La hipocresía de los "Pentesters"

No es cuestión de ego, es cuestión de realismo. Antes de que se acabe el año, sí que me gustaría dejar mi punto de vista ante lo que es hoy en día la seguridad informática. Denominé el título de esta manera, debido a tantas cosas que se me pasaron por la cabeza, entre ellas, las mentiras. El nuevo año que comenzará, sé que nuevas personas se incorporarán a éste mundo y otras se irán, como el ciclo natural de todo. Aquí en Underc0de sé que hay personas de muchísimo nivel, pero también me he dado cuenta que muchos entran simplemente para "subirse". Como en todas las comunidades, habrán usuarios que llegan a creerse dioses, afortunadamente, aquí eso está controlado.

Mi país natal es Colombia(para los que no lo sepan), distingo a otras personas de éste país que dicen haber vulnerado tantas cosas y la verdad es que no lo han hecho. No juzgo lo desconocido, por ende, TENGO PRUEBAS y muy contundentes, pero para evitarme problemas, no las publico. Créanme, no traguen entero. Puede que no me conozcas, pero también puede que estés pensando que a mis 19 años apenas estoy comenzando en éste mundo, pero no es así, llevo más tiempo de lo que crees.

El punto realmente se centra en que la seguridad informática en la actualidad se ha convertido en algo comercial y no de talento; mientras te exhibas en mayor cantidad, tienes más probabilidad de que más empresas grandes te contraten. ¿De qué vale tener ese tipo de "profesionales" en nuestro campo? ¿de qué vale que éste tipo de personas se crean más que otras? vamos, hasta a los postes más grandes se los mean los perros. Aquí nadie es más que nadie, puedes tener más conocimientos que otras personas, sí, pero eso no significa que habrán muchas personas que sabrán más que tú, y eso, eso es algo que debes aceptar. Además de lo que les he compartido, también entiendo que hay muchas personas que les da envidia otras personas que saben más que ellas, así que solo me queda recordarles una frase de aka Arkano: "El éxito ajeno, no implica el fracaso propio".

Pero aquí el culpable no es quien transmite lo que percibe sino el oyente que no recicla lo que recibe. Al igual que los rumores.

¿Saben qué es lo peor de todo esto? el mundo real funciona así. Por esa misma razón, existe el Marketing Visual, por esa misma razón hay muchas personas que están en un puesto que no lo merecen, mientras otras que se esforzaron por conseguir algo, sobreviven día a día como pueden. No se trata de criticar y tampoco de presumir, se trata de hacer caer en cuenta a las personas para un mejor por venir.

Dejémonos de excusas musas, los pretextos son válidos cuando decides aceptar y no indagar. No me gusta ser pretencioso, he reportado vulnerabilidades a grandes empresas(Google, Facebook, DropBox, Harvard, Freelancer, La NASA, entre otras) pero sé que no soy el único. ¿Eso hace que sea mejor que ustedes? no, pero sí siento que me hace más humano, por ayudar y contribuir con el conocimiento que me retribuyeron los libros y todo lo que leí.

Muchas personas dicen que en estos espacios no aportarían nada, pues no le ven ganancia alguna. Respeto su posición, pero no la comparto. ¿De qué te sirve saber mucho si te mueres el día de mañana?. Muchos como respuesta pensarán el dinero. Cierto, pero me da lástima las personas que piensan así.

En algunas conferencias que he tenido oportunidad de ser ponente(Barcamp, Bsides, DragonJar Conference, entre otras), al tratar con varias de las personas/ponentes, realmente se nota mucho el cómo son de subidos los ponentes por ser ponentes. Detesto a ese tipo de personas, porque pienso que aparte de promover un clasismo en ese tipo de eventos eventuales que busca retroalimentar conocimiento, generan segmentación entre las personas que asisten y entre los mismos ponentes.

Si para triunfar se debe ser prepotente o se debe alardear cosas que no has hecho, entonces prefiero no "triunfar".

Tú decides si deseas creer o investigar.


Mis respetos para todo el equipo de Underc0de, que ha logrado mantener una comunidad tan constituida como esta, cada uno de ustedes hace que la piramide sea construida, que cada ladrillo vaya en su lugar. También a los usuarios que están constantemente actualizándose con el conocimiento que todos intentamos aportar. ¡A todos ustedes, les deseo un 2018 lleno de muchos éxitos!.

Por favor, me gustaría que compartieras tu opinión acerca de la seguridad informática centrándote en los Pentesters, pues para mí, es valioso saber qué piensan ustedes.

Gracias por leer.

Estoy de acuerdo en la mayoría. Esos comportamientos son los que premia nuestra sociedad. Cuando alguien hace un avance, tiende a atribuirse todo el merito y le parece normal el lucrarse con ello, cuando todo es gracias a el conocimiento recogido previamente por miles de personas, gracias a las cuales ahora hay profesionales llamados pentester.

Aunque en parte estas haciendo lo que critica, se te ve frustrado por algún motivo y presumes de logros, esos sentimientos son
enemigos de un pensamiento claro jajaja

Edición: Por cierto yo soy alguien nuevo en esto, no tengo ni idea, y el problema que tengo es que a los pentester y gente de este mundo, le encanta quedarse con la informacion para ellos, como si fueran mas poderosos. Solo la comparten cuando lo que quieren es presumir de que saben...


Enviado desde mi CUBOT MAX mediante Tapatalk

Buenos dias! Esto no es una cuestion de un campo laboral especifico (pentesters), es algo general que se da en todos tipos de ambitos, hasta el administrativo mas basico quiere quedar bien con su superior, alardeando que el pudo hacer el trabajo que otro no pudo. En el campo público y privado, esto es algo cotidiano.

Con decirte que donde yo trabajo, hay una persona que creó un programa para calcular el incentivo laboral, en base a eso su remuneración, y no comparte el programa ni explica como lo hizo, y con eso alimenta no solo su ego, sino su "kiosquito", ya que no lo pueden mover de su trabajo porque sino haria falta diseñar un nuevo programa o comprarlo, y como siempre "no hay plata".

No te frustres, hipócritas hay de todos los motivos y colores.

Saludos!!

Las personas que están arriba y tienen este tipo de actitud, simplemente tienen miedo de ser superadas porque han llegado a su punto pico, en mi opinión. Al menos en mi país no hay tantos "pentesters". Pero si me ha tocado ver a muchos que "contratan a los que saben un poquito menos" para lucirse ellos, porque esto es un negocio cerrado.

Según las estadísticas hay una necesidad de más de 6mil millones de puestos para seguridad informática, las personas que saben un poco más y tienen esta actitud seguramente sienten miedo que otro pueda venir y ser mejor que ellos. "Mientras más subes, más bajo caes", venido de "en el mundo de los ciegos el tuerto es rey".

También es cierto que cuando llegas a un lugar de trabajo te suelen subestimar porque eres nuevo, o que estás recien graduado o tu edad, y tienen el estereotipo de que los demas "no saben nada".

Es un tema delicado

¿La hipocresía de los pentester?

Mira, yo en septiembre tuve que fanfarronear por ciertos motivos y me gustó bien poco, aunque te diré que era lo propio xDDD, se me pendonen las risas.

Sip, se alardea mucho en ésto de la informática, te sabes montar una habitación de ordenadores sin fallar en la asignación de IPs al switch y crees que eres alguien...

Viene de lejano el que la informática cambie cada tres años, los ordenadores van al unisono; yo por ejemplo para las cuatro tontás que hago no preciso lo último de lo último, o algo más cercano, la cosa que uso cascará en cualquier momento, de mientras...

Grandes reflexiones las tuyas para tu corta edad, a tus años lo mío era otro tipo de vida, la Internet no existía...

Un saludo.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No es cuestión de ego, es cuestión de realismo. Antes de que se acabe el año, sí que me gustaría dejar mi punto de vista ante lo que es hoy en día la seguridad informática. Denominé el título de esta manera, debido a tantas cosas que se me pasaron por la cabeza, entre ellas, las mentiras. El nuevo año que comenzará, sé que nuevas personas se incorporarán a éste mundo y otras se irán, como el ciclo natural de todo. Aquí en Underc0de sé que hay personas de muchísimo nivel, pero también me he dado cuenta que muchos entran simplemente para "subirse". Como en todas las comunidades, habrán usuarios que llegan a creerse dioses, afortunadamente, aquí eso está controlado.

Mi país natal es Colombia(para los que no lo sepan), distingo a otras personas de éste país que dicen haber vulnerado tantas cosas y la verdad es que no lo han hecho. No juzgo lo desconocido, por ende, TENGO PRUEBAS y muy contundentes, pero para evitarme problemas, no las publico. Créanme, no traguen entero. Puede que no me conozcas, pero también puede que estés pensando que a mis 19 años apenas estoy comenzando en éste mundo, pero no es así, llevo más tiempo de lo que crees.

El punto realmente se centra en que la seguridad informática en la actualidad se ha convertido en algo comercial y no de talento; mientras te exhibas en mayor cantidad, tienes más probabilidad de que más empresas grandes te contraten. ¿De qué vale tener ese tipo de "profesionales" en nuestro campo? ¿de qué vale que éste tipo de personas se crean más que otras? vamos, hasta a los postes más grandes se los mean los perros. Aquí nadie es más que nadie, puedes tener más conocimientos que otras personas, sí, pero eso no significa que habrán muchas personas que sabrán más que tú, y eso, eso es algo que debes aceptar. Además de lo que les he compartido, también entiendo que hay muchas personas que les da envidia otras personas que saben más que ellas, así que solo me queda recordarles una frase de aka Arkano: "El éxito ajeno, no implica el fracaso propio".

Pero aquí el culpable no es quien transmite lo que percibe sino el oyente que no recicla lo que recibe. Al igual que los rumores.

¿Saben qué es lo peor de todo esto? el mundo real funciona así. Por esa misma razón, existe el Marketing Visual, por esa misma razón hay muchas personas que están en un puesto que no lo merecen, mientras otras que se esforzaron por conseguir algo, sobreviven día a día como pueden. No se trata de criticar y tampoco de presumir, se trata de hacer caer en cuenta a las personas para un mejor por venir.

Dejémonos de excusas musas, los pretextos son válidos cuando decides aceptar y no indagar. No me gusta ser pretencioso, he reportado vulnerabilidades a grandes empresas(Google, Facebook, DropBox, Harvard, Freelancer, La NASA, entre otras) pero sé que no soy el único. ¿Eso hace que sea mejor que ustedes? no, pero sí siento que me hace más humano, por ayudar y contribuir con el conocimiento que me retribuyeron los libros y todo lo que leí.

Muchas personas dicen que en estos espacios no aportarían nada, pues no le ven ganancia alguna. Respeto su posición, pero no la comparto. ¿De qué te sirve saber mucho si te mueres el día de mañana?. Muchos como respuesta pensarán el dinero. Cierto, pero me da lástima las personas que piensan así.

En algunas conferencias que he tenido oportunidad de ser ponente(Barcamp, Bsides, DragonJar Conference, entre otras), al tratar con varias de las personas/ponentes, realmente se nota mucho el cómo son de subidos los ponentes por ser ponentes. Detesto a ese tipo de personas, porque pienso que aparte de promover un clasismo en ese tipo de eventos eventuales que busca retroalimentar conocimiento, generan segmentación entre las personas que asisten y entre los mismos ponentes.

Si para triunfar se debe ser prepotente o se debe alardear cosas que no has hecho, entonces prefiero no "triunfar".

Tú decides si deseas creer o investigar.

Mis respetos para todo el equipo de Underc0de, que ha logrado mantener una comunidad tan constituida como esta, cada uno de ustedes hace que la piramide sea construida, que cada ladrillo vaya en su lugar. También a los usuarios que están constantemente actualizándose con el conocimiento que todos intentamos aportar. ¡A todos ustedes, les deseo un 2018 lleno de muchos éxitos!.

Por favor, me gustaría que compartieras tu opinión acerca de la seguridad informática centrándote en los Pentesters, pues para mí, es valioso saber qué piensan ustedes.

Gracias por leer.

Buenas tardes Mortal_Poison,

Tras leer tu post ya hace unos días y reflexionar tu mensaje detenidamente no consigo comprender donde quieres llegar ¿?

Hoy en día, aquí en españa, en cuanto al área de la seguridad Informática las empresas a la hora de seleccionar personal relacionado con ello, no se fijan o escogen a personas que dicen: "Yo he vulnerado tal sitio o he hackeado tal cosa" (presumiendo de ello o exibiendose), porque las empresas no se dejan impresionar por "Hazañas varias". Aquí una multinacional o empresa grande e importante va buscando una persona que encaje/posea determinado perfil en cuanto a formacion académica, especialización y experiencia profesional en el ambito de la seguridad.

Por ejemplo buscan personas con una cierta formación academica relacionada con la computación y las comunicaciones como:

-Ingeniero en Informática.
-Ingeniero en Telecomunicaciones.
-Ingeniero en Telemática.

-Ciclos Formativos de Grado superior en informatica como ASIR, DAM, DAW

Añadiendo a ello también cierta especialización a través de estudios de postgrados especializados o certificaciones profesionales relacionadas con la seguridad:

-MASTERS (relacionados con la ciberseguridad, seguridad de la información, seguridad web, seguridad en redes de comunicaciones, etc)

-CEH (Certified Ethical Hacker)
-CISSP (Certified Information System Security Professional)
-GIAC
-CISA (Certified Information Systems Auditor), de ISACA
-CompTIA Security+
-Cisco CCNA Security  (certificación más enfocada a seguridad en redes e infraestructuras de red)
-LPIC-3 (Examen 303. Enfocada a seguridad en sistemas Linux/Unix)
-Certificaciones de microsoft

A todo eso tambien suelen pedir personas que manejen ciertas herramientas o tecnologías relacionadas con la seguridad o ciberseguridad de ciertos fabricantes vease:

-Palo alto.
-Fortinet.
-Blue Coat
-Cisco
-Sonicwall
-Suricata
-Herramientas SIEM.

O que tenga conocimientos en ciertas áreas como sistemas operativos, redes, programación, ingenieria inversa, normativa, pentesting, forense, infraestructuras de red, bastionado, Seguridad perimetral (Firewalls, IDS, VPN)...

Por último pueden exigir ciertos años de experiencia, habiendo trabajado en ello.

Sin olvidarnos, ni perder de vista la importancia del Ingles (B2-C1).


Creo que a grandes rasgos (dejandome muchas cosas en el tintero), es lo que buscan hoy en día en un especialista a la hora de contratarle.Siempre habrá personas que no posean formación reglada o academica y hayan sido autodidactas en ese caso, esas personas deberan demostrar sus aptitudes en una entrevista con la empresa donde pueda demostrar sus skills y conocimientos. Eso es como esta el mercado laboral a día de hoy, pero aquí no se contrata a nadie por "fama o por exibirse". 

La gente que de verdad sabe, son personas reputadas, porque han demostrado sus conocimientos en eventos
como las CONS (donde nos reunimos gente del sector, allí no solo van hackers, expertos, administadores de seguridad, sino tambien las empresas buscando talento y personal). En estos eventos como bien sabras la gente que tiene conocimientos da charlas, hace demostraciones a través de talleres técnicos, genera conocimiento con sus investigaciones en vulnerabilidades o reporta fallos y transmite conocimiento. Y esa gente por lo general ocupa puestos merecidos en las empresas.

Sinceramente viendo tu sms, da la sensación que hablas un poco resentido por no resultar seleccionado en alguna entrevista de trabajo en tu pais o haber tenido un mal día.

Dicen que hoy en día hay millones de puestos de trabajo relacionadas con la seguridad y en un futuro próximo seguiran creciendo las vacantes hacía este sector, el problema que se encuentran las empresas es que no encuentran perfiles técnicos en ello ni gente formada y con conocimientos reales para ello.

Como bien decias el mundo de la seguridad se ha vuelto "muy comercial" en cuanto a plataformas o empresas
que dan cursos presenciales/online de aprende a ser hacker, aprende la técnica de los hackers.... y realmente
luego ves el contenido de los cursos y se limitan a enseñar 4 comandos y utilizar 4 herramientas que estan automatizadas con scripts y a cobrar por ello. Hay que enseñar el porque de las cosas, los fundamentos y como funcionan las cosas, para entender lo que estamos haciendo. También muchas veces la gente llega diciendo que quiere aprender seguridad informática y pretenden "convertirse" en hackers sin tener unos conocimientos mínimos y básicos de informática y sin saber que es un protocolo, un servicio de red, que es una trama, en que consiste un encapsulamiento, como funciona el nucleo de un SO, los procesos del sistema, de que esta compuesto un ordenador por dentro y como funciona, saber un minimo de programación, de bases de datos, sistemas operativos, etc etc

Por otra parte recordar también que el mundo de la seguridad informática es muy amplio y que es una disciplina que abarca muchas áreas ya de por si dentro de ella misma, la cual cada una de ella requiere
cierto grado de especialización. La seguridad no solo es el pentesting. Hay mucha gente que se dedica a la seguridad en distintas áreas como:

-Análisis Forense en windows & Linux
-Auditor LOPD/ LSSI, regulación (perfil no tan tecnico y más relacionado con normativa y leyes)
-Consultor TIC
-Operador de Ciberseguridad
-Gestion de Incidentes (equipos CERT)
-Auditor de seguridad
-Seguridad Web
-Desarrollo de productos o herramientas de seguridad.
-Seguridad en redes inalambricas.
-Seguridad de infraestructuras de red.
-Seguridad en dispositivos moviles android e IOS.
-ingenieria inversa/reversing.
-Implantador/integrador de seguridad TIC.
-Hacking Ético.
-Consultores de seguridad.
-Operadores de Ciberseguridad.

etc, etc



Ya para acabar no estamos aquí para ganar dinero, sino para aprender unos de otros y transmitir/difundir
conocimiento, con las posibilidades que cada uno tenga.


Un saludo!


P.D Lo mio es tambien una reflexión, sin querer ofender a nadie

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No es cuestión de ego, es cuestión de realismo. Antes de que se acabe el año, sí que me gustaría dejar mi punto de vista ante lo que es hoy en día la seguridad informática. Denominé el título de esta manera, debido a tantas cosas que se me pasaron por la cabeza, entre ellas, las mentiras. El nuevo año que comenzará, sé que nuevas personas se incorporarán a éste mundo y otras se irán, como el ciclo natural de todo. Aquí en Underc0de sé que hay personas de muchísimo nivel, pero también me he dado cuenta que muchos entran simplemente para "subirse". Como en todas las comunidades, habrán usuarios que llegan a creerse dioses, afortunadamente, aquí eso está controlado.

Mi país natal es Colombia(para los que no lo sepan), distingo a otras personas de éste país que dicen haber vulnerado tantas cosas y la verdad es que no lo han hecho. No juzgo lo desconocido, por ende, TENGO PRUEBAS y muy contundentes, pero para evitarme problemas, no las publico. Créanme, no traguen entero. Puede que no me conozcas, pero también puede que estés pensando que a mis 19 años apenas estoy comenzando en éste mundo, pero no es así, llevo más tiempo de lo que crees.

El punto realmente se centra en que la seguridad informática en la actualidad se ha convertido en algo comercial y no de talento; mientras te exhibas en mayor cantidad, tienes más probabilidad de que más empresas grandes te contraten. ¿De qué vale tener ese tipo de "profesionales" en nuestro campo? ¿de qué vale que éste tipo de personas se crean más que otras? vamos, hasta a los postes más grandes se los mean los perros. Aquí nadie es más que nadie, puedes tener más conocimientos que otras personas, sí, pero eso no significa que habrán muchas personas que sabrán más que tú, y eso, eso es algo que debes aceptar. Además de lo que les he compartido, también entiendo que hay muchas personas que les da envidia otras personas que saben más que ellas, así que solo me queda recordarles una frase de aka Arkano: "El éxito ajeno, no implica el fracaso propio".

Pero aquí el culpable no es quien transmite lo que percibe sino el oyente que no recicla lo que recibe. Al igual que los rumores.

¿Saben qué es lo peor de todo esto? el mundo real funciona así. Por esa misma razón, existe el Marketing Visual, por esa misma razón hay muchas personas que están en un puesto que no lo merecen, mientras otras que se esforzaron por conseguir algo, sobreviven día a día como pueden. No se trata de criticar y tampoco de presumir, se trata de hacer caer en cuenta a las personas para un mejor por venir.

Dejémonos de excusas musas, los pretextos son válidos cuando decides aceptar y no indagar. No me gusta ser pretencioso, he reportado vulnerabilidades a grandes empresas(Google, Facebook, DropBox, Harvard, Freelancer, La NASA, entre otras) pero sé que no soy el único. ¿Eso hace que sea mejor que ustedes? no, pero sí siento que me hace más humano, por ayudar y contribuir con el conocimiento que me retribuyeron los libros y todo lo que leí.

Muchas personas dicen que en estos espacios no aportarían nada, pues no le ven ganancia alguna. Respeto su posición, pero no la comparto. ¿De qué te sirve saber mucho si te mueres el día de mañana?. Muchos como respuesta pensarán el dinero. Cierto, pero me da lástima las personas que piensan así.

En algunas conferencias que he tenido oportunidad de ser ponente(Barcamp, Bsides, DragonJar Conference, entre otras), al tratar con varias de las personas/ponentes, realmente se nota mucho el cómo son de subidos los ponentes por ser ponentes. Detesto a ese tipo de personas, porque pienso que aparte de promover un clasismo en ese tipo de eventos eventuales que busca retroalimentar conocimiento, generan segmentación entre las personas que asisten y entre los mismos ponentes.

Si para triunfar se debe ser prepotente o se debe alardear cosas que no has hecho, entonces prefiero no "triunfar".

Tú decides si deseas creer o investigar.

Mis respetos para todo el equipo de Underc0de, que ha logrado mantener una comunidad tan constituida como esta, cada uno de ustedes hace que la piramide sea construida, que cada ladrillo vaya en su lugar. También a los usuarios que están constantemente actualizándose con el conocimiento que todos intentamos aportar. ¡A todos ustedes, les deseo un 2018 lleno de muchos éxitos!.

Por favor, me gustaría que compartieras tu opinión acerca de la seguridad informática centrándote en los Pentesters, pues para mí, es valioso saber qué piensan ustedes.

Gracias por leer.

Buenas tardes Mortal_Poison,

Tras leer tu post ya hace unos días y reflexionar tu mensaje detenidamente no consigo comprender donde quieres llegar ¿?

Hoy en día, aquí en españa, en cuanto al área de la seguridad Informática las empresas a la hora de seleccionar personal relacionado con ello, no se fijan o escogen a personas que dicen: "Yo he vulnerado tal sitio o he hackeado tal cosa" (presumiendo de ello o exibiendose), porque las empresas no se dejan impresionar por "Hazañas varias". Aquí una multinacional o empresa grande e importante va buscando una persona que encaje/posea determinado perfil en cuanto a formacion académica, especialización y experiencia profesional en el ambito de la seguridad.

Por ejemplo buscan personas con una cierta formación academica relacionada con la computación y las comunicaciones como:

-Ingeniero en Informática.
-Ingeniero en Telecomunicaciones.
-Ingeniero en Telemática.

-Ciclos Formativos de Grado superior en informatica como ASIR, DAM, DAW

Añadiendo a ello también cierta especialización a través de estudios de postgrados especializados o certificaciones profesionales relacionadas con la seguridad:

-MASTERS (relacionados con la ciberseguridad, seguridad de la información, seguridad web, seguridad en redes de comunicaciones, etc)

-CEH (Certified Ethical Hacker)
-CISSP (Certified Information System Security Professional)
-GIAC
-CISA (Certified Information Systems Auditor), de ISACA
-CompTIA Security+
-Cisco CCNA Security  (certificación más enfocada a seguridad en redes e infraestructuras de red)
-LPIC-3 (Examen 303. Enfocada a seguridad en sistemas Linux/Unix)
-Certificaciones de microsoft

A todo eso tambien suelen pedir personas que manejen ciertas herramientas o tecnologías relacionadas con la seguridad o ciberseguridad de ciertos fabricantes vease:

-Palo alto.
-Fortinet.
-Blue Coat
-Cisco
-Sonicwall
-Suricata
-Herramientas SIEM.

O que tenga conocimientos en ciertas áreas como sistemas operativos, redes, programación, ingenieria inversa, normativa, pentesting, forense, infraestructuras de red, bastionado, Seguridad perimetral (Firewalls, IDS, VPN)...

Por último pueden exigir ciertos años de experiencia, habiendo trabajado en ello.

Sin olvidarnos, ni perder de vista la importancia del Ingles (B2-C1).


Creo que a grandes rasgos (dejandome muchas cosas en el tintero), es lo que buscan hoy en día en un especialista a la hora de contratarle.Siempre habrá personas que no posean formación reglada o academica y hayan sido autodidactas en ese caso, esas personas deberan demostrar sus aptitudes en una entrevista con la empresa donde pueda demostrar sus skills y conocimientos. Eso es como esta el mercado laboral a día de hoy, pero aquí no se contrata a nadie por "fama o por exibirse". 

La gente que de verdad sabe, son personas reputadas, porque han demostrado sus conocimientos en eventos
como las CONS (donde nos reunimos gente del sector, allí no solo van hackers, expertos, administadores de seguridad, sino tambien las empresas buscando talento y personal). En estos eventos como bien sabras la gente que tiene conocimientos da charlas, hace demostraciones a través de talleres técnicos, genera conocimiento con sus investigaciones en vulnerabilidades o reporta fallos y transmite conocimiento. Y esa gente por lo general ocupa puestos merecidos en las empresas.

Sinceramente viendo tu sms, da la sensación que hablas un poco resentido por no resultar seleccionado en alguna entrevista de trabajo en tu pais o haber tenido un mal día.

Dicen que hoy en día hay millones de puestos de trabajo relacionadas con la seguridad y en un futuro próximo seguiran creciendo las vacantes hacía este sector, el problema que se encuentran las empresas es que no encuentran perfiles técnicos en ello ni gente formada y con conocimientos reales para ello.

Como bien decias el mundo de la seguridad se ha vuelto "muy comercial" en cuanto a plataformas o empresas
que dan cursos presenciales/online de aprende a ser hacker, aprende la técnica de los hackers.... y realmente
luego ves el contenido de los cursos y se limitan a enseñar 4 comandos y utilizar 4 herramientas que estan atomatizadas ya cobrar por ello. Hay que enseñar el porque de las cosas, los fundamentos y como funcionan las cosas, para entender lo que estamos haciendo. También muchas veces la gente llega diciendo que quiere aprender seguridad informática y pretenden "convertirse" en hackers sin tener unos conocimientos mínimos y básicos de informática y sin saber que es un protocolo, un servicio de red, que es una trama, en que consiste un encapsulamiento, como funciona el nucleo de un SO, los procesos del sistema, de que esta compuesto un ordenador por dentro y como funciona, saber un minimo de programación, de bases de datos, sistemas operativos, etc etc

Por otra parte recordar también que el mundo de la seguridad informática es muy amplio y que es una disciplina que abarca muchas áreas ya de por si dentro de ella misma, la cual cada una de ella requiere
cierto grado de especialización. La seguridad no solo es el pentesting. Hay mucha gente que se dedica a la seguridad en distintas áreas como:

-Análisis Forense en windows & Linux
-Auditor LOPD/ LSSI, regulación (perfil no tan tecnico y más relacionado con normativa y leyes)
-Consultor TIC
-Operador de Ciberseguridad
-Gestion de Incidentes (equipos CERT)
-Auditor de seguridad
-Seguridad Web
-Desarrollo de productos o herramientas de seguridad.
-Seguridad en redes inalambricas
-Seguridad de infraestructuras de red
-ingenieria inversa/reversing
-Implantador/integrador de seguridad TIC
-Hacking
-Consultores de
-Operadores de Ciberseguridad

etc, etc



Ya para acabar no estamos aquí para ganar dinero, sino para aprender unos de otros y transmitir/difundir
conocimiento, con las posibilidades que cada uno tenga.


Un saludo!


P.D Lo mio es tambien una reflexión, sin querer ofender a nadie

Hola No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Creo que deberías releer lo que escribí, sin ánimos de ofender.
Primero que nada, no quiero tornarme a la defensiva, porque no lo estoy. Solo quiero responderte a lo que has expuesto y considero idóneo que te de argumentos.

1)

Citarpero aquí no se contrata a nadie por "fama o por exibirse".

-> Hay que tener una perspectiva del mundo más abierta. No es secreto que muchos de los empleadores contratan a su personal por algo tan simple como el nombre de la universidad. No te estoy comentando de cosas que me imagino, te comento de cosas que observo. Mi opinión, se basa netamente en eso. ¿No contratan a nadie por fama o por exhibirse? debes ver más el mercado laboral. Generalizar es erróneo en estos aspectos y tú lo estás haciendo.

2)

CitarSinceramente viendo tu sms, da la sensación que hablas un poco resentido por no resultar seleccionado en alguna entrevista de trabajo en tu pais o haber tenido un mal día.

-> No soy una persona resentida,  y las que me conocen lo saben. De hecho, me gusta apoyar a las personas, ¿por qué crees que asisto a estos eventos para exponer y compartir conocimiento? ¿por qué crees que reporto vulnerabildiades y luego las transmito en eventos? ¿por qué crees que tengo un canal para transmitir conocimiento y sin costo alguno?. Además, si tu sensación es que "no he sido seleccionado en alguna entrevista", no me he presentado a ninguna. Aunque bueno, sin mentirte, a la que me presenté en el presente, me hicieron una prueba de aptitud y pasé. Así que considero que ese no es un punto válido. Sin embargo, creo que debo aclararte a qué objetivo quiere llegar mi post(opinión).

Estoy cansado de que haya gente que idolatre a muchos de las personas que se exhiben, estoy cansado que los mismos pentesters vendan humo para pertenencer a alguna organización. La manera más factible de que muchas de estas personas sean contratadas es por medio de dos cosas: la invención de cosas y la prepotencia y he tenido la oportunidad de leer sobre psicología, y de ello, está comprobado que mientras tú lances algo verdadero y algo que sea mentira, te van a creer. Muchas de las personas que están en el campo, hacen cosas, sí, pero se inventan otras. Unos lo hacen para verse superiores a otr@s(por medio de la prepotencia), otros porque les gusta alardear cosas que no han hecho(inventarse cosas) y otros, para que en eventos, los idolatren.

Si notas en mi post, yo no generalicé. Precisamente, porque sé que hay otras personas que no venden humo y están comprometidos con compartir el conocimiento, y eso a mí, me da un alivio.
Pero créeme, ese tipo de cosas como lo mencionaban las anteriores personas, las premia la sociedad. Y te vuelvo a repetir, no es porque sea resentido, es porque mientras sigan éste tipo de personas, afectará a nuestra comunidad. ¿Por qué? porque las personas que se inician aprenderán con cosas que ni éste tipo de personas(los fanfarrones) conocen.

Para resumirte, en vez de alardear, creo que las cosas deben hablar por ti. Sí, yo mencioné a modo de ejemplo lo que hice, pero no tengo en mi frente pegada:"reporté una vulnerabilidad a Google". Detesto y por eso hice el post, gente que se inventa cosas para vender humo, como mencioné, tengo pruebas de varios pentesters que dicen haber reportado "X" vulnerabilidad a Facebook, pero en realidad no lo han hecho. El problema, viene cuando las mismas personas comienzan a darle mérito sin preguntarse si sí han hecho lo que dicen. Además, también muchas de estas personas no comparten información en espacios como estos(los foros), porque creen que es mierda, cuando hasta ellos mismos también habrán aprendido por aporte de otros usuarios.


Para finalizar, por eso mismo especifiqué pentesters y no forenses o ninguna otra rama de seguridad informática. Incluso en el mismísimo título lo puse para evitar confusiones o desviarnos a otros temas.

Como también menciono una persona, es un tema delicado y sabía que iba a causar un poco de disenso, pero para eso lo puse en debates.

Un saludo y todo fue sin ánimo de causar polémica alguna.[/font]

Buenas tardes No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Te voy respondiendo a tu mensaje:

1)

CitarCreo que deberías releer lo que escribí, sin ánimos de ofender..

->No te preocupes, en ningún momento me he sentido ofendido por ello. Estamos todos aquí para debatir y expresar nuestras opiniones libremente, las cuales pueden ser muy distintas, debido a la diversidad de personas que todos somos. Además me gustan las opiniones constructivas, siempre se aprende algo y
se sacan cosas positivas   

2)

CitarEstoy cansado de que haya gente que idolatre a muchos de las personas que se exhiben, estoy cansado que los mismos pentesters vendan humo para pertenencer a alguna organización. La manera más factible de que muchas de estas personas sean contratadas es por medio de dos cosas: la invención de cosas y la prepotencia

->Yo no se como estara la cosa en tu pais natal (Colombía). Yo te he dado mi opinión en función de lo que existe y conozo, aquí en España, en el mercado laboral en cuanto al campo de la seguridad informática.
Y te puedo asegurar que aquí ninguna empresa contrata a ninguna persona por "vender humo", inventandose alguna hazaña o decir que hizo tal cosa. Aquí en mi pais las organizaciones a la hora de contratar a alguien, buscan personas que encajen/posean un determinado perfil en cuanto a formacion académica, especialización y experiencia profesional en el ambito de la seguridad. No vuelvo a citar todo lo que ya te puse en cuanto a formación reglada (carreras, ciclos formativos, certificaciones, experiencia laboral en años o manejos de ciertas tecnologías), porque ya lo tienes en mi anterior mensaje.

3)

Citar¿No contratan a nadie por fama o por exhibirse? debes ver más el mercado laboral. Generalizar es erróneo en estos aspectos y tú lo estás haciendo.

->Y no, no contratan a nadie por eso. Vuelvo a remarcarte que siempre hablo en función de el mercado laboral en mi pais España. Y aquí ninguna organización contrata a ningun empleado por exibirse. Aquí las empresas buscan personas formadas, con acreditaciones especializadas, idiomas (ingles preferentemente) y años de experiencia en la materia. Luego puedo haber personas autodidactas que no tengan una formación reglada, pero posean muchos conocimientos en un área en concreto de la seguridad, en el que sean expertos y que la empresa busque en concreto, en ese caso se le hacen varias entrevistas en las que debera demostrar sus aptitudes a traves de varios días con la realización de practicas/pruebas técnicas simuladas o reales, pruebas de idiomas para que demuestre su valía y esos conocimientos que dice tener.

Y todo esto que te hablo, no te lo digo de forma generalizada ni sin puntos de mira. Te hablo desde la experiencia personal propia de una persona que lleva 11 años trabajando en el sector de la seguridad informática, que empezo con el tema de la informática a los 12 años de edad, que curso su carrera universitaria y que tubo que pasar por ese filtro que ponen las empresas del sector en España para ser contratado en su momento (Lo cual me costo lo suyo, porque como toda persona, en algunas entrevistas consideraron que no era el candidato idoneo y en otras si, hasta que me contrataron). Es por eso que puedo dar una visión bastante coherente y cierta de lo que es el mercado de la seguridad en España, ya que llevo bastante tiempo en ello y quizas tu no tengas esa visión real que tengo yo
puesto que debido a tu edad 19 años, no has podido verlo laboralmente desde dentro (la edad legal para trabajar son los 16 años y a esa edad todavía terminas la secundaria) y no tienes esa experiencia laboral que yo si tengo. Las cosas desde fuera se ven siempre de manera distinta, pero para saber realmente lo que se mueve y como funcionan las cosas, hay que verlas por dentro. Es como cuando estas estudiando o formandote y prácticas en un entorno virtual o simulado para entrenarte, nunca te das cuenta de la realidad hasta que estas
trabajando de verdad y te toca enfrentarte a un escenario real o incidente de seguridad (ahí no hay teoria, ni simulación que valga, ha pasado y tienes un problema que resolver en el menor tiempo posible porque tu organización por cada minuto que pasa esta perdiendo dinero).


4)

CitarHay que tener una perspectiva del mundo más abierta. No es secreto que muchos de los empleadores contratan a su personal por algo tan simple como el nombre de la universidad. No te estoy comentando de cosas que me imagino

-> En mi pais no se contrata a nadie por haber ido a una universidad de más renombre. Puesto que eso
no garantiza que ese candidato este preparado para lo que busca la empresa o para el mercado laboral, sobretodo en cuanto a la seguridad se suelen hacer muchas entrevistas y pruebas técnicas para verificar los conocimientos de ese candidato. Como dato extra te dire que mi tía, trabaja en el departamento de recursos humanos de una Bigfor (multinacional) de las TIC y a la hora de seleccionar candidatos valoran otras cosas en los candidatos a la hora de seleccionarlos y no donde haya estudiado, que como en el caso que comentabamos antes (fanfarronearse de que yo vulnere tal vulnerabilidad o me exibi haciendo tal cosa). Quieren a personas
que esten capacitados y sean resolutivos.

Y todas estas experiencias me las comentaba ella, cuando empezaba a buscar trabajo, recien terminado los estudios  para ayudarme a la hora de afrontar mis primeras entrevistas de trabajo en el sector, puesto que
mejor que una persona que trabaje en una empresa y se dedique seleccionar personal.

5)

CitarDe hecho, me gusta apoyar a las personas, ¿por qué crees que asisto a estos eventos para exponer y compartir conocimiento? ¿por qué crees que reporto vulnerabildiades y luego las transmito en eventos? ¿por qué crees que tengo un canal para transmitir conocimiento y sin costo alguno?

->Nadie nunca ha discutido, que obres de buenas manera y compartas conocimiento o que te lucrees con ello. Creo que en mi mensaje anterior nunca mencione por ninguna parte tal cosa. Solo comente que hoy en día algunas organizaciones estan convirtiendo el tema del "hacking y la seguridad" en algo muy comercial, dando cursos presenciales o en plataformas online que cuando ves su contenido es bastante pobre limitandose a dar 4 comandos y aprender a usar 4 herramientas automatizadas por un script, pero sin llegar a enseñar de verdad a las personas a construirse sus propias herramientas, saber como funcionan las cosas y xq se hacen de esa manera. Usan sloganes para atraer gente con epigrafes en sus cursos como "aprende las técnicas de los hackers", "convierte en hacker...", etc. Cuando primero antes de empezar por atacar la seguridad se debería uno formar primero en conceptos basicos de informática.

Es más nunca he puesto en duda tus conocimientos y habilidades en la materia. Faltaría mas!


Y creo que con esto. Por mi parte dejo el tema zanjado, puesto que podríamos seguir y seguir debatiendo sobre el tema, hacerse infinito y no terminar nunca. Cada uno con nuestras opiniones o argumentos. Pero
como te comente más arriba, creo que tengo una visión mas acertada de lo que es el mercado laboral de la seguridad informática en españa, no porque me empeñe yo, sino porque vivo en España y llevo unos cuantos años en el sector, he tenido que pasar los procesos de selección en las organizaciones y ves lo que buscan, piden y como funcionan.



un saludo!Y por aquí estamos para compartir conocimiento y lo que haga falta.


P. D Como siempre mis comentarios/opiniones estan hechos sin animo de ofender a nadie. Pero sobretodo desde la perspectiva del conocimiento y el punto de mira de alguien que habla de algo que conoce, puesto que lo ha vivido.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No es cuestión de ego, es cuestión de realismo. Antes de que se acabe el año, sí que me gustaría dejar mi punto de vista ante lo que es hoy en día la seguridad informática. Denominé el título de esta manera, debido a tantas cosas que se me pasaron por la cabeza, entre ellas, las mentiras. El nuevo año que comenzará, sé que nuevas personas se incorporarán a éste mundo y otras se irán, como el ciclo natural de todo. Aquí en Underc0de sé que hay personas de muchísimo nivel, pero también me he dado cuenta que muchos entran simplemente para "subirse". Como en todas las comunidades, habrán usuarios que llegan a creerse dioses, afortunadamente, aquí eso está controlado.

Mi país natal es Colombia(para los que no lo sepan), distingo a otras personas de éste país que dicen haber vulnerado tantas cosas y la verdad es que no lo han hecho. No juzgo lo desconocido, por ende, TENGO PRUEBAS y muy contundentes, pero para evitarme problemas, no las publico. Créanme, no traguen entero. Puede que no me conozcas, pero también puede que estés pensando que a mis 19 años apenas estoy comenzando en éste mundo, pero no es así, llevo más tiempo de lo que crees.

El punto realmente se centra en que la seguridad informática en la actualidad se ha convertido en algo comercial y no de talento; mientras te exhibas en mayor cantidad, tienes más probabilidad de que más empresas grandes te contraten. ¿De qué vale tener ese tipo de "profesionales" en nuestro campo? ¿de qué vale que éste tipo de personas se crean más que otras? vamos, hasta a los postes más grandes se los mean los perros. Aquí nadie es más que nadie, puedes tener más conocimientos que otras personas, sí, pero eso no significa que habrán muchas personas que sabrán más que tú, y eso, eso es algo que debes aceptar. Además de lo que les he compartido, también entiendo que hay muchas personas que les da envidia otras personas que saben más que ellas, así que solo me queda recordarles una frase de aka Arkano: "El éxito ajeno, no implica el fracaso propio".

Pero aquí el culpable no es quien transmite lo que percibe sino el oyente que no recicla lo que recibe. Al igual que los rumores.

¿Saben qué es lo peor de todo esto? el mundo real funciona así. Por esa misma razón, existe el Marketing Visual, por esa misma razón hay muchas personas que están en un puesto que no lo merecen, mientras otras que se esforzaron por conseguir algo, sobreviven día a día como pueden. No se trata de criticar y tampoco de presumir, se trata de hacer caer en cuenta a las personas para un mejor por venir.

Dejémonos de excusas musas, los pretextos son válidos cuando decides aceptar y no indagar. No me gusta ser pretencioso, he reportado vulnerabilidades a grandes empresas(Google, Facebook, DropBox, Harvard, Freelancer, La NASA, entre otras) pero sé que no soy el único. ¿Eso hace que sea mejor que ustedes? no, pero sí siento que me hace más humano, por ayudar y contribuir con el conocimiento que me retribuyeron los libros y todo lo que leí.

Muchas personas dicen que en estos espacios no aportarían nada, pues no le ven ganancia alguna. Respeto su posición, pero no la comparto. ¿De qué te sirve saber mucho si te mueres el día de mañana?. Muchos como respuesta pensarán el dinero. Cierto, pero me da lástima las personas que piensan así.

En algunas conferencias que he tenido oportunidad de ser ponente(Barcamp, Bsides, DragonJar Conference, entre otras), al tratar con varias de las personas/ponentes, realmente se nota mucho el cómo son de subidos los ponentes por ser ponentes. Detesto a ese tipo de personas, porque pienso que aparte de promover un clasismo en ese tipo de eventos eventuales que busca retroalimentar conocimiento, generan segmentación entre las personas que asisten y entre los mismos ponentes.

Si para triunfar se debe ser prepotente o se debe alardear cosas que no has hecho, entonces prefiero no "triunfar".

Tú decides si deseas creer o investigar.

Mis respetos para todo el equipo de Underc0de, que ha logrado mantener una comunidad tan constituida como esta, cada uno de ustedes hace que la piramide sea construida, que cada ladrillo vaya en su lugar. También a los usuarios que están constantemente actualizándose con el conocimiento que todos intentamos aportar. ¡A todos ustedes, les deseo un 2018 lleno de muchos éxitos!.

Por favor, me gustaría que compartieras tu opinión acerca de la seguridad informática centrándote en los Pentesters, pues para mí, es valioso saber qué piensan ustedes.

Gracias por leer.

Cordial saludo!

Yo soy nuevo por aquí y en seguridad informática apenas doy mis primeros pasos, sin embargo cuento con mi experiencia y siempre estoy en modo esponja para absorber todo el conocimiento y sobre todo compartirlo, la verdad es que concuerdo con mucho de lo que dices, yo también he tenido la oportunidad de estar en eventos y frente a personas que se supone son muy Tesas en el campo de la seguridad pero con una carencia de tacto y humildad abismal.

Aprovecho para agradecerle a toda la comunidad para abrir este espacio y poder aprender más de ustedes..

Feliz Año para todos.

Enviado desde mi HUAWEI GRA-L09 mediante Tapatalk

Mortal, digo exactamente lo mismo que vos, bien bien exacto salvo una cosa... Pentesters.

El mundo no acaba después de la informática...

Habrá mucamas que dirán "yo he limpiado 1 hotel completo en una mañana"... otra dirá "yo no tengo esposo".

Probablemente la segunda quede contratada.


Es decir, me parece bien lo de pentesters porque estamos en un foro de debate, y sobre todo, de hacking y seguridad informática.

Pero ya cuando nos vamos de las ramas más abajo empezás a generalizar en el mundo laboral.

Pero bueno, en sí, muy buena reflexión. A veces cuando viajo, estoy acostado pensando un rato, pienso en cosas similares sobre el mundo rocoso este...

¡Un saludo y feliz año!

Joper que dolor de cabeza seguir el hilo con tanta recita 


¿Hipocresía?


Vete al quiosco a comprar el periódico de la mañana, eso empieza ahí... (Le caes mal al quiosquero y no veas).

Voy a hacer caso a Randomize y no voy a hacer multicita que sino es una locura.
Creo que no podría estar mas de acuerdo con Codig0Bit, el mercado laboral no solo en España seguramente requiere una alta especialización y cada vez mayor debido a la alta competencia.
Si miras perfiles de Infojobs o LinkedIn nadie pone que haya hackeado Yahoo (aunque lo ha hecho), pone que es Ingeniero + Master en Seguridad con CISSP, CISA, CISM o incluso CEH.
Pero me gustaría también incidir en el tema de la idoneidad, ya que a mi me ha pasado siendo el mismo y con el mismo CV que me tiren en primera ronda de selección o que me contraten para el puesto requerido, eso es porque los perfiles laborales son cada vez mas heterogéneos.

Salu2

¿Perfiles laborales heterogéneos?

Definición, please (o al menos lo que tú entiendes, ¿OK?).

Hay peli y todo y tal (una de unos en Google si no me falla ésta memoria de grillo que tengo), pero "se busca saber hacer las cosas" (y que funcione tiempo).

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
¿Perfiles laborales heterogéneos?

Definición, please (o al menos lo que tú entiendes, ¿OK?).

Hay peli y todo y tal (una de unos en Google si no me falla ésta memoria de grillo que tengo), pero "se busca saber hacer las cosas" (y que funcione tiempo).

De diversa índole, ya que hay muchos escalafones formativos (desde FP BASICA hasta los post doc) y perfiles de selección complejos (SysAdmin, DBA, Technical Support, Developers,DevOps ...)

Jajajajaja yo prefiero pasar por tonto que por genio, así nadie se da cuenta de lo que puedo llegar hacer.

El arte de la guerra


Enviado desde mi iPhone utilizando Tapatalk