<img height="1" width="1" src="https://www.facebook.com/tr?id=1601661033380488&amp;ev=PageView &amp;noscript=1">

Cómo convertirse en un experto en pruebas de penetración (Penetration Tester)

Si te gustan los ordenadores y quieres una vocación dinámica y competitiva, las pruebas de penetración (o "pen testing") podrían ser una opción perfecta. Esta función de ciberseguridad te mantendrá alerta mientras compites con hackers malintencionados para descubrir vulnerabilidades en los sistemas y redes digitales, y después reforzar esas vulnerabilidades antes de que los hackers del mundo real accedan a ellas.

Tanto si has establecido tu carrera en ciberseguridad como si acabas de empezar, convertirte en un probador de penetración (pen tester) es un objetivo alcanzable, incluso sin una licenciatura. Tomar cursos y programas de ciberseguridad relevantes junto con la obtención de certificaciones de la industria puede ayudarte a comenzar o a hacer la transición desde roles con habilidades adyacentes en áreas como la tecnología de la información (TI).

¿Qué es la prueba de penetración?

Un probador de penetración, o "pen tester", busca en los sistemas digitales y en las redes informáticas posibles vulnerabilidades que podrían ser explotadas por los ciberdelincuentes, y luego trabaja con la dirección de la empresa para corregir los fallos antes de que un extraño pueda lanzar un ciberataque con éxito. Los activos informáticos de los que pueden encargarse los "pen testers" incluyen sitios web, aplicaciones web, sistemas de almacenamiento de datos y cualquier red utilizada por la organización tanto en las instalaciones como en la nube.

Las pruebas de penetración son diferentes de las pruebas de vulnerabilidad porque se realizan después de que un sistema ya esté activo, mientras que la evaluación de la vulnerabilidad forma parte del proceso de diseño y configuración. Ambas son igualmente necesarias, ya que las amenazas a la seguridad evolucionan constantemente y las medidas de seguridad deben evolucionar con ellas.

Los Pen testers también reciben títulos como "sombrero blanco" o "hacker ético" y validador de garantías. El hacking ético significa utilizar la misma metodología que los cibercriminales, pero trabajando para los buenos. 

Una serie de responsabilidades cotidianas

En un día típico, los pen testers pueden pasar la mañana diseñando una prueba de penetración con su equipo de seguridad y luego pasar la tarde ejecutando esa estrategia. Los ataques simulados están diseñados para medir la respuesta de la empresa y sus empleados e identificar formas de mejorar esa respuesta. Por ejemplo, una falsa brecha, ingeniería social o estafa de phishing puede revelar la necesidad de una mejor educación de los empleados en torno a la identificación y señalización de correos electrónicos sospechosos.

Es importante que el trabajo no termine cuando la simulación haya terminado. Los evaluadores de seguridad también deben crear informes y recomendaciones para asesorar a la dirección sobre posibles vulnerabilidades. Por ello, las habilidades de comunicación ocupan un lugar destacado en nuestra lista de habilidades blandas cruciales necesarias para esta trayectoria profesional. 

Perspectivas laborales de gran crecimiento, salarios en alza

La necesidad de profesionales de la ciberseguridad está creciendo más rápido que la base de empleados, con sueldos de una media de seis cifras, según la Oficina de Estadísticas Laborales de Estados Unidos. Se necesitan "pen testers" en casi todos los sectores: Los servicios financieros, la salud, el gobierno, la tecnología y la seguridad de la información son sólo algunos ejemplos. Importantes empleados como Amazon e IBM están constantemente buscando talento.

Se espera que el sector crezca otro 29% para 2030, ya que la creciente dependencia de la tecnología en el lugar de trabajo impulsa la demanda de profesionales cualificados. Sin embargo, las pruebas de penetración pueden ser un campo competitivo, por lo que, a pesar de la abundancia de ofertas de trabajo, puede ser difícil conseguir un punto de apoyo inicial en el nivel de entrada.

¿sabías qué?

moneyback Incluso si ya tienes alguna formación o experiencia laboral en ciberseguridad, vale la pena seguir aprendiendo a lo largo de tu carrera para estar al día con la competencia. Y si ya tienes un puesto de TI, añadir la experiencia en ciberseguridad al paquete puede suponer un aumento del 9%, según Forbes.

Trayectorias profesionales de los probadores de penetración

Las pruebas de penetración pueden ser un trampolín para una variedad de funciones y trayectorias profesionales más avanzadas, pero tampoco suele ser el primer trabajo que los nuevos profesionales consiguen en este campo. Es útil sentar primero una base en tecnología de la información o en un campo relacionado, donde se puede ganar una íntima familiaridad con los sistemas tecnológicos que será responsable de proteger como un probador de penetración. Los recién llegados a este campo suelen tener que pagar sus cuotas en un papel como analista de ciberseguridad o analista de seguridad de la información antes de ganar suficiente experiencia para convertirse en un probador de penetración. Tomar cursos en línea en edX puede ayudar a acelerar su entrada en un cargo de analista de ciberseguridad.

Los profesionales con experiencia en TI pueden adelantarse a este paso, ya que se han ganado experiencia en el manejo de redes, sistemas operativos, codificación y otros conocimientos clave. Según Jonathan S. Weissman, profesor titular del Departamento de Seguridad Informática del Instituto Tecnológico de Rochester (RIT) e instructor del Programa MicroMasters® en Ciberseguridad del RITx, lo importante es que hay que tomarse el tiempo necesario para "aprender la fontanería" antes de avanzar a un trabajo como el de probador de penetración.

layer
"Este es un papel del tipo 'ponlo todo junto', en el que tomas un poco de redes, programación, scripting e ingeniería inversa, y lo pones todo junto, resuelves rompecabezas y encuentras vulnerabilidades".

"Las pruebas de penetración son algo que se hace después de dominar muchas de estas subdisciplinas", dijo Weissman. "Tienes que tener la capacidad de pensar, la capacidad de resolver rompecabezas, la capacidad de pensar igual que los ciberdelincuentes y atacantes y replicar todo lo que están haciendo. Definitivamente no es un cargo de entrada. Se trata de una función del tipo "juntar todo", en la que se toma un poco de red, se toma un poco de programación, se toma un poco de scripting, se toma un poco de ingeniería inversa, y se pone todo junto y se resuelven rompecabezas y se encuentran vulnerabilidades. Y luego encuentras formas de explotar esas vulnerabilidades".

4 pasos para convertirse en un probador de penetración

Si las pruebas de penetración son el siguiente paso en tu hoja de ruta profesional, estos son los pasos que puedes dar para conseguirlo.

1. Obtén una licenciatura (¡opcional!)

Tener un título formal en alguna rama de la informática te dará una ventaja si esperas convertirte en un probador de penetración, pero no es necesariamente obligatorio. Los empleadores valoran más las habilidades técnicas, los conocimientos y la experiencia laboral.

¿Sabías que?

layer Los programas MicroBachelors® de edX pueden ayudarte a desarrollar habilidades relevantes y preparadas para tu carrera mientras obtienes créditos universitarios reales y transferibles en el camino.

2. Aprende las habilidades fundamentales

Para proteger los sistemas digitales contra los intrusos, primero hay que entender esos sistemas íntimamente. Necesitarás mucha práctica con habilidades como la codificación, el desarrollo de software, la administración de sistemas, las redes y la seguridad de las redes, las pruebas de seguridad de las aplicaciones y las pruebas de vulnerabilidad para conseguir un trabajo como probador de penetración.

Los programas de edX, como el curso de Introducción a las redes de NYUx, pueden ser una poderosa herramienta de actualización. Adquirir al menos un año de experiencia en TI de nivel inferior, administración e ingeniería de redes o aseguramiento de la información también puede ayudar a impulsar tu currículum al siguiente nivel.

3. Obtén la certificación adecuada

Las certificaciones demuestran a los empleadores que tienes habilidades específicas, incluso si no has obtenido un título tradicional en el campo. En el caso de las pruebas de penetración, hay varias certificaciones que puedes obtener para mejorar tus perspectivas de trabajo.

El CompTia PenTest+ es un examen intermedio, de opción múltiple y formatos aplicados, que puede abrir las puertas a trabajos de pen testing de nivel inicial.

El examen EC-Council Certified Ethical Hacker (CEH) es mucho más profundo y requiere un conocimiento exhaustivo de las últimas estrategias de hacking y malware. Esto lo convierte en uno de los certificados más valorados que se pueden obtener en el campo de la seguridad de la información.

El examen OSCP es la forma más rápida de empezar, ya que puede convertirse en un probador de penetración junior con sólo este certificado. Incluye un curso de hacking ético en línea a tu propio ritmo que introduce las herramientas y técnicas de pruebas de penetración a través de la experiencia práctica, y que culmina con una prueba de simulación de red de 24 horas en la que los estudiantes pueden demostrar sus habilidades y obtener la codiciada certificación Offensive Security Certified Professional (OSCP).

El examen GIAC Certified Penetration Tester GPEN, administrado por la Global Information Assurance Certification Organization, cubre tanto las habilidades como las implicaciones legales y éticas clave.

IEEE es la mayor organización profesional técnica del mundo dedicada al avance de la tecnología en beneficio de la humanidad. Aunque no ofrece certificaciones a la carta, las empresas pueden aprovechar el programa de certificados del IEEE para proporcionar unidades de formación continua (CEU) y horas de desarrollo profesional (PDH). Los miembros individuales del IEEE también obtienen acceso a la comunidad y a los recursos de red.

El Instituto Tecnológico SANS ofrece oportunidades de certificación adaptadas a los profesionales en activo en puestos de TI o de seguridad de la información, así como programas completos y prestigiosos de grado y posgrado en ciberseguridad.

 

4. Red

La creación de redes es una de las actividades más importantes que puedes realizar para impulsar tu carrera en el ámbito de la ciberseguridad, y no se trata sólo de conocer a otras personas del sector. La creación de redes te mantiene al tanto de las últimas amenazas, herramientas y tendencias. Los congresos de ciberseguridad y los hackathones suelen albergar simulacros de juego, como los retos de "capturar la bandera" o las competiciones de equipo rojo/equipo azul, que pueden constituir un excelente escenario para compartir las mejores prácticas entre los profesionales de la seguridad.

"Gran parte de la ciberseguridad tiene que ver con la experiencia. Y hay comunidades de personas que realizan actividades, como eventos de captura de la bandera, en los que intentan entrar en los sistemas y encontrar alguna información oculta, o lo que se llama eventos de equipos rojos y azules, en los que un equipo defiende los sistemas y otro los ataca. En esos momentos estresantes de la competición se pueden adquirir muchas experiencias vitales, afirma Aspen Olmsted, profesora adjunta de la Escuela de Ingeniería Tandon de la Universidad de Nueva York e instructora del Programa MicroBachellors de Fundamentos de Ciberseguridad de NYUx.

Habilidades duras y blandas del probador de penetración

Para convertirse en un probador de penetración, tendrás que desarrollar habilidades específicas del sector. Hay mucha tecnología involucrada, pero no descuides las habilidades blandas: ¡recuerda que trabajarás en equipo!

Habilidades duras:
  • Scripting y codificación
  • Administración de sistemas
  • Redes y protocolos de red
  • TCP
  • Linux
  • Sistemas operativos (Windows, Linux y Mac OS)
  • Lenguajes informáticos como Python, Powershell, Golang y Bash
  • Firewalls
  • Encriptación
  • Pen testing móvil en iOS y Android
  • Aplicaciones web

Habilidades blandas:
  • Comunicación
  • Aprendizaje continuo
  • Resolución de problemas
  • Trabajo en equipo
  • Capacidad de organización, documentación y redacción de informes
  • Curiosidad
  • Fuerte sentido de la ética
  • Poder trabajar bajo presión
  • Creatividad
  • Ingenio

 

"Una mentalidad en seguridad te hace ir por el mundo un poco paranoico, que es como tenemos que ser", dijo Olmsted. "En ciberseguridad decimos: 'no confíes en nadie'. Una vez que tienes esa mentalidad, empiezas a ver vulnerabilidades por todas partes, y eso vuelve al lado ético del asunto. Una vez que ves estas vulnerabilidades en todas partes, no puedes aprovecharte de ellas. Tienes que tener el marco ético de que tu trabajo es mejorar el mundo, porque has abierto muchas oportunidades para engañar al sistema".

Desarrolla habilidades para convertirte en un probador de penetración

Una trayectoria profesional típica en ciberseguridad no es lineal, pero tiene peldaños. Sea cual sea tu trayectoria profesional, aprende más sobre cómo los cursos y programas de edX pueden ayudarte a conseguirlo.