Cómo iniciarse en ciberseguridad en 2023 (Actualizado Julio)

Este articulo tiene como objetivo servir como guía para los que se están iniciando en seguridad informática y va a estar en continuo cambio, renovándose, agregando cursos, recomendando profesionales y hasta compañeros para transitar juntos este camino, tomaré en cuenta sus recomendaciones para ir ampliándolo. Aquí no hablaremos solo de hacking y seguridad, sino que también abordaremos temas importantes como aprender más eficazmente y ser un buen profesional.

No hay una ruta mágica ni una receta que les sirva a todos, lo que me sirvió a mi tal vez no les sirva a ustedes. Esto no es un camino de A a B, más que un camino diría que es un laberinto. ¿Cuánto tiempo les va a llevar aprender? Depende de muchos factores, desde lo que quieran aprender hasta las capacidades que tengan y la voluntad que pongan. ¿Cuándo van a conseguir su primer trabajo? lo mismo, sin recetas mágicas, una mezcla de voluntad, capacidad y sin duda suerte. Tengo amigos que apenas terminaron el curso más básico de CEH empezaron a trabajar, crudos y a medio amasar, pero arrancaron. Otros con varios cursos y un par de certificaciones les llevo más de un año. Vean este articulo como lo que es: un mapa, es mejor navegar con un mapa que sin él, pero sepan que el mapa no es el terreno.

7 recomendaciones para estudiar

1. Ten una ruta de aprendizaje o busca a un mentor que te guie: Evita tomar cursos aislados y aprender cosas de forma desorganizada. Ten en claro donde estas y donde quieres llegar. Ahorraras mucho tiempo, esfuerzo y dinero.

2. Toma contacto con TODO el material del curso: Mira, escucha, lee superficialmente lo que vas a aprender. Tener una idea general te permite comprender mejor que estas aprendiendo y hacia dónde se dirige cada paso que das.

3. Estudia todo el tiempo que puedas. Llevo cursos conmigo todo el tiempo. Aprovecha al máximo tu tiempo que nunca es mucho. Yo lo hago en cada viaje, en cada espera. Tanto el celular como la notebook nos dan esa gran libertad.

4. Ten tu espacio para estudiar en profundidad y practicar. Sé que esto no es fácil. Pero haz lo posible por tener tu espacio. Donde puedas estar concentrado y tengas todas las herramientas para obtener el mayor rendimiento.

5. Puedes con todo, pero no con todo a la vez: concéntrate en una sola cosa. Lo sé, queremos aprenderlo todo y lo queremos hacer ya. lleva tiempo asimilar e integrar nuevos conceptos. Pero es más fácil si estos se integran con otros conocimientos previos.

6. No estás solo. Ya sea que estudies online o vayas a la universidad. Participa activamente en comunidades, foros y grupos en telegram. Toma el tiempo para buscar a los mejores del grupo o clase. Para ser un fuera de serie debes juntarte con personas fuera de serie.

7. No pares de aprender. No te oxides, no pierdas el ritmo. No quedes obsoleto ni te conviertas en material de arqueología. Todo avanza muy rápido y en esta nueva era, desaprender y volver a aprender es vital.

También te puede interesar este articulo: https://laprovittera.com/aprender-a-aprender/

El aprendizaje es algo que lleva tiempo, mejor ser constante que hacer maratones y luego abandonar. Para tener una mejora constante necesitan subir la bara. Siempre es mejor ser cola de león que cabeza de ratón. Ser un experto es mucho más que las famosas 10000hs de práctica. Les dejo un video que explica esto:

Definamos de que va esto

para los que están interesados en el mundo del Hacking, acá les comparto algunos tips para arrancar y aprender más. Antes de empezar, quiero dar una definición del Hacking: es cuando alguien con conocimientos en informática accede a sistemas o redes, ya sea autorizado o no, para identificar posibles debilidades de seguridad y buscar maneras de mejorarla. Pero a veces, esta actividad se asocia con cosas malas como el robo de datos o manipulación de sistemas. Por eso, en este artículo nos enfocaremos en el Ethical Hacking, que es hacer lo mismo pero de manera correcta y legal.

El Ethical Hacking es cuando alguien con habilidades en informática busca descubrir vulnerabilidades en los sistemas con el objetivo de mejorar su seguridad. Por lo general, los hackers éticos trabajan en empresas de seguridad informática o de manera independiente. Entre las técnicas que se usan, podemos encontrar el escaneo de puertos y servicios, explotación de vulnerabilidades, análisis de código fuente, escalada de privilegios, movimientos laterales, ingeniería inversa, y más. Estas técnicas se pueden hacer manualmente o con herramientas automatizadas.

Pre requisitos

La seguridad no es EL área ideal por donde iniciarse en informática, sin embargo, tampoco es imposible. Llevará un poco más de tiempo y es fuerzo, pero se puede. En la siguiente imagen muestro los pre requisitos ideales necesarios para iniciarse en seguridad. Una base mínima es saber de redes, Linux, programación (al menos Python) e inglés. Se puede arrancar sin saber programar e inglés (dependiendo el área), pero más temprano que tarde vas a tener que aprender.

Redes:

• Modelo OSI y TCP/IP (entender estos dos modelos, qué tipos de IPs hay (IPv4,IPv6, privada, pública). https://laprovittera.com/osi-tcp-ip/
• Qué es un protocolo, diferencia entre los protocolos TCP y UDP).
• Configuración de direcciones IP de forma manual, automática.
• Tipos de redes (LAN, WAN, MAN, etc), https://laprovittera.com/tipos-de-red/
• Qué es una MAC Address, para qué sirve, controles de acceso (acls).

Un buen inicio podría ser el gestionar el router de casa utilizando las diferentes funcionalidades como, por ejemplo, filtrar por MAC Address, abrir puertos (port forwarding), NAT.

