NUEVO OSCP, UN PENTESTER BOLIVIANO

Miguel Ángel Rosales Marcó es un joven profesional boliviano, que a sus 22 años de edad acaba de obtener la certificación internacional en Seguridad Ofensiva – OSCP (Offensive Security Certified Professional), siendo su tercera certificación internacional relacionada a Ethical Hacking (luego de obtener las certificaciones CEH y KLCP) en lo que va de su carrera. Desempeñándose como Pentester Sénior en COSIM TI S.R.L., Miguel Rosales en entrevista exclusiva con Kelly Baldivieso para soyforense.com, nos comenta un poco sobre su experiencia en la planificación y preparación para obtener la certificación OSCP, así como los beneficios de contar con la misma. coque iphone 8 KB: Primero felicitarte Miguel, sabemos que una certificación internacional de este tipo, altamente técnica, requiere un esfuerzo extra a la actividad laboral y mucho tiempo dedicado, ¿cómo te sientes ahora? MR: Gracias estimada Kelly, ahora me siento menos estresado, era un reto que lo tenía fijado desde que certifiqué KLCP en septiembre del año pasado (2017), pero la pasé muy bien con el estudio, al menos, me entretuve bastante con los laboratorios, pude comprometer (“hackear”) alrededor de 30 equipos durante los 60 días que tuve acceso al laboratorio, sin duda aprendí varias cosas nuevas ahí. Aprobar el OSCP es una satisfacción personal gratificante y me motiva para seguir adelante en esta carrera de Ciberseguridad, es la tercera certificación internacional que obtengo luego del CEH y KLCP de la cual soy el primer boliviano en tenerla, no quise perder práctica y me animé inscribirme a Pentesting With Kali (OSCP). KB: ¿Cuánto tiempo aproximadamente tomó tu preparación para el examen OSCP? MR: Es difícil estimar una cantidad de horas, si bien me inscribí y empecé mi preparación OSCP en septiembre del 2017, tuve que sacar algo de tiempo por las noches y fines de semana, fuera de mi trabajo que es tiempo completo en COSIM (de 8am a 6pm), mis clases en la Universidad por las noches, y las novias [entre risas], hubieron meses como Octubre y Noviembre que por motivos de temporada alta en servicios de Ethical Hacking y múltiples viajes al interior del país, tuve que posponer el estudio temporalmente, sin ver OSCP durante un par de meses. Una ventaja que tengo es que entré a OSCP dominando Linux y herramientas de KALI. Lo que puedo afirmar es que ésta preparación es intensa, fácilmente puede tomar unos siete a doce meses a un profesional que organiza su horario, que debe trabajar en oficina a tiempo completo y que solo tiene espacio para estudiar OSCP durante las amanecidas y fines de semana. Quizá le tome menos tiempo a una persona que aún no trabaja y que de momento solo se ocupa de la Universidad. KB: ¿Qué tanto juega la experiencia profesional en este tipo de certificaciones? MR: Si, también hace mucho la experiencia, en mi caso llevo 4 años continuos participando en pruebas de intrusión para diferentes tipos de organizaciones: petroleras, financieras, de telecomunicaciones, seguros, etc. coque iphone en ligne Asimismo, me ayuda mucho ser parte del equipo de pentesting de COSIM, ya que realizamos entre 35 a 40 servicios de ethical hacking cada año. Somos un equipo donde constantemente aprendemos uno del otro y nos gusta dar un servicio de alta calidad a los clientes, en su mayoría entidades financieras y petroleras. KB: ¿Cuáles son los beneficios de ser un profesional certificado como OSCP?, Lo recomendarías a otros profesionales? MR: Varios, sobre todo para un profesional que trabaja en el área de pentesting, tener OSCP demuestra conocimientos prácticos sobre técnicas de intrusión y una comprensión profunda sobre la explotación de vulnerabilidades a nivel de sistemas operativos. coque iphone xs max Por otro lado, para una entidad que contrata servicios de ethical hacking, también es una garantía de que el profesional a cargo de las pruebas, cuenta con conocimientos sólidos y experiencia comprobada en hacking ético. Lo recomiendo mucho, ya que simula bastante bien lo que es una red empresarial, con equipos servidores, diferentes tipos de sistemas, aplicaciones web, servicios de red, usuarios, subnets, directorio activo, entre otros controles de seguridad. KB: ¿Cómo es el examen? ¿Dónde se lo rinde?, Cuánto cuesta en términos económicos? MR: Si bien no puedo dar detalles sobre cómo resolver el examen, ya que, en eso son estrictos los de Offensive Security, puedo comentar que se trata de un examen 100% práctico, es decir, te arman un laboratorio en una red virtual con cinco equipos, a los cuales debes “hackear” en un tiempo máximo de 24 horas, y según el nivel de dificultad, cada equipo objetivo tiene un valor entre 10 a 25 puntos, la nota mínima de aprobación es 70/100 puntos. El examen se lo realiza a través de Internet, mediante una conexión segura VPN (Red privada virtual), por lo que puedes darlo desde tu casa o desde tu trabajo (si te dejan quedarte ahí toda la noche). El precio está alrededor de los 1mil dólares, lo cual te habilita 60 días de laboratorio para prácticas, material de estudio oficial y el derecho a dar el examen. Una vez aprobado, te llega un corro como este: KB: ¿Qué fue lo más difícil de asimilar durante tu preparación? MR: Un poco la parte de hacking web, ya que, a diferencia de mis hermanos mayores, yo no soy de informática o sistemas, sino de ingeniería electrónica. Me llevo mejor con los circuitos eléctricos, microprocesadores, microcontroladores, lenguajes de bajo nivel (assembler), automatización y con el manejo de memoria. Lo demás no fue tan difícil de aprender, leyendo, practicando y sobre todo utilizando el sentido común para combinar estas técnicas. KB: Hace apenas unos días certificaste OSCP ¿Cuál es tu próximo reto en lo profesional? MR: En este momento ya me encuentro estudiando OSCE (Offensive Security Certified Expert), que es el siguiente nivel superior a OSCP. Tengo que aprovechar que me encuentro altamente motivado y con todas las energías puestas. KB: ¿Qué recomendarías a otras personas que también buscan obtener esta certificación OSCP? MR: “Try Harder” [entre risas], que no se desanimen, que persistan, hay personas que se esfuerzan demasiado y cuando no les va bien en el examen se desmoralizan, les recomendaría que lo tomen con calma, no sean duros consigo mismos, es un examen que tiene su grado de dificultad, no por nada te dan 24 horas para resolverlo, pero si continúan practicando lo van a lograr. coque iphone x KB: Gracias Miguel por la entrevista y que sigas celebrando muchos más éxitos. MR: Gracias a ti Kelly, aprovecho para invitar a la gente a que venga a COSIM a tomar los cursos de Ciberseguridad que brindamos, Ethical Hacking intermedio – avanzado, Pentesting con Kali, entrenamiento oficial CISSP, desarrollo de software seguro, entre otros, saludos !!!. Miguel Angel Rosales Marcó OSCP, CEH, KLCP, OSI PenTester TriLabs at COSIM Especialista en Seguridad Ofensiva, participando en más de 50 servicios de Ethical Hacking en todo el país para diferentes empresas, tanto a Cooperativas de A&C, Agencias de Bolsa, SAFIs, Bancos, Seguros, Gubernamentales, Telefónicas y Petroleras. coque iphone pas cher Más de 4 años como miembro del equipo elite de pentesting de Cosim TI – TriLabs S.R.L. Conocimientos profundos en elevación de privilegios, programación en Python y desarrollo de exploits, tanto para plataformas Windows como Linux. Facilitador de módulos técnicos en programas de capacitación profesional, como ser: OSI, CSSH, Ethical Hacking, Pentesting con Kali, etc.