Normalmente, suelo escribir entradas técnicas relacionadas con la Ciberseguridad, pero hoy, me vais a permitir hacer un paréntesis en las entradas del blog para hablaros sobre mi primer año dedicándome profesionalmente a la Ciberseguridad, ya que hoy, 29 de noviembre de 2018, se cumple exactamente un año que empecé este reto junto a SIDERTIA, empresa dedicada a la Ciberseguridad con sede en Madrid. Por este motivo, quería compartir con todos vosotros un pequeño resumen de lo que ha sido este maravilloso año, de mi experiencia laboral en este campo y de cómo decidí dedicarme a la Ciberseguridad.
¿Por qué elegí el mundo de la Ciberseguridad?
Desde pequeño, siempre he tenido curiosidad por el mundo de la tecnología, recuerdo cuando tuve mi primer ordenador (que con mucho esfuerzo y trabajo me compraron mis padres después de tanto insistir, os quiero papás ❤️) y la pregunta que se me pasó por la cabeza cuando lo encendí por primera vez: -¿Qué tendrá este aparato por dentro y porqué todos queremos tener uno en casa?, a medida que lo utilizaba, fui teniendo más inquietud y curiosidad por entender cómo funcionaba la tecnología.
Con el paso de los años, esa curiosidad e inquietud por la tecnología fue a más, pasaba horas y horas delante de mi ordenador mientras leía artículos sobre tecnología e intentaba reproducir vulnerabilidades y técnicas de hacking sobre mis equipos, frecuentaba los foros más activos de habla hispana en materia de Ciberseguridad y compartía mucha información con otros usuarios, aquí, puede decirse que empecé en el mundo de la Ciberseguridad.
Ya siendo un poquito más mayor y después de finalizar mis estudios de FP en Informática, trabajé un tiempo como Técnico en Sistemas Informáticos por cuenta ajena mientras seguía “curioseando” en la red, hasta que, junto a mi hermano, fundamos nuestro pequeño negocio, Servicopias, empresa dedicada a Impresión Digital y Servicios Informáticos (aún seguimos estando disponibles para todos vosotros si necesitáis reparar un equipo o imprimir documentos).
Durante 5 años, estuve codo con codo junto a mi hermano y poniendo a punto los equipos informáticos de la comarca de La Sagra, en Toledo, todo nos iba muy bien, pero, lamentablemente, la ciberseguridad no era un servicio que demandaran nuestros cliente.
Entonces, un día me se pasó por la cabeza, ¿Por qué no intentar ganarme la vida haciendo lo que más me gusta? Y aquí fue donde me inscribí en una oferta de empleo de SIDERTA, os sigo contando…..
La entrevista
Primera toma de contacto
En una tarde a finales del mes de octubre del año 2017, recibo una llamada de teléfono:
Buenas tardes Javier, mi nombre es Pedro y te llamo de SIDERTIA, hemos visto tu currículum y creemos que puedes encajar con un perfil que estamos buscando, ¿Te pillo en buen momento?
Aquí empezó todo, un señor llamado Pedro, con voz afable se interesó por mi perfil técnico, estuvimos hablando bastante tiempo, me explicó como es SIDERTIA, quienes lo formaban y el punto fuerte de la compañía, la Ciberseguridad.
La primera impresión que tuve de Pedro fue que era un recruiter inhabitual, la naturalidad y pluralidad con la cual conversamos me hacía pensar que no seguía un patrón de preguntas para conocer al futuro candidato al puesto, tenía el mismo interés en conocerme que en que conociera a la compañía, esto me llamó mucho la atención. Después de una primera conversación telefónica, concertamos una entrevista técnica en las oficinas de SIDERTIA (Gracias Pedro por “echarme el ojo” para el puesto 🙏🏻)
Primera entrevista
Allí estaba yo, 20 minutos antes de la hora para la entrevista en las oficinas de SIDERTIA, no quería por nada que algo saliera mal y salí para Madrid con tiempo, me abrió la puerta Pedro y muy amablemente me invitó a tomar café mientras hacíamos algo de tiempo.
Llegó la hora de la entrevista, Pedro me acompañó en todo momento y me presentó a Manuel, Gerente de la compañía, durante los primeros 10 minutos de la entrevista os diré que ni pestañeé, estaba nervioso, era mi primera entrevista en Ciberseguridad, la manera tan correcta y formal de hablar de Manuel me hacía pensar muy bien en lo que contestaría a sus preguntas, ya que cualquier respuesta tendría un efecto positivo o negativo sobre la decisión final de formar parte de la compañía.
Una vez terminada la primera parte de la entrevista, Manuel me presentó a Juan Luis G. Rambla (en persona no lo conocía, pero había oído hablar de él y de algunas de sus publicaciones, seguro que muchos de vosotros también ¿Quién no ha leído «Un forense llevado a juicio»?) él fue el encargado de entrevistarme técnicamente para el puesto, estuvimos hablando sobre ciertas tecnologías y qué conocimiento tenía sobre ellas (también recuerdo hablar sobre la vulnerabilidad que afectaba a WPA2, creo que se hizo pública ese mismo día), debo de reconocer que no supe “venderme” lo suficientemente bien en esta primera entrevista, no supe exponer con detalle todas mis capacidades técnicas y dejé a Juan Luis con algunas dudas sobre si era el candidato adecuado para el puesto de trabajo.
Segunda entrevista
A los pocos días, Pedro volvió a contactar conmigo para una segunda entrevista, era un día por la tarde cuando me llamó y, casualmente, me encontraba cerca de las oficinas de SIDERTIA. Esa misma tarde, me presenté allí.
Esta vez fui algo más relajado, quizás porque no tuve tiempo de prepararla y me pillo de sorpresa, la entrevista fue con Alejandro Martín.
Durante la entrevista estuvimos hablando sobre las herramientas que había utilizado para auditorias de seguridad en aplicaciones web, también hablamos sobre mi experiencia en el desarrollo de aplicaciones para Android y sobre algunas tecnologías utilizadas en el desarrollo web. Al poco de finalizar la entrevista, tenía la sensación que Alejandro parecía haber encontrado al perfil ideal para el puesto, hasta que, me hizo la pregunta más sencilla que pueden hacerte en una entrevista de Ciberseguridad: ¿Cuales crees que son las vulnerabilidades más comunes en aplicaciones web? Por unos segundos me quedé en blanco, se me olvidaron, suerte que pronto reaccioné y pude describirlas (esta anécdota tenía que contárosla).
En este año, he tenido la suerte de compartir con Alejandro alguna auditoria y aprender muchísimo de él. Hoy en día, es para mí una referencia a seguir, no sólo por su alto conocimiento en la materia, si no también como persona.
Los primeros días
Evidentemente, si no has trabajado nunca como profesional en Ciberseguridad nadie va a espera de ti que que lo sepas todo el primer día, por eso, durante las dos primeras semanas en SIDERTIA estuve trabajando con máquinas virtuales vulnerables (DVWA, bWAPP y similares) todo sin separarme de mi querida guía OWASP v4, iba conmigo a todos sitios, la tenía hasta en la sopa.
Hora del debut
Se terminó de practicar con máquinas virtuales, como si de un jugador joven de fútbol se tratase mientras espera su momento a ser llamado por el míster, Alejandro se acercó y me dijo: «Prepárate bien y ten tus herramientas a punto, mañana vas a participar en tu primera auditoría» la expresión de mi cara lo decía todo, estaba deseando empezar a auditar.
Mi primera auditoria fue una aplicación web basada en el CMS WordPress, el contenido de la web era prácticamente estático en su totalidad y no pudimos hacer mucho, aunque alguna «cosilla» salió.
Cosas que he aprendido
Aprovechar las oportunidades, dedicarte profesionalmente a lo que realmente te gusta no es algo que todo el mundo pueda contar, por eso, debemos de aprovechar al máximo cada oportunidad / proyecto que se nos ofrezca.
Aprender, en el mundo de la Ciberseguridad no puedes quedarte atrás, el que deja de aprender puede retirarse independientemente del nivel que tenga.
Conocerme a mi mismo y comprender hasta dónde puedo llegar, los consultores de Ciberseguridad tenemos algo que nos diferencia del resto de profesionales IT, y es que, tenemos una sed insaciable por aprender, esto a veces, puede no ser del todo bueno, porque podemos cometer el error de dedicar tiempo al estudio e investigación del cual no disponemos cuando debemos de cumplir con otras responsabilidades.
Logros personales
Estoy bastante satisfecho conmigo mismo por los logros conseguidos este año, dentro de SIDERTIA, he podido alcanzar un nivel técnico bastante aceptable en poquísimo tiempo, un nivel que no me esperaba alcanzar tan pronto cuando empecé a trabajar aquí.
Conseguir publicar en el blog de SIDERTIA ha sido otro de mis mejores logros, y no es para menos dado el nivel de sus publicaciones.
Mis CVEs y publicaciones en Exploit-DB, una pequeña contribución por mi parte a la comunidad de la ciberseguridad.
Próximos retos
Como próximos retos para mi segundo año como profesional, me he propuesto dos:
– El primero: Seguir buscando vulnerabilidades 0day en aplicaciones web de código abierto hasta encontrar una de cada vulnerabilidad crítica/común (RCE, Arbitrary File Upload o XXE son algunas que tengo pendientes).
– El segundo: Obtener alguna certificación de Ciberseguridad (OSCP o CEH).
Siendo sinceros, creo que me he puesto el listón un poco alto, espero escribir el próximo año para comentaros que lo conseguí.
Agradecimientos
– A mis padres, por ser un ejemplo a seguir para mí, por la excelente educación que he recibido de vosotros y por haberme enseñado a ser trabajador y humilde, sin vosotros nunca hubiera podido alcanzar mis objetivos.
– A mi hermano, por soportar toda la responsabilidad y haber seguido con el negocio familiar en mi ausencia, con apenas 20 años has demostrado ser lo suficientemente responsable y maduro para un chico de tu edad, no podría tener un hermano mejor.
– A TOD@S mis compañeros de SIDERTIA, en especial a Alejandro Sánchez-Patón, por haberme aguantado todo este primer año y ayudarme a perfeccionar mis habilidades técnicas.
En definitiva, a todos los que, de una manera u otra, habéis sido parte de este reto y habéis hecho posible que haga de mi hobby mi forma de ganarme la vida.
Gracias por dedicar vuestro tiempo en leer mi post.
UUUUUUFFFFFF TREMENDA HISTORIA, Y NOSOTROS TE DAMOS LAS GRACIAS A TI POR ESTO QUE HACES QUE NOS INSTRUYE Y OS ENSEÑA A TODOS DE FORMA GENERAL SOBRE LAS VULNERABILIDADES ETC, LASTIMA QUE ALGUNOS NO TENGAMOS OPORTUNIDADES ASÍ POR ESTAR EN PAÍSES QUE NO NOS LO PERMITE O QUE ESTO DE LO DEL HACKING SE VEA CON MALOS OJOS. FELICIDADES POR TUS LOGROS Y TRANQUILO QUE SABEMOS QUE PUEDES LLEGAR A MÁS POR CONOCIMIENTO TE SOBRA HERMANO Y SEGUIMOS ESPERANDO QUE OS SIGAS COMPARTIENDO ESOS COCIMIENTOS
Gracias por tu comentario y agradecimiento, Alexnay.
Espero que puedas tener oportunidad laboral en el mundo de la ciberseguridad.
Un abrazo!
Me ha encantado leer esto y ver ma ilusión que hay detrás de esas palabras, simplemente me a encantado y solo por la ilusión que pones te ira todo genialll
Muchas gracias Eva, por tu apoyo.
Un saludo!!