Como puedes observar el sitio cambió nuevamente gracias a mi eterna búsqueda de un portal con el que me sienta 100% identificado. El plan en esta ocasión es continuar explorando Ruby on Rails, mi framework favorito de momento, para ir agregando cosas progresivamente según las necesidades del sitio.

Ahora, para inaugurar el nuevo blog, quise tomarme un poco de tiempo para responder una de las preguntas que más me hice hace algunos años y que más recibo en la actualidad: ¿cómo comenzar en seguridad informática?.

"Learn All The Things"

Aprende todas las cosas, es quizás una de las frases más motivantes que recibí hace poco, como respuesta a la pregunta "Debería estudiar A o B" (en referencia a ciertas técnicas de explotación de hardware). La respuesta fue “siempre aprende todo lo que puedas”.

Si estas pensando en cambiar tu carrera hacia la seguridad informática lo más importante es reforzar tus bases, por ejemplo, si eres programador refuerza tus bases en redes, si eres administrador de sistemas trabaja en tus bases de programación.

Para practicar lo mejor es utilizar “Maquinas Virtuales”, en las que puedes simular varios sistemas operativos sin modificar la configuración actual de tu computador. Oracle VM VirtualBox, es la mejor opción siendo gratuito y con la que podrás instalar cualquier sistema operativo directamente en el escritorio de tu sistema actual. Aprovechando esto vamos con el siguiente punto: LINUX.

Kali Linux

Lo más importante a la hora de trabajar con las multiples herramientas de seguridad es que entiendas y manejes bien el sistema operativo GNU/Linux, sobre todo el terminal de comandos que, al principio, puede parecer intimidante para algunos, pero con un poco de práctica vas a dominar todos los conceptos básicos.

Una vez logres sentirte cómodo con el terminal, el siguiente paso es aprender a como trabajar con redes, desde cosas tan simples como gestionar tu dirección IP desde la interfaz de comandos, hasta tus primeros escaneos de puertos con la herramienta NMAP.

Python

Si hablamos de lenguajes de programación que realmente valen la pena aprender, Python debe estar en el top del listado de forma indiscutible. Se pueden simplificar y automatizar una cantidad de tareas y es el más popular a la hora de escribir “Fuzzers” o “Exploits”.

La inversión de tiempo en dominar este lenguaje tendrá resultados inmediatos en tu productividad, además de que podrás entender más fácilmente el código escrito por otros e investigar a fondo cómo fue que lograron detonar cierta vulnerabilidad, o cómo lograron automatizar un completo sistema de respaldos, entre otros.

¿Cuando estaré listo?

El cambio no sucederá de la noche a la mañana, requiere preparación y tiempo, o terminarás siendo solo un Script Kiddie más, utilizando códigos aleatoriamente sin entender el proceso de fondo.

Una vez hayas reforzado tus bases, y consideres que tienes un dominio bastante sólido de los conceptos que he mencionado, busca cosas como
DVWA - Damn Vulnerable Web Application, y tutoriales para solucionar los distintos niveles. Este puede ser un interesante punto de entrada para la explotación de sistemas y páginas web, con conceptos que van desde Local File Inclusion hasta SQL Injection.

Si estas listo para “LEVEL UP”, Vulnerable By Design ~ VulnHub es la siguiente parada. Contiene una buena cantidad de máquinas virtuales listas para utilizar con tu Virtual Box (o VMware en algunos casos), donde podrás iniciar sistemas operativos completos con distintos problemas de seguridad que debes ir explotando para tomar el control del computador.

Lo mejor de este sitio son los “Walkthroughs”, guías para resolver cada máquina. Más de una vez aprendí distintas técnicas siguiendo los pasos de alguien que ya resolvió los distintos desafíos.

En fin

Paciencia, tiempo, constancia y dedicación, para ir cada día practicando y aprendiendo algo nuevo que te llevará por el camino que deseas que tome tu carrera en el futuro.