Desarrolla tu Carrera en Ciberseguridad

Desarrolla tu Carrera en Ciberseguridad

En los últimos años las empresas han empezado a estar más preocupadas por la ciberseguridad. Seguramente se deba en parte al incremento de ataques como el ramsonware, en los que claramente se aprecia el daño económico que puede provocar, aunque por su puesto no son los únicos:

  • Denegación de servicio
  • Robo de credenciales
  • Exfiltración de información

Incluso es común encontrar referencias a estos ciberataques en los medios de comunicación generalistas, en los que hace años no se solían tratar estos temas.

Esto trae consigo que también se ha incrementado la demanda de profesionales en ciberseguridad y habitualmente podemos ver muchas ofertas de empleo relacionadas. También publicaciones en las que se habla de la falta de perfiles que puedan cubrir estas ofertas:

https://www.euractiv.com/section/cybersecurity/news/looming-talent-shortage-will-limit-cybersecurity-efforts-in-europe-french-agency-warns/

Juan Bou me comentó hace unas semanas que sería interesante escribir un artículo tratando la formación y capacitación que requieren estos perfiles y, desde mi humilde experiencia como responsable de redes y seguridad en empresas, y como formador en ciberseguridad, trataré en este post de dar orientación sobre cómo prepararse para trabajar como profesional en este campo.

Antes de seguir, algo de spoiler 🙂:

  • La ciberseguridad es un campo muy amplio y que requiere de una base importante de varias disciplinas.
  • No es posible convertirse en “experto en ciberseguridad” con un curso de 40 horas partiendo de cero. De hecho, no me parece que la etiqueta “experto en ciberseguridad” deba usarse, porque parece dar a entender que alguien sabe todo sobre todos los aspectos de la ciberseguridad, cosa que no es posible.
  • La ciberseguridad avanza cada día y si empiezas o ya estás introducido en esto, tendrás que seguir estudiando y aprendiendo cosas nuevas siempre.

Con esto no pretendo desincentivar a aquellos que vayáis a empezar en este campo sino solo que os alejéis de formaciones del tipo “de cero a experto en ciberseguridad en 20 horas”. Afortunadamente, ahora contamos con una gran cantidad de formaciones y plataformas que nos pueden ayudar a conseguir las habilidades necesarias, pero el esfuerzo y las muchas horas de estudio y práctica son imprescindibles. A cambio de este esfuerzo, podremos trabajar en el que para mí es el área más interesante de la informática y en el que aún queda muchísimo por explorar, tanto que cada día podemos aprender algo nuevo.

Precisamente por el esfuerzo necesario para poder llegar a ser un profesional de la ciberseguridad es muy importante que tengas claro que esto es realmente lo que te gusta. Cuando estés trabajando no va a ser nada fácil ponerte a estudiar, leer artículos, foros y hacer prácticas en tu laboratorio después de 8 o 10 horas de trabajo para seguir avanzando y no quedarte estancado.

El objetivo de este post es que pueda ser útil tanto para quien quiere iniciarse en la ciberseguridad como para quien quiere seguir avanzando y mejorando sus opciones laborales.

Aptitudes

Incluso antes de empezar con los conocimientos técnicos voy a comentar algunas aptitudes que considero que son muy importantes y pueden determinar que puedas dedicarte a esto:

  • Curiosidad
  • Ganas de Aprender
  • Constancia
  • Inglés: La tecnología avanza cada vez más rápido y la documentación más actualizada suele estar únicamente en inglés. Si además puedes desenvolverte a nivel de conversación en inglés, se te abrirán muchas más oportunidades laborales y de compartir conocimientos con personas de todo el mundo.
  • Tolerancia a la frustración: Esto no es exclusivo de la ciberseguridad, pero en este campo es imprescindible. Las cosas no siempre funcionan a la primera y tendrás que ser constante y buscar alternativas hasta conseguir tu objetivo.
  • Mentalidad orientada a la resolución de problemas

Conocimientos Previos

Como comentaba hace una líneas, es necesario contar con una base importante para poder entender los conceptos que se desarrollan en ciberseguridad y un buen inicio puede ser un Ciclo Formativo de Grado Medio o Superior de informática:

  • Ciclo Medio en Sistemas Microinformáticos y Redes
  • Ciclo Superior en Administración de Sistemas Informáticos en Red
  • Ciclo Superior en Desarrollo de Aplicaciones Multiplataforma
  • Ciclo Superior en Desarrollo de Aplicaciones Web

O, por supuesto, el más reciente de especialización en ciberseguridad:

Claro está que también es una buena opción la formación universitaria, tanto licenciatura como diplomatura en informática o telecomunicaciones. De hecho, yo vengo de la antigua Ingeniería Superior en Telecomunicaciones 😊

No son estas las únicas vías de acceso, ya que he tenido alumnos que habían estudiado cosas tan diferentes como Diseño Gráfico, Biología o Matemáticas, y han sido capaces de entrar a trabajar en el sector de la ciberseguridad y son grandes profesionales, pero hay que entender que han tenido que adquirir la base necesaria por otros medios porque su formación inicial no estaba relacionada.

Sea cual sea la formación de la que partimos, en mi opinión estos son los conocimientos previos que vamos a necesitar en nuestro viaje en la ciberseguridad:

  • Redes: Si bien no es necesario hacer un curso tan completo como un CCNA, sí que es muy importante conocer la pila TCP/IP, direccionamiento IP, subnetting, switching, puertos, protocolos como HTTP, FTP, SSH, SMB, Telnet, …. Algunos de estos protocolos transmiten la información en plano (sin cifrar) y es necesario conocerlo, aunque no se aconseja su uso. También habría que conocer diferentes dispositivos de red como routers, switches, puntos de acceso o firewalls.
  • Administración de Sistemas: Tanto Windows como Linux. Podría ser interesante las formaciones LPIC-1 y LPIC-2 para Linux y las antiguas 20740, 20741 y 20742 de Windows Server, ya que nos darán una base muy robusta de adminitración de sistemas.
  • Bases de Datos: Para empezar no es necesario tener conocimientos avanzados de motores como MySQL, SQL Server, Oracle, …, pero sí tener nociones de cómo funcionan las bases de datos relacionales y de SQL.
  • Virtualización: La virtualización lleva mucho tiempo con nosotros y se utiliza tanto en entornos on-premises como en entornos cloud. De hecho, también es importante conocer conceptos de virtualización para montar laboratorios de ciberseguridad para hacer prácticas. Sistemas de virtualización como VMware ESXi, Microsoft Hyper-V, Proxmox, VirtualBox, …
  • Programación: Aquí podemos dividir en dos bloques
    • Lenguajes de programación web: Como PHP, Javascript, HTML, …
    • Lenguajes de propósito general: Principalmente lenguajes de scripting como PowerShell o Bash, y también es muy interesante Python. Si tenemos conocimientos de otros lenguajes como C, mejor aún
  • Cloud Computing: Los entornos cloud cada vez son más habituales en las empresas y en un momento u otro tendremos que llevar a cabo tareas de ciberseguridad que los incluyan: Amazon AWS, Microsoft Azure, Google Cloud Platform. Microsoft ofrece formaciones gratuitas para empezar en Azure con sus Virtual Training Days, que incluyen exámenes de certificación.

Por supuesto aprender todo esto lleva mucho tiempo y no vamos a esperar a saberlo todo para empezar en ciberseguridad, pero sí que serán necesarios a lo largo de nuestra vida profesional. Para mí es imprescindible el conocimiento de redes y administración de sistemas para empezar, así como nociones de virtualización. El resto nos daremos cuenta que nos hace falta según vayamos avanzando.

Es más, a la velocidad que avanza este campo seguro que en poco tiempo aparecerán otras tecnologías a las que habrá que prestarles atención. Algunas ya están aquí como la Inteligencia Artificial, el Internet de las Cosas, …, que también tienen muchas implicaciones en ciberseguridad.

Diferentes Ramas de la Ciberseguridad

Y ya una vez dentro de la ciberseguridad, no podemos pretender saber absolutamente todo, porque no es posible. Nadie es “experto” en todos los aspectos de la ciberseguridad. Todo profesional tendrá una base general más o menos amplia que le de su conocimiento y experiencia y estará especializado en alguna rama concreta, o incluso en alguna tecnología específica. Esto lo determinarán nuestros gustos, las necesidades de las empresas en las que trabajemos, las oportunidades laborales a las que queramos optar, nuestros conocimientos de base, …

Para organizar un poco más este post, podemos dividir la ciberseguridad en 3 grandes ramas:

  • Ciberseguridad Ofensiva
  • Ciberseguridad Defensiva
  • Gestión de la Ciberseguridad

Ciberseguridad Ofensiva

La ciberseguridad ofensiva se refiere a las técnicas y acciones proactivas utilizadas para identificar y explotar vulnerabilidades en sistemas y redes informáticas con el fin de protegerlos de ataques malintencionados. Dicho de una forma muy simplista, consiste en poner a prueba nuestros sistemas o los de nuestros clientes utilizando las mismas técnicas y herramientas que un atacante real, pero con el objetivo de encontrar fallos en la ciberseguridad y corregirlos.

Algunos de los roles que podemos enumerar en esta rama son: Pentester/Ethical Hacker, miembro de Red Team, Security Researcher, Bug Bounty Hunter o Vulnerability Assessor …

Si bien es perfectamente posible desempeñar estos roles sin haber obtenido ninguna certificación, sí que las certificaciones pueden acelerar el proceso de aprendizaje porque nos dan una formación estructurada que suele ser bastante práctica y actualizada, aunque no suelen ser nada baratas. Aquí podemos nombrar las siguientes certificaciones:

  • OSCP (Offensive Security Certified Professional): Sin duda es la más conocida y muy demandada para pentesters y Red Teams. No creo que sea una buena idea empezar directamente con ella porque su nivel es intermedio/avanzado, pero sí que puede ser un objetivo a medio plazo para quien quiera tener opciones laborales muy interesantes. El examen es completamente práctico y el candidato dispone de 24 horas para superar una serie de desafíos en un entorno de laboratorio.
  • Certified Ethical Hacker (CEH): Se puede considerar una certificación nivel introducción y puede ser una buena base para luego seguir progresando. Está en la versión 12 y ha mejorado mucho desde las primeras versiones. Incluye algunas nociones de IoT y Cloud Computing.
  • eJPT (eLearnSecurity Junior Penetration Tester): También de nivel introducción y proporciona una muy buena base para luego pasar a certificaciones de nivel intermedio.
  • CPENT (Certified Penetration Testing Professional): Partiendo del conocimiento adquirido en CEH, esta certificación se considera de nivel intermedio y profundiza en los diferentes aspectos del pentesting. Al igual que OSCP, el examen de CPENT es completamente práctico y también son 24 horas para completar una serie de tareas. Es imprescindible presentar un informe para obtener la certificación.
  • PNPT (Practical Network Penetration Tester): Es una certificación relativamente reciente que está ganando bastante reconocimiento en la comunidad. El precio no es tan caro como otras certificaciones y el examen es completamente práctico con 5 días de acceso completo al entorno virtual para superar los desafíos.

Ciberseguridad Defensiva

La ciberseguridad defensiva se refiere a las medidas y técnicas utilizadas para proteger sistemas y redes informáticos contra ataques malintencionados y garantizar la confidencialidad, integridad y disponibilidad de la información. Su objetivo es implementar medidas defensivas que puedan prevenir los ataques.

La ciberseguridad ofensiva pone a prueba estas medidas para que después la ciberseguridad defensiva pueda corregir las carencias encontradas o implementar nuevas contramedidas.

Entre los roles en esta rama tenemos: Miembro de Blue Team, Analista Forense, Analista de SOC, Analista de Malware, Information Security Manager, Arquitecto de Ciberseguridad, Ingeniero de Seguridad en Redes, …

Aquí también tenemos certificaciones que nos pueden ayudar en el proceso de formación:

  • CND (Certified Network Defender): Certificación de ECCouncil que recorre muchos conceptos de la ciberseguridad defensiva, desde redes hasta cloud computing pasando por administración de sistemas operativos, IoT, respuesta a incidentes o Threat Intelligence.
  • CSA (Certified SOC Analyst): También de ECCouncil nos enseña los fundamentos del funcionamiento de un SOC (Security Operations Center), así como la respuesta a incidentes o el uso de un SIEM (Security Incident and Event Management)
  • ECIH (ECCouncil Certified Incident Handler): Profundiza en los procesos de gestión y respuesta a incidentes de diferentes tipos: malware, correo electrónico, redes, aplicaciones web, cloud, y también entra en conceptos de análisis forense.
  • CHFI (Certified Hacking Forensic Investigator): Otra de las certificaciones de ECCouncil que en este caso se centra en las tareas de un analista forense como parte de la gestión de incidentes
  • Cisco CyberOps Associate: Una certificación muy completa que se centra en la respuesta a incidentes, pero también proporciona una buena base de conceptos. No está enfocada solo a dispositivos de red como podría pensarse al ser de Cisco, sino que incluso abarca temas como la administración de sistemas o el análisis forense, aunque sin profundizar mucho.
  • Certificaciones de Microsoft: Están muy orientadas a Azure y sus recursos y servicios, pero también son interesantes.
    • SC-900: Es el nivel más básico y nos habla de los fundamentos de ciberseguridad en la nube.
    • SC-200: Enfocada en el rol de Security Operations Analyst.
    • SC-300: Se centra en la gestión de acceso e identidades en Azure
    • SC-400: Su objetivo principal es la protección de la información en Microsoft 365.
    • SC-100: Es una certificación de nivel arquitectura, por lo que se recomienda tener bastante experiencia previa. Se encarga del diseño de arquitecturas y estrategias de seguridad empresarial.
    • AZ-500: También muy centrada en Azure nos enseña las tareas de un Security Engineer que se encarga de la administración de la seguridad, la identificación de vulnerabilidades, la corrección de las mismas, …

Gestión de la Ciberseguridad

La gestión de la ciberseguridad se refiere a la planificación, implementación, supervisión y mejora continua de las políticas, prácticas y medidas de ciberseguridad en una organización. No es una rama tan técnica como las dos anteriores, pero también muy importante y requiere bastante experiencia previa.

Algunos de los roles son CISO (Chief Information Security Officer), Information Security Manager, Compliance Manager, Risk Management Specialist, …

Son tareas más relacionadas con la planificación y la estrategia, por lo que no suelen ser roles para juniors, sino para quien ya lleva años trabajando en ciberseguridad. De hecho, muchas de las certificaciones asociadas exigen demostrar esos años de experiencia.

Entre otras, tenemos las siguientes certificaciones:

  • CISSP (Certified Information Systems Security Professional): Es una certificación internacionalmente reconocida en ciberseguridad. Se enfoca en el conocimiento y las habilidades necesarias para planificar, diseñar, implementar y administrar sistemas de seguridad de la información. Entre otros requisitos, es necesario demostrar 5 años de experiencia en varios dominios de la ciberseguridad.
  • CISM (Certified Information Security Manager): Está diseñada para profesionales de la seguridad de la información que se encargan de la gestión de la ciberseguridad en una organización. Se enfoca en la gestión de programas y proyectos de ciberseguridad y en la toma de decisiones estratégicas relacionadas con la seguridad. Igualmente hay que demostrar 5 años de experiencia en gestión de la seguridad de la información.
  • CISA (Certified Information Systems Auditor): Es una certificación para profesionales que realizan auditorías de sistemas de información y evalúan la efectividad de los controles de seguridad. Se enfoca en la evaluación de los sistemas de control y en la identificación de riesgos y debilidades de seguridad. Requiere 5 años de experiencia en el control y auditoría de sistemas en los 10 años anteriores a la certificación.
  • CRISC (Certified in Risk and Information Systems Control): Está orientada a profesionales que gestionan riesgos en sistemas de información. Se enfoca en la identificación, evaluación y gestión de riesgos en tecnologías de información y en la implementación de controles para mitigar estos riesgos. En este caso se necesitan 3 años de experiencia en, al menos, 2 de 4 dominios.

No se trata de hacer aquí una lista exhaustiva de certificaciones, ya que son muchas y siguen apareciendo otras nuevas cada poco tiempo. Seguro que habréis leído o incluso hecho alguna otra certificación que aquí no está enumerada. Por ejemplo, las prestigiosas certificaciones del SANS Institute, que también son muy caras 😊, u otras certificaciones muy específicas de fabricantes que se centran en sus productos y servicios.

En otros posts ampliaremos la información y actualizaremos las certificaciones y formaciones en el mundo de la ciberseguridad.

Autor: Francisco Sepúlveda

LinkedIn: https://www.linkedin.com/in/pacosepulveda/

This Post Has One Comment

  1. Agustín Fernández Reply

    Un artículo muy, muy interesante Paco, tomo buena nota de todo lo que comentas y como siempre , tan acertado en todo lo que dices.
    ¡Muchas gracias!

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.