Selecciona Edición
Conéctate
Selecciona Edición
Tamaño letra

Se necesitan urgentemente expertos en ciberseguridad: ¿qué estudiar para ser uno de ellos?

Empresas y Gobiernos de todo el mundo se enfrentan a un número cada vez mayor de ciberataques, pero la cantidad de profesionales para combatirlos sigue siendo insuficiente

Se necesitan urgentemente expertos en ciberseguridad: ¿qué estudiar para ser uno de ellos?
Getty Images

2019 ha comenzado tal cual terminó 2018: con el mundo recuperando el aliento tras un ciberataque. Si Alemania sufrió a principios de este mes el mayor hackeo de su historia, que dejó al descubierto datos de centenares de políticos, a finales de noviembre fue la gran cadena hotelera Marriott quien reveló un ataque similar, que podría haber afectado a 500 millones de clientes. Pero antes de eso las víctimas habían sido Singapur, Facebook, el sistema bancario de México… no hay blanco a salvo de los piratas informáticos. La amenaza crece al tiempo que empresas e instituciones de todo el mundo hacen frente a otro peligro, igual de acuciante, que es el de la escasez de profesionales expertos en ciberseguridad. Un campo en el que tradicionalmente ha predominado lo autodidacta, pero que comienza a abrirse paso en la formación oficial de universidades y otros centros educativos.

Se prevé que nueve de cada diez empresas sufrirán un ataque informático en 2019. Y los costes se cifran en 11.500 millones de dólares este año. Los datos resultan abrumadores. Para lo malo, pero también para lo bueno. Y es que el nicho laboral se hace cada vez más grande. De aquí a 2022 las ofertas de trabajo en ciberseguridad se triplicarán, de acuerdo con los cálculos de la publicación especializada Cybersecurity Ventures. Las previsiones apuntan que para entonces habrá 1,8 millones de empleos sin cubrir en todo el mundo, 350.000 de ellos en Europa, según una encuesta del Centro para la Ciberseguridad y Educación (ISC)².

“No es una burbuja, es el nuevo paradigma. Los países ricos ya no van a producir bienes de consumo, sino que generarán riqueza a través de la información. Cualquier empresa tiene que gestionar sus datos, almacenarlos y sobre todo protegerlos”, explica Julien Mur, senior manager del departamento de Information Technology and Life Sciences en la consultora de recursos humanos Hays. El experto señala la causa de ese desfase entre oferta y demanda: “La transformación de la economía se ha producido de forma muy rápida. En una década no se forma una generación de profesionales de la ciberseguridad”.

La velocidad de los cambios se une a la escasez de vocaciones científicas y tecnológicas entre los jóvenes, especialmente en el caso de las estudiantes. “Hace falta promover las titulaciones STEM [las carreras de ciencia, tecnología, ingeniería y matemáticas, por sus siglas en inglés], los chicos las ven como difíciles”, explica Maite Villalba, investigadora y directora del máster en Seguridad de Tecnologías de la Información y Comunicaciones de la Universidad Europea. “El inconveniente de la escasez de profesionales en este campo no es igual que en otros sectores. Implica problemas para las empresas, pero también para los ciudadanos y para los Gobiernos. Además, se produce un retroceso en el desarrollo de tecnologías emergentes porque las empresas y los ciudadanos no se van a atrever a utilizarlas”.

La necesidad de profesionales y el crecimiento de los ciberataques conviven con otra contradicción. Y es que aunque Internet está plagado de información y recursos para adentrarse en el terreno de la ciberseguridad, las tareas que realizan estos expertos y lo que hay que saber (y estudiar) para convertirse en uno de ellos siguen siendo una incógnita para muchos estudiantes. A continuación, una guía para disipar las principales dudas sobre cómo formarse para ser un experto en ciberseguridad.

¿Qué hace un profesional de la ciberseguridad?

