Pentesting a Proyectos Propios

El pentesting es algo que estoy aprendiendo por cuenta propia, sin formación académica formal. Lo aprendí y lo sigo aprendiendo con recursos en línea, documentación de OWASP, laboratorios de práctica y aplicándolo directamente en mis propios proyectos.

¿Por qué lo hago si todavía estoy aprendiendo?

Precisamente por eso. Cada proyecto que desarrollo es una oportunidad de aplicar lo que voy aprendiendo en un entorno real. No espero tener un certificado para empezar a cuidar la seguridad del código que entrego.

Lo que hago actualmente

• Reviso mis propias APIs y formularios contra las vulnerabilidades del OWASP Top 10: SQL Injection, XSS, CSRF, IDOR, exposición de datos sensibles.
• Uso Burp Suite para interceptar y analizar el tráfico HTTP de mis aplicaciones web.
• Escribo scripts en Python para automatizar pruebas básicas sobre mis endpoints.
• Reviso configuraciones de servidor con Nmap para identificar puertos y servicios expuestos innecesariamente.

Lo que no soy

No soy un experto en ciberseguridad ni lo pretendo. No tengo certificaciones como CEH, OSCP u otras. Lo que sí puedo decir es que mis proyectos pasan por una revisión de seguridad básica antes de salir a producción, y que cada día entiendo más sobre cómo proteger el software que construyo.

Es una habilidad que estoy construyendo con honestidad y con práctica real.

La mayoría del software se entrega con el enfoque puesto en que funcione, no en que sea seguro. Los desarrolladores generalmente no tienen formación en ciberseguridad — yo tampoco la tengo de forma académica — pero eso no es excusa para ignorar el problema.

Decidí aprender ciberseguridad de forma autodidacta y aplicar lo que aprendo directamente en mis proyectos. El resultado es software que al menos fue revisado contra las vulnerabilidades más comunes antes de llegar al cliente.

No es una auditoría profesional de seguridad. Es un desarrollador que se preocupa por lo que entrega y que va más allá del código que funciona.