Ayer, día cinco de mayo, tuvo lugar una mesa de debate organizada por el hacker ético y CISO Antonio Fernandes sobre el pasado, presente y futuro de la ciberseguridad que se pudo seguir desde Escudo Digital. Asistieron Lluis Mora, Nicolás Castellano, Martín Vigo y Román Ramírez. Luis Mora es Chief Security Officer en Entire, que fue mentor del anfitrión en sus inicios. Román Ramírez es un referente en ciberseguridad , que ha trabajado en empresas como Price Waterhouse Coopers, así como responsable global de arquitecturas e infraestructuras de ciberseguridad en Ferrovial, y es, entre otras muchas cosas, colaborador del departamento de Seguridad Nacional. Nicolás Castellano, profesor de Ciberseguridad en la Universidad de Barcelona, además dedirector del área de Auditorías de Andubay, fue organizador de ‘No CON Name’ (NCN), el primer congreso de hacking y seguridad informática en España. Martín Vigo es el líder del podcast Tierra de Hackers y trabaja en San Francisco, desde donde se comunicó con sus compañeros. Es fundador de Triskel Security.
Todos hablaron de sus inicios, bastante curiosos en el ámbito de la informática y la ciberseguridad. Algunos de ellos fueron muy precoces como Lluis Roman quien le pilló a su padre un MSX para "sacar la tabla de multiplicar y no tenerla que copiar a mano". Román Ramírez llegó al mundo de la informática de forma accidental,porque "con los teclados también se puede hacer otras cosas, como el arte, siempre quería haber querido tocar el piano y dibujar, algo que no se me daba bien".Terminó con la gente de Apostols y Glaucoma.Nico Castellano aprendió gracias a un amigo que le llevó a casa un modem y una distribución de Linux, y lo probó en un par de webs,"la del jamón y el vino" y tuvo unos inicios "un tanto gamberros". A Martín Vigo, que lleva 12 años en Estados Unidos, le regalaron en su Primera Comunión un Amstrad CPC 6128, y de pequeño una de las primeras cosas que hizo fue hackear los videojuegos. Donde ponía Game Over, "yo lo cambiaba por caca, culo, teta, pis. Y me hacía mucha gracia con nueve años lo de poder modificar software, aunque ni yo mismo sabía lo que estaba haciendo". Todos empezaron en los noventa o incluso antes.
Fue una charla divertida, amena y muy instructivadonde se recordó que por aquellos años había grupos con diferentes identidades y unas ganas de aprender tremendas. Román Ramírez manifestó que "todo se ha profesionalizado actualmente muchísimo, tanto la parte criminal, como la parte empresarial, como la policial y los grupos de hackers. Antes había muy poca información y era difícil conseguirla, pero era información buena (...) pero ahora encontrar algo bueno entre mucha morralla es difícil. En nuestros tiempos trabajábamos buscando trufas, y ahora tienen que separar el grano de la paja" .
"Pon ofertas de 300.000 y vendrá el talento a millones, sigue poniendo ofertas de 30.000 o vacílame en las entrevistas, y faltará talento para siempre"
También se habló de la especialización, y de la monetización de los conocimientos de los hackers a partir del año 2.000, cuando se profesionaliza la ciberseguridad y comienza a haber menos comunicación. Es cuando se inicia la era de "mi secreto", como recordó Lluis Mora.
El anfitrión, Antonio Fernandes, introdujo el tema de la falta de talento de la que tanto se quejan las empresas de ciberseguridad. Y Román Ramírez saco toda su contundencia verbal a flote: "Estoy hasta la punta de la p...., hasta los c......de lo de la falta de talento en ciberseguridad. Lo que falta es que les pagues bien a los profesionales cualificados, yo se lo digo a los que van llorando por las esquinas diciendo: 'no encontramos gente'. Y les digo: 'hazme un favor, vente conmigo a Linkedin, y abrimos una oferta en la que ofrezcas 300.000 euros al año, y me dices si viene o no viene gente'. ¿Qué es lo que pasa? Según el SEPE el salario promedio en ciberseguridad son 23.700 euros al año" y añadeRomán Ramírez que "ahí hay un discurso que es malicioso y maligno, quieren convencer a los jóvenes de que estudien tecnología, que a mí me encanta que lo estudien, porque me encanta la tecnología y la ciberseguridad, pero que no lo elijan porque los han engañado diciéndoles que van a tener un trabajo super bien pagado. Que lo decidan porque les gusta. Y los que van lloriqueando por las esquinas con lo de 'me falta gente' , pues, yo les digo 'paga 70.000 euros por un junior '(). Mira lo que están pagando En San Francisco, que Martín tendrá todas las referencias salariales. ¿Sabéis lo que pasa con estas cosas? Que a todos nos encanta el capitalismo hasta que nos obliga a tener que pagar más porque precisas de un recurso escaso, que es la gente con talento. Entontes ya no, no hay talento, hay burbuja, y es que cuando tengo un tipo que que le tengo que pagar 130.000 porque es un red teamer de p... madre que encima se hace sus propios bichos, que no los detecta ni Dios, que encima tiene una herramienta polimórfica para mutarlos y lo pasa por todos los motores... ¿Este tío cuánto cuesta? ¿30.000 al año? No cuesta 30.000 al año, cuesta 300.000. Opina Román Ramírez que "España tiene un problema de culturade pagarle muy bien a un comercial, a un tío que sabe sumar y restar y tiene unas habilidades y tienes que respetarlas, pero que no es lo mismo que alguien que se está metiendo a mirarse unos manuales para saber como funciona una plataforma extraña que te cagas, con unos micros que no ha visto nadie en su vida para saber cómo es la sintaxis de eso, como es la pila de eso. Pon ofertas de 300.000 y vendrá el talento a millones, sigue poniendo ofertas de 30.000 o vacílame en las entrevistas y faltