Luego de una serie exitosa de artículos donde mostramos una guía para los que se inician en seguridad informática y algunos recursos para empezar a aprender, muchos de nuestros lectores más habituales nos estuvieron preguntando "¿cómo me convierto en ethical hacker?" y han pedido algunos recursos específicos.
Así que tras intercambiar ideas con algunos de los integrantes del Laboratorio de ESET, reuní algunos recursos bastante interesantes que te pueden ser de utilidad si pensabas convertirte en un ethical hacker.
Lectura recomendada: Certificaciones en seguridad informática más populares
Primero lo primero: la metodología
definir una metodología para hacer pruebas te permitirá desarrollar eficientemente las tareas
El primer paso es conocer una metodología que te ayude a organizar tu trabajo. Las herramientas son muy variadas, algunas tienen más o menos funcionalidades, por lo que a medida que te vayas desarrollando las irás cambiando.
Tener una metodología definida para hacer las pruebas realmente te brindará la estructura para desarrollar eficientemente las tareas, más allá de las herramientas utilizadas.
Quizá una de las opciones más conocidas es OSSTM, uno de los estándares más completos y que por lo general más se utiliza cuando se trata de auditorías de seguridad en sistemas. Esta metodología incluye un completo marco de trabajo con las fases que debería comprender una auditoría de este tipo.
Si lo que te interesa es probar la seguridad de aplicaciones web, puedes encontrar en la OWASP Testing Guide v4 una excelente opción metodológica, y si la prefieres en español también hay una versión preliminar ya traducida.
Por otra parte, un libro muy interesante para iniciarte en estos temas es Ethical Hacking, Un enfoque metodológico para profesionales escrito por Ezequiel Sallis, Claudio Caracciolo y Marcelo Rodríguez, y que contiene la información precisa para iniciar tu camino como ethical hacker.
De la teoría a la práctica
Una vez que tienes clara la metodología, el siguiente paso es armarte con las herramientas adecuadas para empezar a realizar las pruebas; en este punto se suelen generar las mayores controversias, ya que hay muchas muy buenas y al final se vuelve una cuestión de gustos elegir cuál utilizar.
Para empezar, debes elegir un sistema sobre el que trabajar. Como punto de partida es recomendable Kali Linux, que ya trae incluidas una gran cantidad de herramientas para hacer muchos tipos de pruebas. Ya con el tiempo y la experiencia que irás adquiriendo, seguramente irás depurando tu entorno de pruebas y migrando a otras alternativas como BlackArch o incluso otras distribuciones gratuitas que andan dando vueltas por la red.
Ahora la pregunta que te podrías estar haciendo es cuáles herramientas utilizar y cómo hacerlo. Y en este punto, nuevamente nos encontramos con una amplia variedad de opciones. A continuación, te dejo un listado con algunas opciones.
- Metasploitable es uno de los entornos virtuales más populares para probar el funcionamiento de herramientas y la demostración de diferentes vulnerabilidades
- OWASP WebGoat Project Contiene más de 30 lecciones para probar la explotación de diferentes tipos de vulnerabilidades.
- OWASP Hackademic Challenges Project contiene una serie de retos para probar tus conocimientos en entornos realistas
- SQI-LAB es una plataforma para probar diferentes escenarios de SQL Injection
- Moth es una imagen de una máquina virtual con una variedad de aplicaciones vulnerables para probar diferentes tipos de herramientas.
- Mutillidae II es un entorno de entrenamiento bastante completo para que pongas en práctica una amplia variedad de habilidades.
- Peruggia es un entorno de pruebas para probar los ataques más comunes que pueden surgir durante una auditoria de seguridad
- GameOver es un entorno para los que se inician en temas de seguridad web
- BodgeIT Store es una aplicación web vulnerable muy útil para aquellos que se inician en el pentesting.
- DIVA es un app para Android diseñada de forma insegura, para aquellos que se quieran enfocar en la parte de dispositivos móviles.
Con lo anterior ya tienes una buena cantidad de recursos para iniciarte en este interesante mundo del ethical hacking.
Como seguramente mientras nos lees se te vienen a la mente una gran cantidad de opciones adicionales, te invito a que comentes más abajo y nos ayudes a enriquecer esta lista.
Lecturas recomendadas: