A veces me pregunto si la gente, cuando oye la palabra «hacker», sigue imaginando a un tipo con capucha en un sótano oscuro, rodeado de pantallas verdes y tecleando a una velocidad sobrehumana. La realidad, la que nos encontramos en el día a día de empresas como NTT DATA, es bastante más mundana y, a la vez, mucho más compleja. No hay capuchas, pero sí hay mucho café, muchas ojeras y una cantidad ingente de horas analizando líneas de código que parecen no tener fin. Hoy me he topado con una vacante para Hacker Ético Semi-Senior en NTT DATA Europe & Latam y, la verdad, me ha parecido la excusa perfecta para desgranar qué demonios significa esto de ser un «mercenario del bien» en el panorama tecnológico actual, especialmente aquí, en España.
La etiqueta «Semi-Senior» siempre me ha hecho gracia. Es ese limbo profesional donde ya no puedes poner cara de póker cuando algo explota (porque se supone que ya sabes por qué ha explotado), pero tampoco tienes la espalda tan curtida como para que te llamen «Arquitecto de Seguridad» y te pases el día en reuniones de Excel. En el contexto de NTT DATA —que para los que llevamos tiempo en esto, siempre tendrá ese ADN de la antigua Everis—, un perfil Semi-Senior es el que ensucia las manos. Es el que está en la trinchera.
Hablamos de alguien con unos tres años de experiencia. Tres años en ciberseguridad son como quince años en cualquier otra profesión. En tres años te da tiempo a ver cómo cambian los paradigmas, cómo una vulnerabilidad que ayer era el fin del mundo hoy es un chiste, y cómo las herramientas que antes eran infalibles ahora son detectadas por cualquier antivirus gratuito. La clave aquí no es solo saber usar una herramienta, sino entender qué está pasando por debajo. Porque, seamos sinceros, darle al botón de «scan» en Nessus lo sabe hacer cualquiera; lo difícil es explicarle al cliente por qué ese falso positivo no es tal, o cómo un encadenamiento de fallos leves puede acabar con la base de datos de sus clientes en un foro de la Dark Web.
El ecosistema de NTT DATA: De la consultoría al asalto digital
NTT DATA no es una empresa cualquiera en España. Tienen sedes en Madrid, Barcelona, Sevilla y, por supuesto, una presencia muy potente en nuestra querida Región de Murcia, con oficinas que son un motor tecnológico brutal. Trabajar aquí como hacker ético implica que no vas a estar auditando la web de la carnicería de la esquina. Vas a estar metido en las tripas de infraestructuras críticas, bancos del IBEX 35 o sistemas gubernamentales. La responsabilidad es tela marinera.
Lo que buscan con esta posición es alguien que domine el Pentesting en todas sus variantes. Y cuando digo todas, es todas. No basta con saber que una inyección SQL es mala; hay que saber cómo saltarse un WAF (Web Application Firewall) que está configurado con mala leche. Hay que saber cómo interrogar a una API que no tiene documentación y cómo convencer a un servidor en la nube de que te dé permisos que no deberías tener. La verdad es que es un trabajo de detectives, pero con más terminales de Linux y menos gabardinas.
El arsenal técnico: Más allá del «copy-paste» de exploits
Si echamos un ojo a lo que piden, vemos una lista de siglas que a cualquier mortal le daría dolor de cabeza, pero que para nosotros son el pan de cada día. Mencionan CPTS, eWPTX, eCPPT, OSCP, CRTO. Si me preguntáis a mí, el OSCP (Offensive Security Certified Professional) sigue siendo el estándar de oro para separar el grano de la paja. Es ese examen de 24 horas donde te das cuenta de si realmente vales para esto o si deberías haberte dedicado a la cría del caracol. Que NTT DATA valore estas certificaciones dice mucho del nivel de rigor que buscan.
Pero ojo, que no todo es romper cosas. El puesto exige manejar herramientas de SAST y DAST. Para los que no hablen «ciberseguridad-español», esto es básicamente el Análisis Estático y Dinámico de Seguridad.
- SAST (Fortify, Checkmarx, Snyk): Es como corregir un examen de lengua. Miras el código fuente sin ejecutarlo, buscando faltas de ortografía que en este caso son agujeros de seguridad. Es tedioso, sí, pero es donde pillas los errores de base antes de que el código llegue a producción.
- DAST (Burp Suite, por supuesto): Esto ya es más divertido. Es atacar la aplicación mientras está funcionando. Aquí es donde entra en juego Burp Suite, que es básicamente la navaja suiza, el martillo y el destornillador de cualquier hacker ético. Si no sabes usar el Repeater o el Intruder de Burp, es que no has hackeado nada en tu vida.
La Inteligencia Artificial: ¿Aliada o verdugo?
Un detalle que me ha llamado la atención de la oferta es que mencionan como deseable el conocimiento en herramientas de Inteligencia Artificial. Y es que, amigos, la IA ha llegado para quedarse también en el lado oscuro (y en el claro). Ya no se trata solo de que ChatGPT te ayude a escribir un script en Python para automatizar el escaneo de puertos —que también—, sino de cómo los atacantes están usando modelos de lenguaje para crear correos de phishing que no tienen ni una falta de ortografía y que suenan más humanos que tu propio jefe.
En el hacking ético, usamos la IA para analizar grandes volúmenes de logs o para predecir vectores de ataque. Pero también hay que saber auditar la propia IA. ¿Cómo engañas a un modelo de aprendizaje automático? ¿Cómo haces que una IA de seguridad ignore un comportamiento malicioso? Es un terreno pantanoso y fascinante. Me imagino a los ingenieros en las oficinas de NTT DATA dándole vueltas a cómo proteger estos modelos, y la verdad es que me da un poco de envidia sana. Es la nueva frontera.
Scripting: Si no programas, estás fuera
Dice la oferta que hay que saber Python, Bash o PowerShell. Y es lógico. Un hacker que no sabe programar es como un mecánico que no sabe usar una llave inglesa. Al final del día, las herramientas comerciales tienen un límite. Siempre llega ese momento en el que necesitas un script rápido para parsear un JSON infumable o para automatizar un ataque de fuerza bruta contra un protocolo que nadie usa desde 1995.
Python es el rey aquí. Es sencillo, potente y tiene librerías para todo. Si quieres interactuar con una API, usas requests. Si quieres manipular paquetes de red, usas scapy. Es la lengua franca de la ciberseguridad. Y Bash… bueno, si trabajas en Linux y no sabes Bash, probablemente estés sufriendo innecesariamente.
# Un pequeño ejemplo de lo que un Semi-Senior podría automatizar
# Nada del otro mundo, pero ahorra tiempo cuando estás en un Red Team
import requests
def check_vulnerability(url):
payload = "' OR 1=1 --"
try:
# Intentamos una inyección SQL básica, de esas que ya no quedan pero oye...
response = requests.get(url, params={'id': payload}, timeout=5)
if "admin" in response.text.lower():
print(f"[!] Ojo, que {url} parece vulnerable. Revisa esto antes de que nos den un susto.")
else:
print(f"[-] {url} parece aguantar el tipo. Seguimos.")
except Exception as e:
print(f"[?] Algo ha ido mal: {e}")
# Nota: No probéis esto en la web de vuestro ayuntamiento, que nos conocemos.
El factor humano: Ingeniería Social y Red Team
Aquí es donde la cosa se pone interesante. La oferta menciona la ejecución de campañas de ingeniería social y ejercicios de Red Team. Para que nos entendamos: el Red Team es jugar a ser los malos de verdad. No es solo buscar un fallo en una web; es intentar entrar en la organización por cualquier medio necesario.
La ingeniería social es, a mi juicio, la parte más difícil y a la vez la más efectiva. Puedes tener el mejor firewall del mundo, el cifrado más robusto y una política de contraseñas que obligue a usar caracteres élficos, que si consigues que el administrativo de turno haga clic en un enlace de «Factura pendiente de pago», estás dentro.
En España somos muy sociables, nos gusta hablar y, a veces, pecamos de confiados. Un hacker ético en NTT DATA tiene que saber diseñar estos escenarios. No se trata de engañar por engañar, sino de educar. Es mucho mejor que te «hackee» un compañero de trabajo y te explique el error, a que lo haga un grupo de ransomware de Europa del Este y te pida tres millones de euros en Bitcoin.
La conexión con Cartagena: Talento de la tierra
Aunque NTT DATA es un gigante global, no podemos olvidar el peso que tiene en el sureste español. Cartagena, con su Universidad Politécnica (UPCT), es una cantera inagotable de ingenieros de sistemas y expertos en seguridad. He conocido a gente brillante que salió de las aulas del antiguo Hospital de Marina y que ahora están liderando equipos de ciberseguridad en medio mundo.
La cultura tecnológica en Cartagena ha crecido una barbaridad. Ya no somos solo una ciudad de barcos y arqueología (que también, y nos encanta); somos un polo de innovación. Ver ofertas de este calibre, que aunque se publiquen con un foco internacional, resuenan en nuestras sedes locales, es un orgullo. Si eres de la zona y tienes ese gusanillo por la seguridad, NTT DATA es probablemente uno de los mejores sitios para curtirse. Eso sí, prepárate para estudiar más que en la carrera, porque en este mundillo, si te paras un mes, te han pasado por la derecha tres tecnologías nuevas.
OWASP y MITRE ATT&CK: El mapa del tesoro
Mencionan también estar familiarizado con OWASP y MITRE ATT&CK. Esto no son herramientas, son marcos de trabajo.
- OWASP Top 10: Es la lista de los diez riesgos de seguridad más críticos en aplicaciones web. Es como el código de circulación para un hacker ético. Si no sabes lo que es un Broken Access Control o un Cross-Site Scripting (XSS), estás muy verde.
- MITRE ATT&CK: Esto es harina de otro costal. Es una base de conocimiento global de tácticas y técnicas de adversarios basada en observaciones del mundo real. Es un mapa inmenso que te dice: «Si el atacante quiere persistencia, probablemente use estas 50 técnicas». Para un perfil Semi-Senior, dominar esto es fundamental para poder documentar hallazgos con rigor profesional.
¿Cómo es el día a día en este puesto?
No os voy a mentir, no todo es adrenalina. Hay una parte de documentación de hallazgos que es, para muchos, el purgatorio. Puedes haber descubierto la vulnerabilidad del siglo, pero si no sabes explicarla en un informe técnico (y en uno ejecutivo para que el jefe lo entienda), no sirve de nada.
Un día normal podría empezar con una reunión de seguimiento (el famoso «daily») donde se repasan los objetivos del sprint. Luego, quizás te pasas cuatro horas peleándote con un proxy que no te deja ver el tráfico de una aplicación móvil. Después, una pausa para el café (o dos, o tres) y a seguir probando casos de abuso. ¿Qué pasa si cambio este parámetro en la URL? ¿Qué pasa si mando un paquete malformado al servidor? Es un proceso de ensayo y error constante.
Y luego están los ejercicios de Red Team, que son los que te mantienen despierto por la noche. Esa sensación de «estoy a un paso de conseguir acceso de administrador» es lo que engancha de esta profesión. Es como un videojuego, pero con consecuencias reales y un sueldo a final de mes.
El mercado laboral en España: ¿Merece la pena?
La ciberseguridad es uno de los pocos sectores en España con desempleo técnico cero. Si sabes de lo que hablas, no te va a faltar trabajo. NTT DATA ofrece un entorno estable, algo que se agradece en un mundo tan volátil. Además, el hecho de ser una empresa «Europe & Latam» te abre puertas a proyectos internacionales sin moverte de tu casa (o de tu oficina en Murcia, que se vive muy bien).
Al final del día, lo que buscan es compromiso y curiosidad. La ciberseguridad no es un trabajo de 8 a 3; es una forma de ver el mundo. Es esa paranoia sana de mirar un cajero automático y preguntarte qué sistema operativo corre por debajo, o de no conectarte a una Wi-Fi pública ni aunque te paguen.
La conclusión que saco de todo esto es que, si tienes esos tres años de experiencia, si te gusta romper cosas para luego ayudar a arreglarlas y si no te asusta el aprendizaje continuo, esta oportunidad es de las que no se deberían dejar pasar. NTT DATA tiene los recursos, los clientes y el conocimiento. Tú solo tienes que poner el talento y, bueno, quizás un poco de paciencia con los informes de vulnerabilidades.
Vaya, que si cumples el perfil, ya estás tardando en actualizar el CV. Y si no, pues al menos ya sabes un poco más sobre qué hace esa gente que se pasa el día mirando pantallas negras con letras blancas. Quién sabe, igual el próximo gran ciberataque que se detenga en España sea gracias a alguien que leyó esto y decidió dar el salto.
Deja una respuesta