8 certificaciones de pentesting valoradas por los empleadores

[27/12/2021] Las pruebas de penetración, a veces denominadas hacking ético o hacking de equipo rojo, son una carrera apasionante en la que se simulan ciberataques en sistemas objetivo para probar (y, en última instancia, mejorar) su seguridad. Es un trabajo que a mucha gente que trabaja en infoseguridad le gustaría tener, y que puede ser difícil de conseguir, ya que la competencia es cada vez mayor.

"Antes, la mejor manera de desarrollar una carrera en el ámbito de los ataques y la penetración era a través de la experiencia práctica", afirma Matthew Eidelberg, director técnico de gestión de amenazas de Optiv. "Cada vez es más difícil introducirse en el pen testing como principiante, porque estas funciones ya no se consideran un nicho. Tienen una gran demanda. Como resultado, se ha dedicado un gran esfuerzo a las certificaciones basadas en la formación y las simulaciones de laboratorio en el mundo real, tanto para estudiantes como para profesionales".

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

De hecho, en la actualidad hay una serie de certificaciones de pruebas de penetración de varias empresas y organizaciones del sector, y la obtención de estas certificaciones puede impulsar sus perspectivas de carrera, comenta Ron Delfine, director de servicios de carrera en el Heinz College de la Universidad Carnegie Mellon. "Dependiendo de las habilidades que busque una organización", señala, "los titulares de la certificación pueden tener una ventaja competitiva relacionada con el avance de la carrera, ya que han pasado por un proceso probado que les exige mostrar evidencia de fuertes habilidades de pruebas de penetración a través del proceso de certificación y recertificación".

Las mejores certificaciones de pruebas de penetración

¿Cómo puede elegir la mejor certificación de pruebas de penetración para usted? Hablamos con varios profesionales dedicados al pen testing para ver cómo las diferentes certificaciones han ayudado a sus carreras, o les han ayudado a encontrar buenos candidatos cuando estaban contratando. En general, la mayoría de las personas con las que hablamos agruparon las certificaciones ofrecidas por las mismas organizaciones, así que también las trataremos aquí.

Offensive Security

Las certificaciones de Offensive Security recibieron un elogio casi universal por parte de los expertos con los que hablamos, que destacaron su carácter riguroso y práctico. El certificado más conocido de la empresa es el Offensive Security Certified Professional (OSCP), que es "el certificado más destacado en esta área ahora mismo", señala Aaron Rosenmund, director de investigación y planes de estudios de seguridad en Pluralsight. Pero la empresa también ofrece la certificación Offensive Security Experienced Penetration Tester (OSEP), más avanzada, así como la Offensive Security Wireless Professional (OSWP), que, como su nombre indica, se centra en las redes inalámbricas.

"La gente valora mucho el OSCP", anota Connor McGarr, consultor del equipo rojo de CrowdStrike, que atribuye a la certificación el haberle ayudado a entrar en el campo del pen testing a pesar de su falta de experiencia. "Las cosas están puestas de tal manera que le obligan a pensar fuera de la caja. Esa creatividad -'esto no está funcionando, ahora cuál es mi plan de juego'- es la mentalidad que es tan valiosa".

"Estas certificaciones destacan en el lugar de trabajo", sostiene Eidelberg de Optiv. "Los profesionales -es decir, los directores de prácticas y los directores de contratación- saben que están respaldados por entornos de laboratorio prácticos y exámenes en vivo, en lugar de pruebas de opción múltiple". Esos exámenes tienen fama de ser difíciles, pero como dice Chris Elgee, probador de penetración senior de Counter Hack Challenges, "la tenacidad necesaria para aprobar demuestra una pasión por el campo. Los profesionales con un OSCP han demostrado la aptitud y las agallas necesarias para superar compromisos ofensivos difíciles".

Offensive Security Certified Professional (OSCP):

• Requisitos previos: Los candidatos deben venir con una sólida comprensión de las redes TCP/IP, la experiencia de administración de Windows y Linux, y bash básica y / o secuencias de comandos de Python. Para obtener la certificación, debe realizar el curso PEN-200 de Offensive Security, Penetration Testing With Kali Linux, y luego aprobar su examen.
• Formato del examen: Un curso de laboratorio práctico en línea que se realiza durante 24 horas.
• Costo: 999 dólares por el curso, el examen, y 30 días de acceso al laboratorio. Más tiempo de laboratorio, contenido de estudio adicional, y repeticiones adicionales del examen están disponibles por una tarifa más alta.

Offensive Security Wireless Professional (OSWP):

• Requisitos previos: Los candidatos deben tener un conocimiento sólido de TCP/IP y del modelo OSI, así como familiaridad con Linux, y necesitarán una computadora que pueda arrancar y ejecutar Kali Linux, junto con otro hardware específico. Para obtener la certificación, se debe realizar el curso PEN-210 de Offensive Security, Ataques inalámbricos, y luego aprobar su examen.
• Formato del examen: Un curso de laboratorio práctico en línea de cuatro horas de duración en el que se entra en una red inalámbrica simulada.
• Costo: 1.999 dólares, que incluye el curso, un año de acceso al laboratorio y dos intentos de examen; hay otros paquetes más amplios por un precio superior.

Offensive Security Experienced Penetration Tester (OSEP):

• Requisitos previos: Los candidatos deben tener una sólida capacidad de enumerar objetivos para identificar vulnerabilidades; ser capaces de identificar y explotar vulnerabilidades como la inyección SQL, la inclusión de archivos y la escalada de privilegios local; y tener una comprensión de Active Directory y conocimiento de los ataques básicos de AD. Para obtener la certificación, debe realizar el curso PEN-300 de Offensive Security, Técnicas de evasión y vulneración de defensas, y luego aprobar su examen.
• Formato del examen: Un curso de laboratorio práctico en línea que se realiza durante 48 horas.
• Costo: 1.299 dólares por el curso, el examen y 60 días de acceso al laboratorio. Se puede obtener más tiempo de laboratorio, contenido de estudio adicional y repeticiones adicionales del examen por una tarifa más alta.

GIAC

GIAC (Global Information Assurance Certification) es una organización creada por el SANS Institute específicamente para administrar las certificaciones vinculadas a los cursos de SANS, aunque se pueden realizar los exámenes para obtener las certificaciones sin necesidad de realizar una formación de SANS. GIAC ofrece dos certificaciones de pen testing: GIAC Penetration Tester (GPEN) y la más avanzada GIAC Exploit Researcher and Advanced Penetration Tester (GXPN). Estas certificaciones también recibieron grandes elogios de los profesionales con los que hablamos, tanto desde el punto de vista de la búsqueda de empleo como de la contratación.

"He descubierto que mis certificaciones GIAC ayudan a abrir la puerta para conseguir la entrevista y superar a los guardianes de los recursos humanos", comenta Xena Olsen, una cazadora de amenazas cibernéticas de alto nivel en una empresa de Fortune 500. Aunque trabaja en el lado de la caza de amenazas del "equipo azul", dice que "la GXPN fue una experiencia de crecimiento increíble, y me ayuda a destacar entre los otros solicitantes azules".

Jason Nickola, director de operaciones y consultor de seguridad senior de Pulsar Security, elogia la amplia gama de conocimientos que se incluyen en la certificación GPEN: "Como director de contratación, GPEN significa contribuir a los compromisos de pen test desde el primer día". Llama a la GXPN "una verdadera bestia de certificación. Todo aquí es avanzado y muestra que los titulares de la certificación tienen mucho más que las habilidades básicas para ser un probador de penetración, sino que son capaces de ir más allá con explotaciones personalizadas y a medida de su propio diseño".

Aunque Quentin Rhoads-Herrera, director de servicios profesionales de Critical Start, alabó el material de formación que respalda las certificaciones GIAC, señala que "SANS sigue dependiendo en gran medida de los exámenes de opción múltiple a libro abierto", lo que en su opinión es un punto en contra. "Dado que nuestro trabajo es muy creativo y práctico", señala, "es imperativo que un examen de certificación demuestre que el estudiante puede aprovechar la mentalidad del hacker para trabajar en problemas complejos".

GIAC Penetration Tester (GPEN)

• Requisitos previos: Los candidatos deben tener un firme conocimiento de los sistemas operativos Windows y Linux y de las herramientas de línea de comandos, de las redes informáticas y de los protocolos TCP/IP, así como una comprensión básica de la criptografía.
• Formato de la prueba: Examen de tres horas basado en la web con 82 preguntas; debe responder correctamente el 75% para aprobar.
• Costo: Puede "desafiar" el examen GPEN, es decir, hacer el examen sin ninguna formación de pago, por 2.499 dólares. Los cursos de formación GPEN, como el del SANS Institute, suelen incluir un bono para realizar el examen y pueden costar siete mil dólares o más.

GIAC Exploit Researcher y Advanced Penetration Tester (GXPN):

• Requisitos previos: Los candidatos deben estar ya familiarizados con los fundamentos de la experiencia en pen testing, la programación (preferiblemente en Python y C/C++) y la creación de redes, antes incluso de empezar a preparar esta certificación.
• Formato de la prueba: Examen proctored de tres horas de duración con 60 preguntas; se debe responder correctamente el 67% para aprobar. El examen "CyberLive" tiene lugar en un entorno de laboratorio en el que los examinados demuestran sus habilidades utilizando código en vivo en máquinas virtuales.
• Costo: Se puede "desafiar" el examen GXPN, es decir, hacer la prueba sin ninguna formación de pago, por 2.499 dólares. Los cursos de formación de XPN, como el del SANS Institute, suelen incluir un bono para realizar el examen y pueden costar siete mil dólares o más.

EC-Council

El EC-Council es una organización sin ánimo de lucro dedicada a la educación y la formación en ciberseguridad que se fundó a raíz de los atentados del 11-S, y el Certificate Ethical Hacker (CEH) es quizás su certificación más conocida; de hecho, es una de las certificaciones más conocidas en este campo. El EC-Council ha lanzado recientemente un par de certificaciones gemelas, Certified Penetration Testing Professional (CPENT) y Licensed Penetration Tester (LPT Master), que se basan en el mismo material de formación y en el mismo examen, y el LPT Master se otorga a los que obtienen la mejor puntuación en la prueba.

El CEH es relativamente conocido, y los profesionales de la seguridad con los que hablamos señalan que tiene su lugar en el campo, pero se mostraron menos entusiastas con él, que con las certificaciones de GIAC u Offensive Security. "Yo diría que el CEH es una certificación que sirve para hacer prácticas de pen testing o como preparación para estudios adicionales", señala Melissa Miller, consultora de seguridad de NetSPI. Rhoads-Herrera, de Critical Start, la califica de "valiosa como una buena forma de pasar los controles de recursos humanos", pero añade que "el trabajo del curso no está a la altura de otras certificaciones".

"CEH lo califica para una serie de contratos en virtud de ser uno de los más antiguos en el juego", anota Rosenmund de Pluralsight, "pero no necesariamente asegura desde la perspectiva del empleador que estás listo para hacer el trabajo".

Certificate Ethical Hacker (CEH):

• Requisitos previos: Debe realizar un curso de formación CEH aprobado por el EC-Council o demostrar que tiene al menos dos años de experiencia profesional en infoseguridad antes de poder realizar el examen.
• Formato del examen: Cuatro horas, 125 preguntas de opción múltiple. Si aprueba este examen, también puede realizar el examen práctico de Certified Ethical Hacker -seis horas, 20 retos prácticos- para obtener la certificación CEH Master.
• Costo: El examen cuesta 1.199 dólares más 100 dólares por la supervisión a distancia; hay una tasa de solicitud no reembolsable de 100 dólares, y los cursos de formación oficiales pueden costar entre 850 y 2.999 dólares.

Certified Penetration Testing Professional (CPENT) y Licensed Penetration Tester (LPT Master):

• Requisitos previos: Los candidatos deben haber recibido las certificaciones CEH y Certified Security Analyst del EC-Council, y presentar una solicitud que incluya una comprobación de antecedentes penales. El examen está pensado para seguir el curso de formación CPENT del EC-Council, aunque los pen testers experimentados pueden solicitar "desafiar" el examen basándose en sus habilidades existentes.
• Formato del examen: Un examen práctico en línea de 24 horas en el que se despliegan técnicas avanzadas de pen testing. Con una puntuación del 90% o superior se obtiene la certificación LPT, mientras que con un 70-90% se obtiene el CPENT.
• Costo: El curso CPENT cuesta 2.199 dólares, lo que incluye el examen y el acceso al campo de prácticas de EC-Council y otros contenidos. También hay una tasa de solicitud de 500 dólares (que cubre la comprobación de antecedentes).

CompTIA

La última organización de certificación de la que hablaremos es CompTIA, una organización sin ánimo de lucro más conocida por su serie "plus" de certificaciones, en su mayor parte de carácter inicial. CompTIA lanzó una certificación de pruebas de penetración, PenTest+, en el 2018, y los expertos con los que hablamos fueron generalmente positivos al respecto. Ben Sadeghipour, hacker y gerente de Educación Hacker en HackerOne, llama a PenTest+ una de las certificaciones "más útiles" en el campo. "Esta certificación le enseña sobre la legalidad y el aspecto del cumplimiento de una prueba de penetración, cómo planificar y alcanzar las pruebas de penetración, cómo realizar el escaneo y las pruebas de vulnerabilidad, y cómo escribir y comunicar sus hallazgos con el equipo de gestión del cliente", señala.

"CompTIA revisó recientemente su examen de certificación CompTIA PenTest+ para tener en cuenta la rápida aparición de nuevos servicios y aplicaciones conectados a la nube que introducen constantemente nuevos vectores de amenaza", añade Cynthia Overby, cofundadora y presidenta de Key Resources Inc. "El cumplimiento y las pruebas escritas son cada vez más desafiantes en este entorno conectado a la nube, por lo que la actualización de CompTIA es importante".

PenTest+

• Requisitos previos: No hay prerrequisitos específicos, pero los candidatos deben tener un mínimo de 3-4 años de experiencia en infoseguridad. Está pensado como continuación del certificado Security+ de CompTIA.
• Formato de la prueba: Dos horas y 45 minutos, un máximo de 85 preguntas de opción múltiple y basadas en el rendimiento
• Costo: 370 dólares

Las certificaciones son solo el principio

Aunque todas las personas con las que hemos hablado consideran que las certificaciones tienen al menos cierto valor, varias de ellas subrayan que no son lo único que tienen en cuenta los responsables de la contratación a la hora de estudiar a un candidato, y a menudo no son lo más importante.

"El ritmo de cambio en este espacio es rápido: lo que era útil ayer cambia constantemente", señala Rosenmund, de Pluralsight. "Muchas de estas certificaciones comparten una base informativa y repiten mucha de la misma información que no es necesariamente lo que es 'fresco y caliente'. Las certificaciones en seguridad son buenas como prueba de conocimiento en la comprensión de conceptos, pero no le mantendrán fresco para su trabajo".

Moshe Levi, jefe del equipo de hacking de Cyberint, considera que las certificaciones son importantes para quienes acaban de entrar en este campo. "Casi no se puede entrar en una empresa sin experiencia, lo que parece ridículo, porque ¿cómo se puede adquirir experiencia sin un trabajo real? Por eso un certificado puede desempeñar un papel importante en una entrevista de trabajo cuando el candidato no tiene experiencia en la vida real". Sin embargo, añade que "después de ese avance en el campo, las certificaciones importan cada vez menos, y la experiencia toma el relevo. Si estoy contratando a alguien para mi equipo, la experiencia siempre gana a las certificaciones, pero estas últimas pueden hacer que entren por la puerta y, dependiendo del grupo de empleados potenciales, también pueden conseguir un trabajo".

E incluso si se carece de experiencia convencional en el trabajo, una certificación no es la única forma de demostrar lo que se tiene. "La gente que está considerando usar certificaciones en su currículum debe recordar definitivamente incluir su propia investigación no guiada también", comenta Casey Ellis, fundador y CTO en Bugcrowd. "Una página de GitHub bien surtida que muestra las contribuciones a las herramientas y proyectos de seguridad, un blog que hable a través de la investigación de seguridad, sus listados del Salón de la Fama de la recompensa de bugs o la divulgación de vulnerabilidades: todas estas son formas prácticas de demostrar y comunicar la habilidad del mundo real a un gerente de contratación rápidamente”.

Basado en el artículo de Josh Fruhlinger (CSO) y editado por CIO Perú

Puede ver también:

• ¿Qué es el hacking ético? Conceptos básicos y requisitos
• 5 consejos para un programa exitoso de pentesting
• 11 herramientas de pentesting utilizadas por profesionales
• Por qué necesita un código de ética: Y cómo construir uno que funcione
• ¿Qué es un análisis PEST? Preparando su empresa para los impactos externos
• 5 formas de ocultar el rastro de los hackers
• 7 nuevas tácticas de ingeniería social que los actores de amenazas están utilizando
• El hacking ético en el desarrollo del software
• 10 habilidades y rasgos esenciales de los hackers éticos
• Recompensas por errores: 5 preguntas para responder antes de subirse al carro
• 4 formas en que los atacantes explotan los servicios alojados
• Lista de verificación para minimizar el daño de una filtración de datos
• 4 herramientas de engaño y cómo atrapar a los atacantes
• Las 21 mejores herramientas gratuitas de seguridad