Portada » Historias sobre iniciarse en la seguridad de la información

Historias sobre iniciarse en la seguridad de la información

by gq45m

Hola mi nombre es donal Sandro Noblejas Huamán de Lima Perú 🇵🇪 hoy vengo con otro artículo de  Gestión de personal como siempre y en cada uno de ellos completamente solo y me agrada porque se aprende, y como siempre sin empresas, personas, familiares, ni el estado ni ningún tipo de ayuda cuidado con los estafadores solo en mis tiempos libres redactando jejeje, bueno ahí vamos.

Hoy en día, la seguridad de la información (IS, infosec) es una de las áreas más populares y prometedoras en el campo de las TI. Cada vez más empresas y organizaciones se dan cuenta de la necesidad de proteger su información y, en consecuencia, crece la demanda de especialistas en seguridad de la información.

Sin embargo, quienes recién empiezan a interesarse por esta área hacen preguntas:

  • ¿Qué necesitas saber para convertirte en un especialista en seguridad de la información?
  • ¿Necesita certificados y un diploma para realizar pruebas de penetración (pentests)?
  • ¿Es necesario realizar cursos o puedo hacerlo por mi cuenta?
  • ¿Qué tan difícil es ingresar a esta profesión y cuál es el mejor lugar para comenzar?

Le pedimos a nuestros especialistas que compartieran su experiencia. Los chicos dieron consejos para el desarrollo en esta área y hablaron sobre el inicio de su andadura, sobre certificados y entrevistas, así como sobre cómo llegaron a la Seguridad Digital.

Las áreas de TI ahora abundan, desde el desarrollo de juegos hasta la seguridad de la información. ¿Por qué seguridad de la información?

Andrea

En general, hay muchas direcciones con las que también me encontré. Por ejemplo, una vez intenté unirme al mismo desarrollador de juegos, participé en GameJams* en itch.io, intenté eliminar mis propios proyectos, algunos de ellos todavía están acumulando polvo en algún lugar del disco duro. 🙂 También intenté convertirme en desarrollador, después de haber estudiado un montón de lenguajes de programación y también asistí a hackatones de IA* como analista de datos. Lo intenté mucho, en general, pero de alguna manera no me llamaba la atención… En cada una de estas direcciones, era como si algo faltara, algo que estaba tratando de encontrar.

En general, encontré exactamente este “algo” en la base de información 🙂 Más precisamente, encontré TODO.

No es ningún secreto que no existe ningún área que la seguridad de la información no afecte de una forma u otra. Hay información por todas partes que necesita ser protegida. Esto lleva al hecho de que el rango de conciencia necesaria se expande significativamente; realmente necesitas involucrarte en TODO;

Nada más entrar en infobez te das cuenta de que hay una tarea para todos los gustos.

¿Te inclinas por el hardware? Vas a solucionar problemas de seguridad de la información a nivel de hardware.

¿Te gusta escribir código? Cuántos exploits aún no se han escrito. Cuánto cuesta…

¿Prefiere sentarse frente a textos de leyes y documentos ilegibles? ¡Cualquier perversión a tu gusto! Alguien también necesita redactar la política de seguridad de la información;)

Todo lo que desea se puede encontrar en seguridad de la información; es más difícil decir qué no se puede encontrar aquí.

*Game Jam es un evento cuya esencia es desarrollar juegos y aplicaciones dentro de un plazo estrictamente especificado.

*La IA, o inteligencia artificial, es una rama de la informática que se ocupa de la creación de sistemas y programas que pueden realizar tareas típicamente realizadas por humanos.

Gregorio

Vi una serie sobre hackers y también quise verla. En la vida real, todo resultó no ser tan desenfadado: pentest de teléfonos móviles, proyectos con auditoría de identificadores API. Pero mi horario de sueño es bueno.

Daniel

En primer lugar, me interesa estudiar los detalles y buscar fallos e inconsistencias.

En segundo lugar, me gusta encontrar vulnerabilidades en proyectos reales, donde los desarrolladores en la mayoría de los casos “dejan” sólo agujeros de seguridad no obvios, en comparación con un entorno de prueba preconfigurado para la capacitación de habilidades, donde las vulnerabilidades son en su mayoría típicas.

En tercer lugar, trabajar con clientes conocidos también determina su propia confianza al utilizar sus productos.

Miguel

Me gusta “romper”. Realmente no me gusta el desarrollo*. Encontrar agujeros en sistemas reales es muy divertido, es como resolver un rompecabezas (no siempre) difícil, pero mejor. Y como dijo un sabio: “Todo lo que disfruto, eso es lo que hago”.

Huamaní

Hace mucho tiempo que tengo el ojo puesto en convertirme en hacker. Si se me permite decirlo, este es un sueño de la infancia.

Mamaní 

Por el momento, es la versatilidad del ámbito de la seguridad de la información lo que atrae a la gente. Con buenos conocimientos básicos y si lo deseas, puedes pasar del redteam al blueteam y viceversa. Puede investigar vulnerabilidades o crear un sistema de seguridad desde cero.

¿Cuándo empezaste a pensar en dedicarte a la seguridad de la información?

Andrea

Ya en décimo grado, decidí por mí mismo lo que quería en seguridad de la información. En ese momento, la seguridad de la información me parecía una dirección interesante y prometedora. Luego me decidí por la universidad a la que quería ir. Entonces, en el undécimo grado, tomé cursos de forma remota en ??  para prepararme completamente para la especialización en Seguridad de la información.

En general, desde la altura de mis años, diré que tomé la decisión correcta, ¡es realmente interesante aquí!

Gregorio

Decidí optar por libros 10º y 11º grado. Entonces todavía no sabía cuánta seguridad en papel me esperaba en la universidad…

Huamaní

Empecé a esforzarme en este asunto no hace mucho. Por cierto, mi profesión según mi diploma no tiene ninguna relación con la seguridad de la información. Trabajé en mi especialidad durante un año y comencé a comprender que no era nada atractivo ni carente de interés.

Daniel

Incluso en la escuela secundaria pensé en la seguridad de la información. Entonces, por supuesto, parecía una confrontación típica con los hackers de la película, y más interesante fue descubrir cómo tan rápidamente “aprendieron a imprimir un montón de caracteres incomprensibles”.

En la universidad la elección ya era más consciente: entre desarrollo y seguridad de la información. Por el volumen de mis visitas a los entrenamientos, quedó claro que me gustaba.

Miguel

La idea surgió en mi adolescencia. Luego me interesé por los libros y leí “El arte de la invasión” de K. Mitnick. Por esos mismos años, me divertí pirateando las páginas web de mis amigos y dándoles estados divertidos en la página. Por eso comencé a asociar la piratería con “divertido e interesante”. Así nació el deseo de convertirse en hacker en el futuro, pero por diversos motivos (escuela, juegos, etc.) entró en hibernación durante mucho tiempo.

En el verano de 2021, ordené mis pensamientos y completé mi licenciatura en pedagogía. Empecé a pensar en qué hacer con mi vida, qué quería. En general, ya entonces sabía programar bastante bien (además de estudiar en la universidad, aprendí solo…) y tenía claro que “me dedicaré a la informática”. La única pregunta era ¿dónde? Ni siquiera recuerdo cuál fue el detonante ahora. Quizás algún tipo de publicidad o vídeo en YouTube. Pero al final surgió el pensamiento: “¿Y si aprendes a “romperte” normalmente? Eso es muy interesante”.

Como estaba entre un novato y un completo novato en seguridad de la información, decidí estudiar mucho. Durante aproximadamente todo el mes de julio, estudié 16 horas al día con descansos para dormir y redbull, principalmente tareas htb, ctf* y cursos combinados.

El interés no ha desaparecido por ningún lado. Seleccioné 5 universidades para una maestría en seguridad de la información de la lista de “MEJORES universidades de TI en los Estados Unidos ” o algo así, fui a una según el examen de ingreso y husmeé en diferentes movimientos del ctf. Gracias al máster ya encontré unas prácticas en el SOC del banco en otoño de 2021, porque… Quería ver cómo funciona todo desde el otro lado.

Las prácticas duraron hasta el verano de 2022, al final del cual entré a trabajar en XYZ.

*CTF (Capture The Flag) es una competencia de seguridad de la información o un juego de equipo, cuyo objetivo principal es capturar una “bandera” (una combinación de símbolos) de un oponente. Durante el juego, debes resolver problemas en condiciones cercanas a la realidad, recibir una bandera y enviarla a una plataforma especial.

Mamaní 

En la etapa de elegir un lugar de estudio a la edad de 17 años, ni siquiera entendía lo que quería hacer, por lo que la elección de la seguridad de la información fue completamente aleatoria. Durante la capacitación hubo mucho material innecesario e irrelevante, pero entre la masa de GOST y leyes quedaba una pequeña esperanza de que el campo fuera vasto y que se pudiera encontrar y desarrollar mucho en él.

¿Cómo llegaste a nosotros?

Andrea

Entré a Seguridad Digital a través de la seguridad social.

Para ser más precisos, esta idea me inspiró después de las historias de mi amigo sobre esta empresa, él ya había trabajado aquí durante algún tiempo y estaba más que satisfecho.

Vi una vacante en verlista.com y envié mi currículum. Luego viene la prueba, la seguridad social, el trabajo. En definitiva, un clásico.

Gregorio

Ingresé a Seguridad Digital a través de una pasantía en 2021, este fue mi segundo Summ3r 0f h4ck.

La pasantía en sí dura un mes. A cada alumno se le asigna un tema de investigación o el alumno lo propone él mismo. Tomé el tema de investigación “Búsqueda de vulnerabilidades y configuraciones erróneas típicas de Sentry”.

Nos dieron conferencias sobre pentesting y pruebas inversas, y nos dieron laboratorios para pokehka: ¡la parte más interesante y emocionante de la pasantía!

Durante la capacitación, audité la aplicación de informe de errores Sentry. Como resultado de la auditoría, se recopilaron errores de configuración típicos, se encontró la posibilidad de enumerar los usuarios existentes y se expuso una vulnerabilidad conocida. Sin embargo, no fue posible desarrollarlo hasta convertirlo en algo muy crítico debido al tiempo limitado.

Daniel

Entré a Seguridad Digital a través de la seguridad social. Decidí pasar al lado oscuro, desde el departamento de seguridad de la información interna hasta los pentesters.

El Pentesting en Seguridad Digital te permite desarrollarte en todas las direcciones a la vez, porque… No existe una división obvia de los tipos de proyectos por equipos. En mi trabajo anterior era un especialista altamente especializado y entendí que estaba rezagado en otras áreas de seguridad, por eso estoy aquí.

Mamaní 

Todo es prosaico – a través de SS. Me gustó la oportunidad de hacer no sólo proyectos, sino también investigaciones.

Autoestudio o cursos: ¿qué harás tú mismo y qué aconsejarás a tu enemigo?

Andrea

En esta área, actualmente estoy trabajando en dos áreas: hacking y codificación.

Tanto el primero como el segundo son vitales para un probador de penetración. En términos de formación, prefiero un enfoque orientado a la práctica.

Por ejemplo, el curso de Portswigger es una base. Todos los que están en nuestra dirección deben pasar por esto. Hay un buen equilibrio entre la práctica y la teoría. Un tema HTB genial ya es una práctica del 100%.

Los CTF también ayudan mucho, pero aquí es importante no solo resolver problemas, sino también leer los WriteUP de otros participantes después de ellos.

Es necesario e incluso importante tener en cuenta que todo lo anterior es realmente genial, pero sin una práctica real es muy difícil. Y para tal práctica necesitas ir a Bug Bounty*. Por ejemplo, estoy en las plataformas standoff365.com y bugbounty.bi.zone . Una gran selección de programas para todos los gustos y colores.

La codificación también requiere práctica. Tomemos nuestro Python favorito y volemos a leetcode.com y codewars.com . Allí decidimos todo lo que vemos)))

Ay, qué no te recomiendo…

Probablemente cursos que den una introducción a la seguridad de la información de forma general (qué es CCD, qué actos jurídicos existen, qué sistemas de seguridad de la información se utilizan, etc., etc.). Aquí la situación es simple, en un formato de curso de varios meses todavía no lo entenderás normalmente, ya que aquí necesitas una educación completa en el formato universitario. Pero lo más ofensivo es que no se tendrá una visión real de qué es la seguridad de la información y qué se puede hacer aquí.

*Bug Bounty es un programa que permite a las empresas y organizaciones recompensar a investigadores externos, piratas informáticos y profesionales de seguridad por encontrar errores, vulnerabilidades y otros problemas en el software.

Huamaní

Bueno, está todo junto: tanto el autoestudio como los cursos. Por cierto, se pueden realizar cursos en la plataforma Hacktory . También estaré tomando cursos en un futuro próximo.

Daniel

Para ser honesto, no me entregué a los cursos, sino al autoestudio, por supuesto, especialmente cuando hay un deseo. Existen muchas plataformas que tienen una base tanto teórica como práctica para practicar habilidades. Por ejemplo, en 2022 dediqué la mitad de las vacaciones de mayo a completar nuevos módulos en portswigger.net.

portswigger.net : formación y trabajos de laboratorio sobre seguridad de aplicaciones web.

hackthebox.com : laboratorios y capacitación en pruebas de penetración.

Miguel

Mi opción son cursos muy enfocados con práctica (Portswigger, htb, etc.) y solo práctica (htb, tareas ctf, bug bounty). Por enfoque limitado me refiero a aquellos que consideran profundamente alguna vulnerabilidad/herramienta en particular, y no “en seguridad de la información en 3 semanas”: cursos sobre todo y nada.

Mamaní 

En la etapa inicial, puedo recomendar un enfoque combinado. Abarrotar libros y seguir sólo una plantilla o programa de curso no será efectivo si no introduce algo de experimentación en su aprendizaje. Cuanto más lo intentes, más preguntes y encuentres respuestas por tu cuenta, más eficaz será tu aprendizaje.

Certificación de Seguridad de la Información. ¿Estaba obteniendo? ¿Estas planeando? ¿Cuáles son especialmente importantes ahora?

Andrea

¡Aún no lo he recibido, pero planeo hacerlo! Miro hacia OSCP: es mejor que muchos.

Cuando digo que OSCP es mejor, me baso en el formato tanto para realizar el examen de certificación como para prepararlo.

Mientras que el CEH se centra más en la teoría, lo que se refleja en el examen, que se presenta en un formato de prueba de 125 preguntas, el OSCP evalúa habilidades prácticas. Se preparan tareas basadas en máquinas virtuales para el examinado, al finalizar las cuales se le solicita que proporcione un informe detallado. En mi opinión, es precisamente gracias a este enfoque que OSCP evalúa con mayor precisión el nivel de un pentester.

Aquí es inmediatamente necesario señalar un punto importante. OSCP tiene un umbral de ingreso más alto, ya que este examen fue diseñado originalmente para aquellos que ya están trabajando en este campo, y no solo para comenzar 🙂

Gregorio

Actualmente en proceso de obtención de OSCP. Resuelvo laboratorios OSCP (no son muy buenos) y máquinas htb/prolab. Estoy planeando CRTP/CRTO.

OSWE y OSEP también son importantes. Es cierto que, a diferencia de CRTP/CRTO, tienen supervisión y un tiempo de entrega estrictamente limitado, lo que añade entusiasmo.

Huamaní

Sí, existe un certificado HWSP.

Es genial obtener la certificación OSWE. Los chicos realmente geniales lo están dominando. Entre los más importantes, mencionaría a la OSCE, la CISSP, la CISA y la OSWE.

Daniel

Aún no he recibido la certificación. Planeo posiblemente obtener certificados de OSCP, OSWE. Estos son los tipos de certificados más famosos que confirman la competencia de un pentester.

Miguel

Planeo obtener OSCP, refleja bien la disponibilidad de habilidades actuales y es cotizado por la mayoría de los empleadores. Por lo que he oído, CEH no es necesario, el resto está en algún punto intermedio.

Mamaní 

Recibí CEH; no lo recomiendo. La información es buena, descrita de forma accesible y estructurada, pero sin profundizar en los laboratorios por su cuenta e investigar manualmente las vulnerabilidades, no es lo mismo en absoluto.

Todavía planeo devolver mi OSCP, en el que no obtuve 10 puntos en el primer intento.

Aunque dicen que los operadores de nmapa se gradúan de OSCP, creo que es imperativo aprobar OSCP. Y tanto atacantes como defensores. Conocer las armas de tu oponente te ayuda a contrarrestarlas.

OSCP, OSWE, OSEP son especialmente importantes.

¿Puedes destacar alguna habilidad social clave o están sobrevaloradas las interacciones sociales?

Andrea

Las habilidades blandas son esenciales en nuestro negocio. Esto implica la capacidad de interactuar dentro de un equipo y pensar de manera flexible y innovadora para encontrar bagulins interesantes. El formato de la actividad del proyecto en sí implica, en cierto sentido, un enfoque creativo. Y las credenciales encontradas inesperadamente en un lugar, y obviamente no se sabe de dónde provienen, pueden ayudar a actualizar (aumentar) los privilegios en otro.

Huamaní

Lo importante aquí es que trabajamos en un solo equipo. Es difícil imaginar un director o líder de equipo que no tenga habilidades comunicativas o no sepa resolver problemas. Por supuesto, es importante que una persona pueda escuchar y ayudar de alguna manera, especialmente cuando se trabaja en equipo.

Daniel

La habilidad más importante es la capacidad de trabajar en equipo y la gestión del tiempo. El trabajo de un proyecto está limitado por plazos, por lo que conviene distribuir correctamente las responsabilidades y no dudar en pedir ayuda o ayudar a los compañeros en caso de dificultades.

Miguel

La capacidad de interactuar con un equipo, hacer preguntas cuando llegue a un callejón sin salida y comunicarse correctamente con el cliente.

Mamaní 

Creo que la habilidad interpersonal más importante es la capacidad de transmitir tu idea. Es recomendable poder hacer esto tanto en informes como en comunicación personal. También son importantes la comunicación dentro del equipo y las ganas de llegar al fondo de las cosas.

¿Qué errores se pueden cometer fácilmente en nuestro campo? ¿Qué necesitas tener presente en todo momento?

Andrea

Revisa todo lo que encuentres.) ¡SIEMPRE!

¿Estás seguro de que realmente existe el acceso sin autenticación? ¿Seguramente una cookie o encabezado (encabezado HTTP) con un token (valor generado, generalmente aleatorio; usado para autorización) está oculto en alguna parte? ¿Había realmente SQL allí ? ¿Fue este resultado el resultado de ‘1’=’1 (abreviatura de inyección SQL: ‘ o ‘1’=’1) o simplemente no encontró nada e imprimió lo que tenía?

Siempre debes comprobar todas las vulnerabilidades que encuentres. Entonces es muy difícil explicarle al cliente por qué el informe contiene algo que en realidad no está.

Huamaní

Los errores pueden ser falta de conocimiento en algún área o atención insuficiente a los detalles. No puedes sacarte nada de la cabeza en absoluto. Tome notas constantemente o haga un plan cuidadosamente escrito.

Daniel

Los errores típicos de los principiantes incluyen diversas acciones destructivas para el medio ambiente que se está probando. Por ejemplo, enviar una cantidad excesiva de tráfico durante las pruebas puede provocar el bloqueo de las direcciones IP de la oficina; La explotación de una posible vulnerabilidad de nivel crítico en el entorno productivo del cliente puede provocar la interrupción de la infraestructura y provocar pérdidas financieras, etc. En la mayoría de los casos, no sucede nada malo; el problema se puede resolver dentro del equipo o con el cliente.

Es importante comprender qué acciones pueden tener consecuencias negativas y no realizarlas de acuerdo con el cliente.

Miguel

Lo principal es la atención. No olvide comprobar todas las vulnerabilidades. Una lista de verificación o tomar notas puede ayudar con esto.

Gregorio

Bajar cont. Afortunadamente, esto no es tan fácil de hacer. Otro posible error es ejecutar herramientas especializadas pirateadas (pirateadas) que no están en máquinas virtuales; existe una alta probabilidad de que se instale una puerta trasera allí.

Mamaní 

Intentando hacer todo a la vez, abarcando todos los ámbitos.

Es malo guardar notas, grabaciones y registros de trabajo.

Reescribe los comandos del tutorial sin comprender su esencia.

Si trabajó en otro campo antes de la seguridad de la información, cuéntenoslo. ¿Qué es más sencillo y, a la inversa, más difícil?

Andrea

Anteriormente trabajó en CVV (departamento de administración de equipos de protección). Las tareas fueron de dos categorías: resolver problemas de equipos y responder a incidentes en el rol L3 SOC*.

En una palabra, rutina. Después de sólo un mes de trabajo, lo recuerdas todo de memoria… Las bajas por incidencias, en las que de vez en cuando sólo cambian 3-4 campos, la redacción de las cartas al inicio y al finalizar el trabajo planificado, la redacción de las solicitudes de servicio concreto. Recuerdas las configuraciones línea por línea, que completas entre 10 y 30 veces cada turno de noche. Esto es probablemente lo más difícil.

Además, los turnos de día siempre se han asociado con llamadas incesantes sobre equipos, cuando solo usted tiene varios miles de piezas de dicho hardware, realmente hay muchas llamadas. Lo único curioso es que algunos de ellos están relacionados con demostrar que el problema no está de tu lado 🙂

Ofensiva* es mucho más fácil en este sentido. Como escribí anteriormente, este es en gran medida un trabajo creativo. Se enfrenta a desafíos únicos que requieren que encuentre un enfoque único para resolverlos.

*L3 SOC (SOC es un centro de respuesta a incidentes, que incluye varios niveles. L1, L2 (generalmente un servicio separado): procesamiento primario de incidentes y su distribución en L3. L3 (muchos servicios, cada uno con su propia especialización): aceptación final conclusión sobre el incidente y su cierre).

*Ofensiva [Seguridad] – atacar la seguridad.

Daniel

Trabajé en el lado positivo de la seguridad de la información, en el lado de la seguridad de la información interna en una gran empresa. Fue interesante a su manera, pero debido a las especificidades de las tareas, tuve que hacer mucho trabajo rutinario y sumergirme en actividades con un enfoque limitado.

No veo esto en mi trabajo actual. Puede comunicar sus preferencias por tipos de proyectos con el fin de desarrollarlos en alguna dirección particular o sin preferencias por un estudio integral de los aspectos de seguridad. Además, además de las actividades del proyecto, puede dedicarse al autodesarrollo en su tiempo libre o desarrollar herramientas automatizadas que simplifiquen el trabajo de sus compañeros.

Miguel

Hice unas prácticas de SOC en un banco. Mucho más fácil y aburrido que un pentest en cuanto a alcance de trabajo. En un mes podrás aprender el 99% de todo lo que tienes que hacer.

Pero es mucho más difícil en cuanto a los horarios y su rigor. Por ejemplo, el banco sólo tiene formato presencial. Tener un horario claro del que no puedas desviarte. El personal es limitado y si un colega está enfermo, alguien trabaja para él. Obligatoria alternancia de turnos de noche con turnos de día, por lo que resulta imposible establecer una rutina normal.

Mamaní 

Siempre he trabajado en el campo de la seguridad de la información, pero antes del pentest era un especialista en seguridad “en papel”. Es difícil decir qué es más difícil y qué es más fácil. Es más bien así: lo que más te gusta y te cautiva es más fácil y divertido de estudiar.

¿Da miedo las entrevistas para un puesto en seguridad de la información? ¿Qué preguntaron?

Andrea

La seguridad social siempre da miedo 🙂

La seguridad digital tuvo por primera vez una tarea de prueba. Algunas tareas eran simples, otras requerían mucha capacidad intelectual, pero todas eran interesantes. Luego me invitaron a una entrevista. En la entrevista en sí, fue necesario hablar sobre usted mismo, luego le pidieron que le dijera qué vulnerabilidades web conoce. A continuación, como parte de lo anterior, se realizó una encuesta más profunda.

Por ejemplo, había una pregunta: “¿Cuál es la diferencia entre XSS reflejado y XSS almacenado?”

También preguntaron sobre las banderas de las cookies: qué son y qué significan.

Y eso es. Realmente no recuerdo nada más 🙂

Gregorio

En la primera entrevista después de las prácticas en 2019, el lado del cliente web (xss, csrf, sop, cors) me “rompió”. Generalmente también preguntan sobre vulnerabilidades del lado del servidor, protocolos de red, funcionamiento de redes Windows AD, Linux.

Huamaní

No diría que fue aterrador, pero estaba muy preocupado cuando fui al seguro social. Parecía que ningún conocimiento sería suficiente para llegar hasta aquí. De hecho, preguntaron sobre varias vulnerabilidades y hubo dudas sobre una comprensión general de cómo funciona la red.

Daniel

Por supuesto que da miedo. “Te comerán a preguntas”, pensé cuando fui a una entrevista en Seguridad Digital. Pero, de hecho, además de preguntas razonables sobre teoría y práctica, una parte importante de la entrevista está dedicada a la “comunicación de corazón a corazón”. Es importante que tanto el empleador como el entrevistado comprendan las expectativas de la cooperación conjunta. Por tanto, no habrá un ambiente como en un examen con una pregunta sobre la expulsión. Pero ciertamente es necesario prepararse.

Miguel

Toda seguridad social da miedo. Pero no el miedo a la entrevista en sí, sino el miedo al fracaso. No hay nada malo con la entrevista en sí. Me preguntaron qué quería, qué podía hacer y todas las vulnerabilidades web y de red de la lista.

Mamaní 

No da miedo en absoluto, pero sí un poco emocionante. He pasado bastantes entrevistas de seguridad social y las trato como una herramienta gratuita para poner a prueba mis conocimientos y resaltar áreas problemáticas.

Muchas veces preguntan lo mismo. ¿Cómo se realizan las pruebas de penetración interna, externa y en teléfonos móviles? Es decir, la metodología de trabajo. Vulnerabilidades típicas. ¿Qué es XSS, SQL, CSRF, SSRF? ¿Cómo se usa, qué lo causa, cómo cerrarlo? Mecanismos de protección de aplicaciones web (CORS, Cookie, CSP). Vulnerabilidades típicas del perímetro interno, estructura de AD, cómo funciona Kerberos.

Comparta con sus sitios web, canales y públicos de seguridad de la información favoritos

Daniel

SecLabNews (canal de Telegram – noticias del mundo de la seguridad de la información)

SecAtor (canal de Telegram: aquí cuentan noticias del mundo de los ataques de piratas informáticos y vulnerabilidades críticas de varios productos)

Miguel

Canal Ralf Hacker (canal de Telegram: muchas cosas útiles)

Twitter ofensivo (canal de Telegram – Twitter en un carrito)

Mamaní 

Rosquilla peluda (canal de Telegram)

Piglet Peter (canal de Telegram)

Andrea

overbafer1 (canal de YouTube)

Personas PRO (canal de YouTube)

Huamaní

Loi Liang Yang (canal de YouTube)

Infosec Write-Ups (sitio: una colección de reseñas de los mejores hackers del mundo sobre una variedad de temas)

Gregorio

CyberSecrets (canal de Telegram)

APT (canal de Telegram)

s0i37_channel (canal de Telegram)

PT SWARM (canal de Telegram)

Envía tu meme temático favorito, solo uno para que no nos baneen.

Los chicos hablaron sobre su experiencia personal al ingresar al campo de la seguridad de la información, y puede que sea muy diferente a la suya. Sería genial que lo compartieras en los comentarios 🙂 Esperamos que el camino y los consejos ayuden a quienes quieran saber un poco más de lo que les espera en esta parte del mapa TI.

¡Gracias por leer! Buena suerte a todos y a estudiar ;).

Autor Donal Sandro Noblejas Huamán

Lima Perú 🇵🇪 

Whatsapp:51924118897 – 51939416004

Sitio web verlista.com

verlista.com

https://www.facebook.com/donalsandronoblejashuaman
https://pe.linkedin.com/in/donal-sandro-noblejas-huaman

You may also like

Leave a Comment

Are you sure want to unlock this post?
Unlock left : 0
Are you sure want to cancel subscription?
-
00:00
00:00
Update Required Flash plugin
-
00:00
00:00