'Pentester', el perfil profesional que cada vez demandan más empresas

Los ataques cibernéticos, como los de phishing, malware y ransomware, fueron en aumento durante 2024. Entre otros, fueron sonados los ciberataques a Apple, con la suplantación de identidad a gran escala de usuarios de la compañía, o el sufrido por Orange España, por el que se redirigió parte del tráfico de Internet de clientes a servidores no autorizados. A las técnicas habituales, se ha unido además una nueva variable que los ciberdelincuentes utilizan para pulir sus métodos haciendo que el fraude sea cada vez más difícil de identificar: la inteligencia artificial.

Por ello, son cada vez más las empresas preocupadas por este tipo de ataques que demandan un perfil concreto, el del llamado 'pentester' o 'hacker etico', una profesión que, según el Instituto Nacional de Ciberseguridad, «está revolucionando el mercado laboral».

¿En qué consiste su trabajo? El 'pentester' realiza pruebas de ciberseguridad autorizadas por las empresas en sus sistemas para encontrar vulnerabilidades. Para ello, ejecutan ataques simulados para examinar factores como la seguridad de un sistema informático, sus defensas o los riesgos a los que podría enfrentarse ese sistema.

Los 'pentesters' con conocimientos y experiencia son muy solicitados en el mercado laboral, tanto por su capacidad para identificar vulnerabilidades o posibles riesgos empresariales, como por sus conocimientos de las leyes en materia de ciberseguridad, «ya que las empresas necesitan contar con profesionales en este ámbito para cumplir con las normativas», asegura este organismo.

Pero sus salidas profesionales no se reducen al ámbito empresarial sino que pueden trabajar de forma autónoma, realizar labores de consultoría asesorando a empresas o dedicarse al campo de la investigación para ayudar a desarrollar nuevas técnicas que permitan mejorar la seguridad de los sistemas.

El Instituto Nacional de Ciberseguridad destaca que lo que se demanda de un 'pentester' es que tenga habilidades suficientes para analizar, visualizar y resolver los riesgos de seguridad de los sistemas. Para ello, deben conocer las tácticas que utilizan los ciberdelincuentes a la hora de realizar los ataques, así como las diferentes formas para contrarrestarlos y la documentación de las acciones para mejorar la seguridad.

Algunas de estas habilidades son el dominio de los lenguajes de programación, entender el funcionamiento de las redes, conocer y saber identificar cómo funcionan las vulnerabilidades y 'exploits'; entender los componentes de la red, como firewalls o VLAN para saber identificar más fácilmente los riesgos de la red y cómo protegerlas; conocer el modelado de amenazas también ayuda a identificar los riesgos de software, aplicaciones o redes.

Además, también debe tener otras cualidades como saber expresarse de manera efectiva para comunicar y presentar las pruebas; tener un pensamiento crítico y creativo, sobre todo, a la hora de encontrar vulnerabilidades; y estar abierto a una renovación constante de sus conocimiento porque se trata de un campo en constante evolución. Asimismo, necesita conocer las leyes y consideraciones éticas y legales a la hora de realizar pruebas de penetración.

• Temas
• Inteligencia artificial
• Ciberseguridad