logo ORSYS Le mag

El medio de la formación y las competencias

Inicio > Tecnologías digitales > Ciberseguridad > Pentester, un hacker ético que protege tu negocio

Pentester, un hacker ético que protege tu negocio

Publicado el 16 de mayo de 2023
Compartir esta página :

¿Qué pasaría si una de las mejores formas de probar la postura de seguridad de una empresa fuera pensar como un hacker? Esto es precisamente lo que hace el pentester o hacker ético. ¿En qué consiste realmente este trabajo? Elementos de respuesta con uno de ellos, Julien Valiente.

Ilustración del artículo de trabajo de pentester

“El pentester es un hacker que convierte su pasión en una profesión”: así resume en pocas palabras Julien Valiente, presidente de la empresa de hacking ético Cyberwings y formador de ORSYS, esta profesión especializada en ciberseguridad. El pentester es, por tanto, un hacker profesional especializado en pruebas de intrusión (pentests). ¿Su misión? Identifique vulnerabilidades en sistemas informáticos, redes, aplicaciones e incluso sitios web para ayudar a las empresas a mejorar su seguridad. La profesión requiere sólidas capacidades técnicas y, cada vez más buscadas, habilidades metodológicas, asociadas a un determinado estado de ánimo.

El pentester, un hacker profesional

¿Dijiste hacker ético?

Si el término “hacker” existe en Estados Unidos desde la década de 1950, desde hace mucho tiempo tiene mala prensa en Francia. “En sí mismo, el hacking no es ni bueno ni malo. El hacker es ante todo un manipulador. Algunas personas tienen intenciones maliciosas, son piratas informáticos. Otros, como los pentesters, tienen “ética””, explica Julien Valiente. En Francia, la palabra “pentester” apareció alrededor de la década de 2010 y designa la práctica del hacking en el marco de una actividad profesional.

¿Cómo es su vida diaria?

“El pentester practica el hackeo con fines éticos mediante pruebas de intrusión”, repite Julien Valiente. De hecho, es responsable de identificar puntos débiles, fallos y defectos de seguridad. Al ponerse en la piel de un atacante, identifica escenarios de ataque y caminos que podrían tomar los piratas informáticos. El objetivo final de su misión es ayudar a las empresas a implementar las medidas de protección adecuadas.

En concreto, las actividades del pentester se organizan diariamente en torno a tres misiones principales. El primero consiste en realizar pruebas de intrusión para intentar encontrar fallos en los sistemas de seguridad. El segundo se refiere a laescribir informes que contiene resúmenes de información y correlaciones de datos. El pentester transcribe los puntos débiles que detecta en términos de seguridad. Finalmente, dedica el resto de su tiempo a Realiza pruebas para mejorar tu práctica..

¿Empleado o autónomo?

Algunas grandes empresas contratan pentesters asalariados si sus necesidades lo justifican. De este modo, los pentesters pueden probar interna y sistemáticamente nuevos productos desarrollados por la empresa.

Estas habilidades tienen actualmente una gran demanda; el salario de los pentesters generalmente no baja de los 40.000 euros brutos al año para los principiantes. En cuanto a los perfiles más experimentados (8 a 10 años de carrera), obtienen salarios que rondan los 70.000 € y 85.000 € brutos anuales.

Además, muchos pentesters trabajan de forma independiente para poder elegir sus misiones según el interés técnico y el desafío que representan. La persona responsable de definir los contornos de la misión es generalmente el CISO, el CIO (cuando quiere probar la seguridad de una nueva arquitectura) o el product manager (como parte del lanzamiento de un software, por ejemplo). Luego vienen las pruebas de penetración reales.

Pruebas de penetración en la práctica: ¿qué métodos, qué habilidades?

Los diferentes tipos de pentests

Los diferentes tipos de pentests

No todos los pentests se realizan en las mismas condiciones. Hay tres tipos principales:

  • Le pentest externo, durante el cual el pentester intenta ingresar al sistema de información del cliente desde Internet.
  • Le pentest interno, logrado dando acceso interno al pentester (acceso que podría haber obtenido un hacker).
  • Le prueba del producto, que se refiere, por ejemplo, a un dispositivo, un dispositivo electrónico o incluso un software específico.

Además de esto, también existen diferentes tipos de metodologías, dependiendo de la cantidad de información previa que tenga el pentester. Así distinguimos el pentest en:

  • “Caja Negra”, sin información,
  • “Caja gris” con cierta información, como un par de nombre de usuario y contraseña o un mapa del sistema de información,
  • “Caja Blanca” con toda la información.

El pentesting es una actividad muy regulada, en particular por la ley, normas internacionales como ISO, benchmarks como MITRE ATT&CK o certificaciones (OWASP, por ejemplo), cuyo dominio atestigua conocimiento y probidad.

El procedimiento típico para un pentest

Un pentest generalmente se lleva a cabo en cinco etapas principales:

  1. Reconocimiento : el pentester recopila datos sobre su objetivo, generalmente utilizando herramientas (Sublist3r, Nmap, Nessus, OpenVAS, Burp Suite, Wireshark, Aircrack-ng…).
  2. Escaneo en busca de vulnerabilidades : el pentester identifica las debilidades de seguridad.
  3. Explotación de vulnerabilidades : el pentester intenta penetrar el sistema utilizando vulnerabilidades identificadas en el perímetro.
  4. Persistencia : el pentester intenta encontrar mecanismos que le permitan ampliar su control y permanecer en el sistema durante mucho tiempo.
  5. Limpieza : el pentester intenta eliminar sus huellas para borrar cualquier marca de su paso.

¿La palabra clave de estas diferentes etapas? Realismo. Estos diferentes pasos simplemente se refieren a cómo trabaja un ciberdelincuente.

Especialidades del pentesting y principales habilidades requeridas

Como disciplina, el pentesting se organiza en diferentes especialidades. Cada especialidad requiere un cierto número de habilidades técnicas. Entre los diferentes perfiles de pentester distinguimos:

  • En especialistas en ataques a redes de comunicaciones, con fuertes habilidades en redes, protocolos y arquitecturas de red.
  • En especialistas en criptografía, quienes cuentan con excelentes conocimientos en algoritmos, ingeniería de software y matemáticas.
  • En especialistas en ataques web, que conocen los principales frameworks a los que se dirige, las fortalezas y debilidades de los módulos y los lenguajes informáticos utilizados.
  • En especialistas en ataques físicos al hardware, capaz de forzar una cerradura, desactivar una alarma o incluso modificar dispositivos de videovigilancia.
  • En especialistas humanos, expertos en ingeniería social y capaces de comprometer a los usuarios.

Las vulnerabilidades más buscadas por los pentesters se relacionan con inyecciones de código, consultas y plantillas, y omisiones de autenticación. Tenga en cuenta: el El pentester debe saber codificar. (Python, C, Go, Ruby, LUA, ensamblador, Perl), porque es posible que tenga que escribir sus propios programas. También debe entrenar continuamente para mantener sus habilidades actualizadas.

Profundamente enamorado de la libertad, el pentester puede ser un poco solitario, pero este rasgo de carácter a menudo se ve compensado por una capacidad para trabajar en equipo y un deseo real de compartir sus conocimientos y experiencias.

Mayores necesidades de formación

Una oferta formativa en pentesting estructurada

El sector de la ciberseguridad se caracteriza por una escasez de talento: 3,5 millones de puestos de trabajo estarán vacantes en todo el mundo en 2023, según Cybersecurity Ventures. Por lo tanto, la demanda de pentesters es actualmente muy fuerte a nivel internacional. En Francia, algunas escuelas de ingeniería informática ofrecen una sección en el último año que permite a los estudiantes aspirar al pentesting. También hay cursos de formación para la certificación. Certificación anglosajona Hacker ético certificado o CEH es el más conocido.

En una profesión que pone gran énfasis en la práctica y valora la experiencia por encima de todo, los pentesters deben mejorar continuamente sus habilidades. Si bien se forman mucho por su cuenta, también aprenden mucho a través del contacto con sus pares, a través de las comunidades, pero también dentro de las organizaciones de formación. “Los sistemas son cada vez más complejos, las tecnologías están evolucionando. Los pentesters deben especializarse”, señala Julien Valiente. Por ello, actualmente se encuentra en proceso de estructuración la oferta formativa en torno al pentesting, en particular la formación continua, cuya oferta es cada vez más amplia.

Una necesidad de aculturación al pentesting

La formación en torno al pentesting no sólo interesa a los pentesters. Las obligaciones de seguridad exigen que las empresas supervisen periódicamente el correcto funcionamiento de su seguridad. El pentesting es una forma de cumplir con estas obligaciones, además de las auditorías de seguridad y los escaneos de vulnerabilidades, que no tienen los mismos fines.

Por lo tanto, el pentesting también afecta a toda una categoría de personas que ejercen responsabilidades en el ámbito de la ciberseguridad y necesitan que los pentesters evalúen su sistema. Al formarse en pentesting, los CISO, CIO y líderes empresariales buscan, por ejemplo, asegurarse de que el servicio de pentesting que están a punto de lanzar esté bien estructurado. “También aprenden a afrontar mejor las amenazas al descubrir concretamente cómo lo hacen los atacantes”, subraya Julien Valiente. En resumen, buscan comprender mejor cómo razonan y operan los piratas.

Pentesting: mucho más que un trabajo, un estado de ánimo

Un “espíritu hacker”

“¡No te conviertes en pentester, descubres que lo eres!” », se ríe Julien Valiente. Dado que el pentesting proviene de la actividad de hacking, es una práctica antes que una profesión. “Es una forma de ver las cosas, que consiste en interesarse por el funcionamiento de nuevas herramientas y sistemas y preguntarse cómo desviarlos para hacer un mejor uso de ellos, un uso imprevisto, pero más divertido, más seguro o incluso más respetuoso con nosotros. la protección de las libertades y de los datos”. El pentesting no es una disciplina neutral. También estamos hablando de un “espíritu hacker”, dentro del cual la ética, la moral y la libertad ocupan un lugar importante.

Libertad, emulación, progresión permanente: los principales atractivos de la profesión

“Aproximadamente un tercio del tiempo de un hacker lo dedica a escribir informes. Esta parte del trabajo puede resultar a veces desagradable, pero tiene muchos otros atractivos”, informa Julien Valiente. Los pentesters generalmente están muy apegados a la noción de libertad y aprecian trabajar a su propio ritmo, en función de misiones y objetivos. Suelen ser muy activos en diferentes comunidades. Ayudas mutuas, congresos y concursos mantienen una emulación permanente.

Aún poco conocida, la profesión de pentester es fundamental para garantizar la seguridad y la integridad de los sistemas informáticos actuales. Ante el crecimiento exponencial de las ciberamenazas y el aumento de las cuestiones relacionadas con la protección de datos, las empresas e instituciones son cada vez más conscientes de la necesidad de invertir en este tipo de habilidades. La formación continua es fundamental en este campo en constante evolución. Los profesionales deben mantenerse actualizados sobre las últimas técnicas de ataque y defensa, así como sobre las herramientas y regulaciones vigentes. Certificaciones reconocidas internacionalmente, como CEH, OSCP y CISSP, son pruebas de habilidades que facilitan la integración de los pentesters en el mercado laboral y ayudan a establecer su credibilidad.

Además, es necesario promover la ética y la responsabilidad dentro de la profesión, para garantizar la legalidad y la confianza entre los pentesters y sus clientes. Los centros de formación y los organismos de certificación tienen un papel crucial que desempeñar en este proceso.

También pueden interesarle estos artículos

Gobernanza de la SI Gobernanza de la SI: implicación de las unidades de negocio en la seguridad corporativa ¿Qué certificación informática es mejor para su empresa?¿Qué certificación informática es más beneficiosa para su empresa? Director de Seguridad de Sistemas de Información (CISO) Responsable de Seguridad de Sistemas de Información (ISSM): más que un trabajo, ¡es una misión!

ARTÍCULO ANTERIOR

Usos insospechados de ChatGPT en los negocios

ARTÍCULO SIGUIENTE

Web scraping: cómo recuperar automáticamente datos de la web

Nuestro experto

julián VALIENTE

Ciberseguridad

Licenciado en ciencias por la Universidad de Aix-Marseille y en gestión estratégica de la información por Sciences Po […]

dominio asociado

Ciberseguridad

formación asociada

Hacker ético certificado v12 - Consejo de la CE

Detección de intrusiones

Hacking y seguridad, nivel 2, experiencia