Cómo convertirte en un pentester: Guía para tu carrera en 2024

Read in English. (Leer en inglés.)

Los pentesters o probadores de penetración realizan ataques cibernéticos simulados en los sistemas y redes informáticas de una empresa. Estas pruebas autorizadas ayudan a identificar vulnerabilidades y debilidades de seguridad antes de que los hackers malintencionados tengan la oportunidad de explotarlas.

Una carrera como probador de penetración a menudo comienza con un puesto de seguridad cibernética de nivel inicial. En este artículo, entraremos en detalle en torno a lo que hacen los probadores de penetración, por qué esta carrera de ciberseguridad en demanda podría ser una buena opción para ti, y cómo comenzar.

¿Qué hace un pentester?

Como pentester, asumirás un papel proactivo y ofensivo en la ciberseguridad al crear ataques en los sistemas digitales existentes de una empresa. Estas pruebas pueden usar una variedad de herramientas y técnicas de piratería para encontrar brechas que los piratas informáticos podrían aprovechar. A lo largo del proceso, documentarás tus acciones en detalle y producirás un informe sobre lo que hiciste y el éxito que tuviste al violar los protocolos de seguridad.

Tareas y responsabilidades del probador de penetración

Las tareas diarias de un pentester variarán según la organización. A continuación, algunas tareas y responsabilidades comunes que puedes encontrar en este rol, todas extraídas de listas de trabajos reales:

• Hacer pruebas en aplicaciones, dispositivos de red e infraestructuras en la nube

• Diseñar y realizar ataques de ingeniería social simulados

• Investigar y experimentar con diferentes tipos de ataques

• Desarrollar metodologías para pruebas de penetración

• Revisar el código en busca de vulnerabilidades de seguridad

• Ingeniería inversa de malware o spam

• Cuestiones de seguridad y cumplimiento de documentos

• Automatizar las técnicas de prueba comunes para mejorar la eficiencia

• Redactar informes técnicos y ejecutivos

• Comunicar los hallazgos tanto al personal técnico como al liderazgo ejecutivo

• Validar las mejoras de seguridad con pruebas adicionales

¿Dónde trabajan los pentesters?

Los probadores de penetración generalmente funcionan en uno de tres entornos.

• Interno: Como probador de penetración interno, trabajas directamente para una empresa u organización. Esto generalmente te permite conocer bien los protocolos de seguridad de la empresa. También puedes tener más información sobre nuevas funciones y correcciones de seguridad.

• Empresa de seguridad: Algunas organizaciones contratan a una empresa de seguridad externa para generar pruebas de penetración. Trabajar para una empresa de seguridad ofrece una mayor variedad en los tipos de pruebas que podrás diseñar y realizar.

• Freelance: Algunos probadores de penetración eligen trabajar como autónomos. Elegir este camino puede brindarte una mayor flexibilidad en tu horario, pero es posible que debas dedicar más tiempo a buscar clientes al principio de tu carrera.

Pruebas de penetración vs. piratería ética

Los términos pruebas de penetración y piratería ética a veces se usan indistintamente en el mundo de la ciberseguridad. Sin embargo, los dos términos tienen significados un poco diferentes. Las pruebas de penetración se centran en localizar problemas de seguridad en sistemas de información específicos sin causar ningún daño. La piratería ética(ethical hacking), es un término general más amplio que incluye una gama más extensa de métodos de piratería. 

Puedes pensar en las pruebas de penetración como una faceta de la piratería ética. Ambos roles se superponen con un Equipo Rojo de ciberseguridad, el grupo que brinda retroalimentación de seguridad desde la perspectiva del adversario.

Cómo convertirte en un probador de penetración

Como probador de penetración, puedes ganar un salario pirateando de forma legal los sistemas de seguridad. Puede ser un trabajo emocionante y acelerado si estás interesado en la ciberseguridad y la resolución de problemas. En esta sección, veremos más de cerca los pasos que puedes seguir para obtener tu primer trabajo como probador de penetración.

1. Desarrolla habilidades de pruebas de penetración.

Los probadores de penetración necesitan una sólida comprensión de la tecnología de la información (TI) y los sistemas de seguridad para probarlos en busca de vulnerabilidades. Las habilidades que puedes encontrar en la descripción del trabajo de un probador de penetración incluyen:

• Seguridad de redes y aplicaciones

• Lenguajes de programación, especialmente para scripting (Python, BASH, Java, Ruby, Perl)

• Modelado de amenazas

• Entornos Linux, Windows y MacOS

• Herramientas de evaluación de seguridad

• Plataformas de gestión de pentest

• Redacción técnica y documentación

• Criptografía

• Arquitectura en la nube

• Tecnologías de acceso remoto

Herramientas populares de pruebas de penetración

Los pentesters modernos tienen una gama de herramientas para ayudar a que su trabajo sea más rápido y eficiente. Si estás interesado en convertirte en un pentester, puede ser útil familiarizarte con una o más de estas herramientas:

• Kali Linux: Sistema operativo popular de pentesting

• Nmap: Escáner de puertos para descubrimiento de redes

• Wireshark: Rastreador de paquetes para analizar el tráfico en tu red

• John the Ripper: Descifrador de contraseñas de código abierto (open source)

• Burp Suite: Herramientas de prueba de seguridad de aplicaciones

• Nessus: Herramienta de evaluación de vulnerabilidades

• Proxy OWASP ZAP: Escáner de seguridad de aplicaciones web

2. Inscríbete en un curso o programa de capacitación.

Una de las mejores maneras de comenzar a desarrollar las habilidades que necesitarás como pentester es inscribirte en un curso o programa de capacitación especializado. Con este tipo de programas, podrás aprender en un entorno más estructurado mientras desarrollas múltiples habilidades a la vez.

Si eres nuevo en ciberseguridad, considera una opción como el Certificado profesional en ciberseguridad de Google. A través de una combinación de videos, evaluaciones y laboratorios prácticos, podrás aprender la importancia de las prácticas de la ciberseguridad y su impacto en las organizaciones. Además, podrás adquirir conocimiento para identificar los riesgos, amenazas y vulnerabilidades comunes, así como para proteger las redes, dispositivos, personas y datos de accesos no autorizados y ciberataques utilizando herramientas de gestión de eventos e información de seguridad.

¿Necesito un título para convertirme en un pentester?

Puede ser útil tener un título en informática, tecnología de la información o ciberseguridad, sin embargo, no todos los trabajos de pruebas de penetración requieren un título. Por lo general, tu nivel de experiencia y capacidad para completar la tarea son más importantes que el título que tengas. Si estás comenzando en ciberseguridad sin un título relacionado, podría ser útil obtener una certificación para validar tus habilidades.

3. Certifícate.

Las certificaciones de ciberseguridad demuestran a los reclutadores y gerentes de contratación que tienes las habilidades necesarias para tener éxito en la industria. Además de estas certificaciones de ciberseguridad más generales, también puedes certificarte en pruebas de penetración o piratería ética. Las certificaciones acreditadas a considerar incluyen:

• Hacker Ético Certificado (CEH)

• CompTIA PenTest+

• Probador de penetración GIAC (GPEN)

• Probador de penetración de aplicaciones web GIAC (GWAPT)

• Profesional Certificado en Seguridad Ofensiva (OSCP)

• Probador de penetración certificado (CPT)

Obtener una de estas certificaciones generalmente requiere aprobar un examen. En muchos casos, el examen es solo en inglés. Además de obtener una credencial para tu currículum, prepararte para un examen de certificación a menudo también puede ayudarte a desarrollar tus habilidades. Echa un vistazo a todos los certificados de carrera de Google aquí.

4. Practica en entornos reales y simulados.

Muchas empresas quieren contratar probadores de penetración con experiencia previa. Afortunadamente, hay maneras de comenzar a adquirir experiencia fuera del lugar de trabajo. Muchos programas de capacitación en pruebas de penetración incluyen pruebas prácticas en entornos simulados.

Otra manera de ganar experiencia (y hacer que tu currículum se destaque) es participar en programas de recompensas por errores(bug bounty programs). En estos programas, las empresas suelen ofrecer bonificaciones en efectivo a evaluadores de penetración independientes e investigadores de seguridad que encuentran y notifican fallas de seguridad o errores en su código. Es una excelente manera de poner a prueba tus habilidades y comenzar a establecer contactos con otros profesionales de la seguridad. Puedes encontrar programas de recompensas en empresas como Google y Apple [1, 2].

Finalmente, hay varios sitios web diseñados para permitir que los probadores de penetración practiquen y experimenten de manera legal, a través de experiencias divertidas y ludificadas. Aquí hay algunos sitios (en inglés) para empezar:

• Bugcrowd

• Hack the Box

• Hack This Site

• WebGoat

5. Comienza en un puesto de TI de nivel inicial.

Muchos pentesters comienzan en roles de ciberseguridad y TI de nivel inicial antes de avanzar a las pruebas de penetración. Si deseas seguir una carrera en pruebas de penetración, considera comenzar en un rol como administrador de redes, sistemas, o como analista de seguridad de la información. Esta es una manera notable para comenzar a desarrollar tus habilidades de TI.

6. Comienza tu búsqueda de empleo.

Cuando sientas que estás listo para comenzar a solicitar trabajos de pentester, asegúrate de ampliar tu búsqueda más allá de los sitios de trabajo habituales. LinkedIn, Indeed y Glassdoor son excelentes recursos—también puedes buscar en las bolsas de trabajo especializadas en ciberseguridad, como OCCMundial o Hireline.

¿Por qué debes hacer una carrera en pruebas de penetración?

Una carrera como pentester te brinda la oportunidad de aplicar tus habilidades de piratería para el bien común al ayudar a las organizaciones a protegerse de los ciberdelincuentes. También es una carrera profesional muy demandada y bien remunerada.

Salario del pentester

Los probadores de penetración en México puede ganar un salario de entre 29,250 a 71,750 pesos mensuales, con un promedio de 35,000 pesos al mes, según Talent [3]. Tu salario dependerá de una variedad de factores, que incluyen tu ubicación, experiencia, educación y certificaciones. Algunas industrias, como los servicios financieros y la contratación militar, tienden a pagar salarios más altos que otras.

Perspectiva laboral

La demanda de especialistas en ciberseguridad se ha disparado en la última década debido al aumento de las tasas de ciberdelincuencia, según la International Information System Security Certification Consortium [4]. La organización también calcula que en México hacen falta 260,000 profesionales de la industria de ciberseguridad. Como resultado, las carreras en seguridad cibernética brindan numerosos beneficios, incluyendo la seguridad laboral y un ingreso relativamente alto.

Carrera profesional para pentesters

A medida que adquieras experiencia como probador de penetración, puedes avanzar para liderar un equipo. Algunos evaluadores de penetración se convierten en gerentes de seguridad de la información e incluso pueden pasar a funciones ejecutivas.

Comienza tu carrera en ciberseguridad

Comienza a desarrollar habilidades de preparación para el trabajo en ciberseguridad con el Certificado profesional en ciberseguridad de Google en Coursera. Aprende de los mejores expertos de la industria y obtén una credencial para tu currículum en menos de seis meses.

Preguntas frecuentes (FAQ)