Seguimos con curiosidades de nuestro sector, y esta vez quería enseñaros algunas de mis experiencias en el mundillo del hacking ético, o de los conocidos White Hat Hacker / Hackers de sombrero blanco:

https://latam.kaspersky.com/resource-center/definitions/hacker-hat-types

Antes seguir, dejar claro que yo ni me considero hacker ni mago ni astronauta eh, solo un informático con interés en el sector de la ciberseguridad 😅


En ocasiones anteriores os he hablado que tuve una época donde le dedicaba más tiempo al Bug Bounty, pues creo que es el momento de mostrar algunos resultados de ello:

eBay

En la captura os hago spoiler de una cosita que encontré entre sus servicios. Importante recalcar que esto no consiste en auditar todo lo que pase por tu monitor, hay una serie de reglas que debemos seguir para evitar problemas legales.

https://hackerone.com/ebay-old?type=team

En la plataforma HackerOne suelen encontrarse estos programas de recompensas con todos los detalles, en este caso te redirigen a la página que mencionan en el email que me enviaron.

Tras descubrir un XSS en sus servidores, preparé una pequeña prueba de concepto (POC) y reporté el problema para solucionarlo lo antes posible. Tras ello, se pusieron manos a la obra y en cuestión de días estaba resuelto 💪

Finalmente me enviaron ese mensaje para ser agregado al listado de investigadores de seguridad y allí sigo a día de hoy.

Microsoft

Puede que te sorprenda que alguien random de España pueda encontrar un bug a Microsoft, lo cierto es que la compañía tiene muchiiiiiisimos servidores donde se puede intentar encontrar despistes de un trabajador con un mal día 😜

¿Qué encontré para ser reconocido por ellos? Pues algo que los estudiantes de ASIR debe tener muy claro, o tendrán una buena bronca por parte del jefe. Se trataba de la toma de control de un subdominio (Subdomain Takeover).

Trabajando en una empresa

Este apartado será la experiencia más habitual de la mayoría de nosotros. Una vez metas cabeza en el mercado laboral, debes diferenciarte y ser el mejor para poder mantener tu puesto y mejorarlo constantemente.

Cuando entré a trabajar por primera vez en una empresa (de becario), tardé dos semanas en encontrar un bug que permitía acceder al sistema como administrador sin ni siquiera privilegios de ningún tipo, solo como invitado. Lo cual gustó por un lado, y preocupó por otro. Pensemos en lo que nos interesa, me dijeron que sería contratado sin duda al terminar el periodo de prueba jajaja

Otra anécdota graciosa ocurrida del estilo:

Cuando emigré a Irlanda, no había manera de encontrar trabajo de IT, entre mi pésimo nivel de inglés y poca soltura por la zona, lo tenía difícil. Tuve la suerte de conseguir entrar de becario en una pequeña empresa durante 3 meses, así que debía dar buena impresión para conseguir ser contratado al finalizar ese periodo.

En mi primera semana me colé hasta la cocina (la base de datos) y lo notifiqué a mi superior directo, que en ese momento era el CTO y encima estaba trabajando desde Eslovaquia. El resultado podéis imaginarlo, me quedé allí cerca de tres años y aprendí muchísimo con ellos.


Por aquí termina otra de las historias que pululan por mi mente, espero que os sea de utilidad y ayude a los estudiantes que les gusta el mundillo pero desconocían las posibilidades que tienen tras terminarCETI u otros estudios de informática.

Un saludo.

A veces las soft skills son más útiles que muchos certificados, una excelente manera de diferenciarse del resto por supuesto, pero no todos somos tan avispados para cosas como esas. Tomaré prestadas esas vivencias por si algún día las necesito.

Como consejo diría que si eres bueno con el estudio y la retención de datos te esfuerces por estudiar y demostrar tu valía con tus certificaciones, de nada sirve querer hacer lo que por ejemplo ha hecho el compañero si no se te da bien, igual la terminas liando. Y lo mismo en caso contrario, buscar soluciones acorde a tu perspicacia en detrimento de certificaciones sin olvidar o menospreciar estas últimas.

Por cierto que casi lo olvido, y para diferenciar los temas lo escribo en otro comentario.

En estos días pienso escribir un tema relacionado precisamente con eso, certificaciones y estudios donde pienso tratar lo que he visto en mi primer año de ciberseguridad, te agradecería que te pasaras por ahí para ver si coincides o puedes dar tu punto de vista.

    3 meses más tarde

    Shotafry

    Hola.

    Shotafry donde pienso tratar lo que he visto en mi primer año de ciberseguridad

    Sería interesante que contaras lo que has visto en tu primer año de ciberseguridad.

    Saludos.

      un mes más tarde

      Joseqwerty eso es lo que quiero, solo que he tenido poco tiempo y muchas cosas por hacer, en cuanto tenga algo más libre lo haré.