Qué y Quién es un Pentester y cómo ser uno
Qué y Quién es un Pentester y cómo ser uno

¿Qué y Quién es un Pentester? y Cómo Llegar a Serlo

Uno de los mayores problemas del mundo virtual es la inseguridad. Los pentesters -contracción de las palabras inglesas “penetration tester“- son hackers que se ocupan de la seguridad informática de una empresa y ponen a prueba sus capacidades de protección y defensa.

El pentesting es una profesión en auge, con mucho futuro ante la aparición de problemas de ciberseguridad.

¿Quién es un Pentester?

Un Pentester trabajando para una empresa
Un Pentester trabajando para una empresa

Un pentester es un profesional de la seguridad de la información que realiza una prueba de penetración (pentesting). Al simular un ataque a un sistema informático, un pentester hace lo siguiente: recopila información sobre el objetivo, busca puntos de entrada, accede al sistema, mantiene la presencia en el sistema, elimina los rastros de manipulación.

El objetivo del Pentester

El objetivo del pentest es comprobar si un hipotético atacante puede entrar en un sistema. Para ello, los probadores intentan piratearlo ellos mismos o hacerse con el control de los datos.

Durante un pentest, los expertos buscan y analizan vulnerabilidades que podrían perturbar el sistema o dar a los atacantes acceso a información sensible. También operan desde la perspectiva de un atacante real, es decir, simulan un pirateo del sistema de varias maneras.

Cabe mencionar que los pentesters están sujetos a una cláusula de confidencialidad muy estricta: un punto que los diferencia de los hackers.

Significado de la palabra Pentest

El nombre pentest significa “prueba de penetración“. En este sentido, penetración significa obtener acceso a un sistema. La grafía pen test y la traducción como “prueba de pluma” son engañosas.

Por qué es Necesario un Pentest

Estas son algunas de las razones por la que las empresas contratan a un pentester:

  • Identificación de puntos débiles y vulnerabilidades en sistemas y redes.
  • Entender cómo y de dónde puede venir un ataque, si los atacantes son capaces de perturbar los sistemas; en caso afirmativo, cómo exactamente.
  • Determinar cómo funcionarán las defensas ante diferentes ataques de piratas informáticos.
  • Hacer recomendaciones sobre cómo solucionar la situación.
  • Prevención de ataques reales de hackers a los sistemas.
  • Preservar la seguridad y confidencialidad de los datos y el tiempo de actividad de la red.

¿Quién Realiza el Pentesting?

Está claro que son los especialistas en pruebas de penetración: pentesters, penetration testers, hackers éticos o hackers White Hat. A estos últimos también se les llama hackers de “sombrero blanco“. Para simular ataques a sistemas de información, hay que ser capaz de llevarlos a cabo, por lo que los pentesters deben ser capaces de hacer lo mismo que los hackers. Estas áreas se solapan y pertenecen a la industria de la seguridad de la información.

Concepto de Prueba de penetración
Concepto de Prueba de penetración

Puedes leer más sobre los diferentes tipos de hackers en este artículo.

El Pentest puede ser realizado por el personal de seguridad de una empresa. Pero esto no está justificado en todos los casos: a veces se necesita a una persona que no sepa nada de la infraestructura de red a la hora de hacer las pruebas.

Qué Incluyen las Pruebas de Penetración

El Pentest se realiza a nivel físico y de software. El objetivo principal es penetrar en un sistema o red, hacerse con el control de un dispositivo o software y recopilar información. Las acciones concretas dependen de lo que se esté testando.

Actividades de un pentesting
Actividades de un pentesting

Redes. Los probadores buscan nodos débiles, protocolos mal configurados y otras vulnerabilidades en la transmisión o recepción de datos. Esto también puede incluir la búsqueda de contraseñas “débiles” y otras oportunidades de entrada no autorizada en la red.

Aplicaciones, software. Se trata de aplicaciones locales o en red, grandes sitios web. El pentester falsifica peticiones, intenta acceder a la base de datos, incrusta scripts maliciosos en el código e interrumpe las sesiones. Estas son sólo algunas de las acciones posibles. Las actividades se realizan con fines de prueba y no afectan al funcionamiento real de las aplicaciones. El pentest suele realizarse antes del lanzamiento masivo del sistema.

Dispositivos. Los testers o hackers “blancos” encuentran vulnerabilidades de software y hardware, puntos débiles en la red a la que está conectado un dispositivo, intentan conseguir contraseñas por fuerza bruta.

Sistemas físicos. Puede tratarse de un centro de datos o de cualquier otro local protegido. Además de la infraestructura informática, se está probando la capacidad de piratear la cerradura, anular o desactivar cámaras y sensores.

