Hoy, me complace profundizar en «¿Cómo preparar la certificación eCPPTv2 (Certified Professional Penetration Tester)?», una credencial que he obtenido recientemente y que ha marcado un punto de inflexión significativo en mi carrera en seguridad informática. Esta certificación no solo ha ampliado mi conocimiento técnico sino que también ha reforzado mi credibilidad en la comunidad de ciberseguridad.
¿Qué es la Certificación eCPPTv2?
La certificación eCPPTv2 es una acreditación profesional ofrecida por INE Security, anteriormente conocida como eLearnSecurity, una organización con una sólida reputación en la industria de la seguridad cibernética. Este certificado demuestra una comprensión profunda y habilidades prácticas en el campo del pentesting. Desde el análisis de vulnerabilidades hasta la ejecución de ataques controlados, la certificación cubre un amplio espectro que valida la competencia en situaciones de seguridad ofensiva.
Según INE, tras ralizar y conseguir la certificación, tendremos conocimientos en los siguientes puntos:
- Penetration testing processes and methodologies, against Windows and Linux targets
- Vulnerability Assessment of Networks
- Vulnerability Assessment of Web Applications
- Advanced Exploitation with Metasploit
- Performing Attacks in Pivoting
- Web application Manual exploitation
- Information Gathering and Reconnaissance
- Scanning and Profiling the target
- Privilege escalation and Persistence
- Exploit Development
- Advanced Reporting skills and Remediation
Requisitos para la Certificación eCPPTv2
No existen prerrequisitos formales, pero se recomienda una base sólida en redes y sistemas operativos, así como una comprensión de los fundamentos de la seguridad informática. Experiencia previa en pentesting puede ser beneficiosa, aunque no es estrictamente necesaria debido a la naturaleza educativa del programa de certificación, pero, yo considero que esta certificación no es la adecuada para una persona que no tiene bases en seguridad ofensiva, para eso existen otro tipo de certificaciones de iniciación.
Desde mi punto de vista, necesitamos una bases solidas previas en enumeración, explotación de vulnerabilidades web, explotación de vulnerabilidades en Windows, explotación de vulnerabilidades en Linux, habilidades para realizar escalada de privilegios en Windows y Linux, finalmente, la habilidad de explotación de vulnerabilidades Buffer Overflow.
Proceso de Estudio y Preparación
INE Security proporciona materiales de estudio exhaustivos que incluyen vídeos, lecturas y laboratorios para eCPPTv2. Además, hay cursos disponibles en línea, tanto gratuitos como pagos, que pueden complementar tu preparación. Un plan de estudio efectivo puede incluir horas dedicadas a la teoría, seguidas de prácticas intensivas en entornos de laboratorio, pero, en mi caso no utilice la formación de INE debido a que considero que contiene demasiadas horas de vídeo.
Para esas personas que quieran comenzar a mejorar sus habilidades pero que no tengas experiencia previa, considero que es una buena manera de prepararse la certificación, pero en caso contrario, si eres una persona que tiene experiencia, ya sea profesional o con CTFs, considero que una mejor vía para preparar esta certificación sería utilizar tu propio «path» y ser autodidacta.
Finalmente, da igual el camino que elijas para prepararte esta certificación, la única manera de poder aprender y recolectar todo el conocimiento necesario es con rutina y constancia. Dicho esto, os dejo un «path» de preparación de la certificación el cual podéis utilizar:
1. Enumeración:
En esta sección, os recomiendo realizar las siguientes «room» de Try Hack Me debido a que obtendréis una vision general de como se realiza una enumeración. Algo que recomiendo, es que a lo largo del proceso de aprendizaje, os hagáis vuestros propios cheatshet, esto os ayudará a la hora del examén. Por otro lado, no recomiendo que uséis o copiés los cheatshet de otros, es mejor que hagáis los vuestros basados en otros, pero siempre los vuestros, ya que sabréis que hace cada comando, por que y lo más imporante, sabréis lo que queréis obtener con ese comando:
2. Hacking web:
Para mejorar tu conocimiento de hacking web y explotación de las vulnerabiidades web, os voy a recomendar la plataforma de aprendizaje de Burp Suite – PortSwigger. Dentro de esta plataforma veréis desde vulnerabilidades básicas y como explotarlas, hasta vulnerabilidades más avanzas y como explotarlas. Creo que es una de las mejores plataformas para aprender sobre Hacking Web. Para la preparación de la certificación, os recomiendo los siguientes Topics:
- XSS
- SQL Injection
- Injections in general.
3. Try Hack Me rooms:
Para comenzar, elegiría el path de Offensive Pentesting. Dónde tendrás que realizar los siguientes módulos:
- Getting Started
- Advanced Exploitation
- Buffer Overflow Exploitation: Es importante que hagas todos los laboratorios de Buffer Overflow para automatizar la explotación de esta vulnerabilidad.
