A veces me pregunto si la gente, cuando oye hablar de un «hacker ético», se imagina a un tipo con capucha en una habitación a oscuras, rodeado de pantallas verdes y tecleando a una velocidad que desafiaría las leyes de la física. La realidad, la verdad sea dicha, es bastante menos cinematográfica y mucho más parecida a la de un artesano que busca la grieta en un muro de carga. Si alguna vez te has paseado por el puerto de Cartagena y has visto cómo revisan los cascos de los barcos en el Arsenal, entenderás de qué va esto: se trata de encontrar el fallo antes de que el agua —o en este caso, los datos— empiece a entrar a chorros.
Resulta que Deloitte, ese gigante que parece estar en todas partes (como las cuestas en el casco antiguo de nuestra ciudad), ha lanzado una ofensiva para captar talento en el área de Pentesting y Ethical Hacking. Y aunque la oferta que ha saltado a la palestra tiene un pie en el entorno corporativo global, lo cierto es que refleja a la perfección lo que se está cociendo en el mercado tecnológico español. No es solo cuestión de «romper cosas», sino de saber cómo arreglarlas antes de que el «malo» de turno se entere de que la puerta estaba abierta.
Para que nos entendamos, un pentester es, esencialmente, un consultor de seguridad que recibe permiso (esto es clave, si no hay permiso, acabas en el calabozo) para intentar asaltar los sistemas de una empresa. En el caso de Deloitte, el enfoque no es solo dar martillazos a ver qué rompe, sino realizar un análisis quirúrgico de aplicaciones web y APIs.
La verdad es que hoy en día, casi todo lo que usamos pasa por una API. Desde que pides una marinera en una terraza de la Plaza del Ayuntamiento y pagas con el móvil, hasta la gestión de las infraestructuras críticas de una ciudad. Si esa API no está bien blindada, tenemos un problema. Y ahí es donde entra el perfil que buscan: alguien que no solo sepa usar herramientas automáticas, sino que tenga esa «malicia» necesaria para ver donde otros solo ven código limpio.
Lo que me llama la atención de esta búsqueda de talento es que piden entre uno y dos años de experiencia. Vaya, que no buscan a un gurú que lleve desde los tiempos del MS-DOS hackeando la NASA, sino a gente con hambre, que haya manchado las manos en un par de proyectos reales y que sepa moverse en entornos empresariales. Porque, seamos sinceros, hackear un servidor en tu casa es divertido, pero hacerlo en una red corporativa donde un error puede tumbar la facturación de una multinacional… eso ya son palabras mayores.
¿Qué demonios hace un Pentester en su día a día?
Si crees que te vas a pasar el día lanzando exploits como si no hubiera un mañana, lamento decirte que la realidad tiene una parte mucho más mundana: la documentación. Un buen hacker ético en una firma como Deloitte pasa casi tanto tiempo escribiendo informes como analizando vulnerabilidades. Porque si encuentras un fallo crítico pero no sabes explicárselo al cliente de forma que lo entienda (y lo arregle), tu trabajo no sirve para nada.
- Reconocimiento: Es como cuando vas a las fiestas de Carthagineses y Romanos y te fijas en por dónde es más fácil colarse en el campamento sin que te vean los vigilantes. Miras la superficie de ataque, qué puertos están abiertos, qué tecnologías usan…
- Análisis de vulnerabilidades: Aquí es donde sacas el arsenal. Escáneres, pruebas manuales y mucho café (si es un asiático de los nuestros, mejor que mejor para aguantar el tirón).
- Explotación: El momento de la verdad. Intentas entrar. Si la puerta está cerrada, miras si la ventana tiene el pestillo echado.
- Post-explotación: Una vez dentro, ¿qué puedes ver? ¿Puedes llegar hasta la base de datos de clientes? ¿Puedes saltar de un servidor a otro?
- Reporte: La parte que nadie te cuenta en las pelis. Explicar qué has hecho, cómo lo has hecho y, sobre todo, cómo evitar que vuelva a pasar.
Ojo con esto, porque en la oferta de Deloitte mencionan específicamente las APIs. Y es que las APIs son el nuevo «agujero negro» de la seguridad. Muchas empresas se olvidan de que, aunque su web sea preciosa y segura, por detrás hay una tubería de datos (la API) que a veces deja pasar más de la cuenta si no se le ponen los filtros adecuados.
El ecosistema tecnológico en España: ¿Por qué ahora?
La verdad es que el mercado español está viviendo un momento dulce, y a la vez amargo, en ciberseguridad. Dulce porque hay más trabajo que nunca; amargo porque los ataques no dejan de crecer. Empresas en Madrid, Barcelona o incluso aquí, en el polo tecnológico de la Región de Murcia, se han dado cuenta de que la seguridad no es un gasto, es un seguro de vida.
Deloitte, al igual que otras de las llamadas «Big Four», ha entendido que la transformación digital de las empresas españolas ha ido más rápido que su capacidad para protegerse. Hemos subido todo a la nube (Cloud) sin mirar si la configuración era la correcta. Y claro, luego vienen los sustos. Por eso, el perfil que buscan debe estar cómodo en entornos Cloud. Ya no vale con saber de servidores físicos que puedes tocar; ahora hay que entender cómo funcionan AWS, Azure o Google Cloud, y saber que un simple error en un «bucket» de S3 puede dejar los datos de media España al descubierto.
Un pequeño ejemplo de código (para que no se diga que solo hablamos)
Imagina que estás revisando una aplicación web que gestiona las reservas de un hotel en La Manga. Un pentester novato se limitaría a mirar si puede meter una comilla en el formulario de login. Un pentester que encaja en lo que busca Deloitte miraría algo como esto en una petición a una API:
// Petición legítima para ver mis datos
GET /api/v1/user/profile?id=12345
Authorization: Bearer [mi_token_de_sesion]
// Lo que probaría un Pentester con "malicia" (BOLA - Broken Object Level Authorization)
GET /api/v1/user/profile?id=12346 <-- ¡Cambiamos el ID para ver si el sistema nos deja ver al vecino!
Authorization: Bearer [mi_token_de_sesion]
Si el sistema devuelve los datos del usuario 12346 usando el token del usuario 12345, tenemos un problema de los gordos. Es lo que se llama BOLA, y es una de las vulnerabilidades más comunes y peligrosas en las APIs modernas. Detectar esto no requiere una herramienta compleja, requiere entender la lógica del negocio y tener la paciencia de probar cada recoveco.
La formación: ¿Sirve de algo el título o solo el talento?
Aquí entramos en un terreno pantanoso. Si mal no recuerdo, hace unos años se decía que para ser hacker solo necesitabas ser autodidacta. Hoy, aunque el espíritu sigue ahí, las grandes consultoras valoran mucho las certificaciones. No porque un papel te haga mejor, sino porque les asegura a ellos (y a sus clientes) que tienes una base sólida y una metodología.
Si estás pensando en postularte a algo así, seguramente te suenen siglas como OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker) o las certificaciones de eLearnSecurity. En el contexto español, tener una ingeniería (como las que se imparten en la UPCT, por ejemplo) ayuda mucho a entender los fundamentos, pero en el mundo del pentesting, lo que realmente cuenta es tu capacidad para resolver problemas bajo presión.
Además, Deloitte hace hincapié en el liderazgo a todo nivel. Esto suena un poco a frase de manual de recursos humanos, pero tiene un fondo real: quieren gente que no necesite que le lleven de la mano. Quieren a alguien que vea un problema, tome la iniciativa y proponga una solución. En un equipo multidisciplinario, si tú eres el experto en seguridad, tienes que ser capaz de defender tu postura ante desarrolladores que, a veces, solo quieren que el código funcione rápido, sin importarles si es seguro.
El factor humano y la ética (que para algo se llama Ethical Hacking)
A veces se nos olvida que detrás de cada servidor hay personas. El trabajo en Deloitte no es solo técnico; es un ejercicio de confianza. Te están dando las llaves de su casa para que compruebes si las cerraduras son buenas. La ética aquí no es una opción, es el cimiento de todo.
La verdad es que el riesgo de «pasarse al lado oscuro» es más una fantasía de película que una realidad para la mayoría de profesionales. El sueldo de un pentester en España, aunque varía mucho según la ciudad y la experiencia, suele ser bastante competitivo (podemos hablar de rangos que empiezan en los 25k-30k para juniors y suben rápidamente). No merece la pena jugarse la carrera por una tontería. Además, la satisfacción de encontrar un fallo complejo y ayudar a cerrarlo da un subidón de adrenalina que no te da el cibercrimen (o eso dicen, que yo soy de los buenos).
¿Cómo es el ambiente en una de estas grandes firmas?
No nos engañemos: trabajar en una «Big Four» como Deloitte implica ritmo. No es un trabajo de 8 a 3 donde te olvidas de todo al salir. Hay picos de trabajo, clientes exigentes y metodologías muy estrictas. Pero a cambio, la curva de aprendizaje es brutal. En un año en un sitio así, ves más entornos, más tecnologías y más problemas reales que en cinco años en el departamento de IT de una empresa pequeña.
Para alguien de Cartagena o de cualquier otra ciudad de provincias, la opción del trabajo híbrido que mencionan en la oferta es una bendición. Te permite estar conectado con proyectos de primer nivel mundial sin tener que renunciar a tu calidad de vida, a tus paseos por Cala Cortina o a tus cañas con los amigos de siempre. Es lo bueno de la tecnología: los bits no entienden de fronteras geográficas.
Herramientas del oficio: Más allá del Nmap
Si vas a entrar en este mundo, tu caja de herramientas tiene que estar bien surtida. En Deloitte no se andan con chiquitas y esperan que domines lo estándar y un poco más.
- Burp Suite: Es el cuchillo suizo del pentester web. Si no sabes usarlo, mejor ni lo intentes. Sirve para interceptar peticiones, modificarlas y ver cómo reacciona el servidor.
- Metasploit: Para cuando necesitas pasar a la acción y probar si una vulnerabilidad es realmente explotable.
- Postman: Fundamental para trabajar con APIs. No es una herramienta de hacking per se, pero es vital para entender cómo se comunica el software.
- Scripts propios: Al final del día, las herramientas automáticas se quedan cortas. Saber un poco de Python o Bash para automatizar tareas repetitivas es lo que separa a un «script kiddie» de un profesional.
Y es que, para que nos entendamos, la herramienta más potente sigue siendo el cerebro. Puedes tener el software más caro del mundo, pero si no entiendes que el programador se dejó una puerta trasera por comodidad, no vas a encontrar nada.
El reto de las APIs y los entornos modernos
Mencionaba antes lo de las APIs, pero quiero profundizar un poco porque es donde Deloitte está poniendo el foco. Antiguamente, las aplicaciones eran monolitos: un bloque gigante de código. Hoy, todo son microservicios. Una aplicación móvil de un banco español puede estar llamando a veinte APIs diferentes: una para el saldo, otra para las transferencias, otra para la publicidad…
Cada una de esas llamadas es un punto de entrada potencial. Y lo peor es que muchas veces esas APIs están expuestas a internet sin que nadie sepa muy bien por qué. El trabajo del pentester aquí es mapear todo ese caos y asegurar que cada «conversación» entre el móvil y el servidor sea privada y segura. Es como intentar vigilar todas las ventanas de un rascacielos a la vez.
Además, está el tema del fortalecimiento de entornos (Hardening). No basta con decir «tienes un fallo». Hay que proponer cómo configurar el servidor, qué cabeceras de seguridad añadir y cómo monitorizar los logs para detectar ataques en tiempo real. Es un enfoque de 360 grados que requiere una visión global de la tecnología.
¿Es para ti este camino?
Si eres de los que desarman las cosas para ver cómo funcionan, si no te rindes cuando algo no sale a la primera y si tienes la paciencia de un pescador en el espigón de Navidad, entonces sí, el Ethical Hacking es lo tuyo.
La oferta de Deloitte es solo una puerta de entrada. Lo importante es la mentalidad. En España necesitamos más gente que sepa proteger nuestras infraestructuras. No solo por el dinero, que oye, no está mal, sino por la importancia estratégica que tiene. Imagina que alguien tumba el sistema logístico de una gran empresa de exportación de frutas de nuestra región… el desastre económico sería monumental.
Para que nos entendamos, el pentester es el guardián silencioso. Ese que evita que las noticias de mañana sean un desastre de filtración de datos. Y aunque a veces el trabajo sea estresante y los informes se hagan bola, la sensación de encontrar ese fallo crítico justo antes de que lo haga alguien con malas intenciones… eso, amigos, no tiene precio.
Al final del día, lo que buscan empresas como Deloitte es gente real, con problemas reales y soluciones ingeniosas. No buscan robots que sigan un manual, sino mentes inquietas que sepan adaptarse. Si tienes ese par de años de experiencia y te gusta el barro tecnológico, quizá sea el momento de dar el salto. Y si no, al menos ya sabes que cuando usas una app en tu móvil, hay todo un ejército de «hackers buenos» intentando que tus datos sigan siendo solo tuyos.
La verdad es que el futuro de la ciberseguridad en España es prometedor, y ciudades como Cartagena tienen mucho que decir en este tablero. Solo hace falta ganas, curiosidad y, como siempre, un buen café para aguantar las noches de auditoría.
Deja una respuesta