¿Por qué y Cómo Convertirse en un Tester de Penetración?

¿Por qué y cómo convertirse en un probador de penetración?

Quick Intro:

Un Pentester es un hacker ético que trabaja para una organización. Él está mayormente interesado en realizar ataques en el sistema, intentando utilizar un exploit aquí o allá en las redes, sistemas y aplicaciones basadas en la web de la organización. Su función principal es ser ese chico genial que puede ingresar al sistema legalmente; de hecho, eso es lo que por lo que el jefe paga. En el camino, puede hacer uso de algunas herramientas de penetración predeterminadas y también puede diseñar algunas de estas herramientas por sí mismo. Su trabajo es una simulación real del trabajo de un atacante cibernético, que desea ingresar al sistema por cualquier medio posible. Como resultado, ayuda a toda la organización a estar más segura contra tales ataques potenciales, y siempre se asegura de que todo en lo que un atacante pueda pensar, esté previamente protegido.

What responsibilities do a penetration tester have?

Este trabajo se puede considerar como uno atractivo ya que está concebido como el hacker de la organización, pero se debe esperar trabajar con bits de ceros y unos a lo largo del período de permanencia en este trabajo. ¡Se debe ser paciente amigo! La principal diferencia entre un Pentester y un hacker real, es que un hacker real no tiene límites de tiempo, mientras que un Pentester solo tiene algunos días para comprometer los sistemas. Después de estos días, un Pentester debe documentar sus enfoques para constar los sistemas y sus hallazgos. En general, la gente en el campo considera el Pentesting como uno de los trabajos más frustrantes en el mundo de InfoSec. La siguiente lista le da una idea acerca de la mayoría de las responsabilidades laborales que debe esperarse para este trabajo.

  • Se es responsable de realizar Pentesting (Testeo de Penetración) en las redes, sistemas y aplicaciones basadas en web de la organización.
  • Debe realizar algunas evaluaciones físicas en todos los dispositivos de red, sistemas y servidores que se utilizan dentro de la organización.
  • Siempre debe hacer todo lo posible para generar nuevas herramientas para usar con el fin de realizar Pentesting.
  • Siempre debe buscar las vulnerabilidades existentes que puedan estar ocultas en las aplicaciones web, aplicaciones de cliente ligero / delgado y aplicaciones estándar de la organización.
  • Se tiene que pensar como un atacante para determinar cualquier método que pueda usarse para lanzar un exploit y alterar el sistema de la organización. Siempre debe pensar en fallas lógicas que existen en la arquitectura de seguridad o en las redes.
  • Se es responsable de realizar muchas tareas de ingeniería social para descubrir lo que esté oculto. Esto puede ayudar a descubrir cualquier agujero de seguridad que exista, como prácticas de seguridad de usuarios deficientes o políticas de contraseña.
  • Siempre debe considerar los objetivos de negocio al diseñar estrategias de seguridad. Por ejemplo, debe tener en cuenta la pérdida de ingresos que puede estar asociada con el tiempo de inactividad o el costo del compromiso.
  • Debe realizar su propia investigación sobre los hallazgos que documentó y discutirlos con los equipos de TI interesados ​​y con la administración.
  • Debe definir y revisar claramente lo que se requiere para aplicar las soluciones de seguridad de la información.
  • También se tiene la responsabilidad de mejorar los servicios de seguridad que incluyen una mejora continua del material de la metodología existente y los activos de respaldo.
  • Luego de lo expuesto anterior, debe proporcionar sus comentarios y debe verificar constantemente que la organización resuelva un problema de seguridad.

Está claro que un Pentester debe estar muy preocupado por encontrar vulnerabilidades y explotarlas para obtener acceso y control en el sistema. Sin embargo, Danial Miessler destaca sobre un tema muy importante a este respecto en The Difference Between a Vulnerability Assessment and a Penetration Test (La diferencia entre una evaluación de vulnerabilidad y una prueba de penetración o Pentesting). Menciona que un Pentester no tiene que pasar por todo el proceso involucrado cuando encuentra una vulnerabilidad para demostrar su punto :

“Un equipo de Pentesting puede simplemente tomar fotografías al lado de la caja fuerte abierta, o mostrar que tienen acceso completo a una base de datos, etc., sin tomar realmente el conjunto completo de acciones que un criminal podría”.

Hay un grupo de personas ligeramente diferentes que a veces los confunden con los Pentesters. Estas personas se llaman Red Team testers (Testeadores del equipo rojo). Estos son, de hecho, algunos grupos de profesionales de TI que realizan algunos ataques en un amplio espectro. Para explicar mejor, el Red Team tester puede lanzar ataques a entes importantes como servicios públicos, sistemas informáticos militares, activos financieros, etc.

What is the difference between a Penetration Tester and a Vulnerability Assessor?

En realidad existe una gran diferencia entre un evaluador de vulnerabilidad y un Pentester. Una comparación entre ambos tiene el siguiente aspecto:

  • Un Pentester apunta a entrar en un sistema o explotar una vulnerabilidad en una aplicación que presume que es segura. En este caso, un cliente asume que lo que tienen ya está asegurado y desea que el Pentester lo ayude a hacerlo aún más seguro contra cualquier ataque potencial que pueda realizarse desde el punto de vista de un atacante. Un objetivo típico para un Pentester es obtener acceso a la base de datos del cliente en la red interna, o modificar algunos registros de recursos humanos de la organización.
  • Por otro lado, un evaluador de vulnerabilidades se centra en desarrollar una lista completa de vulnerabilidades de seguridad con prioridades para las acciones recomendadas. Los clientes aquí son, en su mayoría, muy conscientes del hecho de que no son los mejores en seguridad y quieren realizar algunas mejoras en consecuencia. Necesitan el evaluador de vulnerabilidades para ayudarles a detectar las vulnerabilidades y priorizarlas de acuerdo con los peligros asociados a ellas.

En general, un Pentester está orientado a objetivos, mientras que un evaluador de vulnerabilidades está orientado a listas.

What career paths can lead me here to become a Penetration tester?

No hay una ruta única a tomar para convertirse en un Pentester. Algunas personas confían en sus cursos de hacking y habilidades que adquirieron en la universidad, mientras que otras dependen de su especialidad en Ciencias de la Computación para especializarse y concentrarse en el campo de la seguridad cibernética.

Con respecto a las situaciones actuales, la mayoría de los empleadores no suelen contratar a personal recién graduado. Prefieren candidatos con experiencia en puestos de TI para este trabajo en específico. La siguiente lista proporciona algunos ejemplos de los trabajos con los que se puede comenzar antes de considerar la posibilidad de solicitar una posición de Pentester.

  • Administrador de seguridad
  • Administrador de red
  • Administrador de sistema
  • Ingeniero de redes

Después de obtener la experiencia suficiente en uno de estos trabajos e ir subiendo la escalera hasta convertirse en un Pentester, pase el tiempo allí y adquiera los conocimientos y la experiencia suficientes para obtener más entusiasmo en su carrera. En este momento, puede considerar uno de los trabajos que pagan mejor salario y que son más importantes en la jerarquía de trabajo dentro de la organización. Algunos ejemplos de tales trabajos se dan en la siguiente lista.

  • Pentester mayor
  • Consultor de seguridad
  • Arquitecto de seguridad

What are the other jobs that are similar to a Penetration Tester job?

De hecho, hay algunas otras terminologías comunes que se utilizan en el mercado para las mismas funcionalidades de trabajo que el de un Pentester. La siguiente lista establece dos de estos términos.

  • Hacker ético
  • Validador de aseguramiento

Tell me about the money.

El salario promedio de un Pentester es adecuado para su nivel en la jerarquía de posiciones. De acuerdo con PayScale, un Pentester paga $ 71,929 por año en promedio. El pago mínimo que se puede esperar de este trabajo según las cifras es de alrededor de $ 44.220 por año, mientras que el pago más alto que debe esperar es de alrededor de $ 117.398 por año. No hace falta decir que todas las cifras de pago incluyen su salario base anual, bonos, participación en los beneficios, propinas, comisiones, pago de horas extra y otras formas de ingresos en efectivo, según corresponda. Las cifras más altas no incluyen beneficios.

What is the required degree for this job?

Sorprendentemente, no hay un título específico que se deba tener para ser un candidato competitivo para un trabajo de Pentesting. Más sorprendentemente, una licenciatura en Ciencias de la Computación o Ciberseguridad no hace una diferencia de un título de maestría en el mismo campo así como tampoco de un título no técnico. El verdadero desafío es tener mucha experiencia y mostrarle al empleador lo hábil que se es cuando se trata de hackear y generar ataques. Se puede obtener experiencia real asistiendo a conferencias de hacking tanto como sea posible y complementando todas estas habilidades con certificaciones profesionales en el campo. En la última sección de esta página, encontrará una lista de certificaciones sugeridas que serían más que adecuadas para las funciones de Pentesting. Además, debe tener su propio laboratorio de Pentesting en el que realice sus pruebas y ataques. Siempre debe aprender de otros Pentesters y seguir leyendo sobre estos temas tanto como sea posible. También se recomienda echar un vistazo a los cursos SANS y aprender de ellos.

How much experience is required for this job?

En general, los empleadores estarán interesados ​​en revisar a los postulantes que tengan al menos 2 años de experiencia en el campo de la ciberseguridad con experiencia en las tareas de Pentesting y evaluación de vulnerabilidad. Por otro lado, si está considerando un trabajo más alto como Senior Penetration Tester, los años de experiencia varían según la escala de la organización que realmente esté considerando. A veces, los empleadores sólo requieren 3 años de experiencia para este trabajo, mientras que otros empleadores necesitarán ver de 7 a 10 años de experiencia en el campo.

What kind of hard skills are required for this job?

Se espera que los Pentesters ataquen diferentes sistemas y plataformas. Se debe tener un conocimiento muy sólido de los sistemas operativos, las comunicaciones y los protocolos de red. Esto se debe a que se le pedirá que realice varias tareas, como auditorías de seguridad, desarrollo de código, automatización de los procesos de seguridad y mucha  ingeniería inversa de binarios. La siguiente lista proporciona una descripción general de las principales habilidades técnicas que se deben tener para este trabajo como Pentester.

  • Un candidato perfecto debe ser experimentado en sistemas similares a Windows y Unix (como Linux)
  • Los lenguajes de programación como C, C ++, C #, Java, ASM, PHP y PERL deben estar bien consolodidados por el candidato.
  • Un candidato también debe estar familiarizado con las herramientas de escaneo en red como Nessus, Nmap, Burp Suite, etc.
  • Se requiere un conocimiento sólido de los sistemas de hardware y software.
  • También se recomienda la experiencia con aplicaciones basadas en web y su seguridad.
  • El candidato también debe estar familiarizado con los marcos de seguridad como ISO 27001/27002, NIST, HIPPA, SOX, etc.
  • El candidato tiene que ser experimentado con el framework Metasploit.
  • La experiencia con herramientas forenses también es una habilidad necesaria.
  • Un candidato perfecto también debe conocer los principios fundamentales de la criptografía y las mejores prácticas en este campo.

What sort of soft skills should a penetration tester have?

Debería disfrutar de una gran lista de habilidades interpersonales como la resolución de problemas, el pensamiento creativo y el pensamiento crítico. Tener una mente analítica que preste atención a todos los detalles es también una habilidad muy deseada desde la perspectiva de los empleadores. Debe mostrarle a su empleador potencial sus enfoques “fuera de la caja” cuando piense en cualquier problema. También debe tratar de demostrar a su empleador potencial qué tan altos son sus estándares éticos.

Además, se debería gozar de habilidades orales y de comunicación. Estas dos habilidades son realmente esenciales para cualquier puesto corporativo porque tratará con el personal técnico y el personal no técnico. Debe ser paciente y estar dispuesto a explicar sus enfoques de manera clara a sus colegas de diferentes niveles y antecedentes. Finalmente, debería poder escribir informes técnicos claros para demostrar todos los métodos para realizar los ataques. Usted debe transmitir sus ideas muy bien por escrito así como oralmente.

What certifications are recommended for the job of a Penetration Tester?

Hay un montón de excelentes certificaciones que podrían darle un gran impulso en su carrera y podrían ayudar mucho en el trabajo como Pentester. La siguiente lista intenta indicar la mayoría de las certificaciones recomendadas para este trabajo. Sin embargo, hay un par de notas que mencionar antes de revisar la lista. En primer lugar, en la industria actual, CEH se considera una certificación bastante flexible, por lo que debe tomarla pero no depender solo de ella. En segundo lugar, se recomienda preguntar a sus colegas sobre las ventajas y desventajas de obtener certificaciones como CPT / CEPT, GPEN y, especialmente, OSCP.

  • CEH: Certified Ethical Hacker// Pentester certificado
  • CPT: Certified Penetration Tester// Pentester certificados
  • CEPT: Certified Expert Penetration Tester// Pentester experto certificado
  • GPEN: GIAC Certified Penetration Tester// Pentester certificado GIAC
  • OSCP: Offensive Security Certified Professional// Profesional Certificado en Seguridad Ofensiva
  • CISSP: Certified Information Systems Security Professional// Profesional Certificado en Seguridad de Sistemas de Información
  • GCIH: GIAC Certified Incident Handler
  • GCFE: GIAC Certified Forensic Examiner// Examinador Forense Certificado GIAC
  • GCFA: GIAC Certified Forensic Analyst// Analista Forense Certificado GIAC
  • CCFE: Certified Computer Forensics Examiner// Examinador Forense Informático Certificado
  • CREA: Certified Reverse Engineering Analyst// Analista Certificado en Ingeniería Inversa