Déjame adivinar. Desde muy joven, te atraían las películas de espías. Eres alguien que no estaba necesariamente interesado en las asignaturas escolares, pero que probablemente lo hizo bien, independientemente. Aprende conceptos fácil y rápidamente en comparación con otros. Tuviste una afinidad natural por las computadoras a una edad temprana. Algo sobre ti está emocionado por la comunidad subversiva de piratería de blackhat, pero en realidad, eres una buena persona a la que no le gusta la idea de arruinar la vida de las personas o pasar tu vida haciendo dominadas con tu compañero moralmente cuestionable "Steve" en un prisión de alta seguridad.

Entonces, ¿cuál es la solución? ¡Conviértete en un hacker ético, para que puedas hacer estas cosas ilegales sin riesgo de ir a la cárcel, y que te paguen por ello!

Debería comenzar con un descargo de responsabilidad: no soy un experto. Solo he conseguido un trabajo de pirateo, que es el actual, ¡y ni siquiera he estado aquí mucho tiempo! Pero pasé mucho tiempo en otros sectores de TI deseando estar en seguridad. Como resultado, leí muchas cosas y hablé con mucha gente. Básicamente, todo se reduce a esto:

No existe un enfoque único para todos para obtener su primer rol de infosec. Hubo un hashtag reciente de Twitter que hizo las rondas, #MyWeirdPathToInfosec, donde un montón de profesionales de infosec revelaron los caminos que tomaron para un eventual rol de infosec. Varían ampliamente, algunos pasaron tiempo en una prisión federal (no recomendado), algunos fueron músicos, otros obtuvieron un papel infosec directamente de la universidad, a algunos se les ofreció trabajo después de piratear ilegalmente una compañía y luego decirle a la compañía cómo lo hicieron (también no recomendado). Esta técnica puede haber funcionado para algunas personas en los años 90, ahora probablemente lo llevará a la cárcel.

El punto es que no tienes visión de túnel. Las oportunidades de carrera a menudo surgen donde menos se espera.

Un poco sobre mi camino a Infosec

Recuerdo mi primera experiencia con la "piratería". Tenía unos 10 años y descubrí la posibilidad de guardar páginas web localmente. Me dirigí directamente a Google, descargué la página de inicio y edité mi copia local en notepad.exe para contener las palabras "¡Luke estaba allí!". Cuando abrí la página editada, se me cayó el estómago. Pensé que había desfigurado Google. ¿Cuánto tiempo hasta que el FBI patee mi puerta? ¿Debo decirles a mis padres antes de que se enteren?

De vuelta en myyy daaaay, no había sitios de desafío de piratería. De hecho, apenas había información, al menos que pudiera encontrar. Mi primer recurso fue un sitio web de Carolyn Meinel, titulado "Las guías para (en su mayoría) Hacking sin daños". Las guías fueron escritas en Comic Sans, la fuente simbólica de ese género de diseño malo que solo se puede encontrar en los años 90 y principios de los años 00. Estas guías incluyeron clásicos como "Telnet: la herramienta de pirateo número uno" y "Cómo piratear con Windows XP parte I: La magia de DOS". Todavía se pueden encontrar aquí.

Al terminar la escuela, obtuve mi primer trabajo en TI y comencé una licenciatura en ciencias de la computación, casi terminé, abandoné, me despedí, me mudé de casa, adquirí la licenciatura en música, me convertí en músico a tiempo completo, pasé un par de años actuando en cruceros, conocí a mi esposa, viví en el Reino Unido, me casé, regresé a Australia y comencé a trabajar como desarrollador web a tiempo completo.

A lo largo de todo esto, mi pasión por la piratería nunca disminuyó realmente, y el desarrollo nunca fue algo que me encantó. Tenía un trabajo maravilloso con gente excelente, pero las tareas reales de mi trabajo no me estaban provocando. Como resultado, estaba en un proyecto que involucraba comercio electrónico y datos confidenciales, por lo que mi jefe me ofreció tomar un curso relacionado con la seguridad. Le envié un correo electrónico al CEO de una empresa local de pruebas de penetración y le pregunté cuál era el mejor curso de seguridad, y me recomendó OSCP. ¡Entonces lo hice!

Completar mi OSCP fue un punto de inflexión para mí. Pasé cada momento libre de esos 60 días aprendiendo lo más posible sobre el arte de hackear. Incluso cuando estaba exhausto, tenía problemas para dormir porque mi cerebro no dejaba de pensar en las cajas de desafío en los laboratorios. Así es como supe que probablemente debería ser mi trabajo, en lugar del desarrollo, del que me había cansado. (También escribí una serie de blog de tres partes sobre el OSCP, si te interesa).

Solo un mes o dos después de completar OSCP, conseguí mi primer trabajo de prueba de penetración a través de un gran reclutador de infosec después de resolver un desafío de piratería que publicaron en línea. Puedes leer más sobre esa historia aquí.

¡Suficiente sobre mí! Finalmente, estamos en el punto en que todos vinieron a leer. Algunos consejos prácticos sobre cómo conseguir tu primer trabajo como hacker:

Actívese en la comunidad de White Hat

Contribuya a herramientas de código abierto, escriba su propio blog, inicie un podcast, vaya a contras de piratas informáticos, conéctese con personas en Twitter. Aprenderá mucho y le presentará a toda una red de personas encantadoras que pueden ayudarlo. La comunidad de infosec en general es un grupo amigable y unido de personas inteligentes y apasionadas. Si estás leyendo esto, hay muchas posibilidades de que te sientas como en casa.

Enviar correos electrónicos a las personas que respetas

¿Hay personas allá afuera en el rol de tus sueños? Envíeles un correo electrónico y pregunte sobre su trayectoria profesional. Lo peor que sucederá es que no respondan, lo mejor que puede suceder es que obtengas un mentor y algunos consejos que te cambien la vida.

Ser confiable

Puedes obtener todas las certificaciones de piratería bajo el sol, pero si entras en la entrevista regodeándote sobre algún truco ilegal que hiciste, nadie correrá el riesgo de contratarte. La comunidad de sombrero blanco a menudo maneja datos altamente confidenciales: su empleador y sus clientes deben poder confiar en usted.

En esa nota, cuando estás en una entrevista y no sabes la respuesta a una pregunta técnica, es mejor decir "lo siento, no lo sé, ¡pero me aseguraré de investigar eso más tarde!" Intenta farolear tu camino a través de una respuesta. La persona que lo entrevistará podrá contarlo, y probablemente estén más interesados ​​en que sea honesto y genuino que correcto. En este momento, los profesionales de seguridad experimentados son raros, por lo que muchas compañías contratan personal menos experimentado con la mentalidad y actitud correctas, luego los capacitan para aprender las habilidades técnicas.

Obtener certificaciones

Francamente, muchas certificaciones en este campo no son un buen indicador de la capacidad técnica de alguien. Dicho esto, es más probable que consigas un trabajo si los tienes. Demuestra que ha invertido en el oficio, que ha gastado tiempo / dinero en mejorar y está interesado. Existen algunas certificaciones excelentes y algunas que no son tan buenas. Si no estás seguro de cuáles son buenas, ¡pregúntale a alguien que sepa!

Recompensas de errores, CTF y sitios de desafío

¿Has estado en un salón de la fama de HackerOne / BugCrowd? ¿Encontraste un RCE en una recompensa de errores? ¿Te fue bien en un CTF en una conferencia de piratería? ¿Está altamente clasificado en hackthebox.eu? ¡Ponlo en tu CV! Estas cosas pueden parecer juegos, pero también son prueba de que te apasiona el oficio y tienes algunas habilidades.

No tengas miedo de los reclutadores

Los reclutadores obtienen un mal nombre por llamarlo implacablemente y usar tácticas dudosas para obtener los contactos correctos, pero no todos son así. Encontrar un reclutador de calidad con buenas conexiones puede marcar la diferencia. Cuando esté buscando un reclutador para un concierto de piratería, encuentre uno que se especialice en infosec. Un reclutador estándar de TI probablemente no conocerá a las personas adecuadas.

Convierta su rol actual en un rol de seguridad

¿Eres desarrollador? Encuentre un error en la aplicación que desarrolle, muéstresela a su jefe, solicite permiso para realizar pruebas de seguridad más exhaustivas. ¿Eres un administrador de sistemas? Encuentre un agujero de seguridad en su red (probablemente ya sepa dónde buscar), comunique el riesgo a su jefe y solicite permiso para realizar más pruebas. Sea cual sea el rol en el que se encuentre, existe una buena posibilidad de que pueda hacerse un nombre como experto en seguridad interno.

Ahora, en su entrevista / CV de infosec, puede decir que era el experto en seguridad interno, a pesar de que su título oficial era solo "desarrollador". También puede completar la sección de "responsabilidades" de su función con algunas tareas relacionadas con la seguridad.

¿Quieres más consejos?

¡Sigueme en Twitter!