Uno de los grandes desafíos con los cuales lidian los especialistas en seguridad tiene que ver con la velocidad a la que aparecen las nuevas plataformas y tecnologías. La principal herramienta para sortear este obstáculo es la capacitación constante y continua, por lo que hoy comparto algunos recursos muy útiles para probar tus habilidades técnicas y reforzar aquellas que te presenten mayores obstáculos.
En los sucesivos niveles de las distintas pruebas podrás incrementar y potenciar tus técnicas de una manera divertida. En muchas ocasiones hemos escuchado la frase “La práctica hace al maestro"; por lo tanto, si eres entusiasta o un profesional de la seguridad informática te reto a que les des una mirada a los desafíos de las siguientes plataformas y disfrutar "hackear" en entornos controlados.
#1 Pentestit
Este conjunto de laboratorios se destaca por su realismo: no son solo excelentes desafíos, sino que sus escenarios son muy similares a los que podemos encontrar en un entorno corporativo. En Pentestit la conexión se realiza a través de una VPN y está limitado de forma gratuita a algunos pocos niveles o vulnerabilidades. Sin embargo, si estás pensando en certificar algún curso de ethical hacking práctico o te dedicas a las auditorías de seguridad de manera profesional, quizá puedas invertir cierto dinero para reforzar tus conocimientos.
#2 W3Challs
Bautizado por sus siglas provenientes de World Wide Web Challenges, este portal ofrece desde 2010 diversos desafíos con temáticas relacionadas a hacking, wargames, forense, criptografía y programación. Curiosamente, también te desafían a hackear su propio sitio, pero sin aplicar técnicas de fuerza bruta o Denegaciones de servicio. Soporta dos idiomas: inglés y francés.
#3 Rootme
Este portal cuenta con más de 200 retos y 1650 soluciones para ponerte a prueba. Como se puede ver en la siguiente captura, podrás entrenarte en distintos desafíos de seguridad y en español, entre otros idiomas disponibles. Según los creadores de Rootme, ya han superado los 68.000 estudiantes y muchos de ellos participan diariamente de las comunidades formadas para cada tópico, por lo que podrán ser de gran ayuda.
# 4 OverTheWire
Posee múltiples escenarios como Bandit, Natas y Narnia, entre otros con distintos obstáculos. Algo que llama curiosamente la atención de OverTheWire es que si eres novato en este submundo de las auditorías de seguridad informática encontrarás varios escenarios diseñados para ti.
#5 Hackthissite
Este sitio también te permite probar herramientas o conocimientos de hacking de manera gratuita y legal. Además, Hackthissite ofrece una comunidad activa en donde se desarrollan distintas temáticas relacionadas: hay desafíos de aplicaciones, programación, forense e inclusive de estenografía.
#6 Hacking-Lab
Ofrece desafíos del tipo CTF desde su plataforma, en la que cualquiera puede participar; solo hace falta registrarse con una cuenta gratuita, configurar una VPN y comenzar a explorar lo que ofrecen. La meta de Hacking-Lab es aumentar la concientización hacia una mayor educación y ética en la seguridad de la información a través de distintos desafíos que abarcan informática forense, criptografía, ingeniería inversa y, por supuesto, hacking ético.
#7 Exploit-exercises
Este portal provee cinco escenarios virtuales, documentación y desafíos que pueden utilizarse para aprender sobre explotación de vulnerabilidades. Testeando escalamiento de privilegios, análisis de vulnerabilidades, desarrollo de exploits, depuración e ingeniería inversa deberás avanzar sobre los desafíos que propone Exploit-exercises.
#8 Hack This
Esta gran plataforma te permitirá sumar determinada cantidad de puntos resolviendo escenarios muy distintos y con un variable grado de dificultad. Además, en Hack This podrás encontrar artículos, foros y un chat para conseguir una cálida ayuda en caso de que lo necesites.
#9 Enigma Group
Ya desde 2003 Enigma Group trabaja sobre la concientización de seguridad en aplicaciones web, por lo cual podrás probar todo tipo de vulnerabilidades del top ten de OWASP. Sin embargo, como ves en la siguiente imagen, existen muchos otros escenarios posibles. También encontrarás muchas guías de estudio y bases de datos de exploits o hashes.
#10 canyouhack.it
Además de contener múltiples desafíos en bastas categorías, el portal canyouhack.it te desafía a que puedas sociabilizar con otros colegas o curiosos que disfrutan tanto como tú de la seguridad informática.
Bonus
Para finalizar este post, te recomiendo el curioso sitio pwnable.kr, cuyo objetivo principal es que los visitantes se diviertan. Deberás considerar estos desafíos como un juego de estrategia y sin duda podrás mejorar tus habilidades de hacking divirtiéndote mientras aprendas.
Por último, otro sitio que no contiene wargames o Capture the Flag pero sí mucha información de estas temáticas es CTF Time, muy recomendado para jugadores y entusiastas.
Los principales recursos para desarrollarse en esta área están vinculados a la curiosidad, la pasión y las ganas de saber más, como nos comentan algunos miembros de la comunidad de seguridad en el video que filmamos durante ekoparty 2016. Herramientas o plataformas como estas ayudan incentivarse y disfrutar del aprendizaje continuo. Después de todo, como decía el filósofo Johann Wolfgang von Goethe: “No basta con saber, también hay que aplicar. No basta con querer, también hay que actuar".
En este artículo nos centramos en portales que podrás visitar a través de Internet, pero en futuras entregas describiremos sistemas operativos y aplicaciones vulnerables que también son utilizados con similares fines educativos.