“Decir que trabajas en ciberseguridad es como decir que trabajas en tecnología. Dentro de eso hay muchísimos perfiles distintos y no todos son tecnológicos”, asegura Marta Beltrán, coordinadora del grado en Ingeniería de la Ciberseguridad de la Universidad Rey Juan Carlos (URJC). Lejos de ese estereotipo del hacker que se mueve entre las sombras y la ilegalidad, el campo de la ciberseguridad es mucho más amplio (y en absoluto oscuro): auditores, desarrolladores, analistas, forenses… y sí, también hackers, aunque muy diferentes al tópico que se suele tener en mente.

“Los diferentes perfiles de expertos en ciberseguridad se pueden definir en función de si actúan para evitar los ataques o para dar respuesta cuando se producen”, explica Eduardo Arriols, profesor del grado en Ingeniería del Software en el Centro Universitario U-Tad. El primer grupo, el de los profesionales que se dedican a prevenir los incidentes de seguridad, se divide a su vez en expertos defensivos, que se especializan en asegurar los sistemas, y equipos ofensivos, es decir, auditores que buscan vulnerabilidades, por ejemplo en una web o en una aplicación, para determinar si son seguras o no (lo que se denomina el hacking ético).

Dentro de ese esquema básico caben, por ejemplo, desarrolladores de software seguro; arquitectos, analistas y consultores, que se encargan de definir las necesidades (y soluciones) de seguridad de un proyecto tecnológico; expertos en protección de redes; especialistas en malware, para desarrollar herramientas que los detecten y los eliminen; peritos y analistas forenses, encargados de investigar los ciberataques; criptógrafos y criptoanalistas, que trabajan en el cifrado de la información; directores de seguridad de una empresa —CISO o CSO, según la función que desempeñen—…

El punto en común de todos ellos es que se dedican a resolver problemas. La creatividad y la innovación son dos elementos clave en su caja de herramientas, pues les permiten ir un paso por delante de los atacantes. También es importante la diversidad. “Se necesitan personas de alta cualificación, pero también equipos diversos”, explica Maite Villalba, de la Universidad Europea. “Trabajar en equipo es fundamental y cuando juntas diferentes profesiones y áreas salen ideas que de otra manera no surgirían. Por eso están apareciendo otros perfiles de la rama de ciencias sociales, como los analistas en ciberinteligencia o los juristas expertos en ciberseguridad”.

¿Qué debe saber un experto en ciberseguridad?

A Pablo Ruiz Encinas, que está en su cuarto y último curso del grado de U-Tad, la ciberseguridad siempre le había llamado la atención, pero lo veía casi como una especie de magia incomprensible e inaccesible. “No hay un libro que te puedas leer y decir que ya lo sabes todo. Es todo muy difuso y está desperdigado”, explica. “Hay muchísima información, pero no está concentrada en un punto y cuando quieres empezar hay mucha gente que se abruma porque no sabe por dónde hacerlo”.

Más alumnas en las aulas

El déficit generalizado de vocaciones STEM es un problema que se agrava en el caso de las alumnas, más reticentes a cursar estas carreras, lo que a su vez redunda en la falta de profesionales de la ciberseguridad. “En este campo, solo el 11% de la fuerza laboral mundial son mujeres. En Europa no llegamos al 7%”, asegura Maite Villalba, directora del máster en ciberseguridad de la Universidad Europea.

La experta coordina además un nuevo proyecto de investigación europeo, Be@Cyberpro, que pretende despertar la curiosidad de las alumnas por desarrollar su carrera en el ámbito de la ciberseguridad. “Faltan roles femeninos”, señala Villalba. “Queremos eliminar estereotipos y mostrar mujeres que están trabajando en ciberseguridad, demostrar que hay diversidad y que es una carrera en la que todos podemos entrar y aportar”.

Aunque ese problema se pueda extender a tantas otras profesiones, en la ciberseguridad es especialmente complejo por ser un área de conocimiento de gran carga técnica que, hasta hace poco, no se enseñaba de forma oficial. La incorporación de la ciberseguridad como materia de formación a la oferta de estudios de universidades, escuelas de negocios y otros centros educativos ha obligado a definir qué debe saber un experto en este campo.

