Seguimos con curiosidades de nuestro sector, y esta vez quería enseñaros algunas de mis experiencias en el mundillo del hacking ético, o de los conocidos White Hat Hacker / Hackers de sombrero blanco:
https://latam.kaspersky.com/resource-center/definitions/hacker-hat-types
Antes seguir, dejar claro que yo ni me considero hacker ni mago ni astronauta eh, solo un informático con interés en el sector de la ciberseguridad 😅
En ocasiones anteriores os he hablado que tuve una época donde le dedicaba más tiempo al Bug Bounty, pues creo que es el momento de mostrar algunos resultados de ello:
eBay
En la captura os hago spoiler de una cosita que encontré entre sus servicios. Importante recalcar que esto no consiste en auditar todo lo que pase por tu monitor, hay una serie de reglas que debemos seguir para evitar problemas legales.
https://hackerone.com/ebay-old?type=team
En la plataforma HackerOne suelen encontrarse estos programas de recompensas con todos los detalles, en este caso te redirigen a la página que mencionan en el email que me enviaron.
Tras descubrir un XSS en sus servidores, preparé una pequeña prueba de concepto (POC) y reporté el problema para solucionarlo lo antes posible. Tras ello, se pusieron manos a la obra y en cuestión de días estaba resuelto 💪
Finalmente me enviaron ese mensaje para ser agregado al listado de investigadores de seguridad y allí sigo a día de hoy.
Microsoft
Puede que te sorprenda que alguien random de España pueda encontrar un bug a Microsoft, lo cierto es que la compañía tiene muchiiiiiisimos servidores donde se puede intentar encontrar despistes de un trabajador con un mal día 😜
¿Qué encontré para ser reconocido por ellos? Pues algo que los estudiantes de ASIR debe tener muy claro, o tendrán una buena bronca por parte del jefe. Se trataba de la toma de control de un subdominio (Subdomain Takeover).
Trabajando en una empresa
Este apartado será la experiencia más habitual de la mayoría de nosotros. Una vez metas cabeza en el mercado laboral, debes diferenciarte y ser el mejor para poder mantener tu puesto y mejorarlo constantemente.
Cuando entré a trabajar por primera vez en una empresa (de becario), tardé dos semanas en encontrar un bug que permitía acceder al sistema como administrador sin ni siquiera privilegios de ningún tipo, solo como invitado. Lo cual gustó por un lado, y preocupó por otro. Pensemos en lo que nos interesa, me dijeron que sería contratado sin duda al terminar el periodo de prueba jajaja
Otra anécdota graciosa ocurrida del estilo:
Cuando emigré a Irlanda, no había manera de encontrar trabajo de IT, entre mi pésimo nivel de inglés y poca soltura por la zona, lo tenía difícil. Tuve la suerte de conseguir entrar de becario en una pequeña empresa durante 3 meses, así que debía dar buena impresión para conseguir ser contratado al finalizar ese periodo.
En mi primera semana me colé hasta la cocina (la base de datos) y lo notifiqué a mi superior directo, que en ese momento era el CTO y encima estaba trabajando desde Eslovaquia. El resultado podéis imaginarlo, me quedé allí cerca de tres años y aprendí muchísimo con ellos.
Por aquí termina otra de las historias que pululan por mi mente, espero que os sea de utilidad y ayude a los estudiantes que les gusta el mundillo pero desconocían las posibilidades que tienen tras terminarCETI u otros estudios de informática.
Un saludo.
