¿Cómo comienza un principiante a aprender ciberseguridad desde cero con poco conocimiento de programación?

Primero voy a contarte una anécdota para justificar mi inicio en ciberseguridad.
Yo comencé a aprender sobre ciberseguridad cuando monte un servidor de juegos mmorpg. Y tras numerosas cientos de horas de trabajo en colaboración con otras personas que ponían su mejor esfuerzo nos encontramos un día con que nuestro servidor fue hackeado por un grupo de hackers (Team). Por supuesto hackers sin ningún tipo de ética; por lo que pido perdón a los verdaderos hackers de nombrarlos a estos tipos como hackers. Más bien se trataba de un grupillo de lammer’s que subieron una Shell en PHP a través de el panel de control de administración de bases de datos PhpMyAdmin.
Mi servidor contaba con Windows 2003 y SQL server; todo con licencia como es debido. Pero cometimos un grave error al instalar XAMMP y no percatarnos en aquellos tiempos que contaba con numerosos bugs aún no resueltos y habíamos administrado mal nuestro servidor preocupándonos por mejorar la dinámica de juego; añadir funcionalidades y mejorar el diseño de nuestro sitio web. Dejando totalmente de lado la seguridad a nivel servidor.
Fue entonces que llegaba de mi trabajo dispuesto a entrar como administrador a mi servidor y saludar a mis mas de 400 usuarios en linea; con casi 20mil cuentas en la base de datos. Me encuentro al entrar al escritorio remoto que no había nada; ni siquiera existía ya la papelera de reciclaje. Te habrás de imaginar mi rostro; en el exacto momento en que tengo en el correo de contacto mas de 200 reclamos de los usuarios.
Entonces decidí ir a la pagina de mi servidor de juegos y me encuentro con un chat de esos antiguos Xats creo que se llamaban, incrustados en mi sitio web junto con un backdoor por el cual mi navegador alertaba de que te encontrabas frente a un sitio inseguro. Y allí estos pibes con Nick’s muy extraños se burlaban de mi cuando yo les pedía por favor restablecieran mi sitio. Me burlaron muy bien hasta que encontré en el nick de uno de ellos su sitio web; estos lammer’s tenían un sitio web montado en html sencillo con un Xat igual al que habían puesto en mi sitio web. Donde se encontraba el “Administrador de este grupete”. Trate de hacerlo reflexionar acerca de la ética; pero me burlo aún más.
Entonces fue que jure venganza. Se rieron y mucho..
Restablecí mi servidor en 2 meses y les devolví las cuentas a los usuarios. Y al cabo de un año me aparecí allí en su sitio nuevamente; con mucho más conocimiento. Y esta vez me tocaba a mi; comencé a investigarlos muy de cerca; ni siquiera se percataban quien era yo; fingí querer unirme al Team y conocí de hecho algunos de ellos a través de correos y mensajes. El requisito para entrar a su team era que hackeara algún sitio web y les enviara pruebas. ¿A qué no sabes que sitio fui a hackear?
Pues resulto que ellos hospedaban su sitio web en un Hosting de esos de mala muerte donde tenia numerosos agujeros de seguridad. Pero ninguno que me asegurara una victoria completa y extravagante más que algún XSS tonto. Así que cegado por la ira decidí ir a por todo el servicio de hosting. Comencé contratando allí un plan de esos básicos y pidiendo soporte por una tontería; allí me contacto un tal Gonxxxz que era del soporte técnico y establecimos contacto por teléfono y MSN (era la época furor) entonces mas allá de resolver mi problema decidí hacerme pasar por una chica y obtener aún más datos de su persona.
Más tarde obtuve acceso mediante un backdoor a su computador y voila!. Ahora yo era de soporte; una vez que tuve acceso al servidor decidí realizar un backup completo del dedicado donde se encontraba alojado el sitio web de estos compinches. Allí una vez teniendo asegurado un backup les avise que serian hackeados en su chat; y procedí a editar el index.html del sitio web.
Entonces no podían creer que un don nadie estaba diciéndoles que iba a hackearlos y el administrador estaba desesperado repitiendo ¿Cómo, cómo piensas hacer eso?. Vamos a ir contra ti!.
De hecho sabia que era verdad porque comencé a listar un montón de archivos que tenia alojado allí de los cuales algunos eran backdoors comprimidos con contraseña.
Fue entonces que di aviso al servicio de hosting de que no deberían alojar sitios webs de Hacking y menos Backdoor’s si no estaban preparados para enfrentarse a estos hechos. Pero no borre nada ni modifique ningún archivo de las cientos de paginas webs allí alojadas; solo fui a por quienes me debían algo (la ética) y entonces luego de hackearlos les envié los backups de su sitio al administrador del servicio de hosting y al administrador del grupo de hacking. Y le pedí que antes de hackear un sitio tengan la amabilidad de avisar o brindarle alguna oportunidad al administrador de reparar sus vulnerabilidades para no perder todo su trabajo.
Me amenazaron con la policía.. Pero lo bueno fue que yo mismo le pedí a todos cambiaran sus contraseñas y no deje ninguna puerta de acceso; para evitarme alguna tentación futura de acceder nuevamente. Simplemente quería demostrarle a estos tipos; que actuar de esa manera trae repercusiones.
Si se que soy un capullo pero ellos lo son más.
Y por supuesto estos quedaron más que tontos cuando incluso les di mi dominio del servidor de juegos y les ofrecí intentar una revancha. Cosa que nunca más volvieron ni a aparecer por allí (antes me había asegurado de dejarlo lo mas seguro posible. Pero igual menos mal no sucedió nada porque me puse todo en juego de nuevo).
Ellos solo restablecieron su sitio y ni siquiera dieron aviso al servicio de hosting. Pero ellos si decidieron no alojar más este Team.
Ahora voy a darte algunos consejos:
  1. Busca un foro o comunidad seria de hacking por ejemplo: Hacking y Seguridad Informática
  2. Prepárate para dedicar muchas horas y tener mucha curiosidad. APRENDE A SER ÉTICO O PREPÁRATE PARA LAS CONSECUENCIAS (Podrían ser años de cárcel).
  3. Comienza por aprender a usar Linux con maestría y leer libros de hacking. Si puedes a la vez aprender ingles; créeme que se te abrirán muchísimas puertas a información fresca.
  4. A medida que avances tendrás mucha curiosidad que deriva en ansiedad por respuestas fáciles y rápidas. Ten cuidado; el camino no esta marcado. No existe un indice de “empieza por aquí y termina por aquí”. Lo mejor es explotar esa curiosidad y solo irás recorriendo caminos. Quizás consiguiendo alguna especialización por ejemplo en Servidores; en vulnerabilidades webs; en malware; etc..
  5. Busca cursos gratuitos e intenta contactar con expertos en ciberseguridad. Por supuesto aquellos que quieran guiarte en el aprendizaje; no quienes quieran usarte o abusar de tu escaso conocimiento. Se conoce gente muy encantadora y extremadamente autodidacta.
  6. No hay mejor manera de aprender a reconocer vulnerabilidades que aprendiendo a programar!. Aprende a programar aunque no te guste o te parezca difícil. Empieza por scripting en Python; es sencillo y de gran alcance en cuanto a rápida automatización de procesos complejos y diseño de malware.
  7. Sabiendo programar desarrolla tus propias herramientas; backdoor’s; malware y toda cosa que se te ocurra programar.
  8. Google es tu amigo; dicen siempre. Pero has las búsquedas anónimas; aprende a navegar anónimo; cuando te adentras mucho te fías; y cuando te fías demasiado pones tu privacidad en riesgo.
  9. La deep web; sabiendo navegar con cuidado hay muchos papper’s que no encontraras en ningún lado. Pero te recomiendo que te sumerjas allí cuando ya hallas agotado todo saber que te provee la web tradicional. O al menos cuando sepas a que te puedes enfrentar allí dentro si no sabes navegar con cuidado y total privacidad tomando en cuenta todas las medidas cautelares.
  10. Finalmente aquí tienes un indice de contenidos

     a modo de guía para comenzar; pero como te dije deja que tu curiosidad te guíe hacia tus intereses y luego iras por las ramas automáticamente sin darte cuenta.

Nota: Me libro de toda responsabilidad respecto a lo que tu puedas hacer con dicha información y no soy ni me considero un hacker.
Respecto a la ética de mi anécdota tenía apenas 15–16 años. A juzgarme por la edad con la que cometí estos actos; que de todas maneras estuvieron mal. Y no vengáis a lloverme criticas; intento aportar.
Por ultimo; te deseo un feliz viaje y aprendizaje. Seguro te toparás con algún sitio mío. Un saludo

Deja un comentario