La seguridad es, sin duda, uno de los sectores más calientes y activos dentro del panorama tecnológico. Afortunadamente, empresas y gobiernos se preocupan cada vez más por la seguridad de sus sistemas o la protección de los datos de sus usuarios y, en poco tiempo, el sector comienza a demandar cada vez más profesionales expertos en auditorías de seguridad, hacking, análisis de vulnerabilidades, mitigación de ataques...
La ciberseguridad es un sector muy activo, sin embargo, ¿cómo se puede entrar en este sector? ¿cómo llegar a ser un hacker? Cuando uno se plantea esta pregunta, una de las primeras respuestas que te vienen a la cabeza es que hay que ser un poco autodidacta, tener muchas ganas de aprender, experimentar y dedicar tiempo a documentarse y hacer experimentos. Básicamente, una de las imágenes que asociamos a este proceso de "aprender a ser un hacker" es la del joven Matthew Broderick en la mítica película Juegos de Guerra de 1983:
Aunque pueda parecer un tópico, expertos de peso del sector como Bernardo Quintero, fundador de VirusTotal (empresa adquirida por Google en 2012), suelen comentar que la película Juegos de Guerra (y el Spectrum) fueron los dos puntos de inflexión que marcaron su trayectoria profesional.
Más allá de los protagonistas de películas y series de televisión, nombres como Kevin Mitnick o Kevin Poulsen son auténticos mitos vivientes en el sector de la seguridad y, en el caso de España, vale la pena dedicar tiempo a leer el libro Hackstory de Mercé Molist para adentrarse en la historia del hacking en España y en sus protagonistas.
Como comentábamos al inicio, las ganas de aprender por cuenta propia y el learning by doing, son dos factores que han marcado mucho esta disciplina. Sin embargo, hoy en día, cada vez es más habitual encontrar formación reglada alrededor del ámbito de la seguridad entre títulos de Máster, expertos universitarios, etc.
Para intentar arrojar algo más de luz sobre este asunto, le hemos preguntado a varios expertos del sector, precisamente, sobre las capacidades y competencias que se debería tener para convertirse en un hacker y trabajar en el ámbito de la ciberseguridad.
¿Cómo iniciarse en la seguridad informática?
La pregunta más básica, a veces, es una de las más complicadas de responder pero, si alguien quisiera desarrollar su carrera dentro del ámbito de la ciberseguridad ¿por dónde tendría que empezar?
Para Yago, afortunadamente, los tiempos han cambiado mucho y la información no es tan underground como era antes, por tanto, ésta está mucho más accesible y al alcance de cualquiera con interés:
En este punto claramente los tiempos han cambiado y mucho. Hace unos 10 o 15 años la única vía de formación pasaba por leer canales de IRC y en general un proceso muy auto-formativo. Actualmente, desde que la seguridad se ha profesionalizado, existe mucha y muy buena formación, tanto en formato presencial como en formato online.
María apostó por sentar las bases de unos cimientos sólidos en áreas clave como programación, administración de sistemas, matemáticas... y, por ejemplo, pasar por la universidad puede ser un buen punto de partida:
No tiene sentido atacar directamente la seguridad si no tienes unos buenos fundamentos en esos temas (salvo que te quieras dedicar a la parte normativa). Una ingeniería técnica, que es lo que yo cursé, estaría bien. Aunque también hay gente que ha aprendido de forma autodidacta o en la experiencia profesional, creo que unos estudios reglados ayudan a ordenar las cosas en la cabeza sin dejar lagunas.
Para empezar en el mundo de la seguridad, Oliver cree que lo principal es la motivación:
Hay que empezar por tener interés y curiosidad por alguna de las áreas de la seguridad. Pero esto es común a cualquier cosa, sin interés ni curiosidad no tendrás la motivación suficiente para dedicar tiempo y esfuerzo a aprender y mejorar. Así que si no te interesa mejor ahorra tiempo y dedícate a lo que te motive. Y una vez que lo tienes claro... pues igual que la metáfora: ¿cómo se come un elefante?... bocado a bocado.Hay muchas formas de empezar, leer libros y blogs, formación y certificaciones, etc. En mi caso, empecé con una beca y aprendiendo de grandes profesionales (Chema, Manolo, Ricardo, Laura, Abel…) fueron buenos tiempos.
"Es difícil aburrirse ya que siempre tienes nuevos horizontes que explorar. Muchas cosas que se ven en la ficción son superadas por la realidad" - María García
¿Qué plataforma escoger?
Otro de los aspectos básicos a plantearse es qué plataforma utilizar. Parece claro que los sistemas basados en Linux están muy asociados al ámbito de la seguridad pero, según los expertos, el espectro es aún más amplio.
Yago Jesús apuesta tanto por Linux como por Windows, dado que el sistema de Microsoft es uno de los más extendidos y tiene todo el sentido del mundo conocerlo perfectamente:
Yo creo que hoy día tanto Linux como Windows han avanzado de forma transversal, tanto uno como otro tienen funcionalidades similares. Una persona con inquietudes técnicas puede avanzar y profundizar mucho en ambas plataformas, aunque lo ideal es comprender y dominar ambas.Dado que Windows es un sistema operativo más conocido y en el que todos, más o menos, tienen experiencia, un desafío interesante es desinstalar Windows por completo, instalar una distribución de Linux y aprender a vivir al menos 1 año con ella.
Para María, si hubiese que centrarse en una plataforma, opta por poner el foco en Linux:
A mí, Linux me ha dado menos guerra pero Windows está más extendido.
Oliver fue mucho más práctico en cuanto a herramientas y plataformas:
En cuanto a sistemas operativos, todos y ninguno. Desde mi punto de vista lo importante es tener los conceptos claros, las herramientas no son lo más importante. Creo que hay que ser heterodoxo en eso, probar todo y usar en cada momento lo que mejor encaje con la situación y tus conocimientos.
Hasta ahora, le hemos dado mucho peso a la parte más autodidacta del desarrollo de competencias de un experto en seguridad. Sin embargo, teniendo en cuenta la variada oferta de formación que empieza a existir, ¿qué formación se debería cursar?
Yago opta por la formación impartida por expertos del sector, lo importante son los docentes que están detrás de los programas formativos y, precisamente, es lo que están haciendo desde la plataforma Securízame:
Mis compañeros de Securízame son auténticas máquinas y sin duda sería mi primera opción. Se abarcan temas tan importantes como el análisis forense, pentesting o algo de lo que es realmente difícil y generalmente muy caro formarse: exploiting y reversing
María, como nos comentaba al inicio, apuesta por los cimientos básicos que puede ofrecer una ingeniería, un grado o, quizás, un ciclo formativo superior. A partir de esa base, el abanico es bastante amplio:
Yo empecé con los cursos del Centro Criptólogico Nacional, son muy básicos pero, para empezar, están bastante bien y los profesores son bastante buenos. Sin embargo, estos cursos solamente están disponibles para funcionarios, militares y miembros del CNI. Los cursos de SANS tienen muy buena fama pero son bastante caros. En mi caso, estoy cursando un programa máster para tener una base general importante en materia de seguridad y, a partir de ahí, buscar la especialización.
Oliver, que además es docente en un Máster de la Universidad de Sevilla, apunta también a la variada oferta que existe actualmente, tanto de títulos de máster como de certificaciones:
Afortunadamente cada vez hay más opciones. En la web de Incibe hay un listado de Masters de seguridad, conozco alguno de ellos y merecen la pena. También están las certificaciones, que te obligan a ponerte al día y repasar conceptos; las que más me gustan por su enfoque más práctico son las del ISC2.
¿Por qué trabajar en el mundo de la seguridad informática?
Y como colofón, una pregunta que nada tiene que ver con habilidades y capacidades pero con algo que, sin duda es totalmente necesaria: la motivación. ¿Por qué trabajar en el ámbito de la seguridad? ¿Qué es lo que atrapó a nuestros expertos?
Para Yago, la seguridad informática es pura creatividad:
Yo creo que la seguridad informática tiene mucho de creativo, incluso en los conceptos más técnicos existe un punto de belleza creativa. Al ritmo que avanzan las protecciones, encontrar formas de saltarlas resulta muy emocionante. Desde el punto de vista defensivo también es un reto proponer un sistema o herramienta y ver como la gente trata de evadirla
Para María, la seguridad es un mundo horizontal que afecta a muchos ámbitos de nuestra vida:
Lo que más me gusta del mundo de la seguridad es que es muy variado. Es difícil aburrirse ya que siempre tienes nuevos horizontes que explorar; además te puedes concentrar en aquello que te guste más y dejar un poco más de lado (nunca del todo) lo que se te dé peor y todavía serás útil.También es un mundo bastante horizontal (afecta muchos ámbitos de nuestra vida), a la vez que "peliculero": muchas cosas que se ven en la ficción, son superadas por la realidad, y poder estar en contacto con esas cosas y ser capaz de entenderlas (hasta cierto punto), te hace la vida más apasionante.
No hay comentarios:
Publicar un comentario