Trabajar en Ciberseguridad – Experiencias de Profesionales

Juan Antonio González Mena 1 comentario en Trabajar en Ciberseguridad – Experiencias de Profesionales

Hoy Deep Hacking cumple 1 añito, y, una ocasión especial, se merece un artículo especial, y creo firmemente que este lo es.

La idea del artículo ya la podéis ver en el título, es básicamente que distintos profesionales que ya trabajan en Ciberseguridad, cuenten su experiencia de como han llegado a donde están ahora y como consiguieron sus primeros trabajos. El fin de todo esto es que una persona pueda verse identificada con alguna historia, le sirva lo que se cuente en ella o que simplemente aprenda de los caminos que han seguido otras personas y pueda sacar algo para aplicarlo a su vida.

En cualquier caso, espero que las diferentes experiencias y consejos que se presentan a continuación, puedan ser de utilidad para alguien.

Antes de nada, aunque ellos ya lo saben, quiero agradecer de nuevo, a las personas que han querido aportar su granito de arena:

GRACIAS A TODOS <3

Antonio Sánchez (Aka. Sh0x)

LinkedIn

¿Cómo encontré mi trabajo en Ciberseguridad?

Bien, yo soy un chaval que terminó la carrera de Ingeniería Informática y justo ese mismo año encontré trabajo en una empresa de Ciberseguridad y trabajando como auditor… la pregunta es, ¿cómo?, porque yo recuerdo que tampoco quería buscar trabajo en ese momento, y estaba cursando un máster y mejorando mi inglés, entonces dije: “bueno, pues cuando ya tenga mi máster y haya mejorado aún más mi inglés pues empiezo a buscar trabajo, o incluso en las prácticas que ofrece el máster”… Pero la verdad que yo tenía curiosidad por ver cómo estaba el mercado de ciber y empecé a indagar por LinkedIn (red social súper recomendada para tener tu perfil en un entorno más empresarial, la verdad…)

Pues nada, mirando los requisitos para gente Junior, seguía viendo que no los cumplía porque la mayoría de empresas requería tener 2-3 años de experiencia en el sector, y en mi caso, tenía 0… pero bueno, cómo ya dije antes, mi idea no era buscar trabajo… Total, que llegó octubre y en unas semanas iba a comenzar el pronto comenzaba el Máster, pero antes llegó la NCL (National Cyber League).

Para quién no lo conozca es un evento a nivel nacional (España, por si eres de fuera), dónde se compiten en 3 disciplinas relacionadas con la ciberseguridad y ciberespacio. Estas 3 disciplinas son:

  • Parte técnica.
  • Parte legal.
  • Parte comunicación.

Yo ya participé el año anterior con mis compañeros de clase de mi carrera, pero nos quedamos con la espinita de poder jugar en las semifinales, las cuáles no pudimos por tema de prioridades con la Universidad. Entonces, esa espinita seguía ahí y ese año quería volver a intentarlo, en este caso con otros compañeros que engatusé para que se metieran y la verdad que no nos fue nada mal porque llegamos a la final presencial en Madrid.

Cabe decir, que superamos la fase clasificatoria y en las semifinales se nos asignaron a 3 mentores, cada uno especializado en una disciplina. Luego, de los equipos que gestionaban los mentores, sólo nosotros llegamos a la final por lo que el trato fue más cercano. Y hablando un poco del evento, la verdad que es una experiencia para vivir una vez en la vida para los que puedan (ya que hay ciertos requisitos para la inscripción), pero es súper recomendable ya que es gratuito y seguro que al menos sales aprendiendo algo que es lo más importante de este tipo de eventos, ir con la mochila vacía y salir con ella llena.

No me lío más, ¿cómo conseguí el trabajo?.. Pues recuerdo que preparándonos las semanas de antes para irnos a Madrid, vi en LinkedIn que una empresa llamada Cipher buscaba un perfil Junior para el departamento de Hacking y me salía que uno de mis contactos trabajaba ahí… ERA MI MENTOR DE LA NCL!! Claro, ya comenté que al ser el único equipo de los mentores que teníamos, el trato era más directo y nos teníamos como contactos en un grupo de Telegram, por lo que, me decidí a escribirle a él directamente sobre esta noticia…

Enseguidamente su respuesta fue: “¿Cómo te viene mañana para tener una entrevista?”, entonces yo sin pensarlo le dije que sin problema…

Finalmente, la entrevista fue muy bien, yo había tomado un par de cursos de iniciación al Hacking ético y pentesting ese mismo verano y pude explicarle qué cosas conocía, con cuáles había experimentado pero siempre siendo humilde y sincero en cada respuesta… Ya os digo que quedáis mejor diciendo “no lo sé” a una pregunta, que dudar de como responder y decir algo que no tenga mucho sentido porque ellos lo notan.

Y esta fue mi historia de como conseguí mi primer trabajo en el mundo de ciber 😉

Pablo Castillo Andreu (Aka. ReyCasto)

LinkedIn

Hola a todos! Mi nombre es Pablo, tengo 29 años y desde finales del año 2021 me encuentro trabajando en la rama de la ciberseguridad ofensiva como pentester. Aunque hace no demasiado tiempo, mi trayectoria profesional seguía un camino bastante distinto. Os cuento mi historia.

La tecnología siempre es algo que me ha apasionado. Gracias al trabajo de mi madre, en mi casa hubo ordenador prácticamente desde que tengo memoria. Tuve la oportunidad de familiarizarme con los ordenadores y ver su evolución desde muy joven. Siendo adolescente, fue cuando empecé a sentir curiosidad por la ciberseguridad y los Hackers, una época en la que dicho sector comenzó a florecer debido a que el uso de Internet se asentó en prácticamente todas las viviendas del mundo. Fue entonces cuando comencé a trastear con un viejo ordenador que teníamos en casa, al cual le instalé el recién estrenado sistema Backtrack 3. A decir verdad, no tenía ni la más remota idea de utilizar absolutamente ninguna herramienta a pesar de buscar mucha información acerca de ellas; me vino grande en ese momento, motivo por el cual me desmotivé un poco y aparqué mi curiosidad durante un tiempo.

Aún no había cumplido los 18 años cuando entré en la universidad a estudiar Ingeniería Mecánica. Las matemáticas y la física eran mis asignaturas por excelencia y había (y sigue habiendo) algunos sectores de la mecánica que me gustan, como son la aeronáutica y la automoción, sumado a que en mi ciudad se encuentra la única facultad politécnica de la Región de Murcia. Estos fueron los motivos de mi elección. A decir verdad, cuando tienes 18 años es muy difícil saber qué es lo que te gusta y en qué trabajo quieres dedicar los próximos 35 años de tu vida. Piénsalo fríamente: vas a dedicar 8 horas diarias, 5 días a la semana durante alrededor de 35 años en un puesto de trabajo. Un chaval o una chavala de 18 años no tiene la consciencia suficiente de conocer la magnitud de esa decisión.

Durante mis años de universidad, volví a tocar hacking. Tuve la primera versión de Kali Linux y utilicé mucho el sistema Wifislax para comprometer redes Wi-Fi que, por aquel entonces, todavía encontrabas el sistema de cifrado WPE y abundaba el WPA (no hice nada malo, lo prometo). Fueron las primeras veces que sentí que sabía hacer algo ‘útil’ por así decirlo, algo que me dio un plus de motivación para seguir aprendiendo. Estudié programación en una asignatura (aprendí lenguaje C) e hice un curso de Java, lo que hizo que viese que ese sector no era tan imposible como yo pensaba años atrás.

Jamás me arrepentí ni me arrepiento de la carrera que hice, me dio en esta vida cosas impagables, como personas, conocimiento y experiencias tanto en lo personal como en lo profesional. Al terminar la carrera, tuve una oportunidad única de salir a trabajar al extranjero, y me subí a ese tren sin pensármelo dos veces. Viví un mes en Ginebra, Suiza, en el que recibí formación para mi futuro puesto de trabajo, que fue en Paris, ciudad en la que viví durante un año. Si en alguna ocasión tenéis la oportunidad de vivir fuera de vuestro país, no lo dudéis, vais a obtener un crecimiento personal incomparable. Fue un punto de inflexión en mi vida en el que maduré en todos los aspectos, pero sobre todo en el personal.

Mi puesto de trabajo era Ingeniero de diseño de estructura metálica; mi empresa trabajaba para Renault, y me dedicaba a diseñar la carrocería de los vehículos que luego salían anunciados por la tele, o se compraba alguien de tu familia o de tus amigos. Suena molón, ¿verdad? Honestamente, tuve una suerte increíble, trabajaba en una oficina con gente maravillosa en unas condiciones laborales espectaculares. Pero había varios problemas: el sector del automóvil, como otros tantos, es un sector cíclico, en el que hay mucho o poco trabajo según se encuentre el mercado. Además, la tecnología de diseño se encontraba estancada en los mismos métodos con los mismos softwares desde hacía muchísimos años. En definitiva, era un trabajo muy monótono con una proyección muy poco estable.

Entonces me pregunté lo que mencioné anteriormente. ¿De verdad quieres seguir en esta dirección?

Cuando se me terminó el contrato, decidí no renovar y volver a mi tierra (cuando estás acostumbrado al clima del sur de España, no llevas muy bien las lluvias y el frío) y volví lleno de dudas sobre qué dirección tomar en mi vida. Mientras lo meditaba, seguí trabajando de lo que había estudiado, solo que en peores condiciones y haciendo un trabajo peor (es lo que tiene España respecto a otros países europeos). Entonces fue cuando lo tuve más claro que nunca: levantarte todos los días para ir a un trabajo que no te gusta en absoluto es el peor castigo que una persona pueda tener.

Entonces ocurrió una cosa para la que nadie estaba preparada: una pandemia mundial. No hace falta recordar las terribles consecuencias que trajo en nuestras vidas, tanto en lo personal como en lo profesional. Pero una buena lección de vida es saber sacar algo positivo de una situación negativa. Y ahí estaba, lo leía todos los días a todas horas, en todos los medios: los ciberataques aumentaron más que nunca en la historia. El teletrabajo se estableció forzosamente en una sociedad que no estaba preparada para ello, trayendo como consecuencia un agujero en el ámbito de la ciberseguridad.

Ahí estaba, esa fue la señal que despejó todas las dudas sobre mi futuro: formarme en algo que llevaba curioseando 12 años y que tenía una demanda de miles de puestos de trabajo debido al nuevo mundo que había aparecido de la noche a la mañana. Un sector joven, en plena ebullición, lleno de oportunidades y que se actualiza día a día. Volvió a aparecer un tren, y me volví a subir.

Mientras trabajaba, comencé a hacer cursos muy básicos sobre ciberseguridad ofensiva y temas de Red Team, desde cero. Necesitaba mucha base que no tenía en absoluto. Después de varios meses, me di cuenta de que trabajar 8 horas y avanzar en un campo que requiere mucha dedicación era prácticamente imposible. Es por ello por lo que, nuevamente, decidí no renovar en aquel puesto al finalizar mi contrato. Ahorré y aposté todo por dedicarme plenamente al aprendizaje durante unos cuantos meses.

Durante este periodo (8 meses) tuve el mismo horario que tenía cuando trabajaba (me levantaba todos los días a las 7:30 de la mañana) para dedicar una jornada entera a la formación en ciberseguridad ofensiva. Hice cursos, entrené en plataformas como THM y HTB, obtuve las certificaciones del eJPT, eWPT y comencé a formarme para el eCPPT (la cual obtuve más adelante).

Además, comencé a conocer a gente del sector, los cuales tengo que decir que me ayudaron en todo lo que necesité, y encontré una comunidad de gente apoyándote cuando lo necesitabas y compartiendo su conocimiento para despejarte el camino. Sin ir más lejos, intercambié palabras con la persona para la que ahora estoy escribiendo esta historia. Meses más tarde, la vida lo situó como mi compañero de trabajo, y no puedo estar más agradecido.

A día de hoy tengo un trabajo increíble con un equipo de personas espectaculares. Y doy gracias todos los días que me levanto de la cama a la decisión que tomé de apostarlo todo por lo que de verdad me gusta.

Nunca es tarde para cambiar de trayectoria y dedicaros a lo que de verdad os gusta u os apasiona. Os animo a que, si no estáis contentos con vuestra situación actual, la cambiéis, ya que nunca es tarde. Trabajo, esfuerzo y dedicación.

Happy Hacking!

Y sobre todo, feliz vida.

Pablo.

Daniel Monzón Peso (Aka. Stark0de)

LinkedIn

Buenas! Me llamo Daniel Monzón y soy un chaval de 21 años. Mi experiencia en el mundo de ciber empieza hace tiempo atrás, en el 2015, cuando un amigo y yo fuimos a Aula, un evento que se hace en IFEMA en el que institutos, universidades y empresas anuncian sus planes formativos. Allí descubrimos un cursillo de hacking de 5 días que se impartía en la U-TAD, y nos apuntamos los dos. Siempre me ha gustado trastear desde entonces pero no empecé a darle caña de verdad hasta 2019.

Ese año terminé bachillerato y quise ir directamente a por certificaciones (tenía claro que esto del hacking era lo mío), así que la primera que hice fue el OSCP. Ni que decir tiene que le dediqué unos pocos meses en cuerpo y alma XD. Antes de eso me puse con HTB un mes. Y menudo mes jajajjj. El caso es que después del OSCP, seguí sacándome certificaciones, el OSWP, varias de CREST, el CRTP y sin planearlo surgieron mis primeras oportunidades profesionales del mundillo del hacking en 2020 (la oferta la puso uno de mis compañeros en Telegram, fue muy random aquello jajajj).

Estuve durante año y medio en Atalanta, una empresa de ciberseguridad aquí en España. Fue interesante, tuvimos proyectos curiosos, tuve la oportunidad de impartir clases en un máster que daba Atalanta en el San Pablo CEU y aprendí de muchos temas. Al principio me faltaba confianza (el conocido síndrome del impostor) pero luego poco a poco fueron saliendo fallos en las primeras auditorías web que hice y poco a poco fui mejorando (aquí tengo que decir que en parte fue gracias al horario flexible que teníamos y el teletrabajo, que fue clave para seguir formándome). Después de esta etapa entré a Innotec. Y vi que eran dos mundos distintos. Por ejemplo, el equipo en Innotec es enorme, en todos los sentidos, hay auténticos cracks aquí. Y la gestión de los proyectos, los informes, el proceder con los clientes, e incluso el horario era distinto. Aprendí (aunque aún me queda😂​) el misterioso arte de hacer informes. Al principio me costó adaptarme, pero luego le fui pillando el truco a muchas cosas.

Durante todo este tiempo, en ambas empresas, nunca he dejado de formarme, certificaciones, cursos, he seguido dando charlas, etc. Y, aún más importante, nunca he dejado de crear y mejorar mis metodologías y tools. Esto de las metodologías viene de la época del OSCP, en la que hacía todo de forma caótica, hasta que un día dije basta. Y me aficioné a tomar notas estructuradas, a hacer más eficiente mi trabajo. ¿Por qué voy a volver a buscar cómo hacer pruebas contra X CMS si ya lo hice antes? Y con el tema de las tools, bueno, me obsesioné un poco con aquello a principios de 2021, y ahora sigo creando mis herramientas para hacerme la vida más fácil (aunque con más tranquilidad que entonces jejejej). Con todo esto más que contar mi primera experiencia en ciber, quería contar cómo ha evolucionado mi forma de trabajar desde que empecé, del caos y la falta de confianza a dominar temas que al principio me sonaban a chino y hacer eficientes mis procesos. Por difícil que parezca una certificación, un tema o cualquier cosa dentro del hacking que queráis aprender, con tiempo y persistencia al final se saca. Pues nada, lo dicho, dadle caña y ¡a disfrutar! 😉

Carolina Gómez Uriarte (Aka. Carol12Gory)

LinkedIn

Mi experiencia con la informática empieza cuando tenía 5 años, con el primer ordenador entró en mi casa a través de mi hermano mayor; no sé qué fue, pero esa pantalla de tubo que me enamoró. Desde ese momento tenía claro que quería dedicarme a “temas de ordenadores” y con el paso de los años fui aprendiendo poco a poco a entender cómo funcionaba.

Una vez acabado el bachillerato, analizando mi situación en ese momento, decidí comenzar el grado superior de desarrollo multiplataforma, el cual no finalicé debido a que no era lo que me imaginaba. No por ello me rendí y tiré la toalla, sino que me matriculé en otro grado superior, esta vez en el de Administración de Sistemas en Red, también conocido como ASIR, esta vez con mejores resultados terminando ambos cursos con una gran nota media.

Durante el grado superior cursé las prácticas en una empresa llamada Netkia Soluciones, en uno de los callcenters donde tenían un técnico destinado. En esos tres meses de prácticas me dediqué (no, yo no llamaba por teléfono xD) al mantenimiento y configuración de equipos y teléfonos VoIP, configuración de campañas de emisión de llamadas, informes, gestión de PBX, gestión de incidencias, etc. Vamos, que no me aburrí nada y aprendí muchísimo tanto a nivel profesional como a nivel interpersonal. Tuve la suerte de tener un compañero que me enseñó muchísimo y me dejó probar, fallar y aprender.

Una vez finalizadas estas, me ofrecieron un contrato de prácticas en el mismo sitio donde las realicé porque estaban contentos conmigo y mi desempeño. En ese puesto comencé en junio de 2016 hasta enero de 2018 donde cambié de departamento.

El cambio de departamento se dió debido a que meses antes, como buen culo inquieto que soy, lie a mi mejor amigo para ir a la Cybercamp de León a finales de 2016. Yo por aquella época no tenía casi nociones de ciberseguridad, pero era algo que me llamaba mucho la atención. Casualidades de la vida, me crucé en el congreso con 3 compañeros míos de Netkia que estaban allí y eran el director y dos organizadores del congreso de ciberseguridad Sh3llCON, que se realiza en Santander. A raíz de Cybercamp, en enero de 2017 fui por primera vez a Sh3llCON y me quedé fascinada. Mantuve el contacto con el director del congreso (a pesar de ser compañeros de empresa, estábamos en diferentes localizaciones) y surgió la oportunidad de entrar en la organización del congreso para la siguiente edición. Al mismo tiempo, en mi empresa, estaban creando un departamento de ciberseguridad y hablé con mi responsable para ver si existía alguna posibilidad de formar parte de este (no os voy a engañar, fui pesada a más no poder porque me apasionaba y quería seguir aprendiendo).

En enero de 2018 entré en el departamento y fue un gran reto ponerme al día y aprender a marchas aceleradas, pero fue una experiencia muy positiva rodeada de grandes profesionales y compañeros. Ese mismo mes, también fue la primera vez que formaba parte de la organización de Sh3llCON y fue algo inolvidable (con robo de móvil incluido xD). Fueron pasando los meses hasta que, a finales de 2018, a través de Nebu de Follow The White Rabbit y posteriormente de Gonxo (sois unos cracks), surgieron varias opciones de cambiar de trabajo y dar el salto a Madrid, la ciudad donde los sueños se cumplen. Y así fue, en cosa de 20 días tenía que cambiar totalmente de vida y dejar atrás una vida hecha a cambio de empezar la gran aventura en la capital.

En enero de 2019 comencé una nueva vida en Madrid y un nuevo trabajo en Deloitte. Llegué con muchos miedos, dudas, incertidumbres, pero unas ganas locas de aprender todo lo que se pudiera. Ese mismo mes, era la segunda edición que estaba como parte de la organización de Sh3llCON y también salió a pedir de boca a excepción de que el director anunció que era la última edición. Los meses pasaron y seguía formándome y aprendiendo hasta que llegó el mes de mayo y hablé a Sergio, el director de Sh3llCON, para saber qué hacía falta para que el siguiente año se realizase una nueva edición. Me comentó lo que era necesario y le propuse que fue yo la directora y quién llevase la dirección. Después de tacharme de “loca e inconsciente” varias veces, le pareció bien y a raíz de ahí, la máquina volvió a ponerse en marcha para organizar la siguiente edición en el 2020.

Ese año surgió la oportunidad de dar una charla junto a Nebu en la Euskal Encounter en Bilbao, la cual, fue mi primera charla y las sensaciones fueron positivas. A raíz de ahí hicimos dos charlas más juntos: Navaja Negra y HoneyCON, rompiendo ese miedo escénico que previamente existía.

Por si fuera poco, el trabajo, las charlas y la organización de una edición de Sh3llCON, comencé un máster de Ciberseguridad en la UCLM para seguir con mi formación.

A día de hoy me pregunto cómo pude hacer todo, pero si, todo salió muy bien tanto las charlas que fueron dándose en 2019 y 2020, como la edición de enero de 2020 de Sh3llCON como el máster y el trabajo.

Durante la segunda mitad del 2020 realicé la certificación del CEH y continué dando charlas con Marta Barrio y aprendiendo diariamente tanto en el trabajo como en mi tiempo libre.

Y nos plantamos en 2021 con 9 meses ya de teletrabajo, muchas charlas y con las ganas de seguir aprendiendo cada día. Durante el verano del 2021 me surgió la oportunidad de un cambio de trabajo en el cual iba a poder desempeñar más trabajo técnico, con lo que acepté la propuesta y cambié a VASS a principios de septiembre. Pasadas tres semanas de ese mismo mes comenzamos a preparar la siguiente edición de Sh3llCON para el mes de mayo de 2022 y, además, Marta me propuso participar en los directos de Securiters. Durante los primeros meses del año, tras analizarlo, vimos las dificultades que se nos estaban planteando para montar la edición de Sh3llCON en mayo, con lo que decidimos cancelar la edición y con ello, yo decidí dejar la dirección del congreso.

Siguieron los directos, las charlas, el trabajo, escribir el libro y proyectos muy interesantes hasta que llegó un momento en el ví que necesitaba parar y coger aire con lo que hablé con Marta para dejar de hacer directos con ella en Securiters por una cuestión de prioridades (básicamente, que el tiempo es limitado y da para lo que da).

¿De todos estos años que saco como aprendizaje?

  • Nadie es más que nadie y puedes aprender de quien menos te lo esperas.
  • No tengas prisa, todo llega. Es cuestión de no perder el foco y trabajar con constancia.
  • Llegarán épocas difíciles o más duras, pero no por ello hay que tirar la toalla. NUNCA SE TIRA.
  • Rodéate de compañeros que te sumen.
  • El “no” siempre lo vas a tener, inténtalo y vete a por el “si”.

Lo más importante. DISFRUTA

Andres González Ochoa (Aka. A8A)

LinkedIn

Mi nombre es Andrés González y mi historia de como empecé en el mundo de la Ciberseguridad es un poco loca, porque a pesar de que me gradué de Ing. Informática no tenía claro que era lo que quería hacer, así que durante un tiempo tomaba trabajos random que me permitieron conocer el mundo laboral y las personas. Esto me trajo como aporte el ganar confianza de cara al público, es decir, perder en parte ese miedo escénico que más tarde me sirvió para llevar o afrontar de la mejor manera reuniones o presentaciones de resultados a clientes y estar más tranquilo y menos nervioso.

En cuanto a mis inicios, no fue hasta principios del 2019 donde me recomendaron un curso sobre “Seguridad Informática” y me hizo tanto ruido que decidí inscribirme, este curso lo da la comunidad de Toledo para aquellas personas que están inscritas como demandante de formación. Este curso es a nivel general en cuanto a tema de ciberseguridad y toca puntos tanto de gestión como puede ser la parte normativa y practica como puede ser usar a nivel general distribuciones como por ejemplo Kali Linux.

En este curso, tuve la gran suerte de encontrarme con un profesor que para mí es un profesional en todos los aspectos que, además, más tarde este profesor se convirtió en un gran colega y amigo a quien agradezco la introducción que me hizo a este mundo. Me ayudó a comprender el riesgo al que solemos estar expuestos (con ello el tema de la privacidad de datos) y entre otras cosas lo divertido que puede ser romper cosas.

Durante dicho curso pude ver 2 aspectos de la ciberseguridad: la parte de gestión y la parte técnica. En dicho momento ambas me gustaban, pero tenía claro que sentía una mayor atracción por la parte técnica. Una vez finalizado el curso estaba ansioso de buscar curro en el sector.

Encontrar curro dependerá siempre de ti, el tener un buen CV, no perder las ganas de encontrar algo que te gusta, mejorar tus habilidades, ampliar tus conocimientos y definir tus destrezas después de todo, esto es un mercado y te tienes que vender (sin humo xD).

Recuerdo que recién terminó el curso y lo coloque en el LinkedIn empecé a recibir mensajes de ofertas sin tener que buscar, entre ellas acepte una oferta para un SOC, ya que, me parecía interesante (y de hecho lo fue para ser la primera toma de contacto). No obstante, luego de un tiempo me di cuenta de que no era lo que quería, doy gracias a que un día como cualquier otro, Innotec, una empresa de ciberseguridad, me llamó al móvil indicando que mi perfil les había parecido interesante debido a la carrera y al curso. Buscaban a un junior que pudiera empezar en el área de ciberseguridad con temas de auditorías web, análisis de vulnerabilidades, etc. Y sin pensarlo mucho, decidí aceptarlo, fue allí donde puedo decir que realmente empecé a crecer profesionalmente. Allí veía la cantidad de personas/máquinas que estaban y me motivé aún más por querer mejorar mi nivel y donde empecé a tomar cursos/certificaciones para crecer en ese aspecto.

De allí en adelante todo ha ido para mejor, ya que fui obteniendo certificaciones como el OSWP y OSCP de OffSec entre otras, que luego me fueron abriendo puertas en otros trabajos permitiendo así asumir nuevos retos profesionales y proyectos de mayor complejidad. En paralelo a estos nuevos retos y proyectos, pude ir conociendo increíbles profesionales que terminaron siendo grandes amistades, que me aportaban a la mejora continua bien sea con enlaces a blogs, una charla sobre una técnica nueva, hablar o comentar sobre protocolos, exploits, etc.

El hecho de pertenecer a comunidades (Telegram / Discord) y asistir a conferencias entre otras cosas te permite conocer personas en el camino las cuales puede que se conviertan en amistades, y, con suerte, tendrás un grupo con el que hablar prácticamente siempre, ya sea para echar unas risas o romper alguna cosa jaja

Me he encontrado con personas muy buenas en el recorrido (y lo que me queda xD) e intento ser igual de bueno como se han comportado conmigo. Por lo mismo, puedo decir que he ayudado a más de una persona a cambiar de curro, a mejorar sus condiciones, a estudiar una cert etc. Me llena mucho saber que un simple gesto puede ser algo bueno en el día de una persona.

Me queda por último dar unos pequeños tips para encontrar trabajo en ciberseguridad que puede que hagan tu búsqueda un poco más amena:

  • Define y mejora tus habilidades para que puedas sacar lo mejor de ti.
  • Busca respaldar esos conocimientos por medio de entidades, es decir, toma certificaciones (en cuanto te sea posible). Ej: Pepito sabe porque tiene X cosa de X entidad.
  • Ten un buen CV para llegar a esa entrevista técnica donde lo darás todo tienes que pasar antes por un filtro así que dadle, amor y cariño a esa hoja que habla bien de ti.
  • Entra en comunidades que te puedan aportar en el día a día.
  • Codéate de personas que de un valor añadido tanto en amistad como a nivel profesional eso marca una gran diferencia.
  • Intenta que cada día sea productivo hasta incluso en aquellos días donde no queremos hacer nada, lee una noticia o articulo (de Cyber claro jaja)
  • Afrontad todas las oportunidades de la mejor manera de todas las experiencias se aprende.

Son unas pocas cosas que os puedo recomendar de muchas cosas que hay espero que te haya servido de aporte o ayuda gracias por leer y hasta la próxima.

David Utón Amaya (Aka. m3n0sd0n4ld)

LinkedIn

¡Buenas!

Me llamo David Utón y me han pedido que cuente mi experiencia en Ciberseguridad. Aunque creo que no soy la persona más idónea, ya que llevo pocos años trabajando en el sector, pero os contaré mi experiencia y como conseguí “trabajar” en lo que empezó siendo un hobby y terminó siendo mi profesión.

Esfuerzo, trabajo y dedicación. ¿O ha sido suerte?

Estoy seguro de que alguna vez te han dicho algo parecido a: “¿Qué suerte has tenido? ¡Es que tienes suerte!” ¿Realmente ha sido suerte? Para mí, la suerte es ganar un premio como el “Euromillón” o la “Quiniela”, aunque entiendo que se refieren a que todo tu esfuerzo, trabajo y dedicación se haya visto recompensado.

¿Pero cómo comenzó todo? Desde pequeño, siempre me han gustado todos los “cacharros” que tienen teclas, no solo por fuera, también me llamaba mucho la atención como eran por dentro, creo que fue lo que me motivó para aprender a montar y reparar equipos informáticos, no solo en sustitución de componentes, sino en encontrar la avería y lograr resolverla (esto también es un CTF).

Así que, conseguí que mis padres me compraran mi primer PC, en el que pude aprender a programar en lenguajes web y en mIRC Scripting. Sentía curiosidad y pasión por cómo eran capaces unas líneas de código de realizar acciones automatizadas, por lo que continué leyendo, aprendiendo y practicando de forma autodidacta.

Pasaron los años, estuve buscando trabajo en el mundo IT, pero la falta de estudios no motivaba al personal RRHH de las empresas, por lo que tuve que optar por trabajar en otros gremios, así conseguí un puesto en una fábrica, donde estuve 12 años rodeado de “cacharros” industriales con tecnología (OT/IoT) fuera del alcance de muchos, en él fui aprendiendo el funcionamiento de estas obras de arte de la ingeniería, incluso aprendí a configurarlos ¡Y hasta repararlos en algunos casos!

¿Pero ya estaba conforme? Pues lamentablemente no, trabajaba a tres turnos, por lo que iba compaginando mi familia, mis dos trabajos (en fábrica y técnico informático) y mi hobby, son muchísimas las horas a la que dediqué (y aún dedico) para seguir aprendiendo y mejorando. Continué buscando información, cuando tropecé con la Ciberseguridad por medio de vídeos de Youtube y canales de Telegram de Hackplayers, Follow The White Rabbit, The Hacker Way y C43s4rs (Edu, Jesús, Manolo, Kevin, etc… ¡Sois muchos! ¡Pero gracias a todos!), estos últimos me hicieron un sitio en su canal y diría que son los máximos responsables de introducirme en este mundo y en el mundo CTF (Capture The Flag).

¿Los CTF sirven para algo? Personalmente si, aunque entiendo el pensamiento de muchos que los CTF no se asemejan a la realidad, ¡Y es cierto! Hackear a una empresa es más sencillo en muchas ocasiones. Así empecé a participar en retos CTF y empecé adquirir habilidades que me ayudaron a seguir avanzando en Ciberseguridad, programación y un cambio de enfoque a la hora de buscar posibles intrusiones o fallos de seguridad en aplicaciones web o sistemas.

Comencé a asistir algunos eventos (CON’s) por mi zona, para asistir a charlas sobre ciberseguridad y vivir más de cerca este mundo. Así que fui con mi amigo Jose Iglesias (un crack de los PLC’s y reversing), donde estuvieron varios ponentes compartiendo conocimiento en TomatinaCON, allí conocí a Alejandro Aliaga y a Javier Payá (otros dos cracks), estas tres personas fueron los causantes de animarme a dejar un CV en su empresa.

Pasaron varios meses, no perdí la fe, pero recuerdo perfectamente ese día que me llamaron desde RRHH de Sothis para una entrevista en sus instalaciones. Allí, conocí a Fran Mateu y a Jose Luis Chica, las personas que confiaron en mí, en una persona que venía de otro gremio, abandonando su puesto de responsable en una fábrica, una persona que solo tenía algunos CTF’s a sus espaldas, muchas horas de cacharreo nocturnas, con muchísimas ganas de aprender y pasión por este mundo.

Agradecer a todas a esas personas que hicisteis posible lo que pensé que era imposible. ¡GRACIAS!

David Manuel Herrera Rodríguez (Aka. Shac0x)

LinkedIn

Me presento, mi nombre es David Herrera, tengo 24 años y actualmente trabajo en VASS como Pentester.

Mis inicios con la informática fueron desde pequeñito, cuando mis padres se compraron su primer ordenador. Me daba muchísima curiosidad todo lo que se podía hacer con él. Por ello les pedí un ordenador, pero no fue hasta los 14 años que por reyes hice mi primer ordenador a piezas, y la verdad que tenía muchísimo miedo de montarlo, ya que la única experiencia que tenía era de todos los vídeos que vi por Internet, pero después de unas cuantas de horas de trabajo y sudor conseguí que funcionara.

Hablando de mi formación y estudios… fue un poco caótica ya que desde la ESO sabía que quería estudiar informática que era lo que a mí me gustaba, pero cuando acabe la ESO y podía acceder al grado medio de microinformática y redes, desgraciadamente no tuve plazas, y me apunté a bachillerato. Una vez pase primero de bachillerato lo intente otra vez y de nuevo no tuve plazas por lo que empecé a estudiar desarrollo web por mi cuenta mientras continuaba con el segundo año de bachillerato. A los dos meses de las clases, me llamaron de un instituto, ya que se quedó una plaza libre, y ahí empezó mi camino sobre la ciberseguridad.

Durante los dos años en el grado medio, aprendí un montón de disciplinas tanto por parte de sistemas o la que me llamaba más la atención, desarrollo. Me di cuenta durante todo este tiempo que cada vez más me quería dedicar a esto, por ello me decidí en continuar mi formación con el grado superior de desarrollo web en modalidad dual (recomiendo totalmente realizar un grado superior en modalidad dual, ya que te adentra completamente al mundo laboral).

Durante mi primer año en modalidad dual aprendí muchísimo sobre distintos lenguajes de programación y cómo afrontarlos en el mundo laboral con proyectos reales, ya que tenía que asistir a la empresa cuatro de cinco días a la semana. Me centré en frontend y concretamente en el framework Vue.js, que en aquél momento estaba dando muy fuerte y fue entonces dónde me uní para administrar a la mayor comunidad de Vue.js hispanohablante de Telegram.

