16 de Mayo del 2017
En esta primera entrada quiero compartir un poco de la visión general y personal de la certificación, los tópicos que se tratan y dar mi apreciación como estudiante y candidato a certificarse.
La eLearnSecurity Certified Professional Penetration Tester es una certificación orientada a evaluar tus competencias como ethical hacker, poniéndote a prueba en un entorno empresarial especialmente preparado sobre el cual debes hacer un pentest profesional considerando que lo que se evaluará finalmente serán las evidencias que obtengas de las vulnerabilidades explotadas, las cuales deberán quedar plasmadas en un reporte que debes presentar como entregable de tu evaluación.
Esta certificación viene asociada con un curso de formación llamado Penetration Testing Professional que ya está en su versión 4 (PTP v4) donde se abordan los aspectos teórico-prácticos que te dejarán preparado para realizar el examen de certificación.
Si bien como mencioné anteriormente lo importante es el resultado final en forma de reporte, las habilidades que se espera que demuestres (a grandes rasgos) son las siguientes:
Estos puntos se abordan en profundidad en el PTP v4 y sobre eso hablaré un poco a continuación.
Se divide en 6 grandes tópicos que son los siguientes, ordenados del más al menos importante en relación con la certificación:
Buscando dentro del amplio espectro de certificaciones que se encuentran en el mercado, me encontré con 2 que cumplían lo que yo quería: Ser reconocidas dentro de la industria y tener una orientación práctica que validara los conocimientos adquiridos. Las dos candidatas fueron la eCPPT y la OSCP de Offensive Security (los creadores de Kali Linux). Si bien esta era la más tentadora por ser altamente reconocida, también según mis investigaciones está orientada más a un público de ethical hackers o sysadmins que quieren demostrar sus conocimientos más que aprender los fundamentos del pentesting. Leí bastante las experiencias de aquellos que se decidieron a tomar la OSCP, que incluso llegaron a fallar 3 hasta 4 veces antes de aprobar y que mirando en retrospectiva entendían que muchas de las cosas se daban por sabidas en el curso complementario y que había que investigar mucho por cuenta propia. Esto último funciona muy bien cuando tienes las bases para poder realizarlo y en mi caso, entendí que tenía que ir un paso más atrás. Teniendo claro que la OSCP no era opción por el momento y revisando la excelente crítica que tenía el PTP v4, la decisión ya estaba tomada.
Una de las cosas que más me gustó del curso es el nivel de detalle con el que se tratan los temas, explicando (tal como esperaba) los fundamentos detrás de las tecnologías, protocolos y herramientas, no enfocándose en simplemente lanzar comandos y programas sin saber su real objetivo.
El curso viene con varios laboratorios (27 en total) y en el plan que tomé, 120 horas para poder conectarme, cosa que creo que será suficiente. En estos entornos de prueba se tratan todos los temas de la certificación y según veo tienen unos muy buenos manuales que sirven de guía para poder primero resolver los problemas de manera ordenada y metódica para después ajustar a nuestra propia estructura de trabajo. Además viene con las soluciones para que no te quedes pegado sin saber cómo resolver un tema en particular.
Existe un foro para los miembros que si bien tiene bastante movimiento, no lo he utilizado mucho y creo que a medida que vaya avanzando iré consultando o buscando información en él.
Si bien la certificación + curso la compré hace algún tiempo, por diversas razones (emprendimiento, cambio de ciudad y trabajo, familia, etc.) no le había podido dedicar el tiempo que quisiera. Ahora ya más ordenado y con el blog funcionando, iré plasmando los resultados de mis estudios para que sirva de guía a otros que quieran tomar la certificación o incluso simplemente aprender lo que en ella se enseña.
