Comunidad The Hacker Way – Home Foros Temas generales Foro Libre Lo barato sale caro. Y lo gratis, también

  • Este debate tiene 2 respuestas, 2 mensajes y ha sido actualizado por última vez el hace 2 años por thehacke.
Viendo 3 entradas - de la 1 a la 3 (de un total de 3)
  • Autor
    Entradas
  • 10/10/2023 a las 9:36 AM #5835
    thehacke
    Superadministrador
    hackeritos: 112
    Rank: Investigador

    No son pocas las veces que elegimos productos o servicios basándonos solo en su precio.

    Esto puede estar bien para ciertas cosas, pero no en el ámbito profesional.

    Te voy a contar una experiencia reciente que refleja a la perfección este hecho.

    La actividad más importante que realiza THW es la ejecución de auditorías de seguridad, tanto en aplicaciones web como en infraestructuras de red. Por supuesto, también impartimos formaciones a empresas.

    Bien. Hace algunos meses nos llegó un cliente que solicitaba un pentest sobre una aplicación web.

    Firmamos un NDA, nos pasaron un usuario de pruebas para acceder y valoramos lo que había que hacer.
    El sistema era un ERP enorme, aquello tenía más botones que la cabina de un avión.

    Esto para un pentester es bueno, porque hay más puntos potenciales de inyección, pero también significa que hay que dedicar más tiempo en hacer pruebas.

    Y claro, el precio aumenta.

    Estimamos ejecutar la auditoría en 2 meses, detallando todo lo que se haría y lo que le entregaríamos al terminar el trabajo.

    Pues bien, recibe el presupuesto y pasada una semana contesta diciendo que ha elegido a otro proveedor.

    Todo ok, estamos en un mercado libre.

    No obstante, comenta que aunque nuestra propuesta era la mejor, también era la más cara, decía que casi el doble comparado con la que habían elegido y que el precio era determinante para ellos.

    No íbamos a hacer descuentos por dos motivos:

    1️⃣ La estimación económica era justa.

    2️⃣ Si eres un buen profesional, no devalúas tu trabajo. No te hace falta. Ofrecer descuentos en este tipo de proyectos a un cliente que no conoces de nada, lanza un mensaje muy negativo:

    Le dices que estás dispuesto a aceptar lo que sea con tal de trabajar con ellos, y puede ser o bien porque no eres buen profesional, no tienes proyectos o te falta experiencia.

    En cualquier caso, no es favorable para tu negocio.

    La relación fue cordial, como con todos nuestros clientes: máximo respeto, escucha activa y empatía.

    La cosa se quedó ahí, tú eliges otro proveedor, nosotros aceptamos otros proyectos.

    Todo en orden.

    Tres meses después vuelve a contactar pidiendo lo mismo, pero ahora con una restricción: Nada de herramientas automáticas, querían que todo fuese manual.

    ¿Por qué?

    Pues resulta que la empresa que eligieron para este proyecto se limitó a lanzar ataques con el escáner de Burp Suite Pro y Acunetix.

    ¿Y qué pasó?

    Pues que hicieron un destrozo considerable en la aplicación y por si fuese poco, no encontraron ninguna vulnerabilidad.

    Lo más «grave» que incluyeron en el informe fue que la cookie de sesión no tenía la flag secure, que algunas librerías javascript necesitaban una actualización y poco más.

    Vaya…

    No encontrar nada se puede perdonar si la aplicación está bien montada, que por cierto este no era el caso, pero lanzar herramientas de botón gordo sobre un entorno productivo y destrozar la base de datos del cliente es, como poco, lamentable.

    En otras palabras: Lo barato les salió caro.

    Menos mal que tenían backups, porque además, el cliente no quería hacer el pentest en un entorno de pruebas.

    En fin. Acordamos unas fechas y empezamos 4 meses después, teníamos la agenda a tope.

    No fue nada fácil, necesitamos dedicar muchas horas dos personas en sacar el tema adelante, pero al final encontramos varios problemas graves:

    🐞 Un XSS almacenado
    🐞 Una vulnerabilidad de deserialización insegura
    🐞 Un problema de elevación de privilegios debido a un BAC (Broken Access Control).
    🐞 Una subida de ficheros insegura que nos permitió entrar en el servidor web y enumerar su infraestructura interna. A partir de ahí, pudimos comprometer algunas estaciones de trabajo y controladores que tenían en su Directorio Activo.

    El cliente quedó satisfecho con el informe y lo que hicimos, pero tuvo que pagar dos veces y esperar casi un año desde el contacto inicial.

    Moraleja: Para casi todo en la vida, el precio es solo un factor más a tener en cuenta; sin embargo, no puede ser determinante.

    Lo barato sale caro, pero las cosas gratuitas en ocasiones también.
    Por ejemplo, si hablamos de formaciones, mucha gente cuando escucha la palabra «gratis» se apunta a lo que sea.

    Verás, es posible que algunas sean buenas, no digo que no, pero suelen ser la excepción, no la regla.

    Cuando veas un curso gratuito, de lo que sea, deberías pensar en dos cosas:

    1️⃣ Pregúntate quién es la persona que lo imparte y sus motivaciones. ¿Por qué es gratis?, ¿Sabe de lo que habla?, ¿trabaja en el sector, se ha tenido que pegar con proyectos reales y cuenta con experiencia?, ¿de verdad voy a aprender algo con esa persona?, ¿Qué referencias aporta?

    Y sobre todo: ¿Lo que me va a enseñar tiene calidad y rigor técnico? Porque si te va a transmitir conceptos equivocados o sus lagunas y desconocimiento, apaga y vámonos.

    2️⃣ ¿Merece la pena invertir las horas que dura esa formación?
    El tiempo es lo más valioso que tienes, solo por eso, cualquier actividad que hagas ya tiene un precio para ti, nada es gratis.

    Son muchos los alumnos que me han dicho que se han apuntado a cursos o webinars gratuitos y luego, cuando han tenido formaciones conmigo, que son 100% prácticas y pagando, han descubierto que algunas cosas que han aprendido viendo a ciertos Youtubers o en «cursos gratuitos» estaban mal.

    ¿Y cómo se han dado cuenta?

    Porque las cosas se demuestran.

    Hablar es inútil si no viene acompañado con demostraciones.

    De nada sirve que te expliquen, por ejemplo, el OWASP Top 10 si no te enseñan con prácticas, cada defecto de la guía.

    «Oye, ¿y qué pasa si hay un WAF, cómo se explotan?»

    Pues primero se explica y después y se demuestra. En ese orden. Con una terminal, las herramientas que sean necesarias y el WAF activo.

    Es solo un ejemplo, pero creo que se entiende la idea.

    Si un formador nunca ha trabajado en ciberseguridad o lo ha hecho durante poco tiempo, es posible que carezca de los conocimientos que solo se obtienen con años de experiencia.

    Y no, hacer muchos CTF o máquinas en HTB no significa que sea un experto.

    Tampoco se demuestra maestría el soltar sandeces en redes sociales, eso solo pone en manifiesto una profunda inmadurez.

    Preparar bien unos contenidos y no quedarse en la superficie requiere un esfuerzo considerable por parte del formador. Lo más cómodo, y es lo que hacen muchos, consiste en crear contenidos mediocres, copiar los mismos errores de otros, que también publican cursos gratuitos, sin molestarse en probar bien las cosas.

    Pregúntate, ¿dedicarías cientos de horas, y no exagero, en la preparación de un curso a cambio de nada?

    Supongo que la respuesta es no.

    Gratis no, buscarás algún tipo de recompensa y, ojo, no tiene por qué ser económica en todos los casos.

    Así que, la próxima vez que te veas en la situación de elegir un producto o servicio, asegúrate de contratar a un profesional y entiende que, las cosas buenas no suelen ser baratas y mucho menos gratuitas. Y repito, no me refiero solo al valor económico, hay más variables a tener en cuenta.

    10/10/2023 a las 11:44 AM #5840
    Goro_Nyudo
    Participante
    hackeritos: 20
    Rank: Aprendiz

    Estimados Adastra y amigos,

    Este es el tipo de lección que se aplica a casi todo en la vida. Ya sea comprar un electrodoméstico barato para cortar la comida, reparar el coche o estudiar un máster.

    Siempre digo a mi familia esa frase que resuena: “¡Lo barato sale caro!”.

    Y no voy a negar que he caído en esta falacia cuando se trata de cursos de formación. Hoy, por ejemplo, estoy luchando por decidirme por un buen máster en ciberseguridad. Quería estudiar la parte ofensiva y, claro, el dinero cuenta.

    Hay másteres dirigidos por empresas y universidades, y la verdad es que no lo entiendo. En mi ignorancia, una empresa privada que no es una institución docente reconocida oficialmente no podría ofrecer un curso y anunciarlo como máster, por muy extenso y valioso que sea. Creo que los cursos de formación y los cursos regulares son cosas diferentes y deberían tener nombres y orígenes diferentes en organizaciones diferentes.
    Por ejemplo, una empresa de ingeniería puede ofrecer cursos, pero no creo que pueda ofrecer un programa de licenciatura en ingeniería.
    Una universidad puede ofrecer cursos de una gran variedad de materias, incluidos cursos técnicos y de formación, pero también titulaciones de ingeniería, máster y doctorado.

    Con la ciberseguridad parece ser diferente. Y como ya he dicho, ¡el dinero cuenta! He visto cursos con el título de máster en ciberseguridad o máster en seguridad ofensiva con precios que oscilan entre los 1.000,00 y los 8.950,00 euros.

    Volviendo a la categoría de los cursos, sé que puede ser difícil estudiar un buen máster. Así que busco información y aprendizaje para tener un poco más de conocimiento y no sufrir tanto como un completo principiante que ha decidido cambiar de carrera y se lleva una paliza todos los días de clase.

    Ya he hecho tres cursos en la plataforma THW y me han gustado mucho. Sólo puedo elogiarlos, aunque sean cursos de fundamentos.

    Pasando al otro foco…
    También puedo imaginar un posible entrenador en cuestión.

    El que me imagino hizo un comentario el otro día, diciendo que hace muchas burlas y bromas en cierta red social, diciendo algo en el sentido de que algunas personas allí se lo merecen.

    Lo peor es que contribuye a empeorar el servicio o mal servicio de esa plataforma, genera ruido e incertidumbre y, por otro lado, tiene un curso con muchos alumnos y ya tiene cierta fama en la “comunidad hacker”.
    Tampoco puedo decir el grado de conocimiento que tiene. Sé que afirma haber trabajado para algunas empresas como pentester antes de dedicarse exclusivamente al streaming y a su curso. También tiene muchas, muchas horas de vídeos resolviendo retos.

    Yo no niego que ya he intentado averiguar algo más sobre él viendo sus vídeos e intentando aprender algo sobre las plataformas TryHackMe o HackTheBox que, aunque no son un entorno real, sirven para aprender y algunas empresas incluso te piden que envíes tu perfil en ellas como referencia de tu experiencia.

    Un cordial saludo.

    11/10/2023 a las 8:39 PM #5863
    thehacke
    Superadministrador
    hackeritos: 112
    Rank: Investigador

    Creo que lo mejor que puedes hacer es elegir una formación en la que hayan buenos formadores. Los cursos de máster que indicas, tanto en empresas como en universidades, son caros por la duración y por la titulación que te ofrecen, algo que en realidad no tiene nada que ver con la calidad de lo que vas a aprender.

    En mi opinión, pueden ser interesantes para incluirlos en tu CV, algunas empresas los tienen en cuenta, pero si vas a dejarte miles de euros en una formación de ese tipo, mejor elegir uno que sea oficial e impartido por una universidad. Por ejemplo, el master de la UCLM o el de la UNIR están bien y, por cierto, colaboro como docente en ambos.

    ¡Un saludo!

  • Autor
    Entradas
Viendo 3 entradas - de la 1 a la 3 (de un total de 3)
  • Debes estar registrado para responder a este debate.