El factor humano también es importante. También es tarea del pentester averiguar si los empleados pueden romper el sistema accidental o deliberadamente, ceder a la provocación de los intrusos.

¿Qué Hacen y a Qué se Dedican los Pentesters?

En el pasado, los pentesters eran realizados por programadores con muchos conocimientos en distintos campos (es importante revisar esto: ¿Necesito Programar para ser un PenTester?). Ahora es posible aprender pentesting desde cero. Una lista parcial de lo que debe saber una persona que realiza pruebas de penetración es la siguiente:

Pentester y la ciberseguridad
Pentester y la ciberseguridad
  • Redes informáticas. Un pentester necesita entender el modelo de red OSI, qué es, cómo funcionan las redes informáticas y dónde se pueden encontrar vulnerabilidades en ellas. Se requiere un buen conocimiento de los protocolos, su funcionamiento y los errores típicos al configurarlos.
  • Sistemas operativos. Al realizar pruebas de penetración hay que trabajar con sistemas operativos de servidor y de usuario. Por lo tanto, un probador debe entender cómo funcionan, y a un nivel profundo. Tendrá que estudiar la arquitectura y la infraestructura, y las peculiaridades de los procesos.

🤞 ¡No te pierdas ningún truco de seguridad!

¡No enviamos spam! Lee nuestra Política de Privacidad para más información.

  • Criptografía. La ciencia del cifrado de la información, que proporciona conocimientos teóricos sobre cómo se estructura la protección de datos. Presenta cómo funcionan los algoritmos modernos de cifrado y descifrado, si tienen puntos débiles y cómo se pueden encontrar.
  • Ataques a los sistemas de información. Estos son métodos utilizados por atacantes reales. Un pentester debe conocerlas teóricamente y ser capaz de llevarlas a cabo, burlar los sistemas de seguridad y no ser detectado.
  • Análisis de malware. Los pentesters y los especialistas en seguridad de la información deben conocer los virus, troyanos, gusanos y exploits. Es importante que un especialista sea capaz de escribir malware para una tarea y aplicarlo.
  • Programación. Para escribir scripts y exploits, emitir comandos, necesitan conocer al menos un lenguaje de programación. Suelen ser lenguajes máquina. Se utilizan para emitir órdenes directamente al sistema operativo. Pero si el pentester conoce varios lenguajes, es una ventaja.
  • Línea de comandos Linux. La mayoría de los pentesters trabajan con distribuciones especiales de Linux (5 Mejores Distros Linux para Pruebas de Seguridad), por lo que deben estar familiarizados con la línea de comandos del sistema operativo. Esto también es necesario para la piratería simulada.

Estas son algunas funciones basadas en un ejemplo de trabajo:

  • Pruebas de penetración: análisis de seguridad de la red a bordo,
  • Análisis de seguridad de vehículos autónomos e infraestructuras,
  • Análisis de la seguridad del código fuente de los productos informáticos,
  • Análisis de seguridad del firmware,
  • Análisis de seguridad de plataformas de hardware;
  • Elaboración de informes de pruebas y recomendaciones;

¿Qué Debe Saber y Hacer un Pentester?: Ejemplos de Uso de Software

Para convertirse en pentester, la curiosidad es una buena ventaja para entender cómo funcionan las cosas. Este trabajo requiere buenos conocimientos de desarrollo de software y sistemas informáticos.

Lo que debe saber un pentester
Lo que debe saber un pentester

Aquí tienes un resumen de los requisitos para los pentesters:

  • Análisis de seguridad de aplicaciones web e infraestructuras de red
  • Realizar auditorías de seguridad
  • Preparación de documentación e informes sobre los resultados de las pruebas
  • Dominio de herramientas: sqlmap, Snort, Burp Suite, Volatility, MSF, Nmap, IDA, Nessus, w3af, BeEf, hashcat, etc.
  • Elaboración de recomendaciones de seguridad
  • Realización de pruebas de penetración
  • Ingeniería inversa
  • Conocimientos básicos de cifrado
  • Análisis de malware

Para lograr todo lo anterior es importante saber utilizar algunas herramientas. Entre estas herramientas, se destaca:

  • Kali Linux. Un SO ligero especial, una distribución de la familia Linux para pentesting y white-hatting. Está basado en Debian Linux. Cuenta con más de 600 programas y servicios de análisis de ataques y vulnerabilidades por defecto. Por seguridad, Kali Linux tiene muy pocos repositorios que puedan descargar paquetes de software. Si es necesario, el propio usuario puede añadirlos.
  • Metasploit. Un proyecto de seguridad de la información y un conjunto de programas informáticos necesarios para el pentesting. Por ejemplo, Metasploit Framework ayuda a crear exploits, que son programas maliciosos que aprovechan las vulnerabilidades del sistema y lanzan ataques.

Uso de Metasploit

Metasploit puede utilizarse para analizar vulnerabilidades y crear firmas de virus, que son indicios destacados del malware real. Esto resulta útil, por ejemplo, a la hora de crear sistemas antivirus.

  • Nmap. Nmap es un programa para escanear redes con cualquier número de usuarios. Nmap muestra el estado de los objetos de red, proporciona información sobre ellos y facilita el ataque posterior. Nmap es útil para recopilar información. Por ejemplo, puede utilizarse para obtener información sobre puertos, servicios o el sistema operativo de un dispositivo.

Zenmap

Un nombre común es zenmap que es una interfaz gráfica para Nmap.

  • Nessus. Programa que busca automáticamente vulnerabilidades en sistemas y redes. Útil para encontrar vulnerabilidades comunes. Dispone de una base de datos que se actualiza semanalmente, por lo que el programa está casi siempre al día. Nessus ayuda a automatizar la búsqueda de vulnerabilidades y a evitar una serie de pasos manuales.
  • Wireshark. Programa que analiza el tráfico de red. Sabe cómo están estructurados los paquetes que se transmiten a través de varios protocolos de red, y puede “descomponerlos” en sus componentes y leer información de ellos. Si el flujo de datos no está protegido, se puede utilizar Wireshark para recuperar la información que se está enviando a través de la red.
  • Aircrack-ng. Detecta y captura el tráfico de la red inalámbrica. Puede ayudarte a acceder a tu adaptador inalámbrico, verificar la seguridad e interceptar información de una red inalámbrica.

En cuanto a la evolución profesional, tras unos años de práctica, un pentester puede convertirse en probador de penetración y especializarse en un campo concreto. O puede que prefieran crear su propia empresa.

Demanda y Salarios de Pentester

El salario de un pentester varía en función del tamaño de la empresa que lo contrata, su experiencia y la ubicación del puesto.

Se estima que el salario de un pentester junior es de al menos 3.000 dólares al mes en Latinoamérica.

Salario de un Pentester según Payscale
Salario de un Pentester según Payscale

Payscale informó de un salario base típico de casi 90.000 dólares al año para los pentesters. En el extremo inferior (10% más bajo), los pen testers ganan unos 70.000 dólares al año. En el extremo superior (10% superior), ganan hasta 125.000 dólares al año. Cabe mencionar que estos datos se basan en Estados Unidos.

*Si tienes información relacionada en tu país, sería genial que la compartas en los comentarios 🙂

¿Cómo ser un Pentester y Dónde Estudiar?

El trabajo de un pentester es muy exigente, ya que si este profesional de la ciberseguridad no encuentra ningún fallo en los sistemas en los que se infiltra, otros hackers pueden hacerlo en su lugar. Por tanto, necesitas una buena formación y una sólida base informática para ser un profesional de este trabajo. Y, por supuesto, una vigilancia constante de las estadísticas y métodos de pirateo.

Pentester estudiando en su computadora
Pentester estudiando en su computadora

Por lo general, hay dos maneras para convertirse en un pentester desde cero:

Autoformación: todo tipo de vídeos de YouTube, libros, foros, tutoriales, etc.

  • Pros – barato o muy barato.
  • Contras – no hay coherencia, el autoaprendizaje puede ser ineficaz, las competencias adquiridas pueden no ser reclamadas por el empresario;

Aprendizaje en línea. Puedes hacer un curso en una de las plataformas educativas. Estos cursos están diseñados para personas sin mucha formación, por lo que son adecuados para la mayoría de la gente.

Por lo general, en el aprendizaje en línea se hace hincapié en la práctica, lo que te permite ampliar rápidamente tu cartera y conseguir un trabajo inmediatamente después de la formación. A continuación hemos recopilado las Mejores Certificaciones para Pruebas de Penetración.

Importancia de Ser un Pentester Certificado

El Pentest es una actividad autorizada por la ley. Por tanto, las empresas que se dedican a ello deben tener licencia para hacerlo. Esto también se aplica a los pentesters autónomos que operan de forma independiente.

Los probadores que trabajan para una organización no necesitan licencia. Pero se recomienda que tengan los certificados CEH y OSCP, que confirman que una persona puede considerarse pentester. Tenerlas puede ser un requisito del empresario.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda