¿Por qué comenzar tu carrera de Ciberseguridad en la parte defensiva es una buena idea incluso si tu meta es ser Pentester/Hacker Ético?
Cuando hablamos de ciberseguridad, muchos piensan en Hackers eticos o Pentesters, pero la realidad es que esa es solo una infima porción de los roles que hay en ciberseguridad, la mayoría de los roles disponibles en esta área pertenecen al Blue Team o parte defensiva de la ciberseguridad. Aunque siempre me llamó la atención el Pentesting y soñé con formar parte de un Red Team, he decidido enfocarme seriamente en ciberseguridad defensiva, adaptándome al mercado laboral y aceptando las oportunidades que se presentan en roles de defensa. Este cambio no solo es pragmático, sino que puede ser una estrategia ideal para construir una base sólida, tener éxito en el futuro y acá te explico el porqué:
El mercado laboral y la realidad de las oportunidades
A lo largo de mis experiencias, he notado que la demanda de analistas SOC y roles de ciberseguridad defensiva supera ampliamente a los roles de Pentesting o ciberseguridad ofensiva en general. Las empresas necesitan defensa continua y personal que pueda responder a incidentes 24/7, mientras que las evaluaciones de seguridad ofensiva, como los pentests, suelen realizarse solo una o dos veces al año. Incluso las auditorías ofensivas o ejercicios de Red Team suelen contratarse a terceros de manera puntual, mientras que en el caso del Blue Team, aunque muchas empresas también contratan servicios de SOC externos, estos se realizan de manera constante y están activos 24/7. Esto significa que, mientras los roles de defensa ofrecen muchas vacantes y son necesarios de forma continua, los puestos de Pentesting son más aislados, altamente especializados y difíciles de conseguir sin experiencia previa.
¿Por qué el Blue Team es una buena base para el Pentesting o red team?
Iniciar en el Blue Team aporta una comprensión valiosa sobre cómo funciona la infraestructura de una empresa y cómo se deben estructurar sus defensas. Este conocimiento es fundamental para cualquier aspirante a pentester, ya que no solo permite conocer los sistemas, sino entender las limitaciones y vulnerabilidades de herramientas de seguridad específicas. De hecho, muchos pentesters exitosos han pasado primero por roles en defensa, porque haber configurado y utilizado herramientas de seguridad ayuda a comprender cómo un atacante puede explotarlas.
Además, al trabajar en un SOC o en roles de seguridad defensiva, se aprende mucho sobre la administración de incidentes, políticas de seguridad, SIEM, EDR/XDR, y configuraciones de sistemas críticos. Estos conocimientos no voy a decir que son obligatorios pero si muy utiles para cualquiera que aspire a roles ofensivos, ya que le brindan la experiencia de conocer las herramientas desde el otro lado de la trinchera.
La ciberseguridad defensiva es una entrada más accesible
El camino al Pentesting suele ser largo y lleno de requisitos, desde certificaciones hasta años de experiencia en ciberseguridad. Los roles defensivos, por otro lado, ofrecen más oportunidades para aquellos que comienzan. Analistas SOC y roles similares suelen requerir menos experiencia y sirven como un excelente punto de entrada para la mayoría de los profesionales. Esto permite familiarizarse con el sector, crear una red de contactos y obtener una experiencia valiosa que, en el futuro, puede abrir puertas en el área ofensiva.
En particular, roles como el de Analista de Vulnerabilidades aunque tradicionalmente considerados como defensivos, tienen un enfoque proactivo que los convierte en una gran oportunidad para adquirir habilidades y experiencia que pueden ser fundamentales para una transición hacia roles ofensivos como el pentesting.
Adaptarse a las oportunidades
Mi cambio profesional de dejar el enfoque hacia lo ofensivo y dirigirme hacia lo defensivo no fue sencillo, especialmente al considerar mis planes iniciales. Sin embargo, entendí que adaptarse al mercado laboral es esencial. Basta con hacer una simple búsqueda en internet para notar que la mayoría de las ofertas en ciberseguridad están orientadas al Blue Team. Incluso cuando mi objetivo inicial era el Pentesting, todas las ofertas que recibo en LinkedIn están enfocadas en roles de SOC y ciberseguridad defensiva.
Como dice una frase que vi recientemente: “Así como el río se adapta a la forma del terreno que recorre, el guerrero sabio se adapta a las circunstancias que enfrenta.” Esta reflexión me ha llevado a enfocarme en el Blue Team con una perspectiva más positiva y decidida. He llegado a ver el valor de construir una carrera defensiva sólida como un paso esencial en mi camino en ciberseguridad, con la certeza de que esta experiencia será una base invaluable para el futuro, tanto en roles defensivos como, eventualmente, en el área ofensiva si esa oportunidad llega.
Conclusión
Comenzar en ciberseguridad defensiva no significa renunciar a los objetivos en ciberseguridad ofensiva; es una estrategia inteligente para construir una base sólida en defensa. Una experiencia en roles defensivos permite una comprensión profunda de cómo funcionan las empresas desde adentro, conocimiento que puede aplicarse en pruebas de penetración y otros roles ofensivos si el camino se abre hacia allá.
Es normal que aquellos que aspiran a roles ofensivos se sientan desanimados al principio por no encontrar oportunidades de Hacking o ciberseguridad ofensiva directamente, y fue mi caso. Sin embargo, comenzar en ciberseguridad defensiva puede ser una gran oportunidad, ya que brinda una visión más holística de la ciberseguridad. Esta perspectiva integral es esencial al momento de realizar evaluaciones ofensivas y, en algunos casos, podría incluso despertar una pasión tan fuerte por la defensa, al punto de considerar quedarse definitivamente en el área defensiva, que es algo que me puede pasar.
Es cierto que existen personas que, por circunstancias específicas, logran comenzar directamente en roles de Pentesting o en Red Teams, pero esta es la excepción y no la norma. Lograrlo implica demostrar un valor y conocimiento excepcional, contar con las ganas y la dedicación necesaria, y en muchos casos, tener contactos en la industria y, sobre todo, un golpe de suerte. Para la mayoría, el camino hacia roles ofensivos pasa primero por la defensa, lo cual no es renunciar a los sueños, sino tomar la ruta más efectiva hacia ellos, sin cerrarse a las posibilidades que el camino pueda ofrecer.
PD: Este artículo fue inspirado en el podcast de XeroSec con David Padilla Alvarado, un ingeniero en telemática que siguió precisamente el camino mencionado: comenzó en la parte defensiva y evolucionó hasta convertirse en un hacker ético sumamente destacado y reconocido. A continuación, dejo el enlace a dicha charla: