Mi experiencia con el examen BTL1
Saqué el BTL1 con un 90% en 3 horas. Lo que nadie te cuenta.
El examen tiene 24 horas. Yo lo cerré en 3.
No lo digo para fardar 😎 lo digo porque quiero que entiendas que el BTL1 es muy asequible si lo preparas bien. Y quiero contarte cómo lo preparé.
Qué es el BTL1
Blue Team Level 1. Una certificación práctica de ciberseguridad defensiva de la mano de Security Blue Team: nada de memorizar definiciones, todo hands-on. Análisis de phishing, forense, respuesta a incidentes, Wireshark, Splunk, MITRE ATT&CK…
Si vienes del mundo del SOC o llevas un tiempo tocando estas herramientas, vas a notar que el examen es un reflejo directo de lo que haces en el día a día.
Esta certificación cubre 5 áreas principales:
- Phishing Analysis
- Threat Intelligence
- Digital Forensics
- SIEM
- Incident Response
Os dejo el enlace oficial: Blue Team Level 1 – Security Blue Team
Cómo lo preparé: BTLO
La mayor parte de la preparación está cubierta por los labs de la propia certificación y, aunque están muy bien, pueden quedarse cortos. Aquí es donde entra BTLO (Blue Team Labs Online), que tiene una oferta de retos de Blue Team bastante buena.
Algunos de los labs que usé son PRO (suscripción de unos 18€/mes según el cambio).
Es una buena plataforma para hacer CTFs de Blue Team, asique vale la pena para la preparación.
Análisis de phishing
- Phishing Analysis
- Phishing Analysis 2
Wireshark
- PIGGY
Splunk
- Drilldown
- Splunk IT
Forense
- Countdown
- Sticky Situation
IR
- Sukana
- Anakus
- Foxy
DeepBlue
- DeepBlue (Es la unica dedicada, pero muy sencillita)
MITRE ATT&CK
- ATTACKS
- ATT&CK
Puede que algunos labs os parezcan dificiles, os aseguro que el examen, bajo mi opinion es bastante mas facil asique esto os prepara de sobra.
La que yo considero la clave para aprobar, aparte de saber lo que haces, es este lab Sukana, es lo más parecido al examen que te vas a encontrar: El lab consta de 20 preguntas prácticas sobre una investigación en marcha que vas a tener que terminar de resolver. Es oro puro; si sacas eso, debes de estar preparado para el examen.
Mi consejo real
No estudies para el examen. Estudia para entender lo que está pasando en cada artefacto. El BTL1 te va a poner delante logs, capturas, correos y te va a preguntar qué ves. Si has hecho los labs con cabeza — no solo copiando respuestas — el examen fluye solo.
Yo tardé 3 horas. He visto gente tardar mucho más, no porque sea difícil, sino porque no habían practicado con las herramientas reales.
A la hora del examen no fui con prisas. Me lo tomé con calma: leí bien el contexto/escenario y empecé poco a poco, anotando lo que me parecía interesante. El examen es open-book, puedes buscar en Google sin problema, pero recomiendo que durante el curso tomes tus propias notas; así llegarás mucho mejor preparado.
En mi caso, no he trabajado en un SOC Puro ni he usado un SIEM en mi día a día, y aun así no me pareció difícil. Simplemente hay que tener una mentalidad analítica y saber correlacionar eventos.
¿Vale la pena el BTL1?
Para alguien que quiere entrar al mundo Blue Team: sí, totalmente. Es accesible, es práctica pura y te da una base sólida. No es el GCFA ni el GCIH, pero para empezar a construir un perfil defensivo real, cumple.
Siguiente parada: BTL2.


