Iniciarse en la ciberseguridad

danoninon

Tengo 21 años, quiero currar en el mundo de la ciberseguridad pero estoy perdido y no se qué hacer.

Tengo un CFGS en Sistemas de Telecomunicaciones e informáticos, inglés C1.1 y hace poco terminé un certificado de profesionalidad en seguridad informática para tantear un poco el terreno. Me gustó pero solo aprendí conceptos básicos y lógicamente no conseguiré un buen curro con eso, así que debo seguir formándome.

Tenía pensado dos opciones:

1) hacer un bootcamp en ciberseguridad que terminaría en Junio-Julio aprox y de ahí hacer un Máster FP en ciberseguridad que terminaría en Junio-Julio del 2025 y finalmente buscar curro

2) O hacer el bootcamp en ciberseguridad y luego ir a la uni y sacarme una ingeniería informática. El tema es que siento que entraría con una edad muy tarde a la uni (22 años recién cumplidos).

He leído que los ingenieros suelen tener mejores oportunidades laborales. Realmente no se que hacer, mi único objetivo es no acabar en una oficina con traje y en edificios altos para vivir una vida monótona, aburrida y triste. Eso es lo que me da miedo. Que opináis?

Kike_Knoxvil

Busca a S4vitar y mira un poco lo que hay
Y nunca es tarde para entrar en la uni; se de gente que se matricula con 50 años a estudiar, imagínate lo joven que se ve alguien que entra con 22

7 1 respuesta
neclord02

Nunca es tarde para estudiar, yo entré más tarde que tú y aquí estoy haciendo threat hunting.

1
kidandcat

Por un lado la universidad no te va a preparar apenas para lo que se requiere en ciberseguridad. Por otro lado vas a aprender unas bases muy útiles para el resto de tu vida, así que aprovecha ahora si puedes permitírtelo y estudia una carrera.

Mientras estudias la carrera puedes seguir formándote en ciberseguridad. Lee mucho, ve a conferencias, conoce a gente del mundillo, y ya al final de la carrera puedes ir enfocando asignaturas optativas y tu proyecto hacia la ciberseguridad. Haciendo eso el bootcamp te sobra.

mi único objetivo es no acabar en una oficina con traje y en edificios altos para vivir una vida monótona, aburrida y triste. Eso es lo que me da miedo.

Lo único que tienes que hacer es no perder la ambición que tienes ahora, haz de aprender cosas que te interesen un hábito y nunca te aburrirás en este sector.

PD: Si te quedas con el gusanillo ahora, los cursos de Savitar son una buena introducción al pentesting: https://hack4u.io

1
darkf1re
#1danoninon:

El tema es que siento que entraría con una edad muy tarde a la uni (22 años recién cumplidos).

Y yo con 31 palos leyéndote.. no se que contestar a la barbaridad que acabas de decir cabrón. 22 años tarde dice. Me pego 7 tiros xD

28
hda

Si te gusta la ciber seguridad ofensiva, red team, tira de s4v1tar y dedícate a sacar certs, empieza por Cphe, chee, ejpt.

Mi primera cert la saqué con 35-36 palos, también es cierto que lo hago por entretenimiento. Pero nunca es tarde.

5
danoninon

Muchas gracias, lo he estado pensando y creo que ya he decidido algo.

Haré los cursos de savitar, se ven espectaculares, y además también haría un bootcamp en ciberseguridad para aprovechar el tiempo. Y en septiembre de este año empiezo la uni para sacarme ingeniería informática.

Mientras hago la carrera podría buscar un curro de media jornada en ciberseguridad para pillar algo de experiencia. Aunque es jodido hacer ambas a la vez

Terminaría la carrera con 26 años (2028) y tendría un par de años de experiencia en ciberseguridad.

Respecto a los diversos certificados que hay, no tengo ni idea cuál hacer. Se que ciberseguridad es un campo extremadamente amplio, y lo que tengo 100% claro es que no quiero ser consultor/auditor, es el típico curro que acabas en una oficina gris y monótona.
El red team/blue team es la rama que más me llama la atención, lo veo más entretenido/llevadero.
Cuáles serían las ramas menos monótonas a la hora de currar?

squ4r3

Lo primero que te aconsejaría, antes de pensar en certificados o cursos, es informarte sobre:

  • APIs: REST, GraphQL
  • Cómo se comunica un frontend con un backend
  • Qué son peticiones HTTP, GET, POST, payloads, JSON
  • Cómo se identifica un usuario ante una web: qué son cookies, qué son sesiones, dónde se guardan, cómo, etc.
  • BurpSuite
  • Wireshark

Si todo eso ya lo pilotas, miraría los básicos de administración de sistemas, linux, kali, sus herramientas, y de ahí a savitar y resolver máquinas

Me sumo a las risas por considerar que 22 años es TARDE. Cabrón, algunos con 30 no teníamos ni la más remota idea del tema y aquí estamos.

6
CiudadanoEj

bootcamps la verdad es que por lo que he leido(no he hecho ninguna) a no ser que sea gratis no se la recomendaria a nadie. La universidad siempre es bien para coger una buena base de programacion, redes, hardware, etc.
Y si quieres ir por libre pues tienes el road map de ciberseguridad

https://roadmap.sh/cyber-security

visent666

Universidad es tu muerte.

swoon

mi cuñado con FP sistemas y tras 10 sin currar en el sector, era taxista, se ha sacado certificados e inglés y ya está currando. Ha tardado 6/8 meses creo

como ta han dicho, certificados (en bucle para el resto de tu carrera), muchas prácticas por tu cuenta e inglés (si tienes C1, marcas mucho la diferencia creeme) y no tendrias que tener problemas para empezar con entrevistas

2 1 respuesta
espikiller

https://thesecuritysentinel.es/certificado-profesional-de-hacking-etico/

Está certificación vale lo que cuesta? Yo estoy en el sector y es cierto que para los puestos que estoy tocando ya no me vendría nada mal sacarme ciertos certificados pero siempre me parecen un sacacuartos.

Cuales recomendáis?

Saludos.

1 1 respuesta
hda

#12 si ya estás en el sector ese es muy básico. Es un certificado de entrada.

Una ruta: CPHE, CEH, EJPT, OSWP, OSCP, SPPT

A mí me gustaría llegar al nivel del OSCP.

3 1 respuesta
espikiller

#13 página recomendada donde hacerlos?

danoninon

Las certificaciones se pueden hacer de forma presencial?

Diward

Yo estoy en el sector desde hace ya unos años y puedo aconsejarte con lo que quieras.

Como punto de partida te diría que si lo que quieres es dedicarte a la seguridad ofensiva el path más de moda sería eJPT -> eCPPT -> OSCP. Con eCPPT estarás en disposición de trabajar de hacker sin problemas. Con OSCP estás muy bien posicionado en mercado y ya puedes empezar a irte a temas más específicos como desarrollo de exploits, red teaming, etc. Obviamente nada de esto es obligatorio. Yo trabajo con muy buenos redteamers que no tienen ni el eJPT.

Por otro lado, otro entrypoint muy bueno es empezar como analista de nivel 1 de SOC. Tienes que estar dispuesto a hacer turnos y guardias si hay lio, pero si das con una empresa de SOC potente vas a vivir incidentes chulos y vas a aprender mucho desde el lado del defensor (también conocido como blueteam). Normalmente con algo de conocimiento de sistemas o algún bootcamp de cyber, y buena disposición, no deberías tener problemas para optar a puestos así.
Este path te permite seguir por la vía defensiva, especializandote como analista nivel 2 o 3, aprendiendo de forense, reversing de malware, ciber inteligencia (threat Intel), etc. o usar tu experiencia para luego virar al mundo ofensivo.

Puedo seguir desarrollando opciones si interesa.

18 1 respuesta
kidandcat

Si te da por el blue team, para empezar los de https://www.securityblue.team están muy bien a nivel de contenido, a nivel de que te sirva la certificación ya no puedo decirte, que lo mio es por hobby.

javih_

el CCNA o CCNP no estaría de más no?

AgkisorZ

Por curiosidad, es factible sin ser del ámbito de la informática a base de certificados en ciberseguridad acabar encontrando trabajo o es pedir peras al olmo? veremos en un futuro el fp superior de ciberseguridad?

#1 El tema es que siento que entraría con una edad muy tarde a la uni (22 años recién cumplidos)
22 años, me han temblado hasta las rodillas, tarde dice :rofl:

2 respuestas
Diward

#19 Ya existen algunos FP que especializan en ciber
Supongo que será institutos concretos.

A lo segundo, durante mi carrera he conocido varios casos de personas que cambian de profesion y se inician en la ciberseguridad viniendo de campos no relacionados con la informática y a día de hoy son muy buenos profesionales.

1 respuesta
_NaN_

#19 Ya existe. Es un curso de "Especializacion" en ciberseguridad de 1 año que puedes hacer tras terminar un grado superior tipo DAW/DAM/ASIR. También hay de big data/ia y videojuegos.

1 respuesta
Aziwar

Yo llevo en este "sector" un buen tiempo y aquí hay algunas recomendaciones. Y por qué digo "sector"? Porque creo que es un término mal acuñado. Si consideras la seguridad como algo aparte o extra, ya empezamos mal.

Lo primero que te tienes que preguntar es a qué te quieres dedicar.

Ser analista de seguridad es poco más que una posición de helpdesk, te lo digo porque muchos dicen waaau voy a hacerme analista de seguridad, y cuando están trabajando, se dan cuenta que no hacen más que redirigir alertas de un SIEM. Lo mismo para los que se piensan que la seguridad ofensiva es ser un "hacker". Pentesting en el mundo empresarial no deja de ser una formalidad, son unos formularios que se rellenan con outputs genéricos del scanner de turno y ya.

Por otro lado, tienes la seguridad más a nivel IT. Ejemplos son la gestión de workstations, active directory, forense, etc.

Y finalmente, el lado más interesante para mí, a nivel de ingeniería, ya sea más orientada a software o a sistemas. Y aquí es donde siempre digo yo que no puedes simplemente "dedicarte a ciberseguridad". Para poder trabajar en este área, primero debes ser ingeniero y tener varios años de experiencia, por qué? Porque tienes que comprender qué es lo que quieres hacer y las implicaciones que tiene. Esto es más a nivel de diseño y código, no simplemente poner herramientas por poner.

Las certificaciones son un negocio que aporta cero valor. Si acaso te quieres sacar una no tanto por el valor de la certificación (que repito, es 0) sino por el conocimiento, te recomiendo el Security+ porque cubre un poco de todo, para que te hagas una idea.

1 respuesta
wiLly1

#16 A mi al menos si me interesa, muchas gracias por la info.

Que requisitos normalmente piden para trabajar de analista? Las ofertas que he ido viendo piden mucho más de lo que tengo. :sleepy:
Habrá que perseverar y seguir estudiando.

Diward

#22 creo que tienes una visión muy sesgada en base a tu experiencia.

Yo he colaborado en la respuesta a incidentes de gran magnitud donde nada tiene que ver el trabajo con hacer de helpdesk, he hecho/he formado parte de equipo que hace trabajos ofensivos totalmente opuestos un formalismo o poner bonito el output de una herramienta de scan de vulns. Por ejemplo, pentests de infra OT con activos muy sensibles, ejercicios de red team donde lo único que obtienes de información inicial es el nombre de la empresa y tienes que apañartelas con eso y ademas evadir a su SOC, pentesting de 2-3 meses en los que hay que hacer intrusión física, servicios de red teaming donde te dan carta blanca para hacer lo que quieras durante todo un año, etc.

Obviamente también he hecho proyectos más consultivos o cosas sencillas, pero a día de hoy y con un OSCP (por ejemplo), el que no hace pentests interesantes es porque no está en el sitio adecuado.

Cna

El 90% de la ciberseguridad que vas a encontrar en las empresas españolas es un helpdesk tocando los filtros de un fortinet/cisco y rezando para que le pongan buena nota después de una auditoría. No es muy difícil llegar a eso, creo que podrías incluso optar a ese puesto con el CFGS de teleco y un poco de suerte.

2 2 respuestas
danoninon

Averiguando, creo que con 3 cursos de savitar se puede tener muy buena base (introducción a Linux, hacking ético y python ofensivo). En el cv no se si aportarán mucho pero oye, los conocimientos los tendrás y al final eso es lo que se busca.

Se que sus cursos están más orientados al red teaming pero voy a apuntar a ello. El máster FP de 1 año también lo haré. La uni lo dejo descartado

Lo que me da algo de temor es que no se muy bien en qué consiste el trabajo de todas las ramas/áreas a la hora práctica. Imagino que dependerá mucho de la empresa.
El red team me mola mucho a nivel teórico y practico pero a la hora de currar, las cosas que se hacen y el como se hacen suelen ser completamente distintas. Si veo que al final no me convence el red team, me puedo cambiar a otra rama. Total, si sabes la parte ofensiva, imagino que ya tendrías una base de otras áreas

1
dynamic

#25 fortinet es lo que usan en mi ayuntamiento xD

Panch

En mi empresa todos los clientes son grandes empresas de múltiples sectores y los equipos de seguridad son bastante "la risa" (seguro q hay buenos profesionales, pero en general...). Casi todos siguen guidelines genéricas y realmente sacan outputs de herramientas/escáneres genéricos y, por ejemplo, sin saber si realmente les afecta una vulnerabilidad, montan lío... Me parece q con cualquier formación del sector (CFGS, carrera) sería sencillo realizar sus labores, el problema es optar a los puestos y pienso parecido: cualquier formación del sector + alguna certificación ya te da para optar a entrevista.

Luego hay gente muy válida en algunas empresas q hacen como de gurús cuando hay líos gordos (en la mía tenemos alguno), esos imagino q se los rifarán...

AgkisorZ

#21 Me refiero a no tener que hacer un GS rollo DAM, Sistemas, etc.. sino uno directamente de Ciberseguridad, si tienen pensado sacarlo o igual existía en otras comunidades autónomas, en Andalucía es un año como especialidad después de hacer un GS en la rama de informática.

#20 te refieres a lo que comenta #21 no?

#20 A base de certificados?

Cr3ative

Yo en mi caso también tengo el grado superior de STI y ahora estoy en primero de DAM.

¿Con los dos módulos no hay ninguna certificación de entrada que te permita tener alguna posibilidad de hacer entrevista de cara al mundo laboral sin tener que entrar en carrera?

1 respuesta