El Certified Offensive Security Professional (OSCP) es una certificación de hacking ético ofrecida por Offensive Security que enseña la metodología de pruebas de penetración y el uso de herramientas incluidas en la distribución Kali Linux (sucesora de BackTrack).
OSCP es un certificado práctico de prueba de penetración que requiere que los titulares ataquen e infiltren con éxito varias máquinas activas en un entorno de laboratorio seguro. Se considera más técnica que otras certificaciones de hacking ético y es una de las pocas certificaciones que requieren prueba de habilidades prácticas de penetración.
Curso OSCP
El curso que conduce a la certificación OSCP se ofreció por primera vez en 2006 con el nombre de «Offensive Security 101». Los estudiantes que esperaban el curso 101 no estaban preparados para el nivel de esfuerzo requerido para el mismo, por lo que en diciembre de 2008 se cambió el nombre a Pentesting con BackTrack y nuevamente a Penetration Testing con Kali Linux cuando la distribución BackTrack se reconstruyó como Kali.
El curso cubre los vectores de ataque más comunes utilizados durante las pruebas de penetración y las auditorías. Se ofrece en dos formatos: en línea o en tiempo real bajo la guía de un instructor. El curso en línea es un paquete que consta de videos, un archivo PDF, tareas de laboratorio y acceso a los laboratorios.
El curso dirigido por un instructor es una capacitación intensiva en vivo que cubre el mismo material, también con acceso al laboratorio. Se puede acceder a los laboratorios a través de una conexión a Internet de alta velocidad y contienen una variedad de sistemas operativos y dispositivos de red en los que los estudiantes completan sus tareas.
Al final del curso, los estudiantes deben pasar un examen de certificación. Se les dan 24 horas en un laboratorio desconocido para completar con éxito los requisitos del examen. La documentación debe incluir los procedimientos utilizados y evidencia de penetración exitosa, incluidos archivos de marcadores especiales que cambian para cada examen. Los resultados del examen son revisados por la comisión de certificación y la respuesta se da dentro de los 10 días hábiles
Recertificación: OSCP no requiere recertificación.
Relación con otros cursos o exámenes de seguridad
Aprobar el examen OSCP otorga al estudiante 40 puntos. (ISC) créditos CPE. En 2015, el principal organismo de acreditación del Reino Unido para pruebas de penetración, CREST, comenzó a reconocer a OSCP como equivalente a su calificación de probador registrado (CRT) CREST de nivel medio.
J.M. Porup calificó la certificación OSCP como «deseable» porque requiere aprobar un examen difícil de 24 horas que demuestra capacidades. En un comunicado de prensa sobre el nuevo director de operaciones de una empresa de servicios de seguridad, se citó como una fortaleza el uso de profesionales de la OSCP por parte de la empresa.
En The Complete Guide to Getting Started with Cybersecurity, Vishal Chawla de Analytics India Mag recomendó OSCP como una de las dos certificaciones de seguridad «conocidas». En una entrevista con el CEO de Offensive Security, Ning Wang, Adam Bannister de The Daily Swig habló sobre una «actualización importante» del plan de estudios Penetration Testing with Kali Linux (PWK) que conduce a la certificación OSCP para los estudiantes que hacen el examen final.
En Web Hacking Basics: Tools and Techniques for Attacking the Internet, Josh Pauli consideró a OSCP como un curso «muy respetado». Cybersecurity Training for Awareness and Compliance presentó un esquema de curso de capacitación para OSCP.
En Dark Waters of Phishing: The Offensive and Defensive Sides of Malicious Emails, el coautor Christopher Hadnagy mencionó a OSCP como una de sus mejores calificaciones. El liderazgo de la Certified Ethical Hacker Foundation (CEH) ha incluido a OSCP como una de las dos certificaciones de seguridad ofensiva para «pruebas de seguridad».
Sicherheit von Webanwendungen in der Praxis también incluyó a OSCP en la lista de certificados recomendados. El Laboratorio de Pruebas de Penetración para Redes Inalámbricas calificó la capacitación en seguridad ofensiva como «práctica» y dijo que era «la más recomendada».
En The Information Security Undergraduate Curriculum: The Evolution of the Small Program, Lionel Mew de la Universidad de Richmond dijo que el 35% de los puestos de seguridad de la información requieren certificación y describió OSCP como «una certificación popular».
El mantenimiento del plan de estudios de seguridad cibernética: certificaciones profesionales como una guía valiosa describe a OSCP como una «certificación extendida» y una de las «pocas seleccionadas» que requieren demostración de habilidades prácticas de penetración.