Una vez en el segundo año del grado superior me empezó a llamar esto de la ciberseguridad. Investigando descubrí las plataformas de Root-Me y TryHackMe junto a sus laboratorios, empecé a practicar (no era capaz de hacer uno sin mirar un write-up o ver alguna pista) y la verdad que cada día me enganchaba más.

Luego llegó 2020 y nos encerraron a todos, en esa época estaba haciendo las prácticas del grado superior y me llegó una petición de mi jefe de aquel momento ofreciéndome unirme al equipo de ciberseguridad que recién habían montado, y mi respuesta fue un rotundo sí.

Durante mi primer año trabajando en ciberseguridad tuve que aprender muchísimo ya que tenía que enfrentarme a proyectos reales. Mis métodos favoritos fueron distintas plataformas de entrenamiento como TryHackMe y HackTheBox, también tuve que aprender sobre análisis forense, porque también tenía que hacer peritajes informáticos realizando las extracciones de los dispositivos, para luego analizarlos utilizando hardware como la Cellebrite para dispositivos móviles o la Falcon para discos duros de ordenadores. Gracias a realizar proyectos tanto de Pentester como de forense supe que lo que a mí me atraía y gustaba más era la ciberseguridad ofensiva y durante este año seguí formándome en este sector.

Se acercaba mi primer año trabajando en ciberseguridad y decidí apuntarme al curso de Especialización en Ciberseguridad en Entornos de las Tecnologías de la Información que justo estrenaban ese año. Sabía que iba a ser complicado compaginar el trabajo y los estudios, ya que eran ambos presenciales, pero me uní a la aventura y empecé el curso de Especialización, el cual puedo recomendar muchísimo, porque a parte de seguridad ofensiva, te enseñan y refuerzan varios aspectos como puesta en producción segura, análisis forense o desarrollo seguro.

A los pocos meses de finalizar el curso de especialización me dieron la posibilidad de cambiar de trabajo e irme a la empresa donde estoy actualmente VASS, dando servicio a Telefónica, que es el cliente. La verdad que no puedo estar más contento, todo este año he aprendido muchísimo en distintos ámbitos (auditorías de infraestructura, web, móviles, Wi-Fi..), he realizado distintas certificaciones cómo el eCCPT, eWPTX o OSCP y conocido grandes profesionales y compañeros.

Mis consejos para adentrarte en la ciberseguridad:

  • Constancia, este sector necesitas mucha constancia y paciencia. Al principio verás que todo se hace cuesta arriba, pero nos pasa a todos. Con paciencia lo conseguirás.
  • Practica en máquinas como PentesterAcademy , TryHackme o HackTheBox (esta última mi favorita).
  • Si tuviera que elegir una certificación para empezar elegiría el eJPT de los chicos de eLearnSecurity y si te lo puedes permitir el OSCP de Offensive Security con subscripción anual, ya que te brinda de un gran inicio empezando de cero a parte del curso básico PEN 100 incluido en el pack.
  • La ciberseguridad concretamente el pentesting es muy amplio, existen muchos tipos de auditorías como Web, móviles, test de intrusión interno, externos… no te centres en una, y entrena y estudias varias, normalmente si te quieres dedicar a esto te pedirán que sepas varias de ellas.
  • Google es tu amigo, no tengas miedo de buscar, mirar algún comando o método de explotación, todos lo hacemos, estaríamos pérdidos sin el 😀.

Y por último ¡DISFRUTA! Haciendo lo que te gusta.

Mercedes Muñoz (Aka. Mikiminoru)

LinkedIn

Soy Mercedes Muñoz, ingeniera informática por la UCAM y masteurizada por la UNIR en seguridad informática. En mi caso desde casi el principio sabía que quería especializarme en ciberseguridad, aunque no fuera lo primero en lo que comencé a trabajar profesionalmente.

Estudiando la carrera participé en varios hackatones con amigos de la universidad (¿lo importante no era participar?), hice la beca Talentum de Telefónica y estuve de prácticas en el departamento de Sistemas en BlendHub en Murcia. Un tiempo después me mudé a Madrid.

Cuando creces en ciudades menos grandes y sabes que quieres algo muy concreto para tu vida, o tienes mucha suerte desde el principio o te tienes que mover de una forma u otra, y éste último es mi caso, por lo que me resultó fácil pensar en Madrid para aprender y crecer profesionalmente. Siendo capital tienes no sólo más servicios en todos los sentidos, sino también más oportunidad de crecer, más rotación en las empresas (y posibilidades de negociar mejores salarios, que no hay que engañarse, el coste de vida también es más caro), conoces más gente que te permite conocer más técnicas, herramientas, procedimientos, diferentes formas de trabajar y pensar en definitiva, y seguir aprendiendo.

Las carreras profesionales al final se parecen mucho. Empiezas en el sector con un equipo que te abre las puertas de cyber (en mi caso fue KPMG), y de ahí comienzas a pivotar según las oportunidades que van surgiendo en el camino. AirON. Zerolynx. Telefónica Tech. En todas combinando consultoría y pentesting. En cada uno de esos cambios compartes no sólo proyectos sino también conversaciones filosóficas, risas, cumpleaños, coñas, cervezas… Conoces las taritas y lo que hay detrás de las fotos de perfil corporativas; y con eso es con lo que nos quedamos del camino y lo que suma.

Cuando estás en el sector puedes querer tener certificaciones como si fueran medallas de gimnasios Pokémon, y lo más rápido posible, para demostrar que tienes más nivel y diferenciarte del resto, pero honestamente, los grandes profesionales están en todos lados, y aunque mole tener a alguien en tu equipo muy máquina que controle y se defienda, la clave está es que trabajamos con personas (porque formamos parte de equipos en las empresas en las que estamos), para personas (lo que auditas lo tiene que leer y entender alguien) y el fin de nuestro trabajo es que las personas estén más seguras, de una forma u otra. Es decir, da igual lo buen profesional que seas si no eres buen@ compañer@ con quienes trabajes.

En mi caso tengo el CEH, OSWP, CSX y CRTP. Tengo varias más en mente, pero también combino el estudio con el CrossFit, Securiters y tiempo personal.

Las certificaciones y la carrera profesional mejoran y se consiguen con el tiempo. En este sector siempre hay algo nuevo por aprender, pero teniendo en cuenta que nadie nace sabiendo, y que todos podemos aprender de todos, la experiencia mejora mucho.

Aprendizajes y Consejos

Después de todas estas historias, voy a intentar recopilar todos los aprendizajes y consejos que creo que cada historia nos ha dado:

  • Networking. No es ninguna novedad este punto, y si no lo es, es porque realmente es un punto importante. Hemos visto como por ejemplo Toni (Antonio Sánchez), gracias a que participó en la NCL, pudo conocer al que, en un futuro, le ayudó a entrar a trabajar.
  • Nunca es tarde. En la vida siempre nos intentan definir un camino, este es, usualmente, ir al instituto, bachillerato, universidad y a trabajar. Aquí hemos visto como por ejemplo Pablo hizo un cambio total de carrera, de Ingeniero Mécanico a Ciberseguridad. Lo mismo aplica para David Utón, tenía un puesto ya asegurado en una fábrica, pero quiso realizar ese cambio que él quería. Ambos, ya tenían medianamente su vida definida, pero fueron capaces y tuvieron la valentía de realizar ese cambio. Si ellos fueron capaces, ¿por qué tú no?. Otro ejemplo claro de esto es David Herrera. Él tenía claro lo que quería hacer, sin embargo, por simples circunstancias de la vida, hasta pasado un tiempo, no pudo realizar el cambio de estudios que quería. Lo dicho, nunca es tarde.
  • Metodologías. No sabe más quien lo sabe todo de memoria, para nada. Dani es un claro ejemplo de una persona que sabe preparar metodologías y apuntes de todo lo que va viendo, con el fin de que, si algún día necesita ese conocimiento, sabrá donde buscarlo y cómo actuar de inmediato.
  • Busca oportunidades. Quedándote en casa es poco probable que alguien llame a tu puerta para ofrecerte nuevas oportunidades. En vez de esperar, cáusalas tú. Solo hay que ver como, por ejemplo, Carolina Gómez y Antonio Sánchez fueron creando sus oportunidades al moverse, ya sea con la NCL o la Cybercamp. Otro ejemplo es David Utón, el cual acudía a eventos que se organizaban cerca de él. No hace falta que vayas al evento de ciberseguridad más grande y famoso, con que vayas a uno, ya estarás marcando la diferencia.
  • Muévete. El teletrabajo ahora se ha establecido mucho más, pero, si se busca una oportunidad no hay que rechazar directamente una posible oportunidad presencial. O mudarse a una nueva ciudad donde haya más oportunidades, como hicieron Carol y Mercedes.
  • CTF’s. La ciberseguridad es un campo que está muy gamificado, lo que parecen juegos como son los CTF, no solo pueden ser una gran manera de aprender, sino de conocer personas y moverse en el sector. Solo hay que leer la historía de David Utón para entender al completo este punto.
  • Write Ups. Todo el mundo ha leído write ups, David Herrera lo dice. Él al principio era incapaz de hacer cosas sin leerlos de otros (igual que todos). Y extrapolando un poco esta idea, ¿acaso no es así como todos aprendemos?, leyendo de otros. Leer write ups no está mal, y no es algo único que se haga cuando eres principiante, hasta los más avanzados lo siguen haciendo.
  • LinkedIn. Ya hemos visto como Andrés consiguió encontrar trabajo a través de esta red social. Sin duda, para mí, el mejor sitio para encontrar empleo, además del networking, porque de hecho, esto es algo a tener en cuenta, no todas las ofertas se publican.
  • Titulitis. Vivimos en un mundo en el que ha existido y existe la titulitis. Un mundo en el que un papel que ponga que sabes hacer algo, vale más, que el saber hacerlo. Por suerte, parece que esto va cada vez a menos. Dos claros ejemplos de que si de verdad te lo propones, puedes llegar al mismo sitio, con o sin título, son Dani y David Utón. Ambos no tienen ni grado superior ni carreras universitarias, sin embargo, trabajan de lo que se han propuesto, porque ambos se han esforzado en conseguirlo.
  • Esfuerzo y dedicación. Todas las personas que hay en este artículo, ya sea de una u otra forma, se han esforzado y han dedicado mucho tiempo para llegar donde están hoy. Esta es la base de todo lo visto en el artículo, sin esto, nada funcionará.

Comentarios en “Trabajar en Ciberseguridad – Experiencias de Profesionales

  1. Super excelente este post, la verdad que me apasiona mucho este mundo y sin duda quiero dedicarme a esto, ya llevo varios años estudiando conforme me da el tiempo, ya que poseo familia y trabajo en algo distinto pero cuando puedo le meto horas a conferencias, cursos etc, el año que viene sacare mi primer cert, y espero encontrar trabajo de esto, si que motivan todas sus historias y pues los consejos que dejan son muy útiles , aparte que son consejos de vida, este año tuve la oportunidad de dar dos charlas una en un evento denominado Cyber Secure Conference 2022 y otra en el canal de s4vitar (creador de contenido de ciberseguridad) las dos charlas fueron sobre ingeniería social. Unas máquinas todos uds y sigan enseñando y motivando a las personas que la ciberseguridad es muy bonita! Saludos desde el otro lado del mundo Honduras.!

    Responder

Deja una respuesta

Subir para arriba