Oferta de Trabajo: Mercadona buscar un hacker - Pentester - Red Team

Iniciado por el-brujo, 8 Junio 2021, 23:35 PM

0 Miembros y 1 Visitante están viendo este tema.

el-brujo

Mercadona busca un hacker Técnico de Seguridad Ofensiva para protegerse del ransomware

Mercadona ha abierto hoy una vacante en su portal de empleo para seleccionar un Técnico en Seguridad Ofensiva que actúe como hacker, poniendo a prueba los sistemas de la compañía. Los ataques de ransomware y otros vectores están a la orden del día teniendo como objetivo las grandes empresas y la cadena de supermercados quiere tener a un aliado experto entre sus filas.

La plaza resulta bastante asequible puesto que solo se exige conocimientos en seguridad ofensiva y en el uso de lenguajes como Python, Bash, Golang y Java, además de pasión por las nuevas tecnologías. Sin embargo, se valora conocimientos más avanzados como:

CitarRequisitos:

- Conocimientos en seguridad ofensiva y en el uso de alguno de los siguientes lenguajes: Python, Bash, Golang, Java
- Disponibilidad horaria de lunes a viernes
- Carné de conducir y vehículo propio
- Capacidad de comunicación y trabajo en equipo
- Pasión e interés por las nuevas tecnologías

Conocimientos específicos

Se valorará:
- CFGS en Seguridad Informática o Grado en Ingeniería Informática o Telecomunicaciones
- Conocimientos de metodologías de pruebas de seguridad (OWASP, OSSTMM, SANS, OWISAM, OASAM)
- Experiencia en ejercicios Red Team y/o pentesting
- Certificado en CEH, OSCP, OSCE, CISSP, CISA, CISM, etc

Tareas

Buscamos técnicos/as para unirse al equipo de trabajo que está desarrollando la tecnología para abordar la transformación digital de la empresa.

Tus tareas serán:
- Poner a prueba la seguridad de los sistemas (ej. detectar y explotar vulnerabilidades en los sistemas)
- Utilizar herramientas para automatización de ataques (ej. nikto, metasploit, ZAP, burp suite, etc.)
- Realizar ejercicios periódicos de seguridad simulando escenarios (ej. simular ataque externo, robo de credenciales, accesos no autorizados, etc.)

El contrato es indefinido con jornada laboral completa y un salario bruto de entre 23 a 35 mil € anuales.


Oferta:
https://mercadona.avature.net/es_ES/Careers/JobDetail/T-CNICO-A-SEGURIDAD-OFENSIVA-RED-TEAM/27534#

Oferta de empleo en Linkedin
https://es.linkedin.com/jobs/view/t%C3%A9cnico-a-seguridad-ofensiva-red-team-at-mercadona-2583174591



Fuente:
https://bandaancha.eu/foros/mercadona-ofrece-puesto-tecnico-1743004

WHK

Podemos postear temas sobre trabajos de hacking?

Por otro lado, si necesitan protegerse contra el ransomware no necesitan a un ethical hacker, necesitan a un arquitecto de redes y sistemas seguro, necesitan a un perfil que sepa aplicar normas y reglas de seguridad que impida la propagación, infección, capacitación de phishing ético, etc. Es un proceso bastante ámplio, todo va a depender hasta donde realmente quieran prevenir una incidencia. Tampoco les va a servir mucho filtrar a la gente por sus certificaciones si es que realmente quieren seguridad de verdad. Me huele a que no saben lo que están pidiendo, nikto o owasp zap son herramientas que los que están recien aprendiendo comienzan a usar, pero no tiene nada que ver con realizar un analisis de seguridad real, de hecho los profesionales no usan ese tipo de cosas.

el-brujo

CitarPodemos postear temas sobre trabajos de hacking?

Claro que se puede. Lo que no estaba o está permitido es registrase única y exlcusivamente para publicar ofertas de trabajo que es lo que acaba pasando en estos casos.

Estoy de acuerdo contigocon Nikto, es un escáner vulnerabilidades web muy genérico que dudo que sirva de mucho xD Sería como escanear una web con nmap, faltaría añadir cosecha propia jajaja

De todas formas la oferta no creo que esté tan mal redactada ni los requisitos que se piden son bastante lógicos, razonables.

Otra cosa es el sueldo, alguien con varias titulaciones y certificaciones de seguridad puede aspirar a un sueldo mejor. Entiendo que la  oferta es para un novato.

MinusFour

Cita de: el-brujo en  9 Junio 2021, 10:09 AM
Otra cosa es el sueldo, alguien con varias titulaciones y certificaciones de seguridad puede aspirar a un sueldo mejor. Entiendo que la  oferta es para un novato.

Un novato con certificaciones, título de carrera, frameworks, poliglota y experiencia con redes. Esto suena a que buscan ensayos de marketing en los curriculums. De seguro terminan contratando a Jack Bauer en papel pero el tipo es de esos que le pasa scanner de vulnerabilidad y se lava las manos.

WHK

es que hay que comprender el contexto de esto, el que pide el curriculum no es el dueño de la empresa sino el area de recursos humanos y este probablemente le preguntó al área técnica "¿qué debo buscar y con qué requisitos?" y en muchos casos las áreas técnicas deben cumplir con los requisitos de búsqueda de vulnerabilidades porque se lo exige alguien o porque quieren cumplir con alguna norma, por ejemplo, la iso 2700* te exige realizar búsqueda de vulnerabilidades pero no te dice como lo debes hacer o si lo debes hacer bien o mal, asi que por lo general hay dos posibles razones cuando necesitas buscar este tipo de perfiles, o solo quieres cumplir con lo que te exigen como encargado del área técnica sin importar si la revisión tenga un buen alcance o no, o realmente quieres prevenir incidencias de seguridad y hacer una revisión como se debe, pero te saldrá mas caro y de ahi la diferencia de buscar a algo o alguien que realmente sabe lo que hace o simplemente alguien que tenga un papel que diga que sabe hacer lo que hace.

el-brujo

CitarJack Bauer en papel

jajaja si, en España hay mucha costumbre de inflar el CV con cosas falsas xD

Cita de: MinusFour en  9 Junio 2021, 13:44 PM
Un novato con certificaciones, título de carrera, frameworks, poliglota y experiencia con redes. Esto suena a que buscan ensayos de marketing en los curriculums. De seguro terminan contratando a Jack Bauer en papel pero el tipo es de esos que le pasa scanner de vulnerabilidad y se lava las manos.

Y con coche propio para poder ir de una supermercado a otro y no le van ni a pagar la gasolina de los desplazamientos xD

Citar
Requisitos
- Carné de conducir y vehículo propio

Lo que comenté en bandaancha:

Lo que creo que tendría que hacer Mercadona y cualquier otra empresa es encargar a una empresa externa que se dedique a ello para hacer una auditoría de seguridad. Saldrá quizás más caro, pero los resultado serán mas buenos.

Una sola persona no es suficiente para hacer hacer una prueba de pentesting, aunque entiendo según leo en la oferta, que que la persona se unirá a un equipo de más personas...

warcry.

Cita de: el-brujo en  9 Junio 2021, 18:04 PM

Lo que creo que tendría que hacer Mercadona y cualquier otra empresa es encargar a una empresa externa que se dedique a ello para hacer una auditoría de seguridad. Saldrá quizás más caro, pero los resultado serán mas buenos.


Discrepo de esta premisa, cuando tu contratas una empresa externa para hacer auditorias de seguirdad, tendrás el resultado que hay en el mercado, para algunos clientes puede ser bueno, para otros es un resultado mediocre, ya que no entran en mas de lo que tienen establecido dejando fuera de los informes las peculiaridades de la empresa, unido a que generalmente mandan a becarios hacer los trabajos, mientras que el "experto estrella" esta calentando banquillo para dedicarlo a clientes mas gordos, o para el asesoramiento y la coordinación interna.

visto desde el punto de vista de la eficiencia, para pagar una pasta por una auditoria hecha por un becario de una empresa externa, contratas directamente a un becario y que aporte lo que tenga que aportar.

visto desde el punto de vista de la eficacia, pues dependerá al 100% de las personas que al final compongan ese equipo de pentesters, luego el de recursos humanos tiene un papelón  :xD
HE SIDO BANEADO --- UN PLACER ---- SALUDOS

Serapis

Cita de: warcry. en  9 Junio 2021, 20:01 PM
...
... luego el de recursos humanos tiene un papelón  :xD
Opino similar...
Y, si un papelón, porque a ver que hacker puede aportar un currículum de sus 'canalladas'. No hay titulación por la delincuencia.
Buscar el agujero, abrir la brecha... es algo que no se estudia en la Uni, por que entonces todo el mundo tendría tapado el agujero. Es algo que se desarrolla con paciencia y ciertos conocimientos muchas veces variados y dispersos y también algo de suerte... lo de menos al final es el lenguaje usado.

Además una sola persona, me parece 'poco', lo que a un ojo se le escapa otro lo ve. Uno sola persona no puede 'ver' todos los frentes posibles, espcialmente cuando no domina del todo uno de los flancos... y como dice e dicho 'si estás en misa, no puedes estar de procesión'...
...pero bueno, al menos parecen tener interés en cubrirse, aunque anden buceando en la hierba en vez de en el agua.

Xyzed

Cita de: el-brujo en  9 Junio 2021, 18:04 PM
Lo que creo que tendría que hacer Mercadona y cualquier otra empresa es encargar a una empresa externa que se dedique a ello para hacer una auditoría de seguridad. Saldrá quizás más caro, pero los resultado serán mas buenos.

Una sola persona no es suficiente para hacer hacer una prueba de pentesting, aunque entiendo según leo en la oferta, que que la persona se unirá a un equipo de más personas...
Exactamente, eso es algo más eficaz, HackerOne o similares donde das la posibilidad de protección a cambio de un dinerillo, que en este caso en particular para Mercadona, es un vuelto.

Es más bien una inversión que un gasto.

Siempre me pregunté si la información detallada en la aplicación web de la mencionada organización es real, es un delirio la cantidad de vulnerabilidades con las que contaban varias multinacionales y los millones que se ahorraron por haber parchado sus errores a tiempo antes de un ataque.
...

Machacador

Y entonces que, se postulará algún experto o novato del foro al puesto en cuestión???...

Creo que no porque aquí todo el mundo está empleado ya... semos posteadores de oficio...

:rolleyes: :o :rolleyes:
"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"