¿Qué pasaría si una de las mejores formas de probar la postura de seguridad de una empresa fuera pensar como un hacker? Esto es precisamente lo que hace el pentester o hacker ético. ¿En qué consiste realmente este trabajo? Elementos de respuesta con uno de ellos, Julien Valiente.
“El pentester es un hacker que convierte su pasión en una profesión”: así resume en pocas palabras Julien Valiente, presidente de la empresa de hacking ético Cyberwings y formador de ORSYS, esta profesión especializada en ciberseguridad. El pentester es, por tanto, un hacker profesional especializado en pruebas de intrusión (pentests). ¿Su misión? Identifique vulnerabilidades en sistemas informáticos, redes, aplicaciones e incluso sitios web para ayudar a las empresas a mejorar su seguridad. La profesión requiere sólidas capacidades técnicas y, cada vez más buscadas, habilidades metodológicas, asociadas a un determinado estado de ánimo.
El pentester, un hacker profesional
¿Dijiste hacker ético?
Si el término “hacker” existe en Estados Unidos desde la década de 1950, desde hace mucho tiempo tiene mala prensa en Francia. “En sí mismo, el hacking no es ni bueno ni malo. El hacker es ante todo un manipulador. Algunas personas tienen intenciones maliciosas, son piratas informáticos. Otros, como los pentesters, tienen “ética””, explica Julien Valiente. En Francia, la palabra “pentester” apareció alrededor de la década de 2010 y designa la práctica del hacking en el marco de una actividad profesional.
¿Cómo es su vida diaria?
“El pentester practica el hackeo con fines éticos mediante pruebas de intrusión”, repite Julien Valiente. De hecho, es responsable de identificar puntos débiles, fallos y defectos de seguridad. Al ponerse en la piel de un atacante, identifica escenarios de ataque y caminos que podrían tomar los piratas informáticos. El objetivo final de su misión es ayudar a las empresas a implementar las medidas de protección adecuadas.
En concreto, las actividades del pentester se organizan diariamente en torno a tres misiones principales. El primero consiste en realizar pruebas de intrusión para intentar encontrar fallos en los sistemas de seguridad. El segundo se refiere a laescribir informes que contiene resúmenes de información y correlaciones de datos. El pentester transcribe los puntos débiles que detecta en términos de seguridad. Finalmente, dedica el resto de su tiempo a Realiza pruebas para mejorar tu práctica..
¿Empleado o autónomo?
Algunas grandes empresas contratan pentesters asalariados si sus necesidades lo justifican. De este modo, los pentesters pueden probar interna y sistemáticamente nuevos productos desarrollados por la empresa.
Estas habilidades tienen actualmente una gran demanda; el salario de los pentesters generalmente no baja de los 40.000 euros brutos al año para los principiantes. En cuanto a los perfiles más experimentados (8 a 10 años de carrera), obtienen salarios que rondan los 70.000 € y 85.000 € brutos anuales.
Además, muchos pentesters trabajan de forma independiente para poder elegir sus misiones según el interés técnico y el desafío que representan. La persona responsable de definir los contornos de la misión es generalmente el CISO, el CIO (cuando quiere probar la seguridad de una nueva arquitectura) o el product manager (como parte del lanzamiento de un software, por ejemplo). Luego vienen las pruebas de penetración reales.
Pruebas de penetración en la práctica: ¿qué métodos, qué habilidades?
Los diferentes tipos de pentests
Los diferentes tipos de pentests
No todos los pentests se realizan en las mismas condiciones. Hay tres tipos principales:
- El pentest externo, durante el cual el pentester intenta ingresar al sistema de información del cliente desde Internet.
- El pentest interno, logrado dando acceso interno al pentester (acceso que podría haber obtenido un hacker).
- El prueba del producto, que se refiere, por ejemplo, a un dispositivo, un dispositivo electrónico o incluso un software específico.
Además de esto, también existen diferentes tipos de metodologías, dependiendo de la cantidad de información previa que tenga el pentester. Así distinguimos el pentest en:
- “Caja Negra”, sin información,
- “Caja gris” con cierta información, como un par de nombre de usuario y contraseña o un mapa del sistema de información,
- “Caja Blanca” con toda la información.
El pentesting es una actividad muy regulada, en particular por la ley, normas internacionales como ISO, benchmarks como MITRE ATT&CK o certificaciones (OWASP, por ejemplo), cuyo dominio atestigua conocimiento y probidad.
El procedimiento típico para un pentest
Un pentest generalmente se lleva a cabo en cinco etapas principales:
- Reconocimiento : el pentester recopila datos sobre su objetivo, generalmente utilizando herramientas (Sublist3r, Nmap, Nessus, OpenVAS, Burp Suite, Wireshark, Aircrack-ng…).
- Escaneo en busca de vulnerabilidades : el pentester identifica las debilidades de seguridad.
- Explotación de vulnerabilidades : el pentester intenta penetrar el sistema utilizando vulnerabilidades identificadas en el perímetro.
- Persistencia : el pentester intenta encontrar mecanismos que le permitan ampliar su control y permanecer en el sistema durante mucho tiempo.
- Limpieza : el pentester intenta eliminar sus huellas para borrar cualquier marca de su paso.
¿La palabra clave de estas diferentes etapas? Realismo. Estos diferentes pasos simplemente se refieren a cómo trabaja un ciberdelincuente.
Especialidades del pentesting y principales habilidades requeridas
Como disciplina, el pentesting se organiza en diferentes especialidades. Cada especialidad requiere un cierto número de habilidades técnicas. Entre los diferentes perfiles de pentester distinguimos:
- Las especialistas en ataques a redes de comunicaciones, con fuertes habilidades en redes, protocolos y arquitecturas de red.
- Las especialistas en criptografía, quienes cuentan con excelentes conocimientos en algoritmos, ingeniería de software y matemáticas.
- Las especialistas en ataques web, que conocen los principales frameworks a los que se dirige, las fortalezas y debilidades de los módulos y los lenguajes informáticos utilizados.
- Las especialistas en ataques físicos al hardware, capaz de forzar una cerradura, desactivar una alarma o incluso modificar dispositivos de videovigilancia.
- Las especialistas humanos, expertos en ingeniería social y capaces de comprometer a los usuarios.
Las vulnerabilidades más buscadas por los pentesters se relacionan con inyecciones de código, consultas y plantillas, y omisiones de autenticación. Tenga en cuenta: el El pentester debe saber codificar. (Python, C, Go, Ruby, LUA, ensamblador, Perl), porque es posible que tenga que escribir sus propios programas. También debe entrenar continuamente para mantener sus habilidades actualizadas.
Profundamente enamorado de la libertad, el pentester puede ser un poco solitario, pero este rasgo de carácter a menudo se ve compensado por una capacidad para trabajar en equipo y un deseo real de compartir sus conocimientos y experiencias.
Mayores necesidades de formación
Una oferta formativa en pentesting estructurada
Hay escasez de talento en el sector de la ciberseguridad: según Cybersecurity Ventures, en 2023 habrá 3,5 millones de puestos de trabajo sin cubrir en todo el mundo. Así que actualmente hay una demanda internacional muy fuerte de pentesters. En Francia, algunas escuelas de ingeniería informática ofrecen una sección en su último año que permite a los estudiantes aspirar al pentesting. También hay cursos que conducen a la certificación. Certificación anglosajona Hacker ético certificado o CEH es el más conocido.
En una profesión que pone gran énfasis en la práctica y valora la experiencia por encima de todo, los pentesters deben mejorar continuamente sus habilidades. Si bien se forman mucho por su cuenta, también aprenden mucho a través del contacto con sus pares, a través de las comunidades, pero también dentro de las organizaciones de formación. “Los sistemas son cada vez más complejos, las tecnologías están evolucionando. Los pentesters deben especializarse”, señala Julien Valiente. Por ello, actualmente se encuentra en proceso de estructuración la oferta formativa en torno al pentesting, en particular la formación continua, cuya oferta es cada vez más amplia.
Una necesidad de aculturación al pentesting
La formación en torno al pentesting no sólo interesa a los pentesters. Las obligaciones de seguridad exigen que las empresas supervisen periódicamente el correcto funcionamiento de su seguridad. El pentesting es una forma de cumplir con estas obligaciones, además de las auditorías de seguridad y los escaneos de vulnerabilidades, que no tienen los mismos fines.
Por lo tanto, el pentesting también afecta a toda una categoría de personas que ejercen responsabilidades en el ámbito de la ciberseguridad y necesitan que los pentesters evalúen su sistema. Al formarse en pentesting, los CISO, CIO y líderes empresariales buscan, por ejemplo, asegurarse de que el servicio de pentesting que están a punto de lanzar esté bien estructurado. “También aprenden a afrontar mejor las amenazas al descubrir concretamente cómo lo hacen los atacantes”, subraya Julien Valiente. En resumen, buscan comprender mejor cómo razonan y operan los piratas.
Pentesting: mucho más que un trabajo, un estado de ánimo
Un “espíritu hacker”
“¡No te conviertes en pentester, descubres que lo eres!” », se ríe Julien Valiente. Dado que el pentesting proviene de la actividad de hacking, es una práctica antes que una profesión. “Es una forma de ver las cosas, que consiste en interesarse por el funcionamiento de nuevas herramientas y sistemas y preguntarse cómo desviarlos para hacer un mejor uso de ellos, un uso imprevisto, pero más divertido, más seguro o incluso más respetuoso con nosotros. la protección de las libertades y de los datos”. El pentesting no es una disciplina neutral. También estamos hablando de un “espíritu hacker”, dentro del cual la ética, la moral y la libertad ocupan un lugar importante.
Libertad, emulación, progresión permanente: los principales atractivos de la profesión
“Aproximadamente un tercio del tiempo de un hacker lo dedica a escribir informes. Esta parte del trabajo puede resultar a veces desagradable, pero tiene muchos otros atractivos”, informa Julien Valiente. Los pentesters generalmente están muy apegados a la noción de libertad y aprecian trabajar a su propio ritmo, en función de misiones y objetivos. Suelen ser muy activos en diferentes comunidades. Ayudas mutuas, congresos y concursos mantienen una emulación permanente.
Aún poco conocido, el oficio de pentester es esencial para garantizar la seguridad y la integridad de los sistemas informáticos actuales. Ante el crecimiento exponencial de las ciberamenazas y los crecientes retos asociados a la protección de datos, las empresas e instituciones son cada vez más conscientes de la necesidad de invertir en este tipo de competencias. La formación continua es esencial en este campo en constante evolución. Los profesionales necesitan estar al día de las últimas técnicas de ataque y defensa, así como de las herramientas y normativas vigentes. Las certificaciones reconocidas internacionalmente, como la CEHOSCP y CISSPTodas estas son pruebas de competencia que ayudan a los pentesters a integrarse en el mercado laboral y a establecer su credibilidad.
Además, es necesario promover la ética y la responsabilidad dentro de la profesión, para garantizar la legalidad y la confianza entre los pentesters y sus clientes. Los centros de formación y los organismos de certificación tienen un papel crucial que desempeñar en este proceso.
