🗞️

Mercadona busca un hacker Técnico de Seguridad Ofensiva para protegerse del ransomware

grifa 8 junio 2021 21:26 ✎ ◉

⋮

Mercadona ha abierto hoy una vacante en su portal de empleo para seleccionar un Técnico en Seguridad Ofensiva que actúe como hacker, poniendo a prueba los sistemas de la compañía. Los ataques de ransomware y otros vectores están a la orden del día teniendo como objetivo las grandes empresas y la cadena de supermercados quiere tener a un aliado experto entre sus filas.

Su trabajo será poner a prueba los sistemas de la empresa, detectando y explotando vulnerabilidades contra ellos, utilizar herramientas para automatización de ataques como nikto, metasploit, ZAP, burp suite, etc. y realizar simulacros de ataques, robo de credenciales, accesos no autorizados, etc.

La plaza resulta bastante asequible puesto que solo se exige conocimientos en seguridad ofensiva y en el uso de lenguajes como Python, Bash, Golang y Java, además de pasión por las nuevas tecnologías. Sin embargo, se valora conocimientos más avanzados como:

CFGS en Seguridad Informática o Grado en Ingeniería Informática o Telecomunicaciones
Conocimientos de metodologías de pruebas de seguridad (OWASP, OSSTMM, SANS, OWISAM, OASAM)
Experiencia en ejercicios Red Team y/o pentesting
Certificado en CEH, OSCP, OSCE, CISSP, CISA, CISM, etc

El contrato es indefinido con jornada laboral completa y un salario bruto de entre 23 a 35 mil € anuales.

mercadona.avature.net/es_ES/Careers/JobD…D-TEAM/27534

el-brujo 8 junio 2021 23:31

⋮

lo que creo que tendría que hacer Mercadona y cualquier otra empresa es encargar a una empresa externa que se dedique a ello para hacer una auditoría de seguridad. Saldrá quizás más caro, pero los resultado serán mas buenos. Es una opinión personal.

Una sola persona no es suficiente para hacer hacer una prueba de pentesting, aunque entiendo según leo en la oferta, que que la persona se unirá a un equipo de más personas.

De todas maneras la oferta no está para nada, mal redactada, me refiero a los certificados y requisitos que se piden.

¿Qué os parece? ¿Y el salario? Pues yo creo que depende de las certificaciones que tenga creo que puede aspirar a mucho más.

✖

naveganteperdido 9 junio 2021 21:43

⋮

y quien se va a encargar de elegir a la empresa, hacer de enlace con ellos y entender los resultados que te dan?

vukits 8 junio 2021 23:34

⋮

jornada laboral completa y un salario bruto de entre 23 a 35 mil € anuales.

JAJAJAJAJA…

¿en serio?

✖

heffeque 11 junio 2021 12:21

⋮

Van a poner a un becario a hacer de "hacker"…

Por lo que se puede deducir que no tienen una intención seria de averiguar si su sistema es seguro y resiliente, sino que es un p¡n que algún jefecillo se ha querido poner (seguro que con un bonus incluido) y ya puede marcar el "hecho" de la lista de tareas pendientes.

Mikker 9 junio 2021 00:57

⋮

Un hacker que sepa todo eso… 35 mil € es calderilla… a ver a que tonto pillan…

BocaDePez 9 junio 2021 01:03

⋮

En mi humilde opinión, los requisitos y responsabilidad están muy por encima del salario ofertado. Coinicido también con la opinión anterior, mejor una empresa externa que sea experta, a no ser que quieran formar a un equipo dedicado a la seguridad.

Al final vienen los lloros.

BocaDePez 9 junio 2021 01:44

⋮

Típico de España, quieren que tengas una carrera y si puede ser un máster pues mucho mejor, además has de conocer 300 lenguajes, otros 300 frameworks y herramientas, experencia en 100 cosas relacionadas o no, conocimientos en otras 100 cosas, y además certificados, cuantos más pues mucho mejor. Ya solo les ha faltado el tener que conocer 5 idiomas a nivel C5 y apañado y si eso empezamos en 23k y jornada hasta las 7 de la tarde o más no vaya a ser que dediques tiempo libre para tus hobbies y no en la empresa.

EmuAGR 9 junio 2021 04:10

⋮

Piden título (FP o Teleco, wtf), tres lenguajes completamente distintos, seguridad, pentesting y certificados.

¡Y ofrecen sólo 35k! Yo creo que pidiendo todo eso de 45-50k no baja.

✖

superllo 9 junio 2021 13:54

⋮

Están moviéndose bastante para que vayan alumnos de ciclos a hacer FP Dual. Me imagino que querrán que esos alumnos aprendan seguridad de gente experimentada que, seguramente, no cobrará ese rango de salarios.

BocaDePez 9 junio 2021 06:55

⋮

Somos la cadena de supermercados más importante a nivel nacional, no es precisamente falta de liquidez nuestro problema y queremos a alguien que sepa hasta Sánscrito cifrado, ya que queremos que proteja nuestras joyas de la corona de la mejor forma posible, eso sí, te pagaremos una mierda, aunque estarás en un buen ambiente de trabajo y plenamente motivado.

✖

Paddy McAloon 9 junio 2021 07:56

⋮

¿Lo dices por estar rodeado de charos?

jesjimher 9 junio 2021 12:26

⋮

Y descuento en el hummus casi seguro, eso también es un valor añadido.

Ikaro1968 11 junio 2021 10:24

⋮

Me parece que la seguridad informática no es el peor de sus problemas. Han perdido mucha clientela por la bajada generalizada de la calidad de sus productos de marca blanca. Por algo los llaman popularmente "Hacendaño".

economiadigital.es/empresas/juan-roig-me…calidad.html

pegaca0 9 junio 2021 08:14

⋮

Salario anual de inicio 22,9k? Estos van puestos de hacendado hasta arriba…

Lo peor es que lloverán ostias por cojer ese puesto.

Magonos 9 junio 2021 09:09

⋮

Yo estoy dentro del sector de la seguridad, es verdad que dentro de otro ámbito (Gestión de incidentes), pero aquí creo que el problema radica en que piden demasiadas cosas (Muchas veces en las ofertas se hacen verdaderas listas de la "compra" xD)

Si es una persona junior, recién salida y que quizás no es experto en ninguna de esas tecnologías, pero al menos conoce y tiene voluntad de aprender, creo que 30K de primer trabajo, esta muy bien ;)

Ahora, si lo que buscan es un pentest, que aparte de todo esto, gestione las auditorias externas, monte un equipo…o incluso un pentest mas senior, para meterle en un equipo que ya tengan… me parece ridículo el sueldo.

Por otro lado, sobre lo de que es mejor que lo haga una empresa externa, sinceramente creo que cualquier empresa del ibex35 debería tener mínimo un equipo interno de CSIRT (Respuesta ante incidentes) con sus respectivos forenses+ IH, un equipo de red team y lo ideal sería cubrir también la parte de ciberinteligencia, y todo esto solo en la parte mas operativa… quedaría la parte de Seguridad de la información, bastionado y desarrollo seguro, esta bien externalizar ciertas cosas (Un pentest de perímetro al año por ejemplo), pero debería fomentarse los equipos internos especializados y lógicamente con sueldos acordes a esos trabajos y responsabilidades, un GCIH en EEUU puede estar en 115 $, por lo que aquí en España debería estar en 55K-60K

Un abrazo ;)

BocaDePez 9 junio 2021 09:33

⋮

Menuda absoluta vergüenza de salario.

BocaDePez 9 junio 2021 09:40

⋮

Y espera que no pidan luego que sea un autónomo, que con ese dinero le da para un cuarto de jornada.

Alentines 9 junio 2021 09:42

⋮

El que sepa de todo eso le compensa más robar los datos y venderlos, está de moda pagar con cuencos de arroz.

Amenhotep 9 junio 2021 09:49

⋮

Quieren contratar a un chaval enteraillo para que esté de mosca cojonera en el departamento de informática. No desearía ese puesto ni regalado.

La seguridad informática se debe hacer a nivel de diseño e implementación. Coger una infraestructura ya desplegada y empezar a sacarle fallos para parchearlos es absurdo y contraproducente.

Si quieren una auditoría de seguridad que la contraten y luego rediseñen el sistema de IT de acuerdo a las recomendaciones.

Pero tener a un chaval jugando a ser hacker para luego decir que es un tio cargante, hacerle mobbing y pagarle cuatro duros pues como que no lo veo…

rbetancor 9 junio 2021 09:56

⋮

Típica oferta de trabajo Españistaní, buscan un profesional pa'to y se le pretende pagar con cacahuetes.

Pues como dice el refrán … "Si pagas con cacahuetes, …"

Alex B 9 junio 2021 10:01

⋮

El hacker mileurista.

el-brujo 9 junio 2021 10:42

⋮

Creo que falta algo de comprensión lectora:

Yo entiendo que la oferta no pide todas las certificaciones, simplemente dice que "se valora conocimientos más avanzados como"

"Se valorará:"

Es evidente que una persona con todo estos certificados:

- Certificado en CEH, OSCP, OSCE, CISSP, CISA, CISM, etc

Puede ganar bastante más (mucho más) de 22k-34k brutos al año.

También lo han publicado en Linkedin:

es.linkedin.com/jobs/view/t%C3%A9cnico-a…a-2583174591

Opino igual que Magonos

Si es una persona junior, recién salida y que quizás no es experto en ninguna de esas tecnologías, pero al menos conoce y tiene voluntad de aprender, creo que 30K de primer trabajo, esta muy bien ;)

✖

rbetancor 9 junio 2021 11:40

⋮

No, falta de comprensión lectora nanai … es lo que he comentado más arriba, típica oferta de empleo IT Españistaní, que uno ya peina canas hace años y ha visto de todo …

Se traduce como "buscamos un senior, con canas en los huevos de pelearse con todo esto, pero le vamos a pagar como un junior recién salido del horno. P.D.: Si no aparece ningún senior tonto, también aceptamos un junior que admita ser esclavizado".

jesjimher 9 junio 2021 12:35

⋮

Ojo, que además no es que esos 34k los paguen si vienes con todos los títulos, ese salario máximo es una "proyección". Vamos, que te van a pagar cacahuetes por mucho título que tengas, y ya si eso en unos años según vaya la economía y si echas muchas horas igual te lo subimos (spoiler: va a ser que no).

A este tipo de ofertas tendría que echarles un vistazo la gente de comunicación, porque ofrecer algo así da una sensación deplorable en cuanto a la seguridad de la empresa. Lo que se deduce de aquí es:

Ahora mismo no tienen a nadie para mirar la seguridad, o lo hacen los de dentro "en sus ratos libres".
Van a contratar a un currito para llevar el tema, al que le van a pagar una miseria. Y con ese sueldo, si viene con la carrera recién acabada ya puedes dar las gracias.

Conclusión: Mercadona es un coladero de seguridad, y lo va a seguir siendo en el futuro, porque la gestión del asunto nace de la cutrez, y va a ser amateur como mucho. Los hackers del mundo entero se deben estar frotando las manos y afilando sus scripts.

Si Mercadona cotizase en bolsa, con una oferta así bajaría unos cuantos puntos. Yo al menos si tuviera acciones vendería y me iría a invertir a otra empresa mejor gestionada.

BocaDePez 9 junio 2021 11:10

⋮

No lo habéis entendido, es un puesto Hacendado.

BocaDePez 9 junio 2021 16:11

⋮

con esta oferta de trabajo Mercadona muestra sus debilidades, y aún se puede añadir otra lectura negativa, por ese sueldo el currito de turno será responsable si un ataque consigue la penetración?

El que pille ese puesto de trabajo que se agarre los machos y espero que tenga vistas hacia Cuenca …

✖

naveganteperdido 9 junio 2021 21:45

-2

⋮

y aunque fuera responsable, que?, no va a ir a la carcel ni nada, como mucho lo echaran xD

un hacker ofensivo no puede ser responsable de la defensa …, es como si dices "al barça le metieron 7 porque messi defendio mal"

el-xalso 9 junio 2021 16:47

⋮

Empezando en 23k anuales… Y encima a una sola persona en la que recaerá toda la responsabilidad…

Suerte xd

BocaDePez 9 junio 2021 17:29

⋮

23000 ,ahí cerré gmail.

BocaDePez 9 junio 2021 18:44

⋮

Y se quejara el Mercadona porque le han atacado… de 25 a 35mil € es lo que les puede costar solo que se burlen de ellos…

BocaDePez 9 junio 2021 19:29

⋮

Tacaños hasta para contratar…

BocaDePez 9 junio 2021 23:49

⋮

Todos los comentarios son quejas.

Ved el lado positivos. El arroz no viene en cuencos, te lo dan en sacos ;-)

✖

Ikaro1968 11 junio 2021 11:29

⋮

Mejor si es Basmati.

Jomainbe 10 junio 2021 12:04

⋮

Bueno, el puesto no es de tanta responsabilidad una vez que se analiza bien. Se trata de atacar los sistemas de Mercadona y detectar las vulnerabilidades, no de protegerlos. Para eso estará el departamento de sistemas de la empresa.