martes, 28 de mayo de 2024

La verdad de la mentira de la formación. Cursos, Masters, Creadores de contenido y flipad@s variadas.

 Estimados amigos de Inseguros...

Soy Joaquín Molina, me llaman kinomakino, y vengo a contar una verdad dolorosa...

Como en todas las ocasiones, no siempre que se generaliza se acierta. La excepción que confirma la norma... pero créeme, esto que te cuento ocurre en un alto porcentaje de ocasiones...

Allá vamos...

En el mundo de la ciberseguridad en el que trabajo han aparecido una sinfín de recursos formativos de todo tipo. Desde los gratuitos: podcast, blog, youtube, etc, hasta servicios de pago, como cursos de "bajo coste" suscripciones, certificaciones, masters, etc.

TRABAJO

Lo he puesto en mayúsculas. Es IMPRESCINDIBLE que tu formador sea un profesional en activo. Recuerdo mi primer trabajo dando formación, en el año 2000. Fué sobre Windows 2000 Server como es normal. Di el curso, y me ofrecieron dar un curso de Sql Server 7... porque como "todo es Microsoft". Lo di. El curso gustó. Me dedicaba a estudiarme el libro por las tardes, y por las mañanas mostrar lo aprendido. Si un alumno me hubiera preguntado algo, mi opinión? no hubiera podido responder. El curso gustó. Me ofrecieron trabajar para uno de las empresas cliente !!! pero NO FUE UN BUEN CURSO. 

Si tu profesor es sólo profesor, y no ha hecho una auditoría en su vida, o un Incident Response. O pelear con clientes, usuarios, jefes, etc. NO ES UN BUEN CURSO. Créeme.

MASTER UNIVERSITARIO

Cuando tu estás en la universidad, y no conoces el mundo laboral, tu universidad es tu referencia formativa. En casi todas las universidades ofrecen un Master en Ciberseguridad. En muchas ocasiones lo imparten profesores y en otras colaboradores, o un mix.

Tu crees que va a ser la HOSTIA !!! porque en tu universidad aprendiste a un nivel BRUTAL. Desde las matemáticas más enrevesadas, hasta electrónica, código máquina o cualquier asignatura de las complicadas.

Volvemos al planteamiento inicial. Tus profesores universitarios posiblemente no hayan trabajado en su vida en la empresa privada. Quizás alguno sí, pero hace bastante...

Te enseñarán muchas cosas útiles, o no, pero no te contarán la realidad.

Ahora seguiré con los otros profesores que no son de la uni...

Tu Master Universitario en Ciberseguridad se da en tu universidad, en sus instalaciones, tienes unos créditos homologados. Y ? para que sirve que sea un master universitario real, o un curso de academia de barrio? No se si me explico. Quizás para ser funcionario te pidan que el master puntúe de alguna manera, y necesite ser " de estos". Pero para trabajar en la calle, en la empresa privada, que sea "homologado" por una universidad o no, NO TE DA GARANTÍAS de nada. Crees que una buena universidad da un buen master. Puede que si, puede que no. El factor diferencial NO ESTA EN QUE SEA UN MASTER OFICIAL. Está en otras cosas, que ahora opiniaré, y que serán así o no.

Ahora vamos a la calidad así un poco. Imagina la carrera de Cocina. No se si hay título universitario. Imagina que si. La cocina es MUY amplia. Un master de cocina, por ejemplo, podría ser "Cocina italiana" o "Cocina japonesa" o "Gestión del stock en restaurantes" o "Como innovar en la cocina". No se, se me ocurren un montón de especializaciones.

Ahora vamos con la Ciberseguridad. Existe la informática. Y quizás hace 20 años podría tener sentido una especialización en Ciberseguridad... Pero hoy no tiene sentido. Hoy la ciberseguridad es MUY AMPLIA, y alberga desde montar un SGSI 270001 ( que puede hacer un abogado sin saber qué es TCP/ip) o puede ser analista OSINT ( que puede ser un criminólogo sin saber instalar linux) o hacking ético, reversing de malware o una certificación de fabricante de Waf.

NO TIENE SENTIDO hacer un master, una especialización, y que te enseñen "tres cositas" de una cosa, "tres cositas de otra" una introducción a "noseque" y unos módulos de nosecuantos.

LEE el temario. Si es así, CREEME, por muy bueno que sea el profesor, universidad, publicidad, etc. NO SERÁ una especialización, será una INICIACIÓN. Estás pagando por una introducción... Si es lo que quieres, perfecto. Yo asocio MASTER a especialización. Si buscas las temáticas de los masters de NO-Ciber, verás de que hablo....

EL PROFESOR PROFESIONAL

Hablabamos de que si, debe ser profesional. Bien, seguimos por ahí. Un PROFESIONAL de la ciberseguridad es una persona que cobra perricas. COBRA PASTA. Mucha o poco, según cada uno, pero no es un junior. COBRA PASTA y suele trabajar mucho. 

Cuando llega un empresario y monta un master, contacta con los profesionales que cree conveniente. Grandes amigos miós. A mi me han ofrecido muchos. Y he descartado MUCHOS. Léeme, ese master donde estás mirando, que hay amigos de profes, quizás, hay MUCHAS posibilidades de que me hayan ofrecido ese trabajo. Lo digo porque he dicho que no a más de 20.

Esto no es una crítica hacia mis amigos que dan estas clases, los hay de todo tipo. Yo te voy a contar MI PELÍCULA y la que pasa en muchos masters. No en todos, SEGURO, habrá MASTERS buenos. Te digo que LA MAYORÍA son MALOS. No te lo crees? pefecto. Te sientes dolido? perfecto :-)

Sigo... Cuando a ese profesional que trabaja 40 horas, que cobra pasta, que seguramente vaya a congresos de ponente, o escriba en más sitios. Seguramente sea una persona que sigue estudiando, formándose. Por eso son buenos profesionales. No es gratis. No por guapo o popular. Los buenos profesionales reunen esto que te digo. No todo. Pero que siguen estudiando, investigando, etc, SEGURO. Si no, no es un buen profesional. AUNQUE SALGA MUCHO EN LA TV. Ojo, puedes salir en la TV y ser buen profesional... no seamos Haters de más...

Sigo que me lío...Cuando el empresario busca a este profesional, no va con un saco de billetes con el símbolo del dolar. Esto es un negocio. Y el empresario quiere PAGARTE POCO para ganar lo más que pueda. Además no sabe si va a ser un éxito absoluto de ventas, o no. La realidad de lo que me han ofrecido a mi, y no ACEPTE, fué: 

Kino prepara la documentación. Prepara los PPT´s y material. Hazlo gratis. Yo te pago 100 euros la hora, y quizás el primer año no ganes mucho. Pero si seguimos más ediciones, empezarás a rentabilizar el contenido que hiciste.

 Te lo crees? tiene sentido? pués es así. NUNCA me dijeron: Toma 3000€ por crear el contenido, y luego 100 € por cada hora ( debería ser 100 euros por cada hora por cada alumno... no es lo mismo un alumno que 10...) y aparte, tienes que dar unas cuantas tutorías, corregir trabajos, etc. Muchas veces el profesional acepta por ayudar, por formar a la gente, más que por la ganancia económica.

NO HAGO ESA FORMACiÓN. Por mi situación económica, porque prefiero invertir ese tiempo en intentar ganar MÁS DINERO. Pero es respetable que mis amigos profes. lo acepten. Cada uno con su pincho moruno. Pero hay una cosa que TE PERJUDICA. Tu profesor hizo el material hace 1 año... 2 años... 5 años... Y cuando ves que tu master es la XV Edición, significa que el material es VIEJO... El comercial te lo vende como que es un éxito de MASTER. Pregunta a los alumnos, y pregúntales sobre todo esto: 

Era material actualizado?

Era material real, de la vida real?

Tenía acceso directo con el profesor en el tiempo y forma que espero?

El profesor es un experto en la materia o hace 4 años salía por ahí y ahora es manager y ha perdido la "cresta de la ola tecnológica"?

Aparte, esto es más dificil de constrastar, pero si a tu profesor le pagan poco, no creas que tienes a tu "famoso de turno" disponible para ti como un tutor de colegio. En esto dependes del profesor, de lo que se lo curre. Yo intento ser buen profesor, y en el pasado hice cosas así con organismos muy famosos, y sólo pensar que el alumno venía de allí, me ponía de mala hostia y no daba el mejor trato al alumno.

Volvemos al profesor. Hay unos masters que patrocina Chema Alonso, el señor del Gorro. Famoso mundial. Hasta mi padre lo conoce. Reconocida figura del hacking de los 2000, de los 2010. Pero no creas que "este tipo" va a ser tu profesor. Digo a este persona como podría decir otras. Ex-ténic@s del mundillo que fueron grantes profesionales.Y lo siguen siendo, pero ahora son managers, gestores, líderes, ventas, etc. Es decir, que hace años que no tocan un comando. 

En esta vida todo vale, SOLO piensa en estas cosas cuando compres una formación. DEBE SER UN PROFESIONAL EN ACTIVO EN LA MATERIA QUE CONFIAS.

CURSO DE INTRODUCCIÓN

Cuando tu haces un curso de, pongamos, hacking ético, debes tener unas bases. NO PUEDES EMPEZAR UN CURSO DE HACKING ÉTICO SI NO ERES INFORMÁTICO.  Te vendan lo que te vendan.

Cuando tu empiezas una formación, imagino que no sabrás sobre la materia. Podrá sonarte un poco, pero lo lógico es que compres una formación de algo que necesitas formación...

Sigo... Si tu haces un curso de hacking ético. NO DEBERÍA haber una lección de "Como instalar Kali linux sobre Virtual Box" ESA LECCiÓN debería ser para alguien que no viene de la informática... y no puedes ser hacker si no saber de informática. NO DEBERíAS.

He dado cursos subvencionados en los que, en un curso de EXPERTO EN CIBERSEGURIDAD, había : dos militares de tropa, una profesora de yoga, dos personas que si curraron de algo parecido a la informática y un camarero. REAL. Un curso mío contando "movidas" expertas a gente que no sabía lo que era "255.255.255.0"

Estos alumnos necesitan un curso de informática, introducción a las redes, algo más "digerible" que un curso mío de honeypots empresariales...

En otro MASTER famoso, que vende mucho, hablaron conmigo. No querían un curso experto en ciberseguridad. Querían un curso experto en ciberseguridad para todos los "publicos". Les dije que era imposible. Que yo no sabía. Les puse el ejemplo del la medicina. Tu haces Medicina, luego te especializas en una disciplina, como cirugía plástica. Y luego haces un master experto en el manejo del "laser noseque para técnicas nosecuantos" Pero debes ser médico y cirujano plástico...

Por cierto, este master sigue, se vende ( no mucho) y un gran profesional aceptó el reto. Para mí, quedando como el culo xD xD xD porque por "cuatro perras" estás haciendo algo MALO para el alumno.

No puedes entender un hackeo Kerberos a nivel wireshark si el curso empezó en "como instalar virtualbox" con la red NAT o Bridge...

Rebobino. Cuando compres una formación, debe empezar desde cero y llegar a 100. NO debería empezar en cero, y quedarse en 40, porque eso es una MALA FORMACiÓN.

MIS CURSOS

Cómo sabes, yo doy formación, y déjame porque creo que no caigo en estas cosas.

Llevo 23 años dando formación. SE dar clases.

Llevo 23 años trabajando en TIC y en Ciberseguridad. El 80% de mis ingresos son de servicios, NO de formación.

Mis cursos NO los promociona nadie, ni famoso, ni universidad, ni plataforma. 

La credibilidad de mis cursos está en varios ámbitos:
    Confíes en los 4600 alumnos a fecha de hoy (2024)
    Confíes en los más de 100 comentarios positivos de mis alumnos reales. REALES. No es un 5 con unas estrellas programado... son REALES.
    No te creas nada, PRUEBA algunas lecciones gratuitas. Disponibles en todos mis cursos, como en el de Seguridad Azure o Seguridad Microsoft.

El profesor soy yo. Quieres hablar conmigo? Vamos a ello. NO HABLARÁS CON EL COMERCIAL.

Hay mil maneras de hacerlos. Desde GRATIS con Fundae, a descuentos importantes a nivel personal. Cursos gratuitos cortos. Tienes muchos recursos, porque soy profesor. Por un lado quiero enseñar y contribuir, y por otro lado quiero ganar dinero. PERO trabajo las dos facetas. NO SOLO LA DE HACERME RICO o intentarlo como muchos creadores de contenido que siguen la "radio-fórmula": 
Me hago "famosillo" en el mundillo hacker, con un Twtich, Podcast, Canal, etc. O organizando una CON. Cuando tenga miles de seguidores, intentar monetizar esto con cursos. No sabes que la gente hace eso?

Te pongo un ejemplo. Conoces a Frank de la Jungla? Creo que de animales sabe. De serpientes. De mucho. Es un gran divulgador. Ha ayudado a los animales con sus programas, te guste o no. Pero yo ahora te pregunto: confiarías la salud de tu iguana para que la opere Frank de la Jungla? sospecho que no, si no es veterinario !!!!

Creo que está clara la diferencia entre "famoso" o "famosillo" y experto.

Yo no te puedo decir si mis cursos son mejores o peores. YO los quiero mucho. Mucha gente los quiere. Yo opino que son necesarios, porque mi visión es algo distinta a la que está acostumbrada la gente. Mi visión no es ataque, o defensa. Como soy "windosero la gente se cree que soy "blue". Mi trabajo, con lo que me gano la vida, es con el "red".

Pero en mis trabajos de Red hay mucho Blue, y viceversa. Puedes hacer un curso de preparación de OSCP con un tonto desde Andorra, y aprender comandos, teclas, parámetros. Pero eso no te convierte en un buen profesional. Es SÓLO el principio. SÓLO cuando comprendas las bases, los fundamentos, lo que hay "debajo" de la teoría, podrás dominar la ciberseguridad.

Te pongo un ejemplo. Puedes hacer click en WIndows. O puedes hacer script en linux contra Windows, pero SÓLO si te has estudiado WINDOWS INTERNALS a bajo nivel, a nivel APi Win32, si has programado en un lenguaje tipo C, y eres capaz de "hablar tcp/ip con wireshark" no serás un profesional experto. Puedes empezar con los comandos de "impacket" o "metasploit" o "nuclei" pero debes hacer ZOOM en la teoría.

En la INMENSA mayoría de cursos que veo no hacen eso.

Te pongo un ejemplo. En una de mis formaciones hablamos de SMB. Teoría, práctica, ejemplos de ataque, defensa, monitorización, etc. 

En el curso les cuento a los alumnos, que quitar smb1 de un server son 10 segundos. Quitar SMB1 de una empresa es un año de trabajo. Y les cuento un montón de escenarios REALES, que he tenido, que justifican esto.

En este post te cuento lo que pienso. En muchas cosas no opinarás como yo, y tendrás razón. Y en otras, creeme, opines una cosa, pero no tengas la información, y puede que estés equivocado. En otras cosas, el equivocado soy yo. Pero espero que hayas reflexionado en esto. Que tú mismo adoptes estos parámetros, reflexiones, ideas, o como quieras llamarlo, y busques la formación que mejor se adapte a ti.

Yo al final vendo cursos, y puede que resulte "sospechoso" estas críticas. Allá tu si me crees o no, yo vivo del hacking. NO tengo la necesidad de poner mi... parte trasera... para ganar. NO digo tonterias para tener clickbait. SIEMPRE he sido así. Cuando tenía 1 seguidor, y ahora con 10 :-)

Gracias por leerme !!!!