¿Como conseguir trabajo de ethical hacker sin titulo universitario?

¿Como se llama la atención de una empresa en la que quieres trabajar como pentester si no tienes titulo universitario? (He oido que teniendo un buen portafolio, ¿pero que tipo de cosas agregan valor a un portafolio de un ethical hacker?
-Por otro lado: ¿Como se puede trabajar de pentester independiente?

Gracias de antemano.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
¿Como se llama la atención de una empresa en la que quieres trabajar como pentester si no tienes titulo universitario? (He oido que teniendo un buen portafolio, ¿pero que tipo de cosas agregan valor a un portafolio de un ethical hacker?
-Por otro lado: ¿Como se puede trabajar de pentester independiente?

Gracias de antemano.

Te dejo algunos puntos que te pueden ayudar:

- Tener bug bounties.
- Haber reportado vulnerabilidades a varios sitios.
- Tener un buen repositorio de GitHub.
- Haber escrito papers.

Si echas curriculum sin tener carrera universitaria ni master ni nada que compruebe tus habilidades es probable que te hagan unas pruebas técnicas para comprobar tu capacidad.

Saludos.

En mi experiencia personal para este tipo de trabajo el titulo universitario no es un aval de nada.
Lo que vale mas allá de todo es tu conocimiento sobre la temática.
Se autodidacta, has cursos online, certifica, tienes certificaciones interesantes como CEH, CISSP, CCNAP, etc aunque para muchas empresas vale mas tu conocimiento que cualquier titulo o certificación.
Yo no tengo titulo universitario, sin embargo he trabajado para gigantes de la talla de Accenture y Symantec por nombrar algunas, y también he trabajado largos años como consultor freelance de seguridad informática.

Me ha tocado hacer entrevistas técnicas para este tipo de posiciones donde el entrevistador tiene bastante conocimiento del tema y te hace preguntas puntuales, por ej. que tipo de XSS existen? Como evitar tal o cual, me han planteado situaciones en las cuales debía dar soluciones.

Mi recomendación es, estudia, estudia, estudia y practica, mantente actual en cuanto a las novedades que hay día a día. Hoy en día no es nada difícil, el contenido esta por todos lados, desde cursos online gratuitos, papers, RFC, incluso hay cientos de videos en youtube de lo que se te ocurra.

No quieras aprender todo junto y de golpe, porque de nada te servirá, ve por partes, elige un tema estudia, practica, haz retos sobre el mismo y cuando estés realmente seguro de que los conoces, entonces continua por el próximo tema...

Espero haber aportado algo.

Saludos y suerte.

Gn0m3

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Te dejo algunos puntos que te pueden ayudar:

- Tener bug bounties.
- Haber reportado vulnerabilidades a varios sitios.
- Tener un buen repositorio de GitHub.
- Haber escrito papers.

Si echas curriculum sin tener carrera universitaria ni master ni nada que compruebe tus habilidades es probable que te hagan unas pruebas técnicas para comprobar tu capacidad.

Saludos.

- Tener bug bounties.
- Haber reportado vulnerabilidades a varios sitios.

Muy mal, no respondiste totalmente su pregunta, en un BBP no participa cualquiera y el autor del post sigue sin saber como interpretar tu opinión obviamente digo esto porque para participar se necesita dominar más de un idioma extranjero, SABER que clases de vulns vas a buscar, tener un conocimiento moderadamente tecnico, leer el scope, etc.

La gran mayoria cree que por responder así y reportar vulnerabilidades es lanzar toda clase de ataques in the wild... (a ver que encuentro) sin siquiera saber que es un #BugBounty o incluso afectar paginas web de otras empresas que ni siquiera ofrecen eso, NO, eso no funciona así.

Esto difiere bastante de la pregunta que planteó el autor del post.

- Tener un buen repositorio de GitHub.

No necesariamente en InfoSEC, existen muchos repositorios y herramietas ya... no se reinventa la rueda, a no ser que te refieras a tener un buen recopilatorio toolkit (...)

- Haber escrito papers.

Esto si sirve como prueba de las habilidades del postulante sin un titulo (EN EL SECTOR PRIVADO), pero se tiene que hacer con un proposito; quizas participar en algun congreso de seguridad informatica o simplemente compartir hallazgos. Lo malo es invertir bastante tiempo.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
En mi experiencia personal para este tipo de trabajo el titulo universitario no es un aval de nada.
Lo que vale mas allá de todo es tu conocimiento sobre la temática.
Se autodidacta, has cursos online, certifica, tienes certificaciones interesantes como CEH, CISSP, CCNAP, etc aunque para muchas empresas vale mas tu conocimiento que cualquier titulo o certificación.
Yo no tengo titulo universitario, sin embargo he trabajado para gigantes de la talla de Accenture y Symantec por nombrar algunas, y también he trabajado largos años como consultor freelance de seguridad informática.

Me ha tocado hacer entrevistas técnicas para este tipo de posiciones donde el entrevistador tiene bastante conocimiento del tema y te hace preguntas puntuales, por ej. que tipo de XSS existen? Como evitar tal o cual, me han planteado situaciones en las cuales debía dar soluciones.

Mi recomendación es, estudia, estudia, estudia y practica, mantente actual en cuanto a las novedades que hay día a día. Hoy en día no es nada difícil, el contenido esta por todos lados, desde cursos online gratuitos, papers, RFC, incluso hay cientos de videos en youtube de lo que se te ocurra.

No quieras aprender todo junto y de golpe, porque de nada te servirá, ve por partes, elige un tema estudia, practica, haz retos sobre el mismo y cuando estés realmente seguro de que los conoces, entonces continua por el próximo tema...

Espero haber aportado algo.

Saludos y suerte.

Gn0m3

Tu comentario es acertado y lo apoyo en gran medida pero se te olvido una cosa: bloguear, esto sirve muchisimo en el sector privado y sus cazatalentos.

¿Me pregunto como ingresaste a Symantec? lol, bueno.


En general contesto al autor del post, comparte y publica hallazgos personales si crees que eres capaz y tienes conocimientos, piensa de manera muy distinta a alguien que posee certificaciones o titulos, se independiente como describes en tu pregunta... y quizas te des cuenta como se mueve realmente la industria de InfoSEC.

#Saludos, atte:yo.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Te dejo algunos puntos que te pueden ayudar:

- Tener bug bounties.
- Haber reportado vulnerabilidades a varios sitios.
- Tener un buen repositorio de GitHub.
- Haber escrito papers.

Si echas curriculum sin tener carrera universitaria ni master ni nada que compruebe tus habilidades es probable que te hagan unas pruebas técnicas para comprobar tu capacidad.

Saludos.

- Tener bug bounties.
- Haber reportado vulnerabilidades a varios sitios.

Muy mal, no respondiste totalmente su pregunta, en un BBP no participa cualquiera y el autor del post sigue sin saber como interpretar tu opinión obviamente digo esto porque para participar se necesita dominar más de un idioma extranjero, SABER que clases de vulns vas a buscar, tener un conocimiento moderadamente tecnico, leer el scope, etc.

La gran mayoria cree que por responder así y reportar vulnerabilidades es lanzar toda clase de ataques in the wild... (a ver que encuentro) sin siquiera saber que es un #BugBounty o incluso afectar paginas web de otras empresas que ni siquiera ofrecen eso, NO, eso no funciona así.

Esto difiere bastante de la pregunta que planteó el autor del post.

- Tener un buen repositorio de GitHub.

No necesariamente en InfoSEC, existen muchos repositorios y herramietas ya... no se reinventa la rueda, a no ser que te refieras a tener un buen recopilatorio toolkit (...)

- Haber escrito papers.

Esto si sirve como prueba de las habilidades del postulante sin un titulo (EN EL SECTOR PRIVADO), pero se tiene que hacer con un proposito; quizas participar en algun congreso de seguridad informatica o simplemente compartir hallazgos. Lo malo es invertir bastante tiempo.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
En mi experiencia personal para este tipo de trabajo el titulo universitario no es un aval de nada.
Lo que vale mas allá de todo es tu conocimiento sobre la temática.
Se autodidacta, has cursos online, certifica, tienes certificaciones interesantes como CEH, CISSP, CCNAP, etc aunque para muchas empresas vale mas tu conocimiento que cualquier titulo o certificación.
Yo no tengo titulo universitario, sin embargo he trabajado para gigantes de la talla de Accenture y Symantec por nombrar algunas, y también he trabajado largos años como consultor freelance de seguridad informática.

Me ha tocado hacer entrevistas técnicas para este tipo de posiciones donde el entrevistador tiene bastante conocimiento del tema y te hace preguntas puntuales, por ej. que tipo de XSS existen? Como evitar tal o cual, me han planteado situaciones en las cuales debía dar soluciones.

Mi recomendación es, estudia, estudia, estudia y practica, mantente actual en cuanto a las novedades que hay día a día. Hoy en día no es nada difícil, el contenido esta por todos lados, desde cursos online gratuitos, papers, RFC, incluso hay cientos de videos en youtube de lo que se te ocurra.

No quieras aprender todo junto y de golpe, porque de nada te servirá, ve por partes, elige un tema estudia, practica, haz retos sobre el mismo y cuando estés realmente seguro de que los conoces, entonces continua por el próximo tema...

Espero haber aportado algo.

Saludos y suerte.

Gn0m3

Tu comentario es acertado y lo apoyo en gran medida pero se te olvido una cosa: bloguear, esto sirve muchisimo en el sector privado y sus cazatalentos.

¿Me pregunto como ingresaste a Symantec? lol, bueno.


En general contesto al autor del post, comparte y publica hallazgos personales si crees que eres capaz y tienes conocimientos, piensa de manera muy distinta a alguien que posee certificaciones o titulos, se independiente como describes en tu pregunta... y quizas te des cuenta como se mueve realmente la industria de InfoSEC.

#Saludos, atte:yo.

Presupongo que lo dices porque estás en el caso de tener cierta experiencia laboral en el sector sin tener estudios universitarios, porque sí, estar en hall of fame de sitios con bug bounties ayuda, y si, haber reportado vulnerabilidades a sitios sin bug bounty también ayuda.

El tema del GitHub no es necesario, solo lo comentaba como forma de demostrar que tienes ciertas capacidades técnicas.

Saludos.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Presupongo que lo dices porque estás en el caso de tener cierta experiencia laboral en el sector sin tener estudios universitarios, porque sí, estar en hall of fame de sitios con bug bounties ayuda, y si, haber reportado vulnerabilidades a sitios sin bug bounty también ayuda.

El tema del GitHub no es necesario, solo lo comentaba como forma de demostrar que tienes ciertas capacidades técnicas.

Saludos.

Hmmmm, te lo comenté (y adivinaste) así porque llevo suficiente tiempo participando y yo no he visto que pongan de esas cosas en el curriculum, mucho menos en los perfiles de linkedin lo que me comentas... no te confundas, esto es más bien un pasatiempo o un trabajo independiente más no un merito personal que vayas agregar a tu CV.

Lo unico que he visto ha sido menciones y enlaces a blogs personales (en perfiles linkedin) donde hacen publico sus propios reportes o actividades como researcher si ellos quieren. Pero que vayan a poner que son numero #1 HoF, que tiene 5000 bugs... olvidate, eso se ve ambiguo y muy anticuado en estos dias.

No se... ¿por qué tienes ese pensamiento?, el sector privado solo quiere saber tu blog y tus propias publicaciones como prueba de tus skills, no le interesa saber lo que te comenté atrás.

#Saludos.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Presupongo que lo dices porque estás en el caso de tener cierta experiencia laboral en el sector sin tener estudios universitarios, porque sí, estar en hall of fame de sitios con bug bounties ayuda, y si, haber reportado vulnerabilidades a sitios sin bug bounty también ayuda.

El tema del GitHub no es necesario, solo lo comentaba como forma de demostrar que tienes ciertas capacidades técnicas.

Saludos.

Hmmmm, te lo comenté (y adivinaste) así porque llevo suficiente tiempo participando y yo no he visto que pongan de esas cosas en el curriculum, mucho menos en los perfiles de linkedin lo que me comentas... no te confundas, esto es más bien un pasatiempo o un trabajo independiente más no un merito personal que vayas agregar a tu CV.

Lo unico que he visto ha sido menciones y enlaces a blogs personales (en perfiles linkedin) donde hacen publico sus propios reportes o actividades como researcher si ellos quieren. Pero que vayan a poner que son numero #1 HoF, que tiene 5000 bugs... olvidate, eso se ve ambiguo y muy anticuado en estos dias.

No se... ¿por qué tienes ese pensamiento?, el sector privado solo quiere saber tu blog y tus propias publicaciones como prueba de tus skills, no le interesa saber lo que te comenté atrás.

#Saludos.

Bueno, no estoy de acuerdo, si no quieres compartir que tienes un bug bounty allá tú xD

Saludos.

Muchachos dejen de discutir por boludeces y usemos el sentido común. Mientras más podamos hablarle a una empresa de nosotros mismos y nuestro trabajo, mejor. Sobre todo cuando se quiere ganar confianza y experiencia laboral. Uno tiene que hacer cosas particulares antes.

Recordemos que el trabajo como Pentester no es como el de ser Jardinero, darle trabajo a un pentester prácticamente es darle las llaves de tu casa al jardinero. Digamos que se necesita conocer muy bien y para eso mientras más trasparentes seamos con el gfe mejor.

Ayuda todo, bugs, blogs, papers, todo tipo que podamos mostrar. Colgarlo en un solo lugar y en vez de darle un documento de 500 páginas tenerlo todo en una página web en nuestra descripción de redes sociales. Y fin, no más.


MODIFICACIÓN: Agrego que en lo personal, un amigo está en un proyecto en lo que tendrá una página web con login y demás cosas dentro. Por lo que acudió a mí para que le haga un pentest web, de mi parte, no le cobraré. ¿Por qué? Porque lo que necesito antes de salir al mercado laboral es experiencia y referencia. Pactamos que no le cobraré nada pero que si llego hacer bien mi trabajo él estará en mi portfolio de referencias. Sin más, hay que hacer sacrificios antes de hacer más sacrificios... Como soy novato, nuevo y estoy a la espera de mi título ethical hacker que me llegará en las próximas semanas supongo, necesito ir ganando la confianza de las futuras empresas que me darán las llaves de su seguridad. Por lo que contar con referencias es un gran punto a favor a la hora de buscar empleo.

Obviamente por más que le cobre a mi amigo tendré la referencia de él sea buena o mala. Pero a lo que voy, es que no puedo comerme el mundo cuando todavía no aprendí a masticar. Lleva un arduo camino manejar el peso de la seguridad en empresas.

Es más, en tu caso @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, decir que sos moderador en unos de los foros de seguridad informática más importante es una gran ventaja. Tenes responsabilidad y obviamente conocimiento con referencias de @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En fin, la duda del post es difícil de explicar... Tenés que trabajar de forma independiente y en colaboraciones interpersonales para ponerlo como experiencia el día de mañana. Tener un título universitario no siempre representa tu conocimiento, por lo que terminar la universidad y quedarse de brazos cruzados esperando a que te caigan ofertas de trabajo no es una opción muy viable.

Un saludo.