Aprobé el OSCP!#
Estoy orgulloso de contaros que he completado la certificación Offensive Security Certified Professional (OSCP). Ha sido una de las experiencias más duras y a la vez gratificantes de mi vida. Esta certificación me ha llevado al límite, ha puesto a prueba no sólo mis habilidades técnicas, sino también mi paciencia y disciplina.
En este post, voy a compartir cómo me preparé para el examen, qué herramientas y recursos me ayudaron más, y mi revisión honesta de todo el proceso - desde los laboratorios hasta el informe final.
Desarrollar la mentalidad de «Try Harder».#
Una de las lecciones más importantes que aprendí del OSCP es que este examen no sólo trata de habilidades técnicas, sino también de resistencia mental. Te vas a estancar. Mucho. Y eso está bien (al menos la mayoría de las veces). Lo que importa que aprendas de los errores. Mantener la calma, pensar metódicamente y seguir adelante incluso cuando las cosas parecen imposibles es una parte fundamental del proceso.
Otro elemento clave es tomar buenas notas. Sin una documentación sólida, vas a perder horas repitiendo los mismos pasos. Personalmente, utilicé Obsidian para organizarlo todo: desde la fase de enumeración hasta técnicas de privesc. Tener mis propias notas estructuradas no sólo me ayudó durante los laboratorios, sino que fue absolutamente esencial durante el examen y para redactar el informe final.
Crear un método de toma de notas no sólo me ayudó a pensar con más claridad y a seguir mi progreso en el hacking, sino que también me permitió comprender mejor cómo aprendo y crezco en general. Anotar las cosas me obligó a ir más despacio y a entender realmente lo que estaba haciendo, en lugar de apresurarme a seguir los pasos. Me ayudó a reconocer patrones en mis errores, a refinar mi metodología y a abordar los problemas con más calma.
Con el tiempo, tomar notas se convirtió en algo más que una herramienta de estudio: se convirtió en la forma principal de procesar la información y reflexionar sobre mi aprendizaje, tanto técnica como personalmente, ya que te obliga a pausar y reflexionar más detenidamente. Usar Obsidian hizo más fácil conectar ideas, revisar conceptos pasados y mantenerme organizado a través de todo el viaje del OSCP.
Preparación para el OSCP: ¿Qué funcionó para mí?#
Antes incluso de plantearme presentarme al OSCP, pasé mucho tiempo en Hack The Box, resolviendo una larga lista de máquinas para construir una base sólida. Esa experiencia práctica me ayudó a desarrollar mi conjunto de habilidades y a construir un sólido set de skills. En mi opinión, la experiencia es clave, y hacer CTF´s es esencial para comprender la mentalidad y la metodología necesarias para certificaciones como el OSCP.
Después de eso, completé el CPTS Path de HTB Academy - en mi opinión, uno de los mejores recursos que existen para aprender hacking ético. Construye una base sólida a partir de cero, y por el precio, no se puede pedir más. Todavía no he hecho el examen del CPTS, pero el curso en sí me dio una sólida comprensión de la metodología de los PenTest y me ayudó a reforzar muchos de los conceptos básicos que aprendí en ASIR que más tarde apliqué durante mi preparación para el OSCP.
Una vez que me sentí lo suficientemente seguro, me metí en el curso OSCP (PEN-200). Repasé detenidamente el contenido de los módulos y tomé muchas, muchas notas. Contar con los conocimientos del CPTS sin duda ayudó mucho. Después de eso, hice los Challenge Labs, que eran más avanzados y realmente te obligan a aplicar todo lo que había aprendido hasta entonces.
Para terminar mi preparación, hice un gran numero de máquinas de la lista de TJ Null de Proving Grounds HackTheBox y para simular el entorno del examen. Me ayudaron a pulir mi workflow y mejorar mi velocidad bajo presión, haciendo mínimo una máquina al día durante unos 2-3 meses.
El día del examen: ¿Cómo fue?#
El examen fue sin duda complicado, pero no imposible. Fue exactamente lo que esperaba después de toda la preparación. Lo más difícil de este examen no es el requerimiento técnico, que también es complejo, sino la parte mental. Este examen sólo se puede aprobar si consigues mantener la calma y la concentración, por lo que son habilidades que se deben desarrollar.
En los días previos al examen, intenté estar lo más tranquilo posible y estar con la cabeza despejada. Piensa en planificar las comidas, descansos, beber agua y simplemente, mantener la calma. Ir con una mentalidad fría marcó una gran diferencia, pues debes evitar el pánico a toda costa cuando las cosas no funcionaban a la primera (cosa que me ocurrió varias veces durante el examen).
Para hacer las cosas aún más interesantes, hice el examen en un MacBook M3 (Chip ARM), lo que añadió algunas (muchas XD) dificultades adicionales de compatibilidad y configuración. Pero funcionó, y estoy orgulloso de eso también jaja.
Tardé unas 18 horas en terminar el examen y el informe. Fui despacio y me apoyé mucho en mis apuntes. Al final acabé agotado, pero contento con el resultado.
¿Qué es lo siguiente?#
Mientras preparaba el OSCP, descubrí lo interesantes que son los entornos de Active Directory - la complejidad, las rutas de ataque, el pivoting… realmente me pareció muy divertida esa rama del hacking.
Dicho esto, creo que mi verdadera pasión es el hacking web. Me encanta la creatividad y la profundidad que requiere, además de poder llegar a obtener un impacto grándisimo con heramientas básicas, como un navegador. Mis próximos pasos se centran en aprender más en ese mundo para empezar a desarrollarme en el Bug Bounty Hunting un poco más, pero sin dejar de lado Active Directory, ya que siempre busco ser lo más polivalente posible.
Por supuesto, con el OSCP esto no ha hecho más que empezar!