Iniciarse en seguridad informática no suele ser sencillo para la mayoría de gente que se asoma por primera vez a este mundo. Comenzar a practicar para mejorar nuestras habilidades suele ser un primer escalón a superar. En este post, hacemos un sumario de webs que pueden ayudarnos a comenzar en el mundo de los CTF y los retos de ciberseguridad, con una curva de aprendizaje suave.
Cuando comenzamos en el amplio mundo de la ciberseguridad, nos damos cuenta de que existen multitud de ramas que podemos explorar y en las que especializarnos. Desde ciberinteligencia hasta exploiting, pasando por reversing, seguridad web, criptografía… Y cada día más categorías que van surgiendo inevitablemente en un mundo cada vez más conectado y avanzado tecnológicamente. Ante una nueva tecnología, siempre habrá nuevas vulnerabilidades, y ahí estarán los hackers (buenos y malos) para descubrirlas, generando nuevo conocimiento.
¿Qué hago si quiero empezar en la seguridad informática?
El camino para ganar experiencia en cualquier ámbito siempre tiene como base un punto: la práctica. Aparte de todo el conocimiento teórico que debemos adquirir para introducirnos en cualquier disciplina, la práctica es algo fundamental si queremos realmente asentar los conocimientos y llegar al máximo nivel. En el caso de la seguridad no es distinto: si quieres mejorar, el único camino es practicar. Para ello existen los retos y CTF de los que ya te hablamos en su momento en la web. Pero sabemos que no es fácil comenzar en un CTF sin haber hecho jamás un reto de ciberseguridad. Por ello, en el post de hoy os ofrecemos un listado de webs que son un buen punto de partida para comenzar.
Lista de sitios para principiantes
Existen diversas plataformas útiles para noobs en las que podemos comenzar a entrenar nuestras skills de seguridad, en diferentes ámbitos y con una curva de aprendizaje bastante suave. A continuación listamos varias de ellas para que podáis lanzaros al teclado y saciar vuestra hambre de conocimiento.
TryHackMe
TryHackMe es una web pensada para principiantes, cuyo contenido está gamificado, lo que lo hace más divertido a la hora de empezar. Además, todos los retos que contiene son bastante guiados, lo que nos proporciona un aprendizaje paso a paso. Además, hay bastantes writeups disponibles en la red, por lo que si nos atascamos en algún paso, siempre podemos consultar qué ha hecho la gente para resolver el problema al que nos enfrentamos.
La parte negativa de esta plataforma es que parte de sus contenidos son de pago. La parte buena es que, aún con ello, tiene disponibles de forma gratuita bastantes recursos, así que podemos entrenarnos bastante tiempo sin pagar una suscripción antes de decidir si compramos una o no.
Overthewire y Underthewire
Otras dos webs bastante interesantes para comenzar son overthewhire y underthewire. Estas páginas tienen la ventaja de que no sólo están especializadas en retos de ciberseguridad, sino que también ofrecen una pequeña introducción a los comandos más básicos y útiles de Linux para las competiciones de CTF. Aunque Linux es un mundo y todo un tema para aprender en sí mismo, no es un mal punto de partida.
Dentro de estas webs nos encontraremos con diferentes máquinas remotas en las que tendremos que lograr la contraseña para acceder al siguiente nivel, siguiendo un enfoque incremental. En overthewire se nos sugiere un orden a seguir en la resolución de las máquinas, de modo que sea asequible el ir avanzando según vamos aprendiendo. Cada nivel suele estar relacionado con el anterior hasta cierto punto, por lo que iremos aprendiendo diferentes aspectos de un mismo topic a través de los diferentes niveles, lo cual ayuda a asentar el conocimiento respecto a los diferentes temas que se tratan.
Microcorruption
En esta web podemos iniciarnos en un área concreta de la seguridad informática: la ingeniería inversa o reversing. Esta categoría consiste en estudiar el funcionamiento de los programas y conseguir alterar su flujo natural para conseguir un comportamiento distinto. En el caso de esta web, nos encontraremos con una arquitectura desarrollada específicamente para la web (aunque muy parecida a arquitecturas conocidas como x86 y x86_64) y debemos conseguir abrir los diferentes candados que se nos van proponiendo. También es una web bastante gamificada y con una curva de aprendizaje suave, aunque es recomendable tener cierto conocimiento de programación y código ensamblador antes de enfrentarse a ella (y en general, a cualquier reto de seguridad informática, pero con mucha más razón en retos de ingeniería inversa).
Atenea del CCN-CERT
Aunque la plataforma Atenea no es tan guiada como las vistas hasta ahora, cuenta con un par de ventajas que hacen que merezca la pena incluirla en nuestro listado. Por un lado, es una web con contenido en castellano, por lo que aquellos que tengáis alguna dificultad con el inglés podéis libraros de este escollo utilizando esta plataforma. Por otro lado, cuenta con una plataforma de aprendizaje que contiene un amplio catálogo de materiales con los que podéis empezar a leer y aprender acerca de los diferentes temas sobre los que tratan los retos.
Además, existe un canal de Telegram en el que hay una comunidad bastante activa de gente que siempre estará dispuesta a echarte un cable si te atascas con alguno de los retos de la plataforma (cuidado con pedir la solución directamente o sin haber intentado un reto, ese tipo de comportamientos no están muy bien vistos en la comunidad hacker).
Extra
Para aquellas personas que ya estén iniciadas en este mundillo, pero que no saben muy bien por dónde continuar, incluimos un par de plataformas más, complementarias a las ya mencionadas, para personas con algo más de experiencia.
La mítica: HackTheBox
HackTheBox es probablemente una de las plataformas más conocidas para entrenar nuestras skills en ciberseguridad. Cuenta con todo tipo de retos:
- Máquinas Boot2Root, esto es, máquinas expuestas con alguna vulnerabilidad que debemos explotar para conseguir usuario y, posteriormente, elevar privilegios hasta hacernos con el usuario root, esto es, el control total de la máquina.
- Challenges: Retos estilo Jeopardy para resolver individualmente, de diferentes categorías.
El sistema con el que funciona HackTheBox impide que se filtren las soluciones a las máquinas y retos activos, dado que impide la publicación de writeups hasta que los retos/máquinas hayan sido retirados. Además, muchas empresas del sector valoran positivamente que un candidato posea perfil en HackTheBox y puede ser un plus para tu CV tener una posición decente en el ranking. Aunque lo más importante, como siempre, es aprender y pasar un buen rato.
CTFTime
Si ya has practicado suficiente y crees que cuentas con el nivel para participar en un CTF, CTFTime es tu plataforma de referencia. En ella puedes consultar los eventos de CTF próximos. Aunque existen muchos eventos que no se publican en CTFTime, la gran mayoría sí aparecen listados en la plataforma, por lo que si te animas puedes consultar qué eventos próximos va a haber. Algunos de ellos incluso tienen premio en metálico, por lo que pueden resultar interesantes para tu bolsillo además de para tu conocimiento.
Conclusión
Sabemos que comenzar en el mundo de los CTF y la ciberseguridad no es algo sencillo, dado que nosotros mismos tuvimos que pasar por ese punto en algún momento de nuestro aprendizaje. Por eso con este post tratamos de iluminar un poco vuestro camino inicial. Esperamos que os animéis a introduciros en este apasionante mundo y, en caso de que ya estuviéseis dispuestos a ello antes de comenzar a leer el post, tengáis un poco más claro cuáles podrían ser los puntos de partida.
Imagen de StartupStockPhotos en Pixabay