La base tecnológica es fundamental, pues para evitar o responder ante un ciberataque es necesario entender cómo se producen. “Se necesita, por un lado, un conocimiento general sobre redes y programación; y por otro, un conocimiento específico en ciberseguridad que abarca la seguridad informática, la legislación, el análisis forense, saber cómo securizar un sistema informático (y no solo analizarlo)...” enumera Paco Marzal, coordinador del grado de U-Tad, en el que los alumnos pueden cursar una especialización en ciberseguridad a partir del tercer curso. "El perfil del estudiante suelen ser personas muy motivadas porque es una carrera muy exigente".

¿Qué puedo estudiar para trabajar en este campo?

En España hay ya 81 centros que ofrecen formación específica en ciberseguridad, según la guía elaborada por el Instituto Nacional de Ciberseguridad (Incibe): programas de máster, cursos de especialización, ciclos de FP, grados en ciberseguridad… Entre tanta oferta, ¿qué programa elegir? El itinerario típico es el que apuesta por estudiar en primer lugar una carrera que aporte la base técnica —lo habitual es una ingeniería informática o de telecomunicaciones, aunque también hay expertos que provienen de la rama de las matemáticas o la física—, para después cursar un máster de especialización en ciberseguridad.

La guía del Incibe contabiliza 47 programas de posgrado, con diferentes apellidos según el campo de especialización: informática forense, hacking ético, dirección de seguridad, lucha contra el cibercrimen... El propio instituto colabora con la Universidad de León, ciudad en la que tiene su sede, en su máster en Investigación en Ciberseguridad, que ya va por su undécima edición. El centro acaba de estrenar este curso otros dos másteres en ciberseguridad, uno en el área de Derecho y otro para especializarse en big data en entornos seguros. El foco de su programa estrella es, sin embargo, la investigación. “Para avanzar es necesario conocer todo aquello que está ocurriendo, pero también analizar las nuevas técnicas de los atacantes”, señala Adriana Suárez, coordinadora del máster.

Frente a esta opción, la alternativa de cursar un grado específico en ciberseguridad se va abriendo paso, aunque tímidamente. La Universidad Rey Juan Carlos ha abierto este curso su grado en Ingeniería de la Ciberseguridad, el primero que imparte en España una universidad pública. De este modo pretenden atajar lo que ellos consideran un problema: que la ciberseguridad se aborde como un añadido, y no como una pieza central, en la universidad. “Miramos a nuestro alrededor y vimos que en la mayor parte de los países desarrollados donde la tecnología funciona llevan años impartiendo grados de ciberseguridad. Nuestra apuesta fue crear una ingeniería, muy similar a la informática, en la que se estudiara tecnología segura desde un principio”, explica su responsable, Marta Beltrán.

La primera promoción estudia en sus aulas mientras fuera, las opciones se multiplican. Los ciclos de FP son otra puerta de entrada al mundo de la ciberseguridad. Y los cursos de especialización sirven para profesionales con conocimientos avanzados que quieran profundizar en un área concreta. Sin olvidar la parte autodidacta, fundamental para estar al día en un sector en el que ir por delante de los hackers es una obligación. Internet alberga una gran comunidad de expertos e interesados en la ciberseguridad que comparten conocimientos y recursos: desde grupos en Telegram a webs en las que se proponen retos (como Hack The Box) e incluso competiciones para ponerse a prueba.

Pero aunque el panorama es prometedor —en opciones y oportunidades—, hay quien lo analiza con mirada crítica. “Hasta un punto esa necesidad de profesionales es cierta porque es un campo en el que no ha habido formación específica hasta hace poco. Pero también es verdad que cuando las empresas y la administración hablan de déficit es porque ofrecen puestos muy precarios”, advierte Beltrán. “En muchas ocasiones, la partida para ciberseguridad no es tan alta como debería ser: primero nos preocupamos porque las cosas funcionen bien y luego, si eso, porque funcionen seguras”.

Se adhiere a los criterios de The Trust Project Más información >

Más información