Como empezar?

Para los que recién empiezan:

Primero debes tener ciertas capacidades o habilidades:

1. Saber Inglés (la mayoría de libros esta en ingles, el material de los cursos, está en ingles, algunos exámenes de certificación son solo en ingles. Por ahí te encuentras algo mal traducido, lo que hará que te confundas más).

2. Tienes que saber algún lenguaje de programación. (Si no sabes ninguno, empieza por python , perl o ruby. Lo digo porque muchas de las herramientas están escritas en esos lenguajes.)

3. Conocer un poco de sistemas operativos. (Sobre todo comandos básicos de linux)

4. Saber un poco de redes (Por lo menos de protocolos y puertos)

Segundo, antes de matricularte en algún curso te recomiendo dos libros:

Professional Penetration Testing: Creating and Operating a Formal Hacking Lab (Thomas Wilhelm)

The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws (Dafydd Stuttard, Marcus Pinto)

El segundo es más especializado en aplicaciones web, lo puedes dejar para cuando quieras profundizar en ese tema.

Tercero, si tienes el dinero, matriculate en algún curso (es importante porque te sirven de guía y te pueden explicar las cosas que no entendiste).

Tienes varias opciones, online, en un salon de clase, material de autoestudio.

Puedes comenzar por los de ethical hacking:

CPTE

CEH

Si quieres profundizar en el tema de aplicaciones web:

CSWAE

ECSP

En las respectivas paginas web puedes encontrar los centros de enseñanza para tu ciudad. (Debes averiguar todo lo que puedas del instructor, eso hace la diferencia en lo que puedas aprender).

Hacker?

No voy a repetir algo que puedes leer en:
http://es.wikipedia.org/wiki/Hacker
http://webzone.k3.mah.se/k3jolo/HackerCultures/index.htm
http://www.catb.org/~esr/faqs/hacker-howto.html

La definición que más me gusta es "persona que se disfruta de un conocimiento profundo del funcionamiento interno de un sistema, en particular de computadoras y redes informáticas"

Yo creo que se tiene que tener actitud.
Actitud de ser curioso, de querer estudiar y aprender, de ser humilde.
No es que te metas a un curso y te den un certificado que diga que eres hacker, porque luego saliendo del curso te das cuenta que solo sabes la punta de iceberg. Y que luego de ese curso tienes que dedicar un montón de horas leyendo, estudiando los protocolos, practicando, probando y entendiendo las herramientas.
Y todo eso solo para llegar a un nivel básico o intermedio.
Otra historia es que investigues para generar nuevas tácticas, herramientas y exploits para luego poder compartirlas.

Los cursos si sirven, pero como guía. El resto del camino lo tienes que recorrer tú.

WARNING: Esto va a llegar a convertirse en un vicio, dejaras el Xbox, dormirás menos, y se convertirá en lo segundo o tercero más importante de tu vida.

"Don't learn to hack, hack to learn"

Ethical?

El problema cuando alguien tiene un arma es que no sabemos tu intención. Supongamos que tiene buena intención, no sabemos si esta autorizado para utilizar el arma. Supongamos que tiene buena intención y esta autorizado a utilizarla, ¿sabemos si sabe usarla adecuadamente?

Ahora has el mismo ejercicio, suponiendo que esa "arma", es una herramienta de hacking fácilmente descargable de algún sitio web, y agrégale que esta puede ser usada desde cualquier sitio y con suma facilidad.

Por eso, para ser del grupo de los de sombrero blanco, no basta con la buena intención, ni las ganas de practicar para aprender. Tienes que tener la autorización. Y así tengas la autorización, tienes que saber lo que estas haciendo (conocer las herramientas que estas usando y saber usarlas).

Ella un vistazo al Rules Of Engagement (capitulo 2.4, pagina 38) de ISECOM para que sepas todo lo que deberías cumplir.

Tomar otro camino, podría generarte problemas e incluso convertirse en un delito.

Finalmente, si quieres aprender hazlo en un ambiente que te pertenezca o estés autorizado. Puedes comenzar con DVWA, Webgoat y Gruyere por ejemplo.