• Firewall, módulos IDS, IPS, etc
• WAF y lista blanca

Sistemas Operativos

• Utilizar una máquina virtual con VMware o VirtualBox y configurar las más diferentes tipos de red (nat, bridge). https://laprovittera.com/como-instalar-kali-linux-everything-en-virtualbox-y-evitar-problemas-post-instalacion/
• Manejar Sistemas Linux y Bash
• Utilizar Sistemas Windows y Powershell
• Familiarizarse con alguna distro de Linux para pentesting como Kali Linux, Parrot, BlackArch Linux, etc.

Programación

• Familiarizarse con lenguajes como Java, Python, Javascript y HTML
• Codificar pequeños scripts
• Leer sobre Desarrollo Seguro

Análisis de Seguridad

• Conocer sobre los tipos de test de seguridad que existen (test de intrusión, phishing, ingeniería social, DoS, etc.).
• Qué es una vulnerabilidad.
• Qué es un exploit (0 -DAY), qué es un payload y cuál es la diferencia.
• Aprender que es OWASP y su famoso TOP 10.
• Qué es Nmap, como utilizarlo.
• Conocer las herramientas más usadas de hacking (Metasploit, Hydra, JohntheRipper, Hashcat, Nessus, Nikto, Burpsuite, SQLMAP, OWASP ZAP, etc).
• Aprender a usar operadores como Google Dorks.
• Utilizar plataformas para ejercitarse como Hack The Box, DVWA, entre otras

Define tu rol en seguridad informática

Hay muchas áreas. En este link podrás ver más ampliamente esta imagen que fue tomada de uno de los cursos iniciales de Platzi.

¿Que es mejor? La universidad, las certificaciones, bootcamps, los cursos, CTF o ser autodidacta

Respuesta corta: todo…. Y nada. Lo que importa es que vos seas un buen estudiante y quieras ser un profesional de verdad. Los exámenes y las certificaciones están para eso: para certificar que efectivamente sabes lo que dice el papel que sabes. Queres hacer trapa, tenés 1001 formas, si ese es tu caso este articulo no es para vos. NO ESTAFEN A SU CLIENTE, NO ESTAFEN A SU EMPLEADOR, y por sobre todo NO SE ESTAFEN A SI MISMOS. No se preocupen tanto por si son universitarios, certificados o autodidactas. Preocúpense por ser buenos profesionales. El mundo no necesita más chupa tinta matriculados.

Se un buen estudiante, un buen profesional y un buen compañero

La universidad no es mala, si hay pésimos estudiantes a los que llamo “chupa tinta”. Son personas que repiten como loritos y tienen una comprensión 0 de cómo va la cosa. A menudo veo “ingenieros” compartiendo fake news y demostrando su conocimiento nulo acerca del tema. El sistema no es malo, siempre va a haber personas tratando de saltarse las reglas y haciendo mal las cosas, simplemente no seas uno más de ellos.

Tampoco seas el que se burla de los que no fueron a la universidad, tal vez no lo necesitan o simplemente no tuvieron la oportunidad, ni despreciemos a los te hicieron X curso. Nada tan raquítico como el que dice: tu cursito en X lado no vale más que el mío. Un daño innecesario, al final del día estamos todos tratando de ganarnos la vida. También es malo el personaje que dice: “Los títulos son solo para llenarte el ego” el mismo tipo que luego trata de venderte algo. Si tienen un título, muéstrenselo a todo el mundo y el que les venga con el versito del “ego” o la escusa que sea bloquéenlo.  Líbrense de esas personas toxicas que no se pueden alegran por los logros de los demás.

La diferencia entre ir a la universidad o no

Deben entender la diferencia entre cursos, certificaciones y una carrera. Veámoslos en programación: no es lo mismo el programador (ni el Sr full stack) que en analista o el ingeniero en sistemas. No son lo mismo y no hacen lo mismo. Van a ver una lucha en las redes sobre cual es mejor o peor, simplemente no se sumen a esa discusión sin sentido. Va a depender de lo que ustedes hagan lo que les sirva o no. Para ser programador ir a la universidad no tiene sentido. Para ser analista de sistemas o ingeniero sí. Tengo amigos programadores que para sorpresa de nadie: programan. Tengo amigos ingenieros en sistemas trabajando en el Arsat. De nuevo no hacen lo mismo, no pueden compararlos. “Pero haces un curso y salís sabiendo programar mejor que en la uní” Pero es que en la universidad no vas a aprender a ser “el” programador, vas a aprender a ser en analista o el ingeniero que hacen otras cosas y no fundamentalmente programar. En seguridad hace un par de años no había tal cosa como una carrera universitaria y pasaba más por certificaciones.

Ni debemos desestimar a la gente que tiene certificaciones o cursos menos al que hizo una carrera. Pero a la vez tener en cuenta a la gente que se hace por sí misma porque en LA es común que la gente simplemente no se pueda pagar una ingeniería o certificados que para la mayoría resultan ser económicamente prohibitivos. Y también comprendo que es difícil evaluar lo que sabe “el que dice que sabe”. Porque, en general se suele sobrestimar las habilidades que realmente se tienen, contra el certificado que al menos sabe eso.

Universidad

Lo bueno es que tenés una ruta de aprendizaje, vas a aprender cosas que generalmente no aprenderías comúnmente por tu cuenta como matemática (son materias que cuando sos autodidacta se suelen evitar) y ciertas cuestiones muy técnicas y legales, salís con una práctica, son la suficiente cantidad de años como para formarte profesionalmente y te prepara para un cargo más alto. Tengo muchos amigos que llegaron hasta la tecnicatura, pero no ascienden laboralmente en la empresa por no tener un título de grado. Lo malo es que dependiendo de donde te encuentras y tu situación puede ser incosteable en dinero y en tiempo. Se puede iniciar en este mundillo sin uno, sin más hasta hace un par de años no existían (al menos no en Argentina donde vivo) Yo estoy cursando la licenciatura en seguridad informática en la Siglo 21. Hay un par más en argentina y este año aparecieron tecnicaturas que son MUCHO más baratas. Yo NO recomiendo ni dejo de recomendar a la universidad S21. Voy a esa simplemente porque es la que está en mi ciudad.

Certificaciones

Son muy preciadas por RRHH, a veces directamente excluyentes y tenés una ruta de aprendizaje. Pero puede llegar a ser estúpidamente costosas, hay que estar atento a la hora de hacerlas y no hacer por hacer al azar. He visto casos de personas que tienen al menos cuatro certificaciones que son la misma CEH con diferente nombre. Y, nos guste o no saber que está pidiendo el mercado, por ejemplo: CEH y CISSP son muy valuadas. Si pueden hacer la CEH háganla, es muy valorada, si no llegan económicamente eJPT es (casi) lo mismo y cuesta mucho menos. Hace poco hacia esta broma. Y es que es tal la cantidad de certificaciones que es difícil saber por dónde empezar.

Les dejo la web, que está muy buena, de donde tome la imagen security-certification-roadmap Como verán más adelante hay ramas y rutas para seguir. En este articulo pueden encontrar más información acerca de algunas de estas certificaciones: certificaciones-para-hacking-ofensivo. Actualmente yo recomendaría alguna de las siguientes certificaciones:

• CC y SSCP de isc2
• CCT y CEH (EC-Council)
• Comptia Security+
• EJPT
• HTB CPTS

Posteriormente con mayor solvencia económica ya optar por un CISSP, OSCP, OSWA, GPEN, GXPN (son un plus extra y solicitadas al ser prácticas).

Bootcamps

Sinceramente no conozco lo suficiente ninguno en seguridad. Lo bueno sería que salís con una práctica y “aprendes” rápido. Pero basándome en los que conozco en programación diré que la forma de aprendizaje es discutible. Se aprende mejor aprendiendo un poco todos los días en vez de hacer maratones. Y la publicidad puede ser engañosa. Algunas bootcamps pueden ser costosas y otras pueden ser nefastas a la hora de buscarte trabajo para que les pagues, trabajos muy mal pagos incluso para un jr. Antes de entrar en alguna les sugiero googlear mucho y ver experiencias de ex alumnos.

Cursos online

Analizaré tres grandes plataformas: Udemy, LinkedIn y Platzi, pero hay muchas más como Edteam, MM, etc

Coursera y Udemy: Tienen mucho contenido gratis, son un lugar a tener en cuenta. Si lo vas a pagar no es barato, pero pueden pagar por un solo curso.

En Udemy pueden ver los cursos de Álvaro que es un gran referente en seguridad:  https://www.udemy.com/user/alvaro-chirou-2/
Tambien pueden ver esta lista donde pueden encontrar algunos de sus cursos GRATIS: https://achirou.com/cursos-gratis

Platzi: es realmente económico. Te dan una ruta de aprendizaje y junto con la comunidad es lo mejor. Realmente para la cantidad/calidad que tienen es económico y una gran opción. En seguridad tienen más de 20 cursos de seguridad, una muy buena ruta para iniciarse. Luego encontraran cientos de cursos, en su mayoría de programación. También tienen una escuela de ingles muy buena.  Esta es parte de la lista de cursos que encontraran en Platzi:

Y estos que, por alguna razón, no aparecen todos en la lista anterior.

LinkedIn: tiene las 3 B, es bueno, bonito y barato. Es realmente económico y los cursos son de inmejorable calidad. Ya estás en la plataforma donde muy posiblemente consigas trabajo y te relaciones con el ambiente de seguridad. No tiene algo malo en sí, pero mencionare que la mayoría de cursos no están en español y que algunos necesitan ser actualizados. Realmente recomiendo LinkedIn.

pluralsight.com: Tiene un gran catálogo de cursos de seguridad, están en inglés. Casi todos los cursos de seguridad solo están disponibles si se contrata el plan premium y el precio está muy por encima de Ln. Es una opción a tener en cuenta sobre todo si uno está buscando algo más avanzado y no tan básico.

Cursos gratis:

Puedes chequear esta entrada donde dejo una lista mucho más amplia de cursos y de páginas en donde buscar empleo: https://laprovittera.com/1000-certificaciones-gratuitas-en-2023/ Tambien te puede interesar: https://achirou.com/cursos-gratis

Capture the flag

Hay muchas webs, pero hablaremos de estos dos:

tryhackme.com: Ideal para iniciar, cuesta solo 70usd y tiene una ruta de aprendizaje. Es un excelente complemento. En este blog empecé a explicar cómo abordar estas prácticas: https://laprovittera.com/category/tryhackme/ Como dije al principio. Bien podrían ir al final ver las respuestas y ya. Queda en ustedes, mi recomendación sigue siendo: No se estafen a sí mismos. Estas guías son para aprender a desarrollar una metodología y si quedan estancados en una parte recibir una ayuda para poder seguir.

Hack The Box: Hacking Training: el más famoso y posiblemente el mejor, es más costoso (algo más de 400usd) pero igual que THM se puede iniciar gratis. Si pueden costearlo definitivamente lo recomiendo.

Les dejo una lista con más de 80 web de CTF

• Acunetix (Art shopping PHP) http://testphp.vulnweb.com/
• Acunetix (Blog .NET) http://testaspnet.vulnweb.com/
• Acunetix (Forum ASP) http://testasp.vulnweb.com/
• Alert to win – https://alf.nu/alert1
• Attack-Defense – https://attackdefense.com
• Badstore http://www.badstore.net/
• Bancocn – https://bancocn.com
• Boggelt https://github.com/psiinon/bodgeit
• bWAPP http://www.itsecgames.com/
• Cenzic CrackMeBank http://crackme.cenzic.com/
• Certified Secure – https://lnkd.in/gBKK-i-s
• CMD Challenge – https://cmdchallenge.com
• CryptoHack – https://cryptohack.org/
• CTF Komodo Security – https://ctf.komodosec.com
• Ctftime – https://ctftime.org/
• Cyberdefenders – https://lnkd.in/gCf8v4Ju
• CyberSecLabs – https://lnkd.in/gmyzMXju
• Damn Vulnerable iOS App (DVIA) http://damnvulnerableiosapp.com/
• Damn Vulnerable Web Application (DVWA) http://www.dvwa.co.uk/
• Damn Vulnerable Web Services DVWS (PHP) http://dvws.secureideas.net/
• EchoCTF – https://echoctf.red/
• EnigmaGroup http://www.enigmagroup.org/
• ExploitMe Mobile Android Labs http://securitycompass.github.io/AndroidLabs/setup.html
• Explotation Education – https://exploit.education
• Google CTF – https://lnkd.in/e46drbz8
• Google Gruyere http://google-gruyere.appspot.com/
• Hack this site https://www.hackthissite.org/
• Hack.me https://hack.me/
• Hackaflag BR – https://hackaflag.com.br/
• Hackdemic https://github.com/Hackademic/hackademic
• Hacker Security – https://lnkd.in/gJbSaY3f
• Hacker101 – https://ctf.hacker101.com
• Hacking-Lab – https://hacking-lab.com/
• Hacksplaining – https://lnkd.in/gVd9dNkK
• HackTheBox – https://www.hackthebox.com
• Hackthis – https://www.hackthis.co.uk
• Hackxor http://hackxor.sourceforge.net/cgi-bin/index.pl
• HackXpert – https://hackxpert.com/
• Hellbound hackers https://www.hellboundhackers.org/
• HP/SpiDynamics Free Bank Online http://zero.webappsecurity.com/
• HSTRIKE – https://hstrike.com
• IBM/Watchfire AltoroMutual http://demo.testfire.net/
• ImmersiveLabs – https://immersivelabs.com
• Juice Shop https://github.com/bkimminich/juice-shop
• LetsDefend- https://letsdefend.io/
• MacAfee HacMe sites http://www.mcafee.com/us/downloads/free-tools/index.aspx
• Moth http://www.bonsai-sec.com/en/research/moth.php
• Mutillidae https://sourceforge.net/projects/mutillidae/
• NewbieContest – https://lnkd.in/gZ4UjDhy
• OSBOXES – http://www.osboxes.org/
• OverTheWire http://overthewire.org/wargames/
• OWASP Bricks https://www.owasp.org/index.php/OWASP_Bricks
• OWASP Insecure Web App Project https://www.owasp.org/index.php/Category:OWASP_Insecure_Web_App_Project
• Penetration Testing Practice Labs – https://lnkd.in/grQev9Kk
• PentestIT LAB – https://lab.pentestit.ru
• Pentestlab – https://pentesterlab.com
• Peruggia https://sourceforge.net/projects/peruggia/
• PicoCTF – https://picoctf.com
• PortSwigger Web Security Academy – https://lnkd.in/gAPq2ezr
• Practical Pentest Labs – https://lnkd.in/gUSqv6xS
• Pwn college – https://dojo.pwn.college/
• PWNABLE – https://lnkd.in/gNcyqG64
• RangeForce – https://lnkd.in/gGy3feqt
• revesing.kr http://reversing.kr/index.php
• RingZer0 Team Online CTF https://ringzer0team.com/
• Root in Jail – http://rootinjail.com
• Root Me https://www.root-me.org/?lang=es
• SANS Challenger – https://lnkd.in/gG-5_ZPF
• SlaveHack http://www.slavehack.com/
• SmashTheStack – https://lnkd.in/gMFNTURc
• TCM Security – https://lnkd.in/gbQinqvf
• The ButterFly Security Project https://sourceforge.net/projects/thebutterflytmp/
• The Cryptopals Crypto Challenges – https://cryptopals.com
• Try2Hack http://www.try2hack.nl/
• Vicnum http://vicnum.ciphertechs.com/
• Vulnhub – https://www.vulnhub.com
• Vulnmachines https://vulnmachines.com/
• W3Challs – https://w3challs.com
• Webgoat – https://lnkd.in/gjsgegYw
• WebGoat http://webappsecmovies.sourceforge.net/webgoat/
• WeChall – http://www.wechall.net
• XSS game area https://xss-game.appspot.com/
• Zenk-Security – https://lnkd.in/g_y_p5ha

Autodidacta – 200 cursos GRATIS!

Ser autodidacta es difícil, vas a necesitar una ruta y una guía para que no te pierdas en la inmensidad de contenido. Este artículo se ha hecho demasiado extenso por lo que tuve de subdividirlo en otro para que pueda ser legible. Aqui dejos más de 200 certificaciones y cursos gratis: https://laprovittera.com/certificaciones-y-cursos-gratuitos-en-ciberseguridad/

Eviten aprender cosas aisladas. Aun así, les dejo canales de YouTube que pueden ser de su interés

Canales de seguridad en inglés:

• http://youtube.com/AllThingsSecured
• http://youtube.com/TheCyberMentor
• http://youtube.com/Techlore
• http://youtube.com/NetworkChuck
• http://youtube.com/SSTecTutorials
• http://youtube.com/Seytonic
• http://youtube.com/HackerSploit
• http://youtube.com/LiveOverflow
• http://youtube.com/easydmarc
• http://youtube.com/realtechfly
• http://youtube.com/PentesterAcademyTV
• http://youtube.com/PenetrationTestingwithddos
• http://youtube.com/JohnHammond010
• http://youtube.com/13cubed
• http://youtube.com/Computerphile
• http://youtube.com/ippsec
• http://youtube.com/thepcsecuritychannel
• http://youtube.com/intecocert
• http://youtube.com/TheGoodHacker/
• http://youtube.com/hackaday
• http://youtube.com/GuidedHacking
• Computer phile :https://www.youtube.com/@Computerphile
• Cyber Mentor : https://www.youtube.com/@TCMSecurityAcademy
• John Hammond : https://www.youtube.com/@_JohnHammond
• Nullbyte : https://www.youtube.com/@NullByteWHT
• David bombal : https://www.youtube.com/@davidbombal
• Oxdf : https://www.youtube.com/@0xdf
• Insider phd : https://www.youtube.com/@InsiderPhD
• pwn Function : https://www.youtube.com/@PwnFunction
• LiveOverflow : https://www.youtube.com/@LiveOverflow
• Malfind Labs : https://www.youtube.com/@MalfindLabs
• Conda : https://www.youtube.com/@c0nd4
• Hacker/splain: https://www.youtube.com/@Hacksplained
• Pwn Collage :https://www.youtube.com/@pwncollege
• Ymir Vigfusson:https://www.youtube.com/@YmirVigfussonPresents
• Atck/detct/dfnd : https://www.youtube.com/@rot169
• CwInfosec :https://www.youtube.com/@cwinfosec
• areyou1or0 : https://www.youtube.com/@areyou1or0
• Day[0] : https://www.youtube.com/@dayzerosec
• Crow : https://www.youtube.com/@crr0ww

0patch by ACROS Security	few videos, very short, specific to 0patch
BlackHat	features talks from the BlackHat conferences around the world
Christiaan008	hosts a variety of videos on various security topics, disorganized
	Companies
Detectify	very short videos, aimed at showing how to use Detictify scanner
Hak5	see Hak5 above
Kaspersky Lab	lots of Kaspersky promos, some hidden cybersecurity gems
Metasploit	collection of medium length metasploit demos, ~25minutes each, instructional
ntop	network monitoring, packet analysis, instructional
nVisium	Some nVisum promos, a handful of instructional series on Rails vulns and web hacking
OpenNSM	network analysis, lots of TCPDUMP videos, instructional,
OWASP	see OWASP above
Rapid7	brief videos, promotional/instructional, ~ 5 minutes
Securelist	brief videos, interviews discussing various cyber security topics
Segment Security	promo videos, non-instructional
SocialEngineerOrg	podcast-style, instructional, lengthy content ~1 hr each
Sonatype	lots of random videos, a good cluster of DevOps related content, large range of lengths, disorganized
SophosLabs	lots of brief, news-style content, “7 Deadly IT Sins” segment is of note
Sourcefire	lots of brief videos covering topics like botnets, DDoS ~5 minutes each
Station X	handful of brief videos, disorganized, unscheduled content updates
Synack	random, news-style videos, disorganized, non-instructional
TippingPoint Zero Day Initiative	very brief videos ~30 sec, somewhat instructional
Tripwire, Inc.	some tripwire demos, and random news-style videos, non-instructional
Vincent Yiu	handful of videos from a single hacker, instructional
	Conferences
44contv	in
MIT OCW 6.858 Computer Systems Security	Information security con based in London, lengthy instructional videos
BruCON Security Conference	security and hacker conference based in b\Belgium, lots of lengthy instructinoal videos
BSides Manchester	security and hacker con based in Mancheseter, lots of lengthy videos
BSidesAugusta	security con based in Augusta, Georgia, lots of lengthy instructional videos
CarolinaCon	security con based in North Carolina, associated with various 2600 chapters, lots of lengthy instructional content
Cort Johnson	a handful of lengthy con-style talks from Hack Secure Opensec 2017
DevSecCon	lenghty con videos covering DevSecOps, making software more secure
Garage4Hackers – Information Security	a handful of lengthy videos, About section lacks description
HACKADAY	lots of random tech content, not strictly infosec, some instructional
Hack In The Box Security Conference	lengthy con-style instructional talks from an international security con
Hack in Paris	security con based in paris, features lots of instructional talks, slides can be difficult to see.
Hacklu	lots of lengthy con-style instructional videos
Hacktivity	lots of lengthy con-style instructional videos from a con in central/eastern europe
Hardwear.io	handful of lengthy con-style video, emphasis on hardware hacks
IEEE Symposium on Security and Privacy	content from the symposium; IEEE is a professional association based in the us, they also publish various journals
LASCON	lengthy con-style talks from an OWASP con held in Austin, TX
leHACK	leHACK is the oldest ( 2003 ), leading, security conference in Paris, FR
Marcus Niemietz	lots of instructional content, associated with HACKPRA, an offensive security course from an institute in Germany
Media.ccc.de	The real official channel of the chaos computer club, operated by the CCC VOC – tons of lengthy con-style vids
NorthSec	lengthy con-style talks from an applied security conference in Canada
Pancake Nopcode	channel of Radare2 whiz Sergi “pancake” Alvarez, Reverse Engineering Content
Psiinon	medium length instructional videos, for the OWASP Zed Attack Proxy
SJSU Infosec	handful of lengthy instructional videos from San Jose State university Infosec
Secappdev.org	tons of lengthy instructional lectures on Secure App Development
Security Fest	medium length con-style talks from a security festival in Sweden
SecurityTubeCons	an assortment of con-style talks from various cons including BlackHat and Shmoocon
ToorCon	handful of medium length con videos from con based in San Diego, CA
USENIX Enigma Conference	medium length “round table discussion with leading experts”, content starts in 2016
ZeroNights	a lot of con-style talks from international conference ZeroNights
	News
0x41414141	Channel with couple challenges, well explained
Adrian Crenshaw	lots of lengthy con-style talks
Corey Nachreiner	security newsbites, 2.7K subscribers, 2-3 videos a week, no set schedule
BalCCon – Balkan Computer Congress	Long con-style talks from the Balkan Computer Congress, doesn’t update regularly
danooct1	lots of brief screenshot, how-to vids regarding malware, regular content updates, 186K followerss
DedSec	lots of brief screenshot how-to vids based in Kali, no recent posts.
DEFCON Conference	lots of lengthy con-style vids from the iconical DEFCON
DemmSec	lots of pen testing vids, somewhat irregular uploads, 44K followers
Derek Rook – CTF/Boot2root/wargames Walkthrough	lots of lengthy screenshot instructional vids, with
Don Does 30	amateur pen-tester posting lots of brief screenshot vids regularly, 9K Followers
Error 404 Cyber News	short screen-shot videos with loud metal, no dialog, bi-weekly
Geeks Fort – KIF	lots of brief screenshot vids, no recent posts
GynvaelEN	Security streams from Google Researcher. Mainly about CTFs, computer security, programing and similar things.
HackerSploit	regular posts, medium length screenshot vids, with dialog
HACKING TUTORIALS	handful of brief screenshot vids, no recent posts.
iExplo1t	lots of screenshot vids aimed at novices, 5.7K Followers, no recent posts
JackkTutorials	lots of medium length instructional vids with some AskMe vids from the youtuber
John Hammond	Solves CTF problems. contains penTesting tips and tricks
Latest Hacking News	10K followers, medium length screenshot videos, no recent releases
LionSec	lots of brief screenshot instructional vids, no dialog
LiveOverflow	Lots of brief-to-medium instructional vids, covering things like buffer overflows and exploit writing, regular posts.
Metasploitation	lots of screenshot vids, little to no dialogue, all about using Metasploit, no recent vids.
NetSecNow	channel of pentesteruniversity.org, seems to post once a month, screenshot instructional vids
Open SecurityTraining	lots of lengthy lecture-style vids, no recent posts, but quality info.
Pentester Academy TV	lots of brief videos, very regular posting, up to +8 a week
Penetration Testing in Linux	DELETE
rwbnetsec	lots of medium length instructional videos covering tools from Kali 2.0, no recent posts.
Samy Kamkar’s Applied Hacking	brief to medium length instructional vids from the creator of PoisonTap for the Raspberry Pi Zero, no recent content, last updated in 2016
SecureNinjaTV	brief news bites, irregular posting, 18K followers
Security Weekly	regular updates, lengthy podcast-style interviews with industry pros
Seytonic	variety of DIY hacking tutorials, hardware hacks, regular updates
Shozab Haxor	lots of screenshot style instructional vids, regular updates, windows CLI tutorial
SSTec Tutorials	lots of brief screenshot vids, regular updates
Tradecraft Security Weekly	Want to learn about all of the latest security tools and techniques?
Troy Hunt	lone youtuber, medium length news videos, 16K followers, regular content
Waleed Jutt	lots of brief screenshot vids covering web security and game programming
webpwnized	lots of brief screenshot vids, some CTF walkthroughs
Zer0Mem0ry	lots of brief c++ security videos, programming intensive
LionSec	lots of brief screenshot instructional vids, no dialog
Adrian Crenshaw	lots of lengthy con-style talks
HackerSploit	regular posts, medium length screenshot vids, with dialog
Derek Rook – CTF/Boot2root/wargames Walkthrough	lots of lengthy screenshot instructional vids, with
Tradecraft Security Weekly	Want to learn about all of the latest security tools and techniques?
IPPSec	Hackthebox.eu retired machine vulnerable machine walkthroughs to help you learn both basic and advanced processes and techniques
The Daily Swig	Latest Cybersecurity News

YouTube (español) En creación….

• https://www.youtube.com/@CristianBorghello
• https://www.youtube.com/@AlvaroChirou
• Jose Maria Alonso
• https://www.youtube.com/@MS4Security/
• https://www.youtube.com/@hackwise/
• https://www.youtube.com/@DavidPereira
• https://www.youtube.com/@efoxxfiles
• https://www.youtube.com/@EkopartyConference
• https://www.youtube.com/@KeepCoding
• https://www.youtube.com/@SEGURIDADCERO
• https://www.youtube.com/@s4vitar
• https://www.youtube.com/@CEVICAS/

Programación e informática

• https://www.youtube.com/@aulaclic/
• https://www.youtube.com/@BettaTech
• https://www.youtube.com/@codigofacilito
• https://www.youtube.com/@deivchoi
• https://www.youtube.com/@deswebcom
• https://www.youtube.com/@DevHack
• https://www.youtube.com/@DotCSV
• https://www.youtube.com/@EDteam
• https://www.youtube.com/@FaztTech
• https://www.youtube.com/@FredyGuibert
• https://www.youtube.com/@HolaMundoDev
• https://www.youtube.com/@JGAITPro
• https://www.youtube.com/jotajotavm
• https://www.youtube.com/@kjchints
• https://www.youtube.com/@ManzDev
• https://www.youtube.com/@mouredev
• https://www.youtube.com/@NetworkChuck
• https://www.youtube.com/@PeladoNerd
• https://www.youtube.com/@pildorasinformaticas
• https://www.youtube.com/@platzi
• https://www.youtube.com/@XTecnoMundo

Blogs de interés

Les recomiendo usar feedly que, además tiene una función para curar contenido de seguridad.

• https://blog.segu-info.com.ar/
• https://4null0.blogspot.com/
• https://blog.ehcgroup.io
• https://blog.elhacker.net/
• https://blog.isecauditors.com/
• https://blog.nivel4.com/
• https://blog.segu-info.com.ar/
• https://blog.underc0de.org
• https://blog.zerolynx.com/
• https://blogs.protegerse.com
• https://ciberseguridad.blog/
• https://cybersecuritynews.es/
• https://cyberseguridad.net/
• https://enfoqueseguro.com
• https://esgeeks.com/
• https://fwhibbit.es
• https://gbhackers.com/
• https://globbsecurity.com
• https://hackingd0.blogspot.com/
• https://hackingthesystem4fun.blogspot.com/
• https://hakin9.org
• https://insecurityit.blogspot.com/
• https://jolmos.blogspot.com/
• https://kinomakino.blogspot.com/
• https://latam.kaspersky.com/blog
• https://noticiasseguridad.com
• https://paper.li/chemaalonso/1468559888
• https://r3dbird.blogspot.com/
• https://seguridad-informacion.blogspot.com/
• https://thehackerway.com
• https://unaaldia.hispasec.com/
• https://www.1000tipsinformaticos.com/
• https://www.acampos.net/
• https://www.blackploit.com/
• https://www.ccn-cert.cni.es/
• https://www.ciberseguridadlatam.com
• https://www.daboweb.com/
• https://www.ellaberintodefalken.com/
• https://www.elladodelmal.com/
• https://www.enhacke.com
• https://www.flu-project.com/
• https://www.hackplayers.com/
• https://www.incibe-cert.es/feed/avisos-seguridad/all
• https://www.incibe.es/feed/avisos-seguridad/all
• https://www.iso27000.es
• https://www.kupakia.com/
• https://www.maravento.com/
• https://www.muyseguridad.net
• https://www.pandasecurity.com/es/mediacenter/
• https://www.reydes.com/
• https://www.securityartwork.es
• https://www.securityhacklabs.net/
• https://www.seguridadjabali.com/
• https://www.tarlogic.com/
• https://www.welivesecurity.com
• https://www.codelivly.com/

Foros:

• https://foro.hackhispano.com/
• https://indetectables.net/
• https://underc0de.org/
• https://foro.elhacker.net/
• https://www.wilderssecurity.com/
• https://hackxcrack.net/foro/
• https://foro.hackplayers.com/
• https://level23hacktools.com/
• https://foro.seguridadwireless.net/
• https://pirates-forum.org/Forum-Hardware-Networking

Grupos de Telegram

• https://t.me/recursoshacking
• https://t.me/SeguInfoChannel
• https://t.me/achacking
• https://t.me/achiroutechnology
• https://t.me/burpsuitegroup
• https://t.me/DerechodelaRed
• https://t.me/ParrotSecSchool
• https://t.me/dragonjar
• https://t.me/seguridadinformatic4
• https://t.me/Elladodelmal
• https://t.me/underc0deoficial
• https://t.me/Fwhibbit

Twitter

Esta es mi cuenta en Twitter: https://twitter.com/laprovittera y en LinkedIn: https://www.linkedin.com/in/carlos-laprovittera/

• https://twitter.com/alvaro_chirou
• https://twitter.com/SeguInfo
• https://twitter.com/banchiero
• https://twitter.com/JaimeARestrepo_
• https://twitter.com/EsGeeks
• https://twitter.com/hackplayers
• https://twitter.com/chemaalonso
• https://twitter.com/elhackernet
• https://twitter.com/ekoparty
• https://twitter.com/DragonJAR
• https://twitter.com/C1b3rWall
• https://twitter.com/forwardingIP
• https://twitter.com/blindma1den
• https://twitter.com/marianasego_
• https://twitter.com/310hkc41b
• https://twitter.com/ADanielHill
• https://twitter.com/agomezsp
• https://twitter.com/hackandbeers
• https://twitter.com/alextovarg
• https://twitter.com/t1t0wap0
• https://twitter.com/ofalabel
• https://twitter.com/CanelonE2
• https://twitter.com/S4vitar
• https://twitter.com/XtecnoMundo
• https://twitter.com/Cyberfrancis

LinkedIn

• Juan Ma Perals

SISTEMAS A USAR

Windows: Depende el área de seguridad en la que trabajen es lo que van a necesitar en hardware y software no es lo mismo ser un forense que un pentester. Como tengo que hacer reportes me sirve trabajar en Windows. Uso mucho ONENOTE para llevar todo el material que estoy estudiando y trabajando. Además, la cantidad de herramientas de gestión de disco, archivos, documentos y gráficos al nivel que necesito trabajarlas no están disponibles en Linux. Lo más probable es que te convenga iniciar virtualizando Kali, por lo que podrás mantener como nativo a Windows.

Linux: La mayoría de herramientas están disponibles en Linux y, de hecho, Kali ya soluciona eso. Tengo una guía de como instalarlo y resolver los problemas más comunes. https://laprovittera.com/como-instalar-kali-linux-everything-en-virtualbox-y-evitar-problemas-post-instalacion/

HARDWARE

Arranquen con lo que tengan, al final todos empezamos con lo que tenemos. Si van a mejorar o comprar un equipo mi recomendación PC es mejor que notebook por múltiples razones. Va a depender del área en la que trabajen, si necesitan movilidad no les queda más que ir por una notebook. Fuera de la única ventaja que tiene la notebook que es la de ser portable un PC es superior en todo. Menor costo, mayor capacidad de expansión, fácil y económico de reparar, y cuando comparas la “misma” versión entre PC y notebook la de pc tiende a ser MUY superior en rendimiento. Otra gran ventaja son los monitores, mi recomendación es de 2 o 3. En uno podrán trabajar con Kali y en el otro realizar un informe más cómodamente. Nuevamente esto depende del área en el que estén. En este momento estoy trabajando en un i5 (algo viejo de 10ma) con 64gb de RAM y no he tenido problemas virtualizando.

Por citar un ejemplo si usan un scanner como ZAP verán que estos comen mucha RAM y si guardan la sección mucho disco. Me refiero a que pueden gastar 10gb de RAM y 70gb de disco. Por eso las recomendaciones y buenas prácticas a la hora de crear su máquina virtual con Linux

	Mínimo	Recomendado
CPU	I3 / Ryzen3 o superior	I5 / Ryzen 5 o superior
Memoria	16gb	32gb
SO	W10/kali	W11/Kali everything
Disco	SSD 512	SSD 1TB
Placa de Video	No vital	Puede ser útil si desean colocar 3 o más monitores. Esto dependerá del motherboard y las entradas de sus monitores.

Empleos para acercarte a roles de ciberseguridad:

Ingeniero en ciberseguridad. Tener un nivel técnico y de alto nivel para saber qué podemos sugerir para una organización para que esta sea más segura.

Analista de ciberseguridad A nivel de red; Entender el tráfico de red. Ser capaz de detectar posibles ataques y en caso de suceder encontrar el origen de dicho ataque.

Arquitecto de redes Es una persona que a un alto nivel es capaz de proponer la manera de estructurar una red para evitar exponer los datos de una empresa

Consultor de ciberseguridad Personas que está actualizada en tendencias de tecnología, cuáles son los ataques vigentes hoy en día.

Gerente de ciberseguridad Persona encargada de todos los temas y todas las estrategias de ciberseguridad

Para principiantes

• Pentester Jr.
• Analista Jr.
• Técnico de redes.
• Respuesta a incidentes.
• Consultor Jr.

Intermedios

• Ingeniero de preventa.
• Ethical hacker.
• Ingeniero Forense / Análisis forense.
• Consultor en Seguridad de la información.

Avanzado

• Análisis de malware / Malware reversing.
• Ingeniería reversa.
• Líder de Red Team / Blue Team.
• Experto en nube.
• CISO, CSO, DPO.
• Especialista en incidencias.

Encontrar trabajo en ciberseguridad

HAZ CLIC AQUÍ PARA REALIZAR UNA BUSQUEDA EN LINKEDIN DE TRABAJO EN ARGENTINA (cambia el país en el campo localidad si no eres de Arg)

HAZ CLIC AQUÍ PARA REALIZAR UNA BUSQUEDA EN LINKEDIN DE TRABAJO REMOTO

• Empresas de Ciberseguridad en España.
• Empresas de Ciberseguridad en México.
• Empresas de Ciberseguridad en Costa Rica.
• Empresas de Ciberseguridad en Chile.
• Empresas de Ciberseguridad en Colombia.
• Empresas de ciberseguridad en Argentina

40 sitios para encontrar trabajo en Internet

• Aquent https://aquent.com/
• Arc https://arc.dev/
• Chumi IT https://www.chumijobs.com/
• Coworker https://www.coworker.com/
• Dice https://www.dice.com/
• Dynamite Jobs https://dynamitejobs.com/
• Fiverr https://www.fiverr.com/
• FlexJobs https://www.flexjobs.com/
• Freelancer https://www.freelancer.com/
• FullStack Remote https://www.fullstackremote.com/
• Get On Board https://www.getonbrd.com/
• Glassdoor https://www.glassdoor.com/index.htm
• Guru https://www.guru.com/
• Hireline https://hireline.io/
• Indeed https://www.indeed.com/
• Jobspresso https://jobspresso.co/
• La Pieza https://lapieza.io/
• Linkedin https://www.linkedin.com/
• Mission https://mission.dev/
• Monster https://www.monster.com/
• Opground  https://opground.com/
• People Per Hour https://www.peopleperhour.com/
• Power to Fly https://powertofly.com/
• Remote.Co https://remote.co//
• Remote|Ok https://remoteok.com/
• Remote Work Hub https://www.remoteworkhub.com/
• Remotive https://remotive.com/
• Skip The Drive https://www.skipthedrive.com/
• The Bridge https://thebridge.social/
• Toptal https://www.toptal.com/
• Torre https://torre.co/
• Turing https://www.turing.com/
• Upwork  https://www.upwork.com/
• Virtual Vocations https://www.virtualvocations.com/
• We Remoto https://www.weremoto.com/
• We Work Remotely https://weworkremotely.com/
• Wipperoz https://www.wipperoz.com/
• Workana https://www.workana.com/
• Working Nomads https://www.workingnomads.co/
• Zip Recruiter https://www.ziprecruiter.com/

Les recomiendo este Curso Gratis de Marca Personal

RRHH y empresas en Twitter y LinkedIn (esta lista está en creación)

• https://twitter.com/SeniorasChambas
• https://www.linkedin.com/in/senioraschambas/
• https://t.co/56bJTpiEnz
• https://www.linkedin.com/in/caro-gayosso-ab5b5025/
• https://twitter.com/larecluIT
• https://twitter.com/KPMGArgentina
• https://www.linkedin.com/company/kpmg_argentina/
• https://www.linkedin.com/company/base4-security/

BugBounty Places

Aquí puedes ser “freelance” y buscar vulnerabilidades en distintas apps, subir los resultados a la plataforma y te pagan por ello Públicos

• Link: https://hackerone.com/ <—muy famosa
• Link: https://www.bugcrowd.com/
• Link: https://www.yeswehack.com/en/
• Link: https://hackenproof.com/
• Link: https://www.intigriti.com/
• Link: https://www.zerocopter.com/
• Link: https://www.antihack.me/
• Link: https://bugbounty.jp/
• Link: https://www.cesppa.com/
• Link: https://safehats.com/
• Link: https://www.federacy.com/
• Link: https://hacktrophy.com/en/
• Link: https://hackr.fi/en/
• Link: https://www.openbugbounty.org/
• Link: https://crowdshield.com/
• Link: https://www.cyberarmy.id/
• Link: https://crowdshield.com/

Test para entrar

• Link: https://www.yogosha.com/

Sólo con invitación

• Link: https://cobalt.io/
• Link: https://cs.detectify.com/

Varios controles de seguridad para entrar:

• Link: https://www.synack.com/red-team/
• Link: https://bugsbounty.io/
• Link: https://www.bugbountyzone.com/
• Ver completo en : https://github.com/gwen001/BB-datas

Recursos y links de utilidad

Social engineering

• https://www.spokeo.com
• https://namechk.com/

Google dorks

https://github.com/trustedsec/social-engineer-toolkit

Exploits:

• https://cxsecurity.com/exploit/
• https://0day.today
• https://vuldb.com/es/
• https://sploitus.com
• https://www.exploit-db.com

Hacking Tools

Este articulo ya era demasiado largo así que hice uno a parte para las herramientas:

hacking Tools

Este artículo se estará actualizando regularmente.  Si crees que puede serle útil a alguien más compártelo. También puedes ver más entradas en mi blog: https://laprovittera.com/blog-laprovittera-carlos/ o seguirme en mis redes donde siempre estoy compartiendo recursos:

• https://t.me/recursoshacking
• https://www.linkedin.com/in/carlos-laprovittera/
• https://twitter.com/laprovittera

Saludos a todos y pueden dejar en los comentarios o en mis redes que se podría agregar a esta entrada.

EY!!!! Me olvidaba en Argentina se celebra cada año la EKOPARTY Espero poder verlos a todos este año ahi =)

Citando a Juan Ma Perals diré:

Comparto estos recursos para ayudar a la comunidad de ciberseguridad.

COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación.