas un poco más claras. ¿Qué es lo que más te gusta de lo que hemos comentado hasta ahora? ¿Te gusta desarrollar en Java? ¿Eres de los que nos pasamos la vida formateando e instalando una nueva versión de sistema operativo para probar cosas? ¿O llevas tiempo administrando Oracle y te sientes muy cómodo en este entorno?. Pues céntrate en eso y sigue leyendo e investigando sobre vulnerabilidades, código seguro, optimización, acude a eventos donde se hable del tema, escucha enfoques distintos, empieza un blog donde contar tus avances, ¡incluso prepara tú una charla!. No hay un curso que te enseñe a ser hacker pero sí que puedes estudiar y practicar eso que tanto te gusta para tener nivel suficiente como para probar y plantearte cosas que nadie se había planteado hasta ahora sobre una tecnología concreta. Y eso es ser hacker.
Tienes razón, Angelina Jolie patinando mola mucho!
Jajajajaja, ¡es lo mejor de la película sin duda! Eso de navegar entre bases de datos tridimensionales… no lo termino de ver.