¿Cómo PREPARAR la certificación eCPPTV2?

Hoy, me complace profundizar en «¿Cómo preparar la certificación eCPPTv2 (Certified Professional Penetration Tester)?», una credencial que he obtenido recientemente y que ha marcado un punto de inflexión significativo en mi carrera en seguridad informática. Esta certificación no solo ha ampliado mi conocimiento técnico sino que también ha reforzado mi credibilidad en la comunidad de ciberseguridad.

eCPPTv2

¿Qué es la Certificación eCPPTv2?

La certificación eCPPTv2 es una acreditación profesional ofrecida por INE Security, anteriormente conocida como eLearnSecurity, una organización con una sólida reputación en la industria de la seguridad cibernética. Este certificado demuestra una comprensión profunda y habilidades prácticas en el campo del pentesting. Desde el análisis de vulnerabilidades hasta la ejecución de ataques controlados, la certificación cubre un amplio espectro que valida la competencia en situaciones de seguridad ofensiva.

Según INE, tras ralizar y conseguir la certificación, tendremos conocimientos en los siguientes puntos:

  • Penetration testing processes and methodologies, against Windows and Linux targets
  • Vulnerability Assessment of Networks
  • Vulnerability Assessment of Web Applications
  • Advanced Exploitation with Metasploit
  • Performing Attacks in Pivoting
  • Web application Manual exploitation
  • Information Gathering and Reconnaissance
  • Scanning and Profiling the target
  • Privilege escalation and Persistence
  • Exploit Development
  • Advanced Reporting skills and Remediation

Requisitos para la Certificación eCPPTv2

No existen prerrequisitos formales, pero se recomienda una base sólida en redes y sistemas operativos, así como una comprensión de los fundamentos de la seguridad informática. Experiencia previa en pentesting puede ser beneficiosa, aunque no es estrictamente necesaria debido a la naturaleza educativa del programa de certificación, pero, yo considero que esta certificación no es la adecuada para una persona que no tiene bases en seguridad ofensiva, para eso existen otro tipo de certificaciones de iniciación.

Desde mi punto de vista, necesitamos una bases solidas previas en enumeración, explotación de vulnerabilidades web, explotación de vulnerabilidades en Windows, explotación de vulnerabilidades en Linux, habilidades para realizar escalada de privilegios en Windows y Linux, finalmente, la habilidad de explotación de vulnerabilidades Buffer Overflow.

Proceso de Estudio y Preparación

INE Security proporciona materiales de estudio exhaustivos que incluyen vídeos, lecturas y laboratorios para eCPPTv2. Además, hay cursos disponibles en línea, tanto gratuitos como pagos, que pueden complementar tu preparación. Un plan de estudio efectivo puede incluir horas dedicadas a la teoría, seguidas de prácticas intensivas en entornos de laboratorio, pero, en mi caso no utilice la formación de INE debido a que considero que contiene demasiadas horas de vídeo.

Para esas personas que quieran comenzar a mejorar sus habilidades pero que no tengas experiencia previa, considero que es una buena manera de prepararse la certificación, pero en caso contrario, si eres una persona que tiene experiencia, ya sea profesional o con CTFs, considero que una mejor vía para preparar esta certificación sería utilizar tu propio «path» y ser autodidacta.

Finalmente, da igual el camino que elijas para prepararte esta certificación, la única manera de poder aprender y recolectar todo el conocimiento necesario es con rutina y constancia. Dicho esto, os dejo un «path» de preparación de la certificación el cual podéis utilizar:

1. Enumeración:

En esta sección, os recomiendo realizar las siguientes «room» de Try Hack Me debido a que obtendréis una vision general de como se realiza una enumeración. Algo que recomiendo, es que a lo largo del proceso de aprendizaje, os hagáis vuestros propios cheatshet, esto os ayudará a la hora del examén. Por otro lado, no recomiendo que uséis o copiés los cheatshet de otros, es mejor que hagáis los vuestros basados en otros, pero siempre los vuestros, ya que sabréis que hace cada comando, por que y lo más imporante, sabréis lo que queréis obtener con ese comando:

Enumeration: This room is an introduction to enumeration when approaching an unknown corporate environment.

Web enumeration: Learn the methology of enumerating websites by using tools such as Gobuster, Nikto and WPScan.

2. Hacking web:

Para mejorar tu conocimiento de hacking web y explotación de las vulnerabiidades web, os voy a recomendar la plataforma de aprendizaje de Burp Suite – PortSwigger. Dentro de esta plataforma veréis desde vulnerabilidades básicas y como explotarlas, hasta vulnerabilidades más avanzas y como explotarlas. Creo que es una de las mejores plataformas para aprender sobre Hacking Web. Para la preparación de la certificación, os recomiendo los siguientes Topics:

  • XSS
  • SQL Injection
  • Injections in general.

3. Try Hack Me rooms:

Para comenzar, elegiría el path de Offensive Pentesting. Dónde tendrás que realizar los siguientes módulos:

  • Getting Started
  • Advanced Exploitation
  • Buffer Overflow Exploitation: Es importante que hagas todos los laboratorios de Buffer Overflow para automatizar la explotación de esta vulnerabilidad.

Privilege Escalation

4. Comprueba lo aprendido con Hack The Box:

Las siguientes máquinas, han sido seleccionadas y clasificadas por que se explota una vulnerabilidad parecida a la del examen, os recomiendo realizarlas todas para estar familiarizados con cada tipo de vulnerabilidad. Si es necesario, realizar las máquinas junto a write up para poder enteder el por que de cada vulnerabilidad y así aprender a reconocer el escenario cuando lo tengáis enfrente:

SQL Injection:

  • Validate
  • Toolbox

Cross Site Scripting:

  • Schooled
  • RedCross

Buffer Overflow

  • Buff
  • October

Privilege Escalation

  • Resolute

Pivoting

5. Simulación de examen:

Importante realizar una simulación de examen, para poder sentar las bases y estar familiarizado con la estructura del mismo. Recomiendo realizar previamente la simulación que ha preparado «Julian David Delgado Piraquive». Esta simulación del examen es lo más parecida al examen final, donde podrás encontrar vulnerabilidad similares y una estructura similar. Os recomiendo que os toméis el tiempo necesario para poder realizarlo y una vez os sintáis cómodos, con vuestras cheatshet preparadas, entonces ir a por el exámen.

El laboratorio ha sido montado con máquinas de vulnhub, esto quiere decir, que siempre que queráis podéis montar vuestro propio laboratorio para aprender. Aquí podréis encontrar el enlace a la descarga del laboratorio con el Write UP del mismo:

Simulación de examen

Laboratorio de la simulación de examen:

Examen

Precio

En mi caso solo me costo 200$, ya que compré el «Voucher» rebajado en Black Friday. Os recomiendo hacer lo mismo, si no, algunas ocasiones hacen algunas promociones donde puedes comprar la formación y a la vez el voucher por 500$.

El Examen eCPPTv2

El examen consta de 14 días, donde tendrás que pasar a través de ciertos equipos explotando vulnerabilidades hasta llegar a tener privilegios de sistema, mi recomendación, es que documentes cada paso para una vez hayas conseguido rootear todas las máquinas puedas recrear cada una de las vulnerabilidades en el informe final. Si has preparado correctamente el examen y tienes los conocimientos necesarios, probablemente la parte técnica te resultará muy sencilla y en más o menos un día, tendrás todo el laboratorio hecho. Lo más pesado, o al menos desde mi punto de vista, ha sido realizar el reporte.

Respecto a como es el laboratorio o las vulnerabilidades, os dejaré comprobarlo a vosotros, pero os puedo confirmar que es parecido a la simulación del examen. Por otro lado, para la hora de realizar el informe, seleccione varios informes de resultados de pentests. Os dejo este reporsitorio que es el que utilice:

Public Pentesting Reports

Después del Examen

Los resultados se emiten generalmente dentro de una semana después de la presentación del informe del examen. Si no pasas, INE Security proporciona retroalimentación útil para mejorar.

Beneficios de la Certificación

La certificación eCPPTv2 puede ser un diferenciador clave en el mercado laboral, aumentando las oportunidades de empleo y el potencial de ingresos. Los testimonios de profesionales certificados a menudo destacan el impacto positivo en sus carreras.

Consejos Finales y Recursos Adicionales

Realmente, no tengo muchos consejos que dar, pero si eres constante y profundizas un poco en cada parte del camino de aprendizaje que os he propuesto, creo que serás completamente capaz de realizar el examen. Pero, si no te sientes cómod todavía después de realizar todo el path, te recomiendo que apliques lo aprendido en Hack The Box.

Conclusión y vídeo:

Espero que este post haya esclarecido las principales dudas sobre la certificación eCPPTv2 y te sientas inspirado para avanzar en tu carrera de ciberseguridad. Si te ha resultado de utilidad esta información y quieres compartir como ha sido tu experiencia o simplemente algo más que añadir al post, no dudes en dejarlo en los comentarios.


🔒 Hardsoft Security offers cybersecurity consulting services, ensuring that your business is always protected against the latest threats. And if you’re looking for hosting that puts security first, Secure Hosting is your ideal solution. We help keep your website safe with the best cybersecurity practices through our specialized cybersecurity advice.

Don’t wait to be the next target. Secure your online presence with the best solutions and services on the market. Contact Hardsoft Security and Secure Hosting today!

(Cybersecurity is not a luxury, but a necessity. Protect your investment and your online reputation.)

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.