Skip to content
SecForge
CIBERSEGURIDAD · MÉTODO

Cómo aprender ciberseguridad de verdad (sin quemarte con tutoriales).

Ver cien horas de walkthroughs parece avanzar. Casi nunca lo es. Esto es cómo se ve el aprendizaje activo en este campo, y un ritmo semanal que sobrevive más allá del segundo mes.

8 de julio, 20269 min de lectura

Hay un modo de fracaso muy concreto que aparece tan a menudo que ya tiene nombre: el infierno de los tutoriales. Encuentras un walkthrough de una máquina o de un reto, lo ves, lo entiendes, sientes que has aprendido algo… y acto seguido pones en cola el siguiente. Después de cien horas así, te sientas frente a una máquina un poco distinta, una de la que nadie ha grabado un vídeo, y te bloqueas. No porque no prestaras atención, sino porque nunca llegaste a construir de verdad lo que se suponía que tenías que construir. Memorizaste las teclas que pulsó otra persona sobre el problema de otra persona, y las pulsaciones no se transfieren. El modelo mental de fondo —el razonamiento que produjo esas pulsaciones— era suyo, no tuyo, y siguió siendo suyo.

Esto no es un problema de disciplina ni de pereza. Es un desajuste entre la actividad (ver) y la habilidad que en realidad intentas construir (diagnosticar). Las dos se sienten parecidas desde dentro —en ambas entra información en tu cabeza sobre temas de seguridad—, pero solo una entrena aquello que se te pone a prueba más adelante.

Por qué el aprendizaje pasivo falla precisamente aquí

Compáralo con aprender historia. Si ves un documental sobre la caída del Imperio romano, sales sabiendo más historia: la absorción pasiva de datos y de narrativa se parece lo suficiente a la habilidad que estás construyendo (saber historia) como para que el método encaje más o menos con el objetivo. La ciberseguridad no funciona así. La habilidad que se pone a prueba —en un CTF, en una entrevista, durante un incidente real a las 2 de la madrugada— es el diagnóstico bajo incertidumbre: aquí tienes un sistema comportándose de forma extraña, aquí tienes un conjunto parcial de pistas, averigua qué está pasando de verdad y qué hacer al respecto. Nadie te da la solución durante un incidente. Ver a otra persona realizar ese diagnóstico, por muy bien que lo narre, ejercita tu capacidad de seguir una explicación. No ejercita tu capacidad de producir una desde cero, que es el trabajo de verdad.

Esta brecha es invisible mientras estás viendo el vídeo, y eso es justo lo que la hace peligrosa. Un buen walkthrough produce la misma sensación subjetiva que la comprensión genuina —asentir con la cabeza, «ah, tiene sentido»— hasta el momento en que eres tú quien tiene la shell en la mano sin ningún narrador.

Cómo es el aprendizaje activo de verdad

La solución es incómoda, y ahí está justamente la clave: antes de ver un walkthrough de cualquier reto, comprométete a pasar un tiempo fijo —entre veinticinco y cuarenta y cinco minutos es un rango razonable— realmente atascado en él por tu cuenta, sin más guía que tu propio razonamiento. Atascado no en plan ocioso, sino atascado en el sentido de estar formulando hipótesis de forma activa, probándolas, viéndolas fallar y formulando la siguiente. Ese proceso, incluidas —y especialmente— las hipótesis equivocadas, es el estímulo de entrenamiento. No es un estado de fracaso que intentas minimizar antes de aprender «de verdad» del writeup. Es el ejercicio. El músculo que se está construyendo es exactamente el que no tiene ningún writeup disponible en un incidente en vivo.

Solo cuando salta ese temporizador abres el walkthrough, y cuando lo haces, resiste la tentación de copiar comandos en una terminal. Lee el razonamiento, luego cierra el writeup y vuelve a deducir tú mismo los comandos a partir de la lógica que describía. Si eres capaz de reproducir la técnica desde la explicación sin volver a mirar, has absorbido de verdad el razonamiento. Si solo puedes reproducirla volviendo a mirar la sintaxis exacta, has absorbido una cadena de texto, y las cadenas no se generalizan a la siguiente máquina.

Repetición espaciada para lo aburrido pero imprescindible

No todo en este campo es una habilidad de razonamiento, y merece la pena separar las dos categorías con claridad.

CategoríaEjemplosMejor método
Conocimiento de recuerdoNúmeros de puerto, clases de CVE/vulnerabilidad, sintaxis de comandos de Linux, capas OSIRepetición espaciada (tarjetas)
Razonamiento diagnósticoEstrategia de enumeración, rutas de escalada de privilegios, triaje de incidentesPráctica de "atascarse primero"

Los números de puerto, las clases comunes de CVE y de vulnerabilidad, la sintaxis de comandos de Linux, las siete capas del modelo OSI: todo esto es conocimiento de recuerdo. No razonas para llegar a «el puerto 445 es SMB», simplemente necesitas saberlo, al instante, igual que sabes un número de teléfono. Este es justo el tipo de material en el que la repetición espaciada —repaso tipo tarjetas programado a intervalos crecientes, la misma técnica general que usan quienes aprenden idiomas para el vocabulario— es genuinamente buena, y no hace falta recomendar una app concreta para aprovechar la idea. Monta un mazo de tarjetas, repásalo en sesiones diarias cortas y deja que el algoritmo de programación se encargue de lo que la mayoría de los autodidactas lleva mal: la reexposición justo antes de que se te olvidara. Intentar construir esta capa de recuerdo con el mismo método de «atáscate y razónalo» que las habilidades de diagnóstico es desperdiciar la técnica en ambas direcciones: no puedes razonar hasta un dato memorizado, y machacar tarjetas no te enseñará a diagnosticar un árbol de procesos raro.

CTFs y plataformas guiadas

Las plataformas prácticas, guiadas y gamificadas —entornos al estilo de TryHackMe y HackTheBox— y las competiciones CTF son un sitio genuinamente bueno para hacer el trabajo de «atascarte tú mismo» que se describe arriba. Su verdadero valor es que son un entorno seguro, legal y acotado para practicar enumeración y explotación contra máquinas construidas específicamente para enseñar una técnica, sin riesgo de tocar un sistema que no es tuyo. Y eso no es poca cosa; es la mayor parte del motivo por el que estas plataformas existen y por el que merecen tu tiempo.

Su verdadero límite es igual de importante de entender antes de empezar: estos entornos te entrenan para resolver un puzle diseñado. Alguien construyó la máquina con un camino concreto en mente, sembró pistas concretas y calibró la dificultad. Eso es contiguo a una investigación del mundo real, pero no idéntico: un incidente real, o un encargo real de pentesting, no se construyó para tener una solución encontrable en absoluto. Por eso justamente montar y romper tu propio laboratorio en casa es un complemento valioso y no una redundancia: un laboratorio que montas tú mismo, con servicios que configuraste tú, no tiene solución diseñada ni un autor que conozca el camino previsto. Cuando algo se rompe en tu propio laboratorio, estás haciendo la versión más sucia y menos guiada del mismo trabajo de diagnóstico: más cercana a lo que el puesto pide de verdad.

Un ritmo semanal realista

La estructura que tiende a sobrevivir más allá del primer par de meses es un número fijo de sesiones concentradas repartidas a lo largo de la semana, en vez de un único maratón de fin de semana. Algo así como cuatro o cinco sesiones de sesenta a noventa minutos, cada una con un objetivo concreto —un reto trabajado como es debido con el método de atascarse primero de arriba, un repaso de tarjetas, un bloque corto de lectura o de apuntes—, le gana a un sábado viendo seis horas de vídeos seguidos. La sesión maratón parece más productiva en el momento porque se invierte visiblemente más tiempo, pero muy poco de ese tiempo tocó el estímulo de entrenamiento real; la mayor parte fue ingesta pasiva.

Esto importa más de lo que parece, por lo que de verdad hace que la gente lo deje. El campo recompensa la consistencia compuesta a lo largo de los meses mucho más que la intensidad comprimida en una sola semana. Tratar el primer mes como un sprint —sesiones largas, mucha intensidad, poca recuperación— es el motivo más común de que la gente se queme y desaparezca hacia el tercer mes, justo cuando la novedad inicial se agota y empieza el trabajo real de construir recuerdo y de práctica lenta de diagnóstico. Un ritmo semanal sostenible no es la opción «menos seria». Es la que sigue en marcha en el sexto mes, que es la única versión que produce una habilidad real.

Writeups y comunidades sin volverte dependiente de ellos

Los writeups de otras personas y las discusiones de la comunidad sirven exactamente para una cosa: comprobar tu propio razonamiento después de haber hecho el trabajo, no para saltártelo. Lee un writeup como una segunda opinión sobre una conclusión a la que ya llegaste tú, no como un sustituto de llegar a ella. Si tu razonamiento se desvió del suyo, esa desviación es más informativa que el contenido del writeup: te dice con precisión dónde tu modelo mental está equivocado, que es exactamente la información que necesitas y exactamente lo que no puedes obtener leyendo una solución antes de intentar el problema.

La otra herramienta de forzado infrautilizada es la explicación. Intenta explicarle a otra persona lo que acabas de aprender —a un compañero de estudio, en un mensaje de foro o incluso en un archivo de notas privado que nunca le enseñas a nadie—, con tus propias palabras, sin volver a mirar la fuente. Enseñar, o escribir algo como si fueras a enseñarlo, deja al descubierto lagunas que el repaso pasivo esconde por completo. Es incómodo en el mismo sentido en que lo es estar atascado en un reto, y por la misma razón: es la parte en la que descubres lo que de verdad sabes frente a lo que meramente reconoces.

Todo esto da por hecho que ya sabes más o menos en qué orden aprender las cosas —redes antes que explotación web, Linux antes que técnicas de escalada de privilegios, y así sucesivamente—. Si esa cuestión del «en qué orden» todavía está abierta para ti, nuestro roadmap de ciberseguridad de verdad lo cubre directamente; este artículo es el compañero del «cómo» para ese del «en qué orden», y los dos están pensados para leerse juntos y no por separado.