Esta entrada ha sido elaborada con la inestimable (y necesaria) ayuda de Maite Moreno (@mmorenog) y el equipo de ciberseguridad de S2 Grupo.
Una de las buenas cosas que la Seguridad de la Información comparte con otras disciplinas de la informática es la gran variedad de recursos formativos disponibles, tanto gratis como para presupuestos ajustados.
Sin una gran inversión económica, cualquier persona con tiempo y ganas (y un mínimo conocimiento de informática, para lo que existe a su vez otro gran número de recursos que no vamos a cubrir aquí) puede formarse prácticamente desde cero hasta niveles expertos en prácticamente cualquier ámbito de la ciberseguridad.
A continuación recogemos algunos de los recursos disponibles en Internet ya sean gratis o por un coste reducido, teniendo en cuenta que:
- Este listado no pretende ser exhaustivo. Siéntete libre de comentar aquel contenido que creas que falte y lo añadiremos en cuanto podamos.
- Algunas plataformas tienen un enfoque freemium, combinando contenidos y funcionalidades gratis con otras de pago.
- Aunque los ámbitos menos técnicos de la Seguridad de la Información como GRC están menos (muy poco) representados en el listado, las páginas de formación más generalistas incluyen cursos sobre protección de datos, marcos de control, gestión de riesgos, etc.
- La mayor parte de los cursos están en inglés, por lo que es necesario un mínimo nivel para entender instrucciones y textos. Nivel que por otro lado es imprescindible hoy en día en el ámbito de las tecnologías de la información.
- Se dejado fuera blogs, vblogs y podcasts sobre Seguridad de la Información, pero existen infinidad de recursos extremadamente útiles. Esto incluye los miles de webinars sobre cualquier temática imaginable.
- Tampoco se han incluido plataformas más generales como edX o Coursera, que contienen no obstante muchos cursos de universidades y entidades prestigiosas.
- Por último, tampoco hemos recogido los cursos de los propios fabricantes de dispositivos, software o proveedores de cloud, que en algunos casos son gratuitos, y que en ocasiones proporcionan también versiones libres (con limitaciones) de sus productos. Me vienen a la cabeza AWS, Tenable o Splunk, pero hay muchos otros.
Dicho eso, vamos allá:
- Try Hack Me es actualmente, junto con HTB (debajo) una de las principales plataformas utilizadas para formarse en ciberseguridad, debido a que tiene un enfoque muy gamificado y gradual, lo que la hace perfecta para principiantes. Por propia experiencia, aunque el enfoque gamificado hace el progreso más interesante, es importante no obsesionarse con la puntuación y el rating, y centrarse en el aprendizaje.
- Hack The Box es otra plataforma con un enfoque similar al de THM (arriba), aunque requiere más conocimientos que la anterior y quizá su utilización por personas sin conocimientos o experiencia sea más compleja. En este caso, donde se comparten máquinas con otros usuarios, muchos usuarios recomiendan pagar una suscripción para reducir las interrupciones durante los ejercicios.
- TCM Security Academy es la sección de cursos de TCM, una compañía de ciberseguridad que en tiempos recientes se está haciendo conocida por tener varias certificaciones de pentesting (mucho) más asequibles que las habituales en el mercado de Offensive Security o EC-Council, sin que ello repercuta en su calidad. En este caso, no hay una amplísima variedad de cursos, pero los que hay son muy completos. Para aquellos interesados, algunas partes de los cursos han sido liberadas en el canal YouTube de la empresa.
- AttackIQ Academy corresponde a la sección de cursos de AttackIQ, y como tal está muy enfocada en threat hunting y purple teaming, con una cobertura específica en las herramientas de MITRE. Aunque algunas personas pueden encontrar el contenido algo básico, es una buena introducción a muchos temas, y a la utilización de herramientas como Attack Navigator.
- La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) estadounidense proporciona a través de su portal de formación virtual en el que recoge múltiples cursos online gratuitos que permiten obtener un conocimiento básico de la ciberseguridad en el ámbito de las infraestructuras.
- Cybrary.it es un proveedor de formación técnica online, tanto de webinars como de talleres prácticos, que recoge un amplio número de cursos de informática y ciberseguridad, incluyendo entre ellos cursos del ámbito de GRC, otros específicos de formación para certificaciones reconocidas como CISSP, así como servicios de tutoría (mentoring).
- Las plataformas Atenea y Ángeles, gestionadas y proporcionadas por el CCN-CERT español, son dos importantes recursos en castellano, donde podemos encontrar tanto desafíos de seguridad, en el caso de Atenea, como cursos de formación básica y avanzada, en el caso de Ángeles. Cabe destacar que contienen cursos específicos de formación relacionados con el Esquema Nacional de Seguridad, lo que es muy útil para aquellas personas que necesiten implementar o evaluar uno de estos sistemas.
- Cyber Defenders es una plataforma orientada principalmente a BlueTeam que recoge múltiples retos que van desde análisis de logs, forense de distintos artefactos o análisis de memoria. Además incorpora WriteUp para que el usuario pueda ir aprendiendo mientras realiza los ejercicios.
- DFIR DIVA es un agregador y buscador de cursos y formación enfocado principalmente a DFIR/BlueTeam, que permite realizar búsquedas por diferentes tecnologías y entornos, así como por coste de la formación.
- Hack Tricks es una página creada y mantenida por Carlos Polop (@carlospolopm), y contiene una recopilación de técnicas, trucos y cualquier otro aspecto interesante que el autor ha encontrado en la realización de CTFs, así como en investigaciones y formaciones propias. Es un marcador casi obligatorio y un buen repositorio para aprender metodologías y técnicas de hacking.
- Antonio Sanz (@antoniosanzcalc), con una amplia experiencia en gestión de incidentes y threat hunting (entre muchas otras cosas) recoge en esta página de la Universidad de Zaragoza diferentes retos que él mismo ha desarrollado a lo largo de su carrera, algunos de los cuales se pueden encontrar en este blog. Aunque requiere cierto nivel técnico, su complejidad y diseño simulando escenarios reales los hacen especialmente interesantes.
- Root Me es una página de aprendizaje de ciberseguridad (no a la piratería, como dice la traducción al castellano) y la Seguridad de la Información. En esta es posible encontrar gran cantidad de retos y entornos virtuales para trabajar las capacidades de hacking y ciberseguridad.
- C1b3rwall Academy es otro de los recursos formativos en ciberseguridad referentes en español, gestionado y proporcionado por la Policía Nacional española, y enmarcado dentro del proyecto C1b3rwall. Como novedad, la última edición contiene tanto módulos técnicos como otros divulgativos (concienciación y securización, por ejemplo) diseñados para aquellos que no tengan conocimiento de ciberseguridad pero quieran proteger a sus familias o sus negocios.
- Por último, Portswigger Web Security Academy es un centro de formación online gratuito para la seguridad de las aplicaciones web proporcionado por el fabricante Portswigger. A partir de contenido del equipo de investigación interno de PortSwigger, académicos experimentados y el fundador de la compañía, autor de The Web Application Hacker’s Handbook, la academia contiene contenidos tanto con un enfoque más “estático” como laboratorios interactivos.
Es probable que al llegar aquí, estés pensando por qué no se ha incluido X o Y en ese listado, y que para ti es un enlace de referencia. En tal caso, déjalo en los comentarios (preferiblemente con una breve descripción) y tras validarlo lo añadiremos al listado.