Conseguir la certificación OSCP es el objetivo al que todo pentester aspira, y no es de extrañar. Las certificaciones de OffSec son de las más valoradas y reconocidas en el sector de la ciberseguridad, y es por un simple motivo.
No es por la dificultad.
Tampoco por el coste de la certificación.
Si quieres conocer qué diferencia a la OSCP del resto de certificaciones, quédate en el vídeo porque voy a contarte cuál será mi preparación para la certificación y cómo voy a conseguir prepararme en tan solo 3 meses.
El OSCP (OffSec Certified Professional) es una certificación de hacking ético ofrecida por Offensive Security (OffSec). Está pensada para que los profesionales de ciberseguridad validen sus habilidades prácticas en hacking ético y pentesting. Tiene un coste, en el momento de hacer este vídeo, de $1749.
Las personas que superan el examen demuestran competencia REAL (esto es muy importante) en la identificación de vulnerabilidades, explotación de sistemas, escalada de privilegios y documentación en un entorno real. Prácticamente en todas las fases del pentesting.
Esta certificación es el estándar cuando quieres trabajar como pentester.
En absoluto. Todo depende de tu estrategia y tu perfil profesional.
En líneas generales, la OSCP es la certificación que SIEMPRE vas a ver en ofertas de trabajo. Sin embargo, eso no significa que sea 100% necesaria.
Por ejemplo, en mi caso, aún no tengo la OSCP y ya estoy trabajando como pentester. ¿El motivo principal? La estrategia que he utilizado.
Se trata de un…
Certificaciones como eWPTx, CPTS y otras, ya ofrecen un examen 100% práctico, la realización de un informe y están basadas en metodologías reales.
La diferencia principal y el motivo por el que es tan valorada es porque te vigilan.
Sí. Vigilan cada movimiento que haces. No puedes pedir ayuda a nadie, no puedes usar ChatGPT y estás limitado en el uso de ciertas herramientas.
Esto se conoce como proctoring. El término proctoring proviene del inglés y hace referencia a la supervisión remota de exámenes online a través de un software especializado. Este sistema permite vigilar el comportamiento de los alumnos para prevenir intentos de trampa, como el plagio o la suplantación de identidad.
En las certificaciones mencionadas anteriormente, podrías «hacer trampa».
Lo cierto que ninguno, supongo que quien haga esas trampas creerá que por tener esa certificación va a conseguir trabajo.
Pero sinceramente, esto solo devalúa la certificación y retrasaría tu aprendizaje real.
Obtendrías una entrevista, sí. Pero no te van a contratar porque no tienes los conocimientos técnicos. Simplemente pagaste a alguien que sí tenía esos conocimientos para que hiciera el examen por ti.
Podemos debatir si tiene sentido que OffSec te restrinja el uso de algunas herramientas, ya que en un trabajo real no te van a decir:
«Esta herramienta no la puedes utilizar».
En términos generales, desde el punto de vista de una empresa, es más seguro contratar a alguien sin experiencia que tiene la OSCP, que a alguien que tiene otra certificación igual o mejor, de otra certificadora.
Es más seguro, que no mejor.
Este es el principal motivo de por qué la OSCP sigue siendo el estándar cuando trabajas en pentesting.
El tema de las certificaciones es complejo.
Quiero que tengas algo presente: Tener más certificaciones no te hace mejor que nadie. Tener una certificación solo significa que tienes una certificación que valida tus conocimientos.
Aquí es donde entra en juego el síndrome de la superioridad ilusoria. Muchos, después de sacarse una certificación, se creen mejores que otros solo por tenerla.
Pero la realidad es otra: una certificación no equivale a experiencia real. Lo que realmente marca la diferencia es cómo aplicas ese conocimiento, cómo resuelves problemas en situaciones reales y lo que continúas aprendiendo más allá del examen.
Al final, el título no te hace mejor, lo que haces con él, sí.
Bien, ahora que sabes por qué la OSCP es una de las certificaciones más valoradas en ciberseguridad, voy a contarte por qué voy a presentarme a esta certificación y qué conocimientos tengo actualmente.
El principal motivo para hacerlo es por coherencia, por mejorar como profesional, para crecer como mentor y para poder hablar desde la experiencia.
Como mentor en ciberseguridad, siempre he creído que la mejor forma de enseñar es predicar con el ejemplo. Para poder guiar a mis estudiantes de manera efectiva, es esencial compartir mis propias experiencias y así diseñar una mejor estrategia hacia sus objetivos.
No se trata solo de hablar sobre teoría o repetir lo que «se dice en el sector». Sino de vivir el proceso, enfrentarse a desafíos reales y compartir lo aprendido. Eso es lo que me motiva: mostrar que soy un profesional que no solo enseña, sino que también trabaja en el sector y sigue evolucionando.
En cuanto a mi conocimiento actual, he trabajado durante varios años en el campo de la ciberseguridad como analista de ciberseguridad y tengo las certificaciones eJPTv2, eCPPTv2, eWPTXv2 y Security+. Además, he reportado dos vulnerabilidades aceptadas en la NASA y AIRBUS.
Ahora bien, que yo decida ir a por el OSCP no significa que tú necesites tener las mismas certificaciones o nivel que yo. Esta es la estrategia que he elegido para mis próximos objetivos, pero cada persona debe trazar su propia ruta.
Un cambio reciente que OffSec ha implementado en la OSCP es la incorporación de la OSCP+
¿Qué significa esto?
La principal diferencia entre la OSCP y la OSCP+ radica en la validez temporal de la certificación. La OSCP es lifetime: una vez obtenida, no caduca. Esto significa que la certificación OSCP sigue siendo válida indefinidamente sin necesidad de actualización alguna. Esto es un punto a favor para los profesionales que buscan una credencial que no requiera mantenimiento constante. Como ocurre con la Security+ o algunas actualizaciones de las certificaciones de INE.
Por otro lado, la OSCP+ tiene un periodo de expiración de tres años desde su emisión. A pesar de ser inicialmente similar a la OSCP, este «plus» agrega un componente de educación continua, lo que implica que tendremos que mantener nuestros conocimientos actualizados para conservar el estatus de OSCP+.
Es decir, al aprobar el examen, obtendré dos certificaciones: OSCP y OSCP+.
Para mantener la OSCP+, puedo:
Si cumplo con alguno de estos requisitos, seguiré manteniendo la OSCP+, lo que indica que, como profesional, me estoy actualizando.
Desde mi punto de vista, si trabajas en ciberseguridad, no es necesario recertificarte porque se entiende que has seguido evolucionando como profesional.
El examen tiene una duración de 23 horas y 45 minutos, seguido de un periodo adicional de 24 horas para subir la documentación final. Es necesario completar todas las tareas durante el tiempo limitado y presentar un informe detallado sobre los objetivos alcanzados y cómo se consiguieron.
El proctoring solo ocurre en las primeras 24 horas, durante la parte técnica del examen.
El examen consta de varias máquinas que debes comprometer para obtener puntos. La estructura incluye:
Máquinas Independientes:
Se presentan tres máquinas independientes que otorgan un total de 60 puntos. Cada máquina se evalúa en función del acceso inicial (10 puntos) y la escalada de privilegios (10 puntos), lo que significa que debes obtener el control total de cada máquina para obtener los puntos completos.
Conjunto de Active Directory (AD):
El conjunto Active Directory consta de tres máquinas donde lo único que tienes es un usuario y contraseña para atacar el entorno de Active Directory.
Necesitas un mínimo de 70 puntos para aprobar el examen.
Eso significa que puedes aprobar siguiendo alguno de estos posibles escenarios:
Vamos ahora con las restricciones del examen.
Durante el examen, no se permite el uso de las siguientes herramientas y servicios:
Comento esto porque es tu responsabilidad conocer las características y utilidades externas de las herramientas que elijas utilizar. El vigilante no te va a decir: “Crack, cómo utilices metasploit te suspendo”
Aunque hay muchas herramientas que no puedes usar, hay algunas que sí están permitidas. Entre ellas se incluyen:
Estas herramientas pueden ser utilizadas para realizar exploraciones de red, identificar vulnerabilidades y realizar otras tareas esenciales dentro de los límites establecidos del examen.
Abajo en la descripción tienes el enlace a la página oficial de Offsec donde tienes toda la información al detalle y actualizada.
Voy a presentarte el plan de 12 semanas que voy a utilizar para prepararme al examen.
Este plan es el propuesto por Offsec y quiero centrarme concretamente en este plan porque he leído en muchos foros que la formación de Offsec NO es suficiente para presentarte al examen.
Así que quiero comprobarlo por mí mismo.
Únete a CiberInsider y prepárate para dar el primer paso a conseguir tu empleo en ciberseguridad
Al suscribirte, aceptas la política de privacidad de rinku.tech y recibir noticias, contenidos, comunicaciones relacionados con la web, gratuitos y premium.
