Hace bastante tiempo que no reseño certificaciones, creo recordar que la última vez que lo hice fue en 2020 y aunque he tenido la oportunidad de afrontar otros retos académicos y formativos (no todos con éxito desde luego), la verdad que siempre me dejaba pendiente plasmar algunas líneas de mis sensaciones personales acerca de esas certificaciones y luego nunca me tomaba el tiempo para completarlas. Tengo una cuantas que empecé a escribir y ya luego pasado el tiempo no le encontraba sentido publicarlas (entendiéndolas por desfasadas). Pero el día de hoy quiero hacer una excepción y romper la tendencia para hablar de estas certificaciones de la empresa con sede en Reino Unido, Cambridge concretamente (aunque me parece que sus fundadores son originarios de la India), llamada The SecOps Group que irrumpió con bastante fuerza sobre todo en redes sociales en este último tiempo. Creo recordar que fue a raíz de conocer la plataforma Vulnmachines (de la cual espero próximamente traeros contenido), que llegué hasta la web de esta compañía, en donde y por aquel entonces (finales del 2022) solo ofrecían 3 certificaciones, una de Blockchain, otra de Hacking Web y otra de Infraestructura o seguridad de redes (Network Security vamos):

En aquel entonces ciertamente me llamó la atención, no obstante y debido a la gran cantidad de información que recibimos a diario, las valoré como interesante, pero no me plantee afrontarlas. Me llamó la atención sobre todo las 2 segundas, que en realidad se trataban de exámenes teóricos breves para afrontar en unos 60 minutos, clasificados como de «Entry Level» y bueno de precio asumible, aunque si es verdad que siendo una empresa medianamente nueva y sin estar asentada aún en la industria, al menos en este punto del globo terrestre y en mi opinión, se puede antojar ciertamente caro, sobre todo para aquellas personas que buscan un retorno de inversión directo con las certificaciones que se asumen. Pero bueno, entiendo que en ello están trabajando y seguramente vayan poco a poco abriéndose hueco en la industria.
El tema es que por esos días básicamente la gente de The SecOps Group «inundaban» las RRSS con diversas promociones que ofrecían descuentos atractivos, creo recordar que llegaron hasta publicar códigos del 100% de descuento en las certificaciones que llamaron mi atención, eso sumado a mi extraña afición por afrontar este tipo de retos académicos desconocidos, me llevó a estar pendiente de sus notificaciones y cuanto tuve la oportunidad me «compre» por 0 euros, un voucher para afrontar lo que fue el CAP (Certified Appsec Practitioner), que pasamos a reseñarlo:

Certified Appsec Practitioner (CAP)

Se trata de un examen teórico con preguntas de selección múltiple (MCQ), que pondrá a prueba tus conocimientos base en ciertos aspectos de seguridad en aplicaciones web, recomiendo al menos tener bien familiarizado el Top 10 de OWASP.
El margen para superar este examen es bastante bajito, basta con llegar al 60% de acierto para obtener un aprobado, y superar el 75% para obtener un aprobado con mérito. Yo no lo he visto nada difícil si tienes cierta experiencia en auditorías y te ha tocado elaborar informes redactando recomendaciones y mitigaciones para tus clientes. En mi caso me tomé con bastante relajación el examen y me presenté a él sin ningún tipo de estudio o preparación previa, me fui con lo puesto y puede obtener el siguiente resultado:

Y es que no lo he dicho anteriormente, pero The SecOps Group ofrece solo exámenes de certificación, no formación, es decir estás pagando por examinarte o para ponerte a prueba a través de estos exámenes, aquí nadie te dirá como hacerlo, por eso es que me parece que reseñas como esta pueden arrojar algo de luz de cara a asumir estos retos de The SecOps Group.
En este sentido, también puedo comentar que a lo largo de las 40 preguntas (al menos cuando yo lo hice en enero fueron 40, no se si lo han actualizado y han añadido o quitado preguntas, pero hazte a la idea), deberás responder a cuestiones que te llevaran a reflexionar en aspectos como:

  • Configuraciones erróneas básicas
  • Cabeceras HTTP y funcionamiento de las mismas
  • Vulnerabilidades populares de aplicaciones (conocimientos desde el lado de la explotación y la mitigación)
  • Conceptos de mejores prácticas
  • Ciertos conocimientos en defensa y neutralización
  • Certificados SSL/TLS
  • Codificación, cifrado y hashing
  • Deficiencias relacionadas con la autorización y la autenticación
  • Divulgación de información

Para que os hagáis una mejor idea de lo que hablo, dejo por aquí una pregunta de ejemplo que he tomado del portal web de la certificación CAP (Certified Appsec Practitioner):

Si os interesa, mi recomendación es que estéis atento a las redes sociales de The SecOps Group ellos suelen publicar códigos de descuento por sorteos o libres por determinado tiempo, seguro que podéis cazar alguno.

Después de esta experiencia y mostrándome de cierta forma con el «pecho inflado«, me dio por afrontar el siguiente reto y menuda hostia me pegué! Esta vez me compre el voucher del CAPen (Certified AppSec Pentester), aunque creo recordar que aproveché algún tipo de descuento, como os digo, lo normal no es pagar el importe integro si estás atento a sus RRSS.
Y nada, vamos a reseñar el siguiente reto:

Certified AppSec Pentester (CAPen)

En este caso ya tenemos una certificación algo más exigente, creo que ahí puede estar el gusto que tomé por ella. A diferencia del anterior, este CAPen (Certified AppSec Pentester) se trata de un examen PRÁCTICO, si, haz leído bien, práctico! Y como lo hacen? Pues para afrontarlo te asignan una VPN a la que debes conectar solo después de pulsar sobre el botón «Take Exam» de su plataforma (estoy tomando capturas de un vídeo que publicaron ellos):

A partir de aquí tendrás algo más de 4 horas para responder a unas 16 preguntas aproximadamente (creo recordar que en mi primer intento fueron menos preguntas que en la siguiente ocasión), preguntas que para poder conocer la respuesta tendrás que aplicar una serie de pruebas y validaciones técnicas con activos que te indiquen. Si bien muchas preguntas ya te centraran en el objetivo por como están formuladas (no te preocupes que no irás a ciega a volcar todo el «Testing Guide» de OWASP, ni mucho menos), si que debes tener cierta solidez en Hacking Web para superarlo. Aquí un ejemplo de pregunta:

De hecho recuerdo que en mi primer intento, que me quedé a las puertas fue por no poder reproducir a mano algunas técnicas que lograran evadir ciertos controles y automatismos, eso te lo dejan bastante claro en su video (ojalá lo hubieran publicado antes de mi primer intento, XD):

Siendo sincero, en mi primer intento no tuve una experiencia agradable con el laboratorio del examen, si estas líneas las hubiera escrito nada más acabado ese intento fallido, el tono sería bastante distante a éste, ya que perdí bastante tiempo en lograr ver los activos, de hecho en un primer momento, creí que era parte del reto, XD. Pero no, fue que el tema no estaba muy fino. Recuerdo que hasta me pidieron disculpa por los inconvenientes, en fin.
En honor a la verdad debo decir que en futuras oportunidades ya no volví a tener problemas con el laboratorio del examen, incluso y para mi gusto, va de maravilla a día de hoy y si tenéis cualquier inconveniente, siempre le podéis dejar un mail y te suelen contestar muy rápido.

Volviendo al examen y remontándome a San Isidro (15 de Mayo), que fue cuando afronté el examen nuevamente, después de tomarme algunas semanas de estudio, consciente en mis puntos flacos y creyendo que volverían a tocar las mismas preguntas (que iluso de mi), decidí darle al botón de «Take Exam» en su plataforma y afrontar por delante otras 4 horitas de pruebas técnicas para obtener la nota mínima de aprobación, al final no me fue tan mal en esta ocasión y conseguí sacarlo nuevamente con «mérito»:

Ahora bien, algo que os interesará saber ¿Cómo afrontar la preparación para el examen? Pues llegados a este punto debo decir que la experiencia es un factor determinante, pero no me refiere a lo netamente profesional, si sueles embarcarte de los CTFs y competiciones de ese tipo o si por ejemplo sueles dedicar tiempo a plataformas como: TryHackMe, HackTheBox, VulNyx o el propio Vulnmachines, yo te daría por preparado. Eso sí, debes sentirte cómodo con el Hacking Web, haz de Web Security Academy de PortSwigger tu hogar y podrás llegar a este examen con garantías.

Para el tercer reto que me tocó afrontar fue bastante curiosa la situación, me explico. Inicialmente el CNPen (Certified Network Pentester) era una certificación que me llamaba la atención y que tarde o temprano podía asumir, tenía otras prioridades por delante eso sí y pues aunque me mantenía atento a las RRSS de The SecOps Group, todavía no me mostraba por la labor.
El tema es que en mi revisión rutinaria de las RRSS lograba ver publicaciones como estas:

Yo ilusionado participaba y albergaba la idea que podía en algún momento ser un afortunado ganador, pero vamos, esto es una lotería y de hecho creo que alguna vez recibí «la visita» de Sumit Siddharth fundador de The SecOps Group en mi perfil de LinkedIn y eso me dio la sensación de estar cerca del gran premio (igual es imaginación mía).
Hasta que un día de buenas a primera me dio por dejarle este DM a Sumit que inmediatamente respondió con lo siguiente:

Vamos, que le eche cara y me salió redondo! Este tipo de oportunidades entiendo que uno no debe desaprovechar, por tanto afronté el examen de CNPen (Certified Network Pentester), aquí mis impresiones más frescas:

Certified Network Pentester (CNPen)

El CNPen (Certified Network Pentester) es una desafiante prueba técnica práctica orientada al Hacking de infraestructura y seguridad de redes, aquí tendrás que demostrar serios conocimientos y cimientos sólidos para superar algunas cajas tanto Windows como Linux, valerte de mucho reconocimiento y recopilación de información para explotar vulnerabilidades conocidas y ejecutar técnicas que te permitan las primeras intrusiones en los sistemas o incluso ganar la escalada de privilegios necesaria para llegar a las flags que te solicitan.
Dado que no pretendo hacerle spoiler a nadie y fastidiarle la diversión, nuevamente tomaré el video promocional de la compañía para acompañar mis comentarios.

Después de pillar el voucher del examen recibirás un correo como este:

Aquí te vendrán las instrucciones para afrontar el reto, debe leerlo atentamente ya que son clave su comprensión para empezar con tus primeros escaneos.

Algunas de las 15 cuestiones que debes afrontar (aunque en el video se ven 16, no se por que) pasan por conseguir acceder a los sistemas y obtener las flags (aunque ojo, no todas las preguntas te piden que captures la bandera), como se muestra en el siguiente ejemplo:

Por cierto, presta atención al título de la sección de esta pregunta, ¿Sabes que hacer verdad? Si la respuesta es sí, estás alineado para asumir este reto.

En el examen no tienes restricciones sobre las herramientas que quieras usar, en el vídeo se observa el uso de metasploit, sin embargo yo no lo llegué a requerir en ningún momento, incluso si necesitas hacer pivoting con la alternativa más básica que se te pase por la cabeza vas sobrado.

El examen tiene 3 grandes bloques (eso también nos lo anuncia el vídeo):

  • Active Directory Hacking
  • Linux Hacking
  • Cloud Hacking

Aquí una interesante cuestión relacionada con el último bloque que listo:

El resultado de esta última certificación que hice, fue bastante gratificante para mi:

Por supuesto no puedo estar más que agradecido con The SecOps Group y en especial con Sumit Siddharth, no solamente por su enorme generosidad, sino por que soy consciente del gran esfuerzo que supone ofrecer este tipo de plataformas en donde básicamente venimos a esforzarnos en aprender algo que realmente nos apasiona. Está claro que estas certificaciones a día de hoy tal vez están lejos de que te la pidan en tu próxima entrevista de trabajo, pero si realmente dejas de lado ese aspecto y te centras en enfrentarte en un desafiante reto que te haga esforzarte, entonces aquí tienes las certificaciones de The SecOps Group. No descarto volver a reseñar certificaciones de esta gente, mis sensaciones son positivas y las conclusiones las idóneas.

Si necesitas algo de mi, ya sabes donde ubicarme!

Referencias: