Cara, se você não conhece a área eu sugiro fortemente não repetir o que você ouviu falar por aí. No Brasil espalham muitos mitos e mentiras sobre a área internet àfora, a galera acredita demais em bobagens por aqui. Então não confie no que dizem sobre a área a menos que você tenha visto com os próprios olhos.
Digo isso porque não dá para trabalhar como "freelancer" na área de segurança, isso não existe. O que existe de verdade é: funcionário CLT e empresas que prestam serviço. Só isso.
E os dois têm garantias legais, com contrato formal e tudo mais. Qualquer coisa diferente disso, "sem garantia", não é a realidade da área. Ponto final.
O que acontece é que tem muita gente que não é da área de segurança (mas acredita ser) que acha que a área é uma bagunça generalizada. E por isso ao invés de tentar trabalhar na área de verdade, fica procurando vulnerabilidade em site aleatório na internet. Daí tem maluco que chama isso de "pesquisa de segurança" (não é!) ou de "pentest" (também não é!), e depois tentam vender seus pseudo-serviços para essas empresas.
Na imaginação deles trabalhar na área de segurança é isso, mas isso tá completamente fora da realidade da área. Isso não tem nada a ver com a área de segurança.
Infelizmente, 90% das pessoas que você vai conhecer que se dizem "hackers" ou dizem que "são da área de segurança", vai ser gente desse tipo que não faz a menor ideia do que é hacking e não faz a menor ideia de como é a área de segurança.
Humildemente peço ao colega que explique porque há muito tempo devo ter um conceito errado sobre o que é ser profissional de cybersegurança. Pra mim sempre foi algo que abrange vários setores da TI(desde o atendimento telefônico da empresa até a finalização de um serviço ou produto, quer seja por cliente pj ou pf. Afinal de contas um analista de sistemas deve ter uma noção do que é cybersegurança empresarial pois todo o sistema da empresa no que diz respeito a TI, passa por suas mãos e deve ser elaborado de tal modo que não permita falhas óbvias de segurança. Sabe aquele software que detecta tentativas de invasão em tempo real? Achei que empresas de cyber segurança usassem ele justamente pra prevenir ataques via web em sites/servidores/redes intranet. E pentest é algo mais pontual(óbvio). Um hacker do bem tenta invadir com autorização um site/servidor ou rede com o objetivo de antecipar um ataque real e bloquear essa falha ou as falhas encontradas. Se eu estiver errado... Já sabe... compartilha seu conhecimento que eu amo aprender!