Se buscan expertos en ciberseguridad

No todo son ventajas en la sociedad de la globalización y la interconexión digital. Y es que la cibercriminalidad, los delitos que nos llegan a través de los ordenadores y de internet, continúa aumentando en España, según el balance de criminalidad elaborado por el Ministerio de Interior. En los últimos tres años, un 47 % de las empresas declara haber sufrido algún tipo de ciberataque y, solo entre 2022 y 2023, los incidentes en ciberseguridad crecieron un 24 % en España, superando los 83.000, de acuerdo con datos proporcionados por el Instituto Nacional de Ciberseguridad (Incibe). Un contexto laboral y de formación que propicia un aumento en la demanda de perfiles vinculados a la ciberseguridad, pero que las empresas tienen problemas a la hora de cubrir.

¿Hacemos todo lo posible por protegernos? La respuesta, a pesar de la necesidad y tanto a nivel particular como de empresas, es claramente negativa, ya que dos de cada tres empresas reconoce no haber formado o informado a sus empleados en el ultimo año, y a nivel de sociedad la concienciación sobre la importancia de la seguridad digital es generalmente baja. “A día de hoy, el cibercrimen mueve casi el doble de dinero que el tráfico de drogas, armas y trata de personas juntos (...). Cada vez hay más gestiones que se hacen de forma telemática y las compras online son prominentes”, sostiene Jorge Martínez, profesor de ciberseguridad en U-Tad.

Principales ciberamenazas

El phishing [suplantar la identidad de una persona o entidad a fin de poder robar datos sensibles] y el ransomware [un tipo de virus que cifra los archivos de un sistema y pide dinero para liberarlos] siguen siendo dos de las principales amenazas para particulares y organizaciones de todo tipo. Los ejemplos abundan: en septiembre de 2019, la Empresa Municipal de Transportes de Valencia fue víctima del conocido como fraude del CEO, una estafa en la que consiguieron engañar a su jefa de Administración para hacerla creer que participaba en una operación confidencial de la empresa pública en China, de manera que realizó varias transferencias a una cuenta bancaria en Hong Kong por un valor total que superó los cuatro millones de euros.

Solo unos meses después, el madrileño Hospital de Torrejón sufrió un ataque de ransomware, a través de un virus que bloqueó todos los sistemas informáticos y les dejó sin acceso a los historiales clínicos. Y, de forma más reciente, empresas como Telefónica, el SEPE, la DGT o la Universidad Complutense de Madrid han sufrido el robo de datos por parte de los ciberdelincuentes. Pero hay más.

Uno de ellos es el scareware, una ciberestafa basada en un programa malicioso que se hace pasar por otro lícito y que insta a los usuarios a descargar un archivo malicioso sin ellos ser conscientes de ello: “Existe desde hace tiempo, pero ahora es más relevante porque hay mucha más gente conectada. Los delincuentes se aprovechan cada vez más del engaño y, normalmente por medio de una ventana emergente, te dicen que tienes un virus o que te hace falta un visualizador para ver cierto vídeo. Es mentira, pero con ello se aprovechan de la necesidad de inmediatez que tiene la gente, que siempre busca satisfacer sus deseos con rapidez”, explica Jordi Serra, profesor de Informática en la Universitat Oberta de Catalunya (UOC). Al pinchar en el enlace, son los propios usuarios quienes descargan ese malware que después procederá a robar datos o dinero.

Al contrario de lo que ocurre en otras ciberestafas, donde los programas maliciosos, son la base del ataque, en el scareware el elemento crítico, y a la vez el eslabón más débil, es el usuario. “Se trata de mostrar una pantalla que engañe muy bien para que se crea y cliquemos en el enlace”, cuenta Serra. Una amenaza que, para conseguir su propósito, recurre a la ingeniería social, un conjunto de técnicas que explotan vulnerabilidades psicológicas humanas para manejar al usuario a su antojo. Desde la UOC recuerdan que, en estos casos, lo más aconsejable es no dejarse llevar por el miedo o la urgencia, y cerciorarse de que las situación es real antes de instalar ningún programa nuevo.

¿Cuáles son los perfiles profesionales más demandados?

De acuerdo con el portal de búsqueda de empleo Infojobs, entre los puestos vinculados a la ciberseguridad más demandados por las empresas aparecen los siguientes:

• Analistas informáticos (un 48 % más que en el mismo periodo del año anterior)
• Ingenieros/as en Informática y Telecomunicaciones.
• Técnicos y especialistas en ciberseguridad.
• Algunos perfiles emergentes que tendran mucha relevancia en el futuro, como consultores en ciberseguridad y docentes.

Más allá de los perfiles puramente técnicos, los expertos identifican además otro tipo de perfiles requeridos por las empresas, como “abogados expertos en normativas y nuevas tecnologías o incluso analistas de inteligencia para entender operaciones en el ciberespacio por parte de actores estatales; todo esto a varios niveles, desde titulados superiores a graduados en ciclos de Formación Profesional”, explica Antonio Villalón, director de Seguridad de S2 Grupo. También se buscan criminólogos (que aportan conocimiento sobre las motivaciones y patrones de los ciberdelincuentes); psicólogos (que analizan el comportamiento humano para anticipar tácticas de ingeniería social empleadas en ciberataques) o periodistas (para detectar y desmentir campañas de desinformación).

Entre los ciclos de FP relacionados figuran, por ejemplo, el de Administración de Sistemas Informáticos en Red con especialización en ciberseguridad, o cursos de especialización en ciberseguridad en entornos de Tecnologías de la Información (TIC). En lo que respecta a los programas de posgrado más relevantes, los expertos señalan los másteres de ciberseguridad y TIC (como, por ejemplo, en Ciberseguridad y Ciberinteligencia), y doctorados en disciplinas específicas como la IA aplicada a la ciberseguridad o la criptografía avanzada.

Villalón advierte, a este respecto, sobre la realización de un bootcamp (formaciones intensivas de pocas semanas): “Pueden ser útiles para obtener una base mínima, pero para que una formación tan corta sea aprovechada de verdad, se requieren, en mi opinión, conocimientos previos o experiencia profesional relacionada”.

El rol de la inteligencia artificial

Por otra parte, el desarrollo de innovaciones tecnológicas como la IA hace que sea necesario tener en cuenta el impacto que tienen sobre la calidad de los ciberataques, que son cada vez más sofisticados. “Se podrán generar ataques más directos y mucho más detallados. Gracias a la IA, se pueden seleccionar datos más concretos y efectivos a la hora de identificar a una persona y saber cómo engañarla. Además, ya podemos generar contenido nuevo, como imágenes o audio específico de una persona, si tenemos suficientes datos o conversaciones como para crear una conversación nueva en directo”, advierte Serra. Una posibilidad que obligará a los usuarios a ser más precavidos y desconfiados al navegar por internet.

No obstante, el uso malicioso de la inteligencia artificial deberá enfrentarse al uso que de esta misma tecnología haga la propia ciberseguridad. “La IA es parte del problema, pero ya empieza a ser parte de la solución, ya que también es una gran herramienta para identificar estos ataques”, apunta por su parte Albert Jové, profesor colaborador en la UOC.

FORMACIÓN EL PAÍS en Twitter y Facebook

Suscríbase a la newsletter de Formación de EL PAÍS