logo ORSYS Le mag

El medio de la formación y las competencias

Inicio > Tecnologías digitales > Ciberseguridad > Pentester, un hacker ético que protege tu negocio

Pentester, un hacker ético que protege tu negocio

Publicado el 16 de mayo de 2023
Compartir esta página :

¿Y si una de las mejores formas de comprobar el nivel de seguridad de una empresa fuera pensar como un hacker? Eso es exactamente lo que el pentesterhacker ético. ¿En qué consiste realmente este trabajo? Averígüelo con uno de ellos, Julien Valiente.

Ilustración del artículo de trabajo de pentester

"Un pentester es un hacker que convierte su pasión en profesión": así resume Julien Valiente, Presidente de la empresa de hacking ético Cyberwings y formador de ORSYS, esta profesión especializada en ciberseguridad. Un pentester es un hacker profesional especializado en pruebas de penetración (pentests). ¿Su misión? Identificar vulnerabilidades en sistemas informáticos, redes, aplicaciones y sitios web para ayudar a las empresas a mejorar su seguridad. El trabajo requiere sólidas competencias técnicas y, cada vez más demandadas, metodológicas, combinadas con cierta mentalidad.

El pentester, un hacker profesional

¿Has dicho hacker ético?

Aunque el término "hacker" existe en Estados Unidos desde los años 50, en Francia ha tenido mala prensa durante mucho tiempo. "En sí mismo, el hacking no es ni bueno ni malo. Un hacker es ante todo un manitas. Algunos tienen malas intenciones. Otros, como los pentesters, tienen una 'ética'", explica Julien Valiente. En Francia, la palabra "pentester" apareció hacia 2010 y se refiere a la práctica del hacking como parte de una actividad profesional.

¿Cómo es su día a día?

"El pentester practica el hacking con fines éticos a través de pruebas de penetración", repite Julien Valiente. Su trabajo consiste en identificar puntos débiles, fallos y defectos de seguridad. Poniéndose en la piel de un atacante, identifica los escenarios de ataque y los caminos que podrían seguir los hackers. El objetivo último de su misión es ayudar a las empresas a implantar las medidas de protección adecuadas.

En la práctica, las actividades diarias del pentester se organizan en torno a tres tareas principales. La primera consiste en realizar pruebas de penetración para tratar de encontrar fallos en los sistemas de seguridad. El segundo se refiere a laredacción de informes que contiene resúmenes de información y correlaciones de datos. El pentester transcribe los puntos débiles que detecta en materia de seguridad. Por último, dedican el resto de su tiempo a realizar pruebas para mejorar su práctica.

¿Asalariado o autónomo?

Algunas grandes empresas contratan a pentesters asalariados si sus necesidades lo justifican. De este modo, los pentesters pueden probar sistemáticamente los nuevos productos desarrollados internamente por la empresa.

Dado que estas competencias están muy solicitadas actualmente, los sueldos de los pentesters no suelen bajar de 40.000 euros brutos al año para los principiantes. Los perfiles más experimentados (de 8 a 10 años de carrera) cobran entre 70.000 y 85.000 euros brutos al año.

Además, muchos pentesters trabajan como autónomos, de modo que pueden elegir sus encargos en función del interés técnico y el reto que representen. La persona responsable de definir el alcance del encargo suele ser el CISOA continuación vienen las pruebas de penetración propiamente dichas, que llevan a cabo el departamento informático (cuando quiere probar la seguridad de una nueva arquitectura) o el jefe de producto (en el marco del lanzamiento de un software, por ejemplo). Luego vienen las pruebas de penetración propiamente dichas.

Pruebas de intrusión en la práctica: ¿qué métodos, qué competencias?

Los diferentes tipos de pentest

Los diferentes tipos de pentest

No todos los pentests se crean en las mismas condiciones. Existen tres tipos principales:

  • Le pentest externoEl pentester intenta entrar en el sistema de información del cliente desde Internet.
  • Le pentest internoEsto se consiguió dando al pentester acceso interno (acceso que podría haber obtenido un hacker).
  • Le prueba del productoque se refiere, por ejemplo, a un aparato, un dispositivo electrónico o un programa informático específico.

También existen distintos tipos de metodología, en función de la cantidad de información previa de que disponga el pentester. El pentester puede dividirse en :

  • "Caja Negra", sin información,
  • Una "caja gris" con información como el nombre de usuario y la contraseña o un mapa del sistema de información,
  • "Caja blanca" con toda la información.

El pentesting es una actividad muy regulada, que se rige por la ley, por normas internacionales como ISO y por normas como MITRE ATT&CK o certificaciones (OWASP(por ejemplo), cuyo dominio atestigua saber hacer y probidad.

Un pentest típico

Un pentest suele constar de cinco etapas principales:

  1. Reconocimiento El pentester recopila datos sobre su objetivo, generalmente utilizando herramientas como Sublist3r, Nmap, Nessus, OpenVAS, Burp Suite, Wireshark y Aircrack-ng.
  2. Exploración de vulnerabilidades El pentester identifica los puntos débiles en materia de seguridad.
  3. Explotación de vulnerabilidades El pentester intenta penetrar en el sistema utilizando las vulnerabilidades identificadas en el perímetro.
  4. Persistencia El pentester trata de encontrar mecanismos que le permitan ampliar su control y permanecer en el sistema a largo plazo.
  5. Limpieza : el pentester intenta eliminar sus huellas para borrar cualquier marca de su paso.

¿La consigna para estas diferentes etapas? Realismo. Estas diferentes etapas se refieren simplemente a la forma de proceder de un ciberdelincuente.

Especialidades de Pentesting y principales competencias requeridas

Como disciplina, el pentesting se organiza en diferentes especialidades. Cada especialidad requiere un cierto número de competencias técnicas. Los diferentes perfiles de pentesters incluyen :

  • En especialistas ataques a las redes de comunicacióncon sólidos conocimientos de redes, protocolos y arquitecturas de red.
  • En especialistas en criptografíaque tengan excelentes conocimientos de algoritmos, ingeniería de software y matemáticas.
  • En especialistas en ataques webConocen los principales marcos de destino y los puntos fuertes y débiles de los módulos y lenguajes informáticos utilizados.
  • En especialistas en ataques físicos a equiposPueden forzar cerraduras, desactivar alarmas y modificar sistemas de videovigilancia.
  • En especialistas en personalSon expertos en ingeniería social y son capaces de comprometer a los usuarios.

Las vulnerabilidades más buscadas por los piratas informáticos se refieren a inyecciones código, peticiones y plantillas, y eludir los métodos de autenticación.. Nota: el El pentester debe saber codificar. (Python, C, Go, Ruby, LUA, ensamblador, Perl), ya que pueden tener que escribir sus propios programas. Además, deben recibir formación continua para mantener al día sus conocimientos.

Profundamente amante de la libertad, el pentester puede ser un poco solitario, pero este rasgo de carácter suele compensarse con una capacidad para trabajar en equipo y un auténtico deseo de compartir sus conocimientos y experiencia.

Mayores necesidades de formación

Una oferta formativa en pentesting estructurada

Hay escasez de talento en el sector de la ciberseguridad: según Cybersecurity Ventures, en 2023 habrá 3,5 millones de puestos de trabajo sin cubrir en todo el mundo. Así que actualmente hay una demanda internacional muy fuerte de pentesters. En Francia, algunas escuelas de ingeniería informática ofrecen una sección en su último año que permite a los estudiantes aspirar al pentesting. También hay cursos que conducen a la certificación. Certificación anglosajona Hacker ético certificado o CEH es el más conocido.

En una profesión que se basa en gran medida en la experiencia práctica, los pentesters necesitan mejorar continuamente sus habilidades. Aunque realizan gran parte de su propia formación, también aprenden mucho de sus compañeros, a través de comunidades y organizaciones de formación. "Los sistemas son cada vez más complejos y las tecnologías evolucionan. Los pentesters necesitan especializarse", señala Julien Valiente. Por ello, actualmente se está estructurando la oferta de formación en el ámbito del pentesting, sobre todo en el campo de la formación continua, que cada vez está más surtida.

Necesidad de aculturación al pentesting

La formación en pentesting no sólo interesa a los pentesters. Las obligaciones en materia de seguridad obligan a las empresas a comprobar periódicamente que su seguridad funciona correctamente. El pentesting es una forma de cumplir con estas obligaciones, además de las auditorías de seguridad y los escaneos de vulnerabilidades, que no sirven para el mismo propósito.

Por tanto, el pentesting también concierne a toda una categoría de personas que tienen responsabilidades en el ámbito de la ciberseguridad y necesitan que sus sistemas sean evaluados por pentesters. Al formarse en pentesting, los CISO, los CIO y los directores de empresa, por ejemplo, pretenden asegurarse de que el servicio de pentesting que van a poner en marcha estará bien gestionado. "También aprenden a enfrentarse mejor a las amenazas descubriendo concretamente cómo actúan los atacantes", subraya Julien Valiente. En resumen, pretenden comprender mejor cómo razonan y proceden los hackers.

Pentesting: más que un trabajo, es un estado de ánimo

Un "espíritu hacker

"No te conviertes en pentester, descubres que lo eres", se ríe Julien Valiente. Como el pentesting procede del hacking, es una práctica antes que una profesión. "Es una forma de ver las cosas, que consiste en interesarse por el funcionamiento de las nuevas herramientas y sistemas y preguntarse cómo se les puede sacar más partido, para usos inesperados más divertidos, más seguros o incluso más respetuosos con la protección de las libertades y los datos". El pentesting no es una disciplina neutral. De hecho, se habla de un "espíritu hacker", en el que la ética, la moral y la libertad desempeñan un papel importante.

Libertad, emulación, progreso constante: los principales atractivos de la profesión

"Un hacker dedica aproximadamente un tercio de su tiempo a redactar informes. Esta parte del trabajo a veces puede resultar desagradable, pero hay muchos otros atractivos", afirma Julien Valiente. Los pentesters suelen estar muy apegados a la noción de libertad y disfrutan trabajando a su propio ritmo, en función de tareas y objetivos. Suelen ser muy activos en diversas comunidades. El apoyo mutuo, las conferencias y los concursos mantienen la competitividad.

Aún poco conocido, el oficio de pentester es esencial para garantizar la seguridad y la integridad de los sistemas informáticos actuales. Ante el crecimiento exponencial de las ciberamenazas y los crecientes retos que plantea la protección de datos, las empresas e instituciones son cada vez más conscientes de la necesidad de invertir en este tipo de competencias. La formación continua es esencial en este campo en constante evolución. Los profesionales necesitan estar al día de las últimas técnicas de ataque y defensa, así como de las herramientas y normativas vigentes. Las certificaciones reconocidas internacionalmente, como CEH, OSCP y CISSP, son pruebas de competencias que facilitan la integración de los pentesters en el mercado laboral y establecen su credibilidad.

Además, es necesario promover la ética y la responsabilidad dentro de la profesión, para garantizar la legalidad y la confianza entre los pentesters y sus clientes. Los centros de formación y los organismos de certificación tienen un papel crucial que desempeñar en este proceso.

También pueden interesarle estos artículos

Gobernanza de la SI Gobernanza de la SI: implicación de las unidades de negocio en la seguridad corporativa ¿Qué certificación informática es mejor para su empresa?¿Cuál certificación informática es más beneficiosa para su empresa? Director de Seguridad de Sistemas de Información (CISO) Responsable de Seguridad de Sistemas de Información (ISSM): más que un trabajo, ¡es una misión!

ARTÍCULO ANTERIOR

Usos insospechados de ChatGPT en los negocios

ARTÍCULO SIGUIENTE

Web scraping: cómo recuperar automáticamente datos de la web

Nuestro experto

julián VALIENTE

Ciberseguridad

Licenciado en ciencias por la Universidad de Aix-Marseille y en gestión estratégica de la información por Sciences Po […]

ámbito de formación

Ciberseguridad

formación asociada

Hacker ético certificado v12 - Consejo de la CE

Detección de intrusiones

Hacking y seguridad, nivel 2, experiencia