Mi experiencia con la certificación eJPTv2
He decidido presentarme a mi primera Certificación de Pentesting y os cuento en qué consiste y cómo ha sido mi experiencia.
¿Qué es?
Antes de nada, quiero aclarar que eJPTv2 es la nueva versión de “eLearnSecurity Junior Penetration Tester”. Como ha salido hace poco, todavía no he visto reviews en español acerca de la misma y me gustaría aclarar ciertos cambios que ha habido. Se trata de la primera Certificación que ofrecen en INE y es de nivel de entrada en el mundo del pentesting. Como bien dicen otros compañeros que la han realizado, que sea básica no quiere decir que sea un regalo para todo el mundo, requiere de muchas horas de estudio y dedicación, sobre todo si no se está de hacer CTFs. Recomiendo visitar el siguiente enlace para más información acerca de la misma:
https://ine.com/learning/certifications/internal/elearnsecurity-junior-penetration-tester-v2
Cambios de la v2
| Versión 2 | Versión 1 | |
|---|---|---|
| Precio | 250$ | 200$ |
| Tiempo | 48h | 72h |
| Nº de preguntas | 35 | 20 |
| Aciertos para aprobar | 70% | 75% |
| Conexión al laboratorio | Navegador | Opción de VPN |
| Recursos al comenzar | Wordlists y pcap | Ninguno |
Opinión sobre los cambios introducidos
Teniendo esto en cuenta, parece más duro al ser más preguntas en menos tiempo, pero realmente lo desconozco. Lo que sí puedo decir, es que hacerlo desde el navegador es más “problemático”, ya que la máquina no tiene acceso a internet por lo que no puedes descargar herramientas ni nada. Tienes que realizarlo con lo que trae. En mi caso, estoy acostumbrado a usar gobuster, pero no lo tenía, aunque no es un problema porque hay muchas herramientas del estilo y son parecidas. No obstante, (como también me pasó) si quieres usar chisel pues tampoco lo tienes… así que tienes que apañarte con lo que hay. Aclarar que ambas herramientas las tengo visto en algunos laboratorios del curso, en otros no.
Antecedentes y curso
En mi caso estuviera realizando el curso antiguo, el del EJPT original que es gratis. Cuando lo terminé, vi que había salido el eJPTv2 y que tenía un curso nuevo que lo superaba ampliamente en horas… un bajonazo. Sentí como que lo que había hecho no servía para nada, pues ahora el curso traía un montón de novedades y actualizado. Al comprar el voucher te da acceso unos meses al curso, creo que depende de la oferta de ese momento. En mi caso me quedé más o menos por el 50% del curso y decidí lanzarme a la piscina, pues quería quitármelo de encima para seguir aprendiendo otras cosas.
Examen
No voy a contar nada nuevo que no se haya dicho ya, pero remarcaré ciertas cosas.
Justo nada más empezar el examen falló el servidor o algo y tuve que reiniciar la máquina. Un mal comienzo que me puso bastante nervioso por si había problemas técnicos. Una vez reiniciada, al principio va muy mal, pero a los minutos se estabiliza. Durante el transcurso del examen tuve que reiniciarla 2 veces más por diversos motivos.
En lo personal me bloqueé varias veces, y por lo que tengo leído es también algo habitual. Al final vas cercando y probando cosas de forma que acabas viendo la luz y sigues avanzando. Es importante leer muy bien lo que te preguntan, parece obvio, pero hay preguntas un poco malévolas si no te fijas bien. Como se ha dicho siempre, es importante enumerar bien y apuntar todo, si no te volverás loco.
Las preguntas son de selección múltiple y algunas de introducir la flag (dinámica por sesión, no se puede modificar si te equivocas, así que fíjate bien). Perdí mucho tiempo intentando ver cosas donde no había que verlas, por eso recomiendo encarecidamente ir pasando las preguntas y no quedarse trabado, luego ya revisarás las que dejas.
Como también es habitual, esto no es un CTF, se trata de una prueba de penetración de caja negra bajo la red de una empresa ficticia. No queda otra que vivirlo en persona para saber cómo es.
Respecto a ciertas cuestiones típicas referentes al examen, recomiendo leer la carta de compromiso y las directrices del laboratorio donde explican con más detalle cómo funciona.
Final
Esta ha sido mi experiencia, espero que os haya ayudado y os animo a que vayáis a por ella.