Aunque todos los profesionales de la ciberseguridad se beneficiarían de ser competentes en un lenguaje de programación, no hay duda de que algunos trabajos cibernéticos requieren conocimientos de programación más que otros. La ciberseguridad es un campo muy amplio y hay muchos tipos diferentes de profesiones a las que puedes optar que pueden o no requerir un nivel avanzado de conocimientos de programación.
Por ejemplo, como ingeniero de software en ciberseguridad, vas a necesitar dominar probablemente más de un lenguaje (incluyendo, pero sin limitarse a, Python, C, C++ y Java). Sin embargo, si eres un especialista en redes o un consultor de ciberseguridad, probablemente no necesitarás saber mucho de programación. Realmente hay una amplia gama de habilidades necesarias, dependiendo del área de ciberseguridad que elijas. Una de estas profesiones sobre la que mucha gente pregunta en particular es la de las pruebas de penetración, y la cantidad de programación que requiere ser un probador de penetración (pentester).
Entonces, ¿los PenTester necesitan saber programación? La mayoría de los puestos de pruebas de penetración requerirán cierta capacidad de programación, tanto en lenguajes de scripting como Perl, como en lenguajes de programación estándar como Java. Los aspirantes a probadores de penetración se beneficiarían de aprender habilidades básicas de programación, especialmente relacionadas con lenguajes de alta demanda como Python.
Pruebas de penetración y programación
Mucha gente aspira a convertirse en un probador de penetración, sin embargo la idea de aprender programación es a menudo un obstáculo. Echemos un vistazo al papel de las pruebas de penetración por un momento y veamos qué habilidades se necesitan, incluidas las relacionadas con la programación.
Basado en una búsqueda de ofertas de trabajo de pruebas de penetración actuales, esto es lo que los empleadores están buscando en los pentesters calificados:
Trabajos de pruebas de penetración de nivel de entrada
- Experiencia con al menos un (1) lenguaje de programación o de scripting común como Perl, Python, Ruby, Java, PHP, etc.
- Comprensión fundamental de los lenguajes de scripting para incluir los siguientes – Python, Powershell, Ruby, Perl
- Conocimiento fundamental de “lenguajes de codificación” – C++, C#, PHP, AJAX, HTML, etc.
- Experiencia con un lenguaje de scripting (por ejemplo, Perl, python, PHP, ruby) y un lenguaje de programación (por ejemplo, JAVA, Objective C)
- Experiencia en desarrollo con Python, Ruby, Perl, C o C++
Trabajos de pruebas de penetración de nivel senior
- Dominio de al menos dos lenguajes de scripting (por ejemplo, Python, Bash, JavaScript, PowerShell)
- Capacidad para escribir código de explotación personalizado
- Experiencia en lenguajes interpretados y de scripting (BASH, PowerShell, Python, Perl, etc.)
- Experiencia en lenguajes compilados (C, C++, Go, Java, etc.)
- Conocimiento de lenguajes de programación y capacidad de escribir scripts para pruebas de penetración
- Certificaciones de pentesting
Aunque no todos los puestos de pruebas de penetración mencionan como prioridad el conocimiento de lenguajes de programación o de scripting, estas excepciones son escasas. Si quieres tener la mejor oportunidad de empleo en este campo, debes dedicarte a aprender al menos uno de cada tipo de lenguaje: scripting y programación.
Ahora te estarás preguntando por qué necesitas programar para ser un pentester, después de todo, no eres un ingeniero de software. Esa es una excelente pregunta y para responderla, veamos la raíz del problema: los propios hackers.
¿Necesito saber programación para ser un hacker?
Aprender a hackear es una gran manera de convertirse en un mejor probador de penetración y un mejor analista de ciberseguridad. Si el aprendizaje de los conceptos de hacking es de tu interés, entonces necesitarás aprender las habilidades que los hackers necesitan.
Entonces, ¿los hackers necesitan saber programación? El conocimiento de la programación no es un requisito para participar en el hacking, sin embargo es una habilidad útil que puede hacer que un hacker sea más eficaz y eficiente. La programación es sólo una habilidad que puede ayudar a un hacker, sin embargo un hacker puede tener éxito sin tener conocimientos de lenguajes de programación.
Dependiendo del tipo de hacker en el que te imagines (si eres un hacker ético, por supuesto), es posible hackear un sistema sin tener que escribir una sola cadena de código (Script Kiddie). Sin embargo, si no tienes conocimientos de programación, estarás limitando seriamente tus oportunidades de hackeo a largo plazo.
Los hackers éticos utilizan múltiples lenguajes de programación y herramientas cibernéticas para romper la infraestructura de una organización o exponer las debilidades de un software en particular.
Esta es una lista muy útil y completa de los lenguajes de programación más utilizados por los hackers.
- Python
- C++
- C
- SQL
- Javascript
Veamos uno de estos ejemplos: SQL
Un ejemplo de programación para hackers: Inyección SQL
¿Ha oído hablar alguna vez de una inyección SQL (Structured Query Language)?
Imperva, una organización dedicada a proporcionar a las empresas características de ciberseguridad, describe una SQLI, o Inyección SQL como “un vector de ataque común que utiliza código SQL malicioso para la manipulación de la base de datos backend para acceder a información que no estaba destinada a ser mostrada. Esta información puede incluir cualquier número de elementos, incluyendo datos sensibles de la empresa, listas de usuarios o detalles privados de los clientes“.
En otras palabras, desde el punto de vista empresarial, SQL es una herramienta de negocio muy útil y una inyección SQL es una amenaza muy seria. Para un ciberprofesional, saber reconocer y prevenir un ataque SQLI puede resultar una habilidad fundamental, que por supuesto requerirá el conocimiento de ese lenguaje de programación.
Otro ejemplo de programación para hackers: JavaScript
Por la misma razón, JavaScript es un lenguaje igualmente importante. Se sabe que los hackers manipulan las debilidades de JavaScript, incrustando su propio código para rastrear la actividad del usuario, interferir con la función prevista de un sitio, etc. Para las empresas que dependen en gran medida del uso de la web, las vulnerabilidades de JavaScript pueden ser un fallo grave.
Programación en Python para hackers
También está Python. Python es uno de los mejores, si no el mejor, lenguaje de scripting que puede aprender un ciberprofesional. No sólo su sintaxis es generalmente intuitiva para los principiantes, sino que es un recurso valioso para los hackers éticos.
Python se puede utilizar para diseñar todo tipo de herramientas de hacking. Si necesitas descifrar una contraseña, Python puede producir ese código. Los profesionales cibernéticos utilizan constantemente Python para diseñar nuevas herramientas cibernéticas y Python tiene varias bibliotecas listas para usar que facilitan el desarrollo de software cibernético.
Algunas de estas bibliotecas son
- Scapy – un recurso inestimable para el rastreo de paquetes
- Cryptography – por razones obvias, esta biblioteca sería de interés para los ciberprofesionales
- Python n-map – ayuda a utilizar y manipular el escáner de puertos n-map
Básicamente, Python es un recurso para los ciberprofesionales y su demanda no hace más que crecer. Si tienes dudas sobre qué lenguaje de scripting se ajusta mejor a tus necesidades, si buscas un buen lenguaje polivalente Python puede ser la mejor opción para ti. (Aprende a Crer tus Primeros Scripts con Python: Ejemplos)
Palabras finales
Todos los hackers éticos que tienen un claro conocimiento de los lenguajes de programación y scripting están mejor equipados para combatir las ciberamenazas en nuestro mundo dependiente de la tecnología. De hecho nos lo confirman algunas de las entrevistas con ethical hackers:
Si te tomas en serio la posibilidad de seguir una carrera en el ámbito cibernético como pen-tester, tienes que estar familiarizado con los lenguajes de programación y scripting. Conoce más aquí lo que necesitas Convertirse en un Hacker Pentester.
Lo que los empleadores buscan en un pentester es alguien que pueda probar su infraestructura en busca de debilidades, tal vez no sólo en un ámbito, sino en varios. Un pentester debe, esencialmente, ser capaz de pensar y actuar como un hacker. Tu intención, obviamente, no es maliciosa, pero para prevenir un ataque debes ser capaz de entenderlo, y el conocimiento de la codificación te dará esa habilidad.
