36 - Cert Pinning
El hábito no hace al monje
Certificate pinning is a security mechanism used in the context of authenticating client-server connections, particularly in the context of secure communication over HTTPS (Hypertext Transfer Protocol Secure) or other TLS (Transport Layer Security) protocols. Its primary purpose is to enhance the security of the connection by mitigating the risk of man-in-the-middle (MITM) attacks and ensuring that the client only communicates with a trusted server.
SSL.com
En el post anterior hablé sobre el flamante nuevo certificado de Generative AI Leader con el que contaba mi colección. Y es que muchas veces es eso, una colección que tenemos para que los demás digan: “ah, mira qué máquina este tío”. Como hablamos, un certificado no es más que un papel (o pdf en estos tiempos) que acredita que has hecho algo. Las certificaciones pueden ser emitidas por distintas empresas, organismos o incluso particulares. Sobre esta premisa, está claro que no será lo mismo que Red Hat te certifique en un curso de DevOps que lo haga mi abuela. Y sobre esto vamos a profundizar un poco. Sobre mi abuela no, pero los equivalentes a mi abuela que hay por ahí.
El post de hoy va especialmente dirigido a los juniors que lo tienen bastante jodido hoy en día. Para algunos, ser junior es una fase que dura unos años y que siempre se da cuando empiezas tu carrera en un sector diferente. Para otros, ser junior va más asociado a los conocimientos que tienes y lo bien que sabes demostrarlos. La realidad suele estar en un punto medio o en ninguno de los dos. Cuando una empresa pone una oferta de trabajo, suele indicar un mínimo de años que cree que aseguran unos conocimientos en cierta tecnología. Esto por lo general suele ser verdad ya que a la fuerza de usar algo todos los días, sueles adquirir esos conocimientos. Sin embargo, hay muchas personas que sin haber experimentado esos años usando la tecnología X, tienen esos conocimientos ampliamente asimilados, ya sea mediante sus proyectos propios o mediante cursos.
En mis tiempos, (como diría alguien viejo), tener un título universitario acortaba este espacio y una empresa presuponía unos conocimientos. Tener ese papelito firmado por el rey de España te daba cierto prestigio que te permitía entrar en puestos de trabajo destinados a gente especializada. La realidad, según mi experiencia, está más cercana a que ese papel simplemente representaba que has pasado por encima (unos más que otros) de unos conocimientos relacionados con la carrera. Donde de verdad se aprendían conocimientos profundos y que servían en el día a día es en los proyectos y puestos de trabajo aplicando la tecnología concreta.
Pues bien. Hoy en día, no todo el mundo puede hacer una carrera. En realidad, tampoco todo el mundo lo podía hacer antes. Sin embargo, se han ido popularizando nuevas opciones para entrar en el mundo tecnológico que reducen el tiempo y dinero empleado en adquirir esos conocimientos. Bootcamps, Masterclass, cursos online, youtubers… Muchas opciones diferentes asociadas a la velocidad de los tiempos que, en muchos casos de forma gratuita, te proporcionan unos conocimientos y, lo más importante, un certificado. O eso es lo que creen muchos.
Los certificados que ofrecen muchas de estas opciones simplemente son un método que acredita que has terminado el curso. Nada más. No se evalúan conocimientos ni se demuestra el aprovechamiento de ese tiempo. Muchos de hecho, es el equivalente a que te firme el certificado mi abuela, ya que no pertenecen a ninguna organización ni empresa relevante. En mi propia experiencia, he obtenido certificados que acreditaban que había completado un curso que estaba disponible en Google Drive, haciendo imposible al certificador saber si de verdad había visto los videos o no.
Y aquí llegamos al principal problema, los usuarios de este tipo de cursos creen que lo importante es lo que te llevas a casa. Algo tangible, aunque sea un pdf. Los certificados no valen para nada, o no deberían valer en cualquier mundo serio. Lo que importa son los conocimientos que tienes asociados a ese certificado y si puedes demostrarlos en el día a día. Da igual si el curso es gratuito o no, lo más importante es que aproveches el contenido.
De igual forma, cuando en un sitio se exija una certificación que no tenéis. Intentad presionar a la empresa. Demostrad que tenéis los conocimientos y no un papel que dice que los tenéis. Al igual que las empresas hacen pruebas técnicas aunque en tu CV ponga que tienes no sé cuántos años de experiencia en esa tecnología, presionemos para darle la vuelta. Presionemos para que nos intenten evaluar los conocimientos que tenemos, pero de los cuales no tenemos un papelito que lo avale.
Nos vemos!