¿Puedes explicarnos en qué consiste tu trabajo?

A : Como ingeniero de DevSecOps, mi trabajo consiste en asegurar todo el ciclo de vida de un software, desde la planificación hasta la producción. Lo principal es comprobar que los diferentes equipos tienen en cuenta el aspecto de la seguridad en cada etapa. Después me aseguro de que no haya vulnerabilidades en el código y de que la infraestructura en la que se despliega la aplicación esté perfectamente configurada y sea segura. Por eso también realizo test de intrusión para asegurar su solidez y permeabilidad (black y white pentest).

 

¿Recuerdas tu primera intrusión?

A : Sí, creo que fue en 2014. Cosa de adolescentes; en esa época dudaba de mi novia y quería comprobar en su Facebook si me estaba ocultando algo. Aproveché una falla que había en hotmail en ese momento para recuperar su contraseña. Evidentemente, lo que encontré no me gustó… Fue a partir de ese momento que comprendí que podía hacer daño. También fue el punto de partida de mi pasión por la piratería ética, cuyo objetivo es utilizar estas habilidades para fines honestos.

¿Por qué siguió después de eso?

A : En el momento, es bastante satisfactorio tener tanto acceso. Te sientes poderoso. Me gusta la frase de Spiderman: «Un gran poder conlleva una gran responsabilidad». Es exactamente eso, de repente, tenemos muchas responsabilidades en nuestras manos.

¿Por qué decidiste dedicarte a ello (ingeniero DevSecOps / hacker ético)?

A : Es un trabajo desafiante, yo soy mi propio adversario.
Configuro un sistema de seguridad al que después tengo que intentar penetrar.
Como he dicho antes, es mucha responsabilidad, pero es un reto que me gusta especialmente.

Además, fue un poco casualidad que empezara a dedicarme a esto.
Cuando era estudiante, apasionado por el pentest y el mundo de la piratería, tomé el control del sistema de información de mi escuela a través de una falla en la red. Después me ofrecieron un trabajo remunerado para asegurarlo.
Fue mi primera experiencia «oficial». Después me registré en HackerOne. Es una plataforma que ofrece la posibilidad de participar en pentests bien definidos en beneficio de las empresas que brindan acceso a sus entornos técnicos en el marco de programas Bug Bounty.

 

¿Entonces te has ido formado sobre la marcha?

A : Comencé con una escuela de tecnología de la información y la comunicación bastante general. La seguridad no era una especialidad en absoluto, pero intentaba trasponer lo que estaba aprendiendo allí aplicándolo a la ciberseguridad. También consultaba regularmente libros sobre piratería («The Hacker PlayBook 1 y 2», «Penetration Testing A Hands on Introduction to Hacking», «Black hat python»…). También he intentado siempre relacionarme con personas que comparten la misma pasión que yo y participar en eventos dedicados a la seguridad como las CTF (Capture The Flag).

Después continué en una escuela de ingeniería. Realmente no hay una escuela para convertirse en DevSecOps o Pentester, lo que he aprendido y lo que más me sirve actualmente son cosas que he integrado de manera autodidacta.

Por otro lado, en paralelo he obtenido bastantes certificaciones. Empecé con certificaciones de Red, Sistema (Linux, Microsoft…), luego Aplicación (Web, Base de datos…). Desde que me uní a Algoan, también he obtenido certificaciones Cloud.

 

¿Por qué elegiste Algoan?

A : Por varios motivos. Era bastante reacio a unirme a una gran empresa. Sabía que la jerarquía demasiado vertical no me daría la oportunidad de participar en la toma de decisiones. Tampoco quería estar limitado a una sola tecnología.
En Algoan, primero me llevé muy bien con Fabrice, nuestro CTO, cuya visión compartía. Inmediatamente sentí que iba a tener la oportunidad de participar concretamente en el crecimiento de un proyecto y tener una libertad que me permitiría desarrollarme. Es este mismo espíritu muy startup lo que me atrajo.

PREGUNTAS BONUS

¿Cuál es la intrusión de la que estás más orgulloso?

A : No de la que estoy más orgulloso, sino la que más me impresionó. Tomé el control de un operador telefónico a través de una falla en la red. En ese momento, me asusté de la importancia de la intrusión y de lo que podía hacer. Estoy acostumbrado a informar de las fallas que encuentro a los equipos de seguridad. En general, son bastante abiertos y ofrecen recompensas.

 

¿Si tuvieras que dar a la serie MR ROBOT una nota sobre 10?

A : Daría 7 por el escenario y 4 por la técnica utilizada. ¡Usan herramientas de scripts kiddies!

¡Encuentra a Achraf en Linkedin!