Lo primero, como es lógico, es definir el término #hacker, y luego ya veremos las capacidades o características que se deben tener para ser hacker.
Extraemos la definición directamente de la RAE
Es decir, por un lado, un hacker es un pirata informático, lo que entraría dentro del grupo de ciberdelincuentes, y por otro es una persona con gran dominio de los sistemas informáticos que ayuda a mejorar la seguridad, por lo tanto, no todos los hackers son malos, hay que tenerlo claro.
Ahora bien, basándonos en la segunda acepción de la RAE, un #hacker es una persona que tiene grandes habilidades en el manejo de computadoras y sistemas informáticos y usa estas habilidades para hacer el bien desde el punto de vista de la seguridad, pero, ¿Cómo adquirimos dichas habilidades o qué necesitamos para adquirirlas?
La respuesta es más o menos sencilla, necesitamos tiempo y pasión, si nos falla la pasión, pero disponemos de tiempo, estaremos trabajando en algo que no nos gusta, y eso se nota, en ciberseguridad mucho, y si tenemos pasión, pero nos falta tiempo, tardaremos mucho en avanzar, el problema es que los sistemas informáticos, aplicaciones y demás, cambian muy rápidamente.
Así que, si queréis convertiros en hackers, debéis dedicarle tiempo, hay ciertos sectores que llegado a un punto se es muy bueno, aunque pasen 5 o 10 años, ojo no tengo nada en contra, pero en ciberseguridad, estar 5 años sin reciclarte y formarte representa un serio problema, si haces un curso de hacking en el que se estén explotando vulnerabilidades de un Windows XP, pide que te devuelvan el dinero, te están engañando.
Hay otra cualidad, que viene de la mano del tiempo, y es la paciencia, y una cuarta que emana de la pasión, que es la curiosidad, lo siento, pero son necesarias, ya Rafa, nos estás hablando de características humanas, ¡qué tengo que aprender para ser hacker!
Tranquilo, paso a paso, si te faltan esas características te vas a frustrar y mucho, cuando te enfrentes a un reto, un CTF o similar y no lo consigas te vas a desesperar y lo vas a dejar, por lo que ten claro de inicio, que el hacking conlleva cierta carga en la forma de ser.
Y ahora sí, ¿Qué aprendo tecnológicamente hablando? Pues dentro del #hacking suele haber 2 fases más o menos diferenciadas, siempre hablando de la parte ofensiva, la primera fase es en la que debemos asentar conocimientos y es general, y una segunda en la que ya nos especializamos, la informática es muy muy grande, no se puede ser especialista en todo, no existe un hacker total que sepa absolutamente de todo, sino que se especializa en un determinado sistema.
En esa primera fase lo recomendable es, suponiendo que ya tenemos una base mínima, es decir sabemos usar un ordenador, qué es una línea de comandos y ejecutar/actualizar software, lo primero sería adquirir un conocimiento de redes y comunicaciones, saber cuales son los protocolos básicos y cómo funcionan, hay muchos protocolos, pero los básicos no son tantos; esto nos ayuda además a profundizar en el conocimiento de los sistemas operativos, sin menospreciar al resto, básicamente tenemos #Windows, #Unix/Linux y #MacOS, y teniendo muy claro que el sistema operativo al que nos vamos a enfrentar en un porcentaje alto es Windows ojo, eso no significa que para atacar a Windows lo hagamos con otro Windows, eso lo decidís vosotros, hay bastantes distribuciones especializadas en #hackingético, las más extendidas pueden ser #KaliLinux o #Parrot, mi consejo es que según vayáis cogiendo soltura, os creéis la vuestra, a día de hoy es muy común el uso de contenedores como #docker, si no sabéis lo que es, echarle un vistazo aquí, por lo que los problemas de incompatibilidades desaparecen, y puedes tener diferentes versiones del mismo software ejecutándose en paralelo y sin «estorbarse».
Teniendo ya claras las comunicaciones y sistemas operativos, a un nivel medio, pasamos a conocer/entender lenguajes de programación, no es necesario ser un experto en programación, pero sí es necesario saber leer código y entenderlo, si sabemos programar en algún lenguaje, mejor, personalmente si es un lenguaje de scripting os comento que os ayudará bastante a la hora de automatizar tareas.
Y, por último, ir aprendiendo diferentes arquitecturas/aplicaciones, aquí no hay un orden establecido, ¿Qué miro antes apache o nginx? ¿oracle o sql server? ¿wordpress o drupal?
Lo habitual es empezar por el software más común o que esté más implantado en ese momento, porque será lo que tengas que auditar/vulnerar más frecuentemente.
Actualmente el CMS más utilizado es wordpress, y la base de datos más extendida puede ser MySQL, pero las cosas cambian…
Todo esto enfocado a la seguridad y mezclándolo con formaciones y certificaciones especializadas en #hacking ético, es decir, que estés haciendo un curso de seguridad ofensiva no significa que el resto del mundo deje de girar, a la vez ves indagando cómo se crea y configura por ejemplo una base de datos, ¿por qué?, porque cuando más tarde tengas que atacar un sistema con una base de datos, sabrás qué ficheros mirar, configuraciones por defecto y quizá hasta vulnerabilidades, esto ahorra tiempo y esfuerzo.
Y un apunte final, que ya lo digo siempre en mi firma, no dejéis de aprender, no os paréis, no sería la primera vez que oigo, ¡es que no tengo tiempo! El tiempo es finito, pero se puede estirar más de lo que pensáis, ¿viajas en el metro?, ¿por qué no ves un tutorial sobre cómo atacar un AD?, ¿por qué no lees un libro de hacking?, no sabes que hacer un fin de semana por la mañana, ¿qué tal si asistes a un evento de hacking? Por si no lo sabéis se suelen grabar y mostrar al público para quien no haya podido asistir, y siempre, después de leer algo, ponlo en práctica, hay muchas webs con retos y CTFs, comunidades de hacking muy buenas y por supuesto un montón de hackers que estarán dispuestos a ayudarte.
Ya sabéis, always learning.