Privilege Escalation
4. Comprueba lo aprendido con Hack The Box:
Las siguientes máquinas, han sido seleccionadas y clasificadas por que se explota una vulnerabilidad parecida a la del examen, os recomiendo realizarlas todas para estar familiarizados con cada tipo de vulnerabilidad. Si es necesario, realizar las máquinas junto a write up para poder enteder el por que de cada vulnerabilidad y así aprender a reconocer el escenario cuando lo tengáis enfrente:
SQL Injection:
- Validate
- Toolbox
Cross Site Scripting:
- Schooled
- RedCross
Buffer Overflow
- Buff
- October
Privilege Escalation
- Resolute
Pivoting
5. Simulación de examen:
Importante realizar una simulación de examen, para poder sentar las bases y estar familiarizado con la estructura del mismo. Recomiendo realizar previamente la simulación que ha preparado «Julian David Delgado Piraquive». Esta simulación del examen es lo más parecida al examen final, donde podrás encontrar vulnerabilidad similares y una estructura similar. Os recomiendo que os toméis el tiempo necesario para poder realizarlo y una vez os sintáis cómodos, con vuestras cheatshet preparadas, entonces ir a por el exámen.
El laboratorio ha sido montado con máquinas de vulnhub, esto quiere decir, que siempre que queráis podéis montar vuestro propio laboratorio para aprender. Aquí podréis encontrar el enlace a la descarga del laboratorio con el Write UP del mismo:
Laboratorio de la simulación de examen:
Precio
En mi caso solo me costo 200$, ya que compré el «Voucher» rebajado en Black Friday. Os recomiendo hacer lo mismo, si no, algunas ocasiones hacen algunas promociones donde puedes comprar la formación y a la vez el voucher por 500$.
El Examen eCPPTv2
El examen consta de 14 días, donde tendrás que pasar a través de ciertos equipos explotando vulnerabilidades hasta llegar a tener privilegios de sistema, mi recomendación, es que documentes cada paso para una vez hayas conseguido rootear todas las máquinas puedas recrear cada una de las vulnerabilidades en el informe final. Si has preparado correctamente el examen y tienes los conocimientos necesarios, probablemente la parte técnica te resultará muy sencilla y en más o menos un día, tendrás todo el laboratorio hecho. Lo más pesado, o al menos desde mi punto de vista, ha sido realizar el reporte.
Respecto a como es el laboratorio o las vulnerabilidades, os dejaré comprobarlo a vosotros, pero os puedo confirmar que es parecido a la simulación del examen. Por otro lado, para la hora de realizar el informe, seleccione varios informes de resultados de pentests. Os dejo este reporsitorio que es el que utilice:
Después del Examen
Los resultados se emiten generalmente dentro de una semana después de la presentación del informe del examen. Si no pasas, INE Security proporciona retroalimentación útil para mejorar.
Beneficios de la Certificación
La certificación eCPPTv2 puede ser un diferenciador clave en el mercado laboral, aumentando las oportunidades de empleo y el potencial de ingresos. Los testimonios de profesionales certificados a menudo destacan el impacto positivo en sus carreras.
Consejos Finales y Recursos Adicionales
Realmente, no tengo muchos consejos que dar, pero si eres constante y profundizas un poco en cada parte del camino de aprendizaje que os he propuesto, creo que serás completamente capaz de realizar el examen. Pero, si no te sientes cómod todavía después de realizar todo el path, te recomiendo que apliques lo aprendido en Hack The Box.
Conclusión y vídeo:
Espero que este post haya esclarecido las principales dudas sobre la certificación eCPPTv2 y te sientas inspirado para avanzar en tu carrera de ciberseguridad. Si te ha resultado de utilidad esta información y quieres compartir como ha sido tu experiencia o simplemente algo más que añadir al post, no dudes en dejarlo en los comentarios.
🔒 Hardsoft Security offers cybersecurity consulting services, ensuring that your business is always protected against the latest threats. And if you’re looking for hosting that puts security first, Secure Hosting is your ideal solution. We help keep your website safe with the best cybersecurity practices through our specialized cybersecurity advice.
Don’t wait to be the next target. Secure your online presence with the best solutions and services on the market. Contact Hardsoft Security and Secure Hosting today!
(Cybersecurity is not a luxury, but a necessity. Protect your investment and your online reputation.)
Finalmente, me gustaría resaltar que el éxito en la certificación eCPPTv2 no depende solo del conocimiento técnico sino también de la práctica y la dedicación. Con una buena preparación y esfuerzo, estoy seguro de que también podrás obtener esta credencial y mejorar tu carrera en el mundo de la seguridad informática. ¡Te deseo mucho éxito en tu camino hacia la certificación eCPPTv2!