web analytics

RTCP: Certificación en Hacking Ético

A principios de 2018, en Securízame estrenamos IRCP, la primera certificación privada 100% práctica de DFIR y Análisis Forense en España. No podemos estar más contentos de la trayectoria que ha seguido IRCP, no solo por la confianza que han depositado en nosotros antiguos alumnos y profesionales, sino también otras empresas del sector que han incluido nuestros cursos y entrenamientos de respuesta ante incidentes dentro del plan de formación de sus equipos humanos. Para nosotros, los logros de nuestros alumnos, son nuestro orgullo.

Y tras el gran éxito de nuestras primeras convocatorias con el IRCP, muchos de vosotros nos habéis preguntado si estábamos pensando en sacar alguna certificación igualmente práctica, pero enfocada al Red Team, es decir, en identificación y explotación de vulnerabilidades de sistemas informáticos. Después de meses de planificación ¡Por fin ha llegado la certificación RTCP! por sus siglas en inglés, Red Team Certified Professional.

 

Problemática de las Certificaciones Actuales

La Propuesta de Securízame

¿En qué consiste?

¿Qué se espera como entregable?

¿Cuál es la metodología de evaluación?

¿Dónde se lleva a cabo el examen de certificación?

La problemática de las certificaciones actuales

La titulitis

En base a las experiencias vividas anteriormente, y al estado actual de la ciberseguridad, vivimos en un mundo en el que lo que se valora en un profesional, son las certificaciones y la posesión de títulos.

Los procedimientos de evaluación de conocimientos para cualquier certificación actual, consisten en que el candidato resuelva un test de varias preguntas, para los que lo correcto en el proceso de preparación es el estudio y asimilación de kilos y kilos de extensa y detallada documentación.

El día del examen, el alumno espera que las preguntas que se le hagan tengan relación con “lo estudiado” y que, dentro de las diferentes respuestas, éstas no sean muy confusas como para poder discriminar cuál es la buena entre las tres o cuatro opciones que, a simple vista pueden parecen iguales, pero difieren en un par de palabras o términos.

Esto siempre y cuando la forma de preparar el examen no haya consistido en descargar de diferentes repositorios, gratuitos o de pago, packs de preguntas y respuestas de ediciones anteriores, en los que con suerte se repetirán unas cuantas y esto, unido a lo que uno ha podido preparar, sirvan para lograr el anhelado aprobado materializado en un papel que anexar al CV o escanear subido a Linkedin.

Así se han aprobado muchas certificaciones y asignaturas universitarias, pero… y tras el día del examen ¿qué sucede? A las semanas de haber aprobado la materia en cuestión, si no se practica con asiduidad todo lo aprendido, inevitablemente ésta se olvida.

¿Me ayudas a obtener la certificación X?

Es cierto que en esta rama de la ciberseguridad hay certificaciones que sí se desarrollan de forma 100% prácticas, sin embargo, en este tipo de certificaciones, que suelen ser bastante duras para los candidatos, el procedimiento implica encerrarse un fin de semana y comprometer sistemas de una misma red con diferente nivel de dificultad, de manera que se logre ejecutar código como root o administrador en ellos. Esta sin duda es una excelente metodología que demuestra a quien quiera comprobarlo que quien presenta un certificado como poseedor de una de estas certificaciones, efectivamente ha sido capaz de aplicar conocimientos teóricos en un entorno 100% práctico.

Sin embargo, muchas de estas certificaciones pueden realizarse de manera online y sin vigilancia, por lo que el certificador no puede validar que efectivamente quien dice que ha comprometido los sistemas, sea realmente el poseedor del título. ¿Qué le impide a un individuo pagar o pedir ayuda a otra persona que sea “un crack del tema” para que se pegue el fin de semana en casa del primero ayudándole o directamente haciéndole el examen? Hay incluso referencias documentadas de ofertas de servicios profesionales para llevar a cabo exámenes de certificación online desde diferentes países.

Obviamente en el momento de demostrar la valía, tarde o temprano se destapará el fraude, pero para el filtro inicial y sobre todo el postureo con los colegas, el problema está solucionado.

Ojo, que no entienda el lector que en todos los casos que exponemos ha habido fraude, sino que únicamente queremos resaltar la viabilidad de que esto suceda. Por supuesto que hay profesionales que tanto para las certificaciones de un tipo como las del otro, se han dejado las pestañas estudiando o practicando para obtener su título de forma honrada. Sin embargo, las otras posibilidades, son igualmente viables.

Además, algunas certificaciones de hacking actuales suelen desarrollarse en entornos poco realistas para los candidatos que las presentan; es decir, parten de entornos que un profesional del Red Team no se encontrará con tanta frecuencia en la vida real. Sí, dichos entornos también exigen al candidato tener los conocimientos, pero de nada le sirve si después no podrá poner en práctica lo aprendido en su vida laboral.

La propuesta de Securízame

Desde nuestra filosofía de querer hacer siempre actividades útiles para el alumno, y que éticamente sean lo más correctas posibles, proponemos una solución que una vez más, introduzca mejoras sobre las certificaciones actuales, siendo algo que creemos innovador, a la vez que un reto al candidato.

Y así nace nuestra segunda certificación 100% práctica, esta vez enfocada en hacking ético: «RTCP – Red Team Certified Professional«

¿En qué consiste?

Se trata de un ejercicio 100% práctico y presencial en el que el candidato se enfrenta a un entorno corporativo vivo y con topología real en el que podrá analizar y explotar vulnerabilidades en diferentes sistemas interconectados. El aspirante es un experto en Red Team que una empresa contrata para que busque y explote los agujeros de seguridad de un sistema para posteriormente poder aplicar las medidas necesarias para que no sea vulnerado por los atacantes.

¿Qué se espera como entregable?

El objetivo es hacer el ejercicio lo más realista posible. En un escenario real, un hacker ético tendría que llevar a cabo el compromiso del sistema, escalando privilegios posteriormente en él, partiendo desde el punto de entrada que se le presenta en el caso, e ir comprometiendo cuantos más sistemas diferentes pueda encontrar. Finalmente, y a instancias de la empresa que contrata a un hacker ético, habrá que generar un informe que cubra dos frentes muy diferenciados:

  • Por una parte, un descripción técnica de las vulnerabilidades existentes en los sistemas involucrados, así como una explicación de la metodología seguida para identificarlas y explotarlas, para dejar patente la relevancia de los hallazgos encontrados en la globalidad del caso analizado. Esto permitirá al evaluador conocer el proceso que ha seguido el candidato. Para ello se podrá acompañar de capturas de pantalla, comandos ejecutados, enlaces a exploits, o lo que se considere necesario para demostrar qué y cómo se ha hecho.
  • Por otra parte, un informe ejecutivo de una extensión máxima de una hoja aproximadamente, en la que se explique con un lenguaje menos técnico y con menos nivel de detalle qué ha sucedido. El objetivo es que esté orientado a la alta dirección de una organización que permita comprender qué ha permitido a un atacante remoto identificar y explotar las vulnerabilidades de los sistemas, de manera que se puedan aplicar posteriormente medidas correctivas.

¿Cuál es la metodología de evaluación?

El ejercicio completo será corregido de forma individual por tres integrantes del departamento técnico de Securízame, siguiendo una serie de criterios públicos y definidos.

Con fines de transparencia, el alumno enviará su documento final a una dirección de correo genérica de Securízame. Dicho correo será recibido por una persona de Securízame que no tendrá que evaluar al candidato. La labor de dicha persona será la de anonimizar la documentación del alumno, reenviándola a los tres integrantes del tribunal ya mencionado, de manera que los miembros del mismo no sepan de quién es el documento que tienen delante. Pero no sólo el documento entregable será lo que los evaluadores tendrán en cuenta, sino que también podrán conectarse a la plataforma dedicada al alumno, y comprobar el estado de la misma, verificando la actividad realizada.

¿Cómo se puntúa?

  • 20% Calidad del informe
  • 15% Extracción de Información Sensible
  • 65% Resolución del caso

¿Dónde se lleva a cabo el examen de certificación?

Debido a la necesidad de poder verificar que quien ha realizado el ejercicio es realmente el candidato matriculado, el examen se llevará a cabo de forma presencial, pudiendo ser en las dependencias de Securízame o remotamente donde se acuerde entre las partes (empresas, Colegios Profesionales de Ingenieros, Asociaciones, etc. que lo requieran, pueden escribirnos AQUÍ y con gusto atenderemos a vuestra solicitud). Sin embargo, y por motivos obvios, el examen se llevará a cabo siempre en presencia de personal de Securízame.

Esta primera edición de la RTCP, se llevará a cabo el 19 y 20 de Enero de 2019, donde ya tenemos varias plazas reservadas por varios de los  antiguos alumnos de los cursos y entrenamientos de Securízame, quienes se someterán a esta gran experiencia de la certificación RTCP. Si tienes interés en obtenerla, AQUÍ ponemos a vuestra disposición la lista de fechas y cursos que hemos considerado que te servirán de orientación para tener mayor posibilidad de aprobar. ¡Nos vemos el día del examen!

¿Estás interesado en obtener esta certificación? ¿Quieres prepararte para ello? Pues esta tarde publicaremos el plan de formación que te permitirá hacerlo… Te recomendamos estar atento a nuestras Redes Sociales donde te daremos más información para el segundo semestre