20 feb 2020

CEH vs OSCP: Confundiendo churras con merinas

¡Muy buenas a todos!

Antes de irme de vacaciones estas Navidades, me estuve encontrando bastante por Internet (y sobre todo por LinkedIn), la famosa comparativa que se hizo viral del bebé Yoda y el Yoda “viejo”. En mi caso, al trabajar en el mundo de la ciberseguridad, dicha imagen venía siempre acompañada de la cabecera CEH encima del bebé Yoda y de la cabecera OSCP encima del Yoda “viejo”. Como os podréis imaginar, hoy vengo a dar mi opinión (y solo mía, ni la de este blog, ni la de mi empresa) sobre esta “inocente” comparativa que se volvió bastante viral.
Fig 1: La imagen de la discordia
Pero antes de dar mi opinión, vamos a poner en contexto qué es tanto el OSCP, como el CEH y sus metodologías.
  • OSCP (Offensive Security Certified Professional): Es un certificado impartido por Offensive Security que ha tomado gran repercursión en los últimos años (ya van por 61.000 alumnos matriculados, mas o menos, cuando hace 2 años iban por 35.000). Dicho certificado consta de una parte teórica junto con unos vídeos explicativos y un laboratorio que representa una pequeña empresa. El objetivo del curso es aplicar los conocimientos adquiridos para hacerte con todas las máquinas presentes en él. Para obtener la certificación, tienes que pasar un examen de 24 horas en el que te enfrentarán a varias máquinas donde tendrás que emplear estos conocimientos (teóricamente hablando, la realidad es que vas bastante verde sólo con eso). Una vez hayas entrado en todas las máquinas y seas administrador de cada una, deberás escribir un informe con todos los pasos seguidos y enviarlo para poder aprobar. El mínimo para aprobar es controlar alrededor de un 75% de las máquinas.
  • CEH (Certified Ethical Hacker): Es un certificado impartido por EC-Council, una organización de mucho renombre que lleva bastante tiempo ofreciendo cursos y certificaciones de Ciberseguridad. Este certificado ha sufrido varios cambios en los últimos años (ya van por la versión 10), pero nos centraremos en la versión clásica. Existen dos modelos, el modelo con formación (un curso en el que te facilitan una documentación bastante completa) y el modelo sin formación, en el que se tiene que demostrar una experiencia mínima de 2 años para poder ser eligible para presentarte al examen. El contenido de la formación es realmente extenso en comparación con el OSCP. Abarca casi toda la temática de seguridad ofensiva desde un punto de vista ligero sin llegar a entrar en mucho detalle técnico (tienes un libro aparte con una especie de laboratorios). También toca ramas de normativa, móviles, cloud e IoT. En cuanto al examen, es tipo test y consta de 125 preguntas sacadas del contenido de los libros facilitados en su formación. Su duración es de 4 horas. Aunque no dispone de parte práctica como tal, hace relativamente poco, publicaron otro certificado al que bautizaron como CEH práctico (ante el auge del OSCP creo yo) en el que se ponen en práctica los casos comentados en el CEH clásico y algunos casos más en detalle.

Fig 2: No confundirse entre una churra y una merina
Vale, ahora que ya tenéis una idea de cómo funcionan ambos certificados, ¿Qué opináis? Si os dieran a elegir entre un certificado u otro, ¿cuál escogeríais?

Fig 3: Mejor no hablemos de precios...
Pues depende. Haciendo alusión al meme de Yoda, el OSCP es al CEH lo que un huevo a una castaña, es decir, no se parecen en "nada". Desde el punto de vista técnico, el OSCP es una certificación excesivamente práctica, carente de teoría (se hace mucho hincapié en el cómo, pero no en el porqué), y que machaca mucho el prueba y error. Por otro lado, el CEH es una certificación excesivamente teórica, que intenta abarca demasiados temas, y pierde su credibilidad con la tipología de examen que presenta. De hecho, si en vez de llamarse Certified Ethical Hacker se llamara Certified Security Consultant (o algo parecido), creo que no habría ni un mísero intento de enfrentarlo/compararlo con el OSCP. Y es aquí donde quería llegar. La “inocente” foto que comentábamos antes nace por esto mismo, el afán de comparar la valía de una certificación como el OSCP con otra como el CEH. ¿Por qué? ¿Qué ganamos haciéndolo?

Ahora muchos estaréis pensando que la dificultad del examen y el contenido del curso no es ni por asomo la misma y que por eso, el OSCP debe tener más valía que el CEH... Y es correcto (o, al menos, eso creo yo), pero no podemos olvidarnos que el OSCP no está exento de polémicas que han permitido saltarse su más que famoso "Try Harder". Los casos de fraude presentes en La India, la filtración del examen (donde quedó bien claro que las máquinas presentadas se repiten más que los cromos del Osasuna) o las nuevas reglas tras la actualización del contenido, son algunos ejemplos que hacen que no todo sea perfección en el mundo de la Kali.
Fig 4: Salía tantas veces que podías hacerte un equipo muy incisivo.
Pero, ¡ojo! El CEH no se queda corto tampoco; sus tasas anuales para renovar el certificado, su nueva baremación de examen (pasando de un 70% puro, a un rango entre 68% y 85% según dificultad), la facilidad de obtener casi todo el examen mediante recortes de exámenes filtrados… Como podéis ver, ninguno está libre de pecado y cualquiera podría aprovecharse de estas coyunturas para aprobarlos sin ninguna dificultad (cosa que, por desgracia, ha pasado).

En general, creo que cada certificado demuestra tener unos conocimientos que hay que saber distinguir y valorar para según que situación. Por ejemplo, para un pentester que se encarga de hacer exclusivamente ejercicios de red team, el OSCP es indispensable ya que aporta esa agilidad y frescura que se necesita en este tipo de situaciones. Por otro lado, para un consultor de seguridad (estos maravillos puestos donde un día haces auditoría web, al otro estas aconsejando sobre qué regla de firewall habilitar para el despliegue del nuevo servidor crítico X y al otro resolviendo eventos del SIEM), el CEH viene como anillo al dedo porque te aporta una visión general de todos los campos de la ciberseguridad en su conjunto, ideales para estos puestos tan diversos.

En resumen, tener un certificado no te hace ser mejor o peor profesional que los demás, ni viceversa; como mucho, te permite demostrar que quieres seguir desarrollándote y creciendo en tu sector... aunque para otros, seguirá siendo una oportunidad para comparar churras con merinas.

Fig 5: Porque en la ciberseguridad, #cabemostodos
Happy Juanking!

2 comentarios:

  1. Hola a todos:
    Hace más de 10 años yo publiqué este artículo y se replicó en más de 6.000 lugares. En dicho artículo yo hablaba de las "tropecientas" certificaciones de Seguridad en aquellos momentos. Ahora hay tropecientas-ene+una.

    https://blog.segu-info.com.ar/2008/11/cissp-ccent-cisa-ccie-ccna-lpt-giac.html

    Saludos desde Monterrey en México.

    ResponderEliminar
  2. CEH PRACTICAL, HACKEAR 20 MAQUINAS EN 6 HORAS, ES FUERTE. ADEMAS LA TEORIA ES FUNDAMENTAL. DE QUE SIRVE APRENDERSE DE MEMORIA LOS EXPLOITS A USAR, MEJOR ENTENDERLOS Y APLICARLOS A CADA SITUACION.

    ResponderEliminar