Analista de seguridad cibernética: el Pentester

Analista de seguridad cibernética: el Pentester

Publicado en 13 enero 2020

Hora de lectura 2 minutos

Hemos entrevistado a “BLUE”, nuestro instructor Pentester, para conocer mejor y, sobre todo, comprender mejor este trabajo con gran demanda.


¿Pentester? Sí, ¿pero qué es?

Blue: “El Pentester (“Penetration tester”) es un auditor técnico en seguridad de los sistemas de información.

Su radio de acción:

  • pruebas de intrusión en función de diferentes perímetros:
  • página web
  • servidores
  • aplicaciones móviles 
  • software (incluidos clientes pesados)
  • auditoría de herramientas “hechas en casa”

En otras palabras, una empresa recurrirá a un Pentester para probar la fiabilidad y seguridad de su sistema."


¿Cómo se reconoce a un Pentester?

Blue “No hay un perfil estándar para convertirse en Pentester, uno se convierte en ello por legitimidad en función de sus competencias propias y probadas.

A fin de adquirir mayor legitimidad, a menudo haremos ejercicios técnicos en línea a través de rootme / hackthebox con un número de puntos públicos que aportan un verdadero valor agregado.

Otra solución son los bugs bounty. Una plataforma que comparte el caso de un cliente y que recurre a todos para encontrar posibles fallas (por ejemplo, HackerOne y YesWeHack).

Puede parecer extraño ir a probarse a sí mismo online para justificar sus habilidades, pero la realidad es que hay grandes desigualdades y, por lo tanto, hay formas de valoración que van más allá de lo normal.

Cuando no provenimos directamente del mundo de la tecnología, a veces es difícil encontrar un primer empleo en este universo. Lo más sencillo es tener un primer certificado que brinda seguridad (formación analista en seguridad cibernética en la Wild Code School) y algunas competencias técnicas (referencias en HacktheBox)”


El trabajo del Pentester

Blue: “Las misiones del Pentester son a menudo cortas, de 1 a 2 semanas. Existen 2 categorías:

  • Blackbox: intrusión sin ninguna información. Prueba muy realista… pero menos precisa.
  • Whitebox: intrusión con toda la información para auditar mejor… más avanzada.

A veces también se puede recurrir a él para misiones más largas:

  • RedTeam: intrusión física, carta blanca de la empresa, sólo la Dirección está al corriente.

El pentester puede trabajar como proveedor, o en un servicio especializado interno en grandes empresas.

En general, es un oficio que raramente se ejerce más de 10 años. Lógicamente, el siguiente paso es pasar a dirigir un equipo técnico o especializarse en la investigación (siempre en la seguridad informática).

Desde un principio, el pentester gana unos 38/45 000 €/año y ascenderá hasta 50K después de 4 o 5 años de experiencia.”


Para continuar, Blue, explícanos una de tus misiones:

Blue: ¡Imposible! Tengo un contrato de confidencialidad, es imposible para mí citar inclusive una (la duración de la confidencialidad es de 30 años).

Lo más fácil si quieres saber más, es mirar por ejemplo, el caso de General Motors en la plataforma hackerone, y ¡meterte en el mundo de la seguridad  cibernética sin más demora!


Gracias de nuevo Blue por las explicaciones, y no te preocupes, hemos ocultado tu foto.