¿Cómo empezar en ciberseguridad?

Hace algunos meses respondí a un post de Reddit de una persona que preguntaba cuál era el mejor lugar para estudiar ciberseguridad en Costa Rica. En el momento, intenté dar una explicación básica de lo amplio que es el campo de la ciberseguridad, y quise dar una guía muy general de cómo entrar en este campo.

Responder a la pregunta “¿cómo empezar en ciberseguridad?” es muy complicado porque, para empezar, ciberseguridad no es un rol o área única. La ciberseguridad es un campo transversal, que atraviesa todas las demás áreas de la tecnología. Existe la seguridad física, seguridad de software, seguridad ofensiva, seguridad defensiva, seguridad industrial, etc. Además, cada sub-área o especialización conlleva su propia terminología, estudio, estándares, etc.

Esto representa, sin lugar a dudas, un reto para quien quiera entrar en este mundo, debido a lo confuso y amplio que puede parecer. Sin embargo, al mismo tiempo presenta una oportunidad para cualquier persona, en ciberseguridad hay espacio para todos y todas.

Aquí no existe una única fórmula, un solo método o un solo camino que se pueda/deba seguir para conseguir trabajo, y se puede tener prácticamente cualquier combinación de estudios, conocimientos y habilidades previas. De hecho, son esos conocimientos previos los que dan ciertas ventajas de acuerdo al área: un ingeniero de redes puede fácilmente entrar al área de seguridad de redes; o un desarrollador de software puede moverse al área de desarrollo seguro de código. O menos obvio: un abogado o un contador podrían trabajar en gobernanza, riesgo y cumplimiento como auditores o implementando políticas y estándares de seguridad.

Todo esto suena bien, pero aún no responde la pregunta: ¿por dónde empezar?

Primero hay que definir el área de interés. En mi opinión, hay tres métodos generales para lograrlo:

1. Autodidacta: buscar en Google.
2. Una certificación básica: CompTIA Security+ o EC-Council Certified Ethical Hacker.
3. Un curso formal: en alguna universidad o instituto, o en línea.

Lo que yo personalmente recomiendo es una combinación de los dos primeros métodos: usando el temario de Security+ como guía, estudiar por cuenta propia los diferentes temas.

Hablando específicamente de ciberseguridad, el post podría terminar aquí. Sin embargo, como comenté antes, la ciberseguridad es un campo de especialización que trabaja sobre otras áreas. Es por esto que me parece que para tener la mayor probabilidad de éxito, tanto en el ámbito académico como en el laboral, es buena idea primero tener buenas bases en los siguientes temas:

• Programación (al menos saber scripting)
• Sistemas operativos (Linux/Windows) (al menos saber moverse por la terminal)
• Redes (al menos saber subnetear)
• Inglés

Inglés

Aún cuando la mayoría del contenido de este post son opiniones personales, no encuentro la forma de justificar objetivamente el no saber inglés. En otras palabras, hablar inglés (o como mínimo leerlo), es un requisito indispensable si se quiere tener éxito en ciberseguridad:

• La mayoría de acrónimos y terminología están en inglés y no se pueden traducir directamente al español.
• Muchas certificaciones, libros y cursos intermedios/avanzados solo se ofrecen en inglés.
• Los mejores profesionales de todo el mundo se comunican en inglés, mediante charlas, blogs o tweets.

La ciberseguridad cambia y se transforma cada día, y si uno quiere estar al día con los nuevos ataques, vulnerabilidades, noticias, técnicas, materiales de estudio, etc., el inglés es simplemente indispensable.

Realidad costarricense

Educación

En nuestro caso, la educación es muy barata y de fácil acceso, por lo que llevar la carrera de Ingeniería en Sistemas es una forma excelente para aprender las bases de muchas tecnologías, y de paso hacer networking, mejorar el curriculum y ganar soft-skills, entre otras ventajas. El 99% de personas que dicen que la carrera universitaria no vale la pena es porque viven fuera de Costa Rica donde el estudio universitario es mucho más caro, y/o son desarrolladores de software, ya que en esa área es más común que no se tome en cuenta el título de la universidad.

Trabajo

A pesar de que la ciberseguridad es un campo enorme, en Costa Rica usualmente no se encuentran puestos de seguridad en todas las áreas. Los puestos más comunes para principiantes son:

• SOC analyst: es recomendable conocer la terminología básica (SIEM, EDR/XDR, etc), y tener nociones básicas de herramientas como Splunk o QRadar (Splunk tiene un trial gratis, cualquiera lo puede bajar e instalar en un ambiente de prueba).
• IAM analyst: ideal saber la diferencia entre autorización y autenticación, qué es el principio de “least privilege”, RBAC, y nociones básicas de Active Directory.

También hay bastantes puestos en las áreas de GRC (gobernanza, riesgo y cumplimiento) y SRE (site reliability engineering), pero éstos usualmente no son entry level.

Networking

La comunidad DC11506 organiza charlas mensuales, eventos anuales, y me parece que de vez en cuando resuelven máquinas de HackTheBox en su servidor de Discord. Este también es un buen lugar para conocer gente que está o quiere entrar en ciberseguridad, y también para aprender y evacuar dudas con otros profesionales. Nota: no tengo ninguna asociación ni relación con la comunidad DC11506.

Finalmente, quiero aclarar que ninguna de las cosas mencionadas en este blog puede asegurar que alguien consiga o no un trabajo en ciberseguridad, solamente son consejos que pueden mejorar su probabilidad de éxito para entrar en este campo.

Recursos adicionales

Mis videos sobre este tema

Perspectivas diferentes de otros profesionales

• 2023 Roadmap To Your First Cybersecurity Job (YouTube)
• Reunión Virtual del grupo DC506 - Tema: Como iniciar carrera en Ciberseguridad (YouTube)
• DC11506 - Ask Me Anything - ¿Como iniciar en ciberseguridad? (YouTube)
• The Five Pillars of an InfoSec Professional (DFIR Madness)
• Resources: How Do I Get a Role in Cyber-Security (Reddit)

Recursos para estudiar/practicar

• Curso básico de algoritmos (programación): https://frontendmasters.com/courses/algorithms/ (registrarse gratis aquí)
• Curso básico de Linux: https://training.linuxfoundation.org/training/introduction-to-linux/
• Curso básico de redes: https://www.netacad.com/career-paths/network-technician
• Curso gratis de Security+ SY0-701: https://youtube.com/playlist?list=PLG49S3nxzAnl4QDVqK-hOnoqcSKEIDDuv
• Python: https://futurecoder.io/
• PowerShell: https://learn.microsoft.com/en-us/shows/GetStartedPowerShell3/
• Colección de recursos básicos de seguridad de Microsoft: https://learn.microsoft.com/en-us/users/gitasharmasheher-3612/collections/yrrbdgy2d6158
• Curso básico de seguridad de Cisco: https://www.netacad.com/career-paths/cybersecurity
• Curso intermedio de seguridad de Cisco: https://www.netacad.com/courses/ethical-hacker
• Plataforma con algunos recursos gratuitos para aprender sobre SOC: https://letsdefend.io/
• Curso “SOC Core Skills w/ John Strand”: https://www.youtube.com/playlist?list=PL-4fuTjKox5e3o8CHlMq7Y_TGTq1zEtfl
• Curso “Getting Started in Security with BHIS and MITRE ATT&CK w/ John Strand”: https://www.youtube.com/playlist?list=PL-4fuTjKox5eqB_5liMJbrVkQlWUEZ558
• Cursos de The Taggart Institute (modalidad “pay what you wish”): https://taggartinstitute.org/courses/
• Cursos gratis de Splunk: https://www.splunk.com/en_us/training/free-courses/overview.html
• Guías para aprender sobre una gran variedad de tecnologías y habilidades: https://roadmap.sh/

Ambientes éticos, legales y seguros para practicar penetration testing/exploits

• https://tryhackme.com/
• https://www.hackthebox.com/
• https://www.vulnhub.com/

Canales de YouTube que recomiendo seguir (para aprender y para ver lo que es posible dentro de ciberseguridad)

• https://www.youtube.com/@BlackHillsInformationSecurity
• https://www.youtube.com/@AntisyphonTraining
• https://www.youtube.com/@TylerRamsbey
• https://www.youtube.com/@Tib3rius
• https://www.youtube.com/@LowLevelTV
• https://www.youtube.com/@_JohnHammond
• https://www.youtube.com/@MalwareTechBlog
• https://www.youtube.com/@NahamSec
• https://www.youtube.com/@TCMSecurityAcademy
• https://www.youtube.com/@InsiderPhD
• https://www.youtube.com/@ippsec
• https://www.youtube.com/@Itcareerquestions
• https://www.youtube.com/@JackRhysider
• https://www.youtube.com/@LiveOverflow
• https://www.youtube.com/@SANSCyberDefense
• https://www.youtube.com/@SANSCloudSecurity
• https://www.youtube.com/@SANSOffensiveOperations

Comunidades parcial o totalmente enfocadas en ayudarle a más personas a empezar en ciberseguridad

• Black Hills Information Security: https://discord.com/invite/bhis
• Hack Smarter: https://discord.gg/hacksmarter
• TCM Security: https://discord.com/invite/tcm
• Pwned Labs: https://discord.gg/pwnedlabs
• X Sec: https://discord.gg/GQWSqD7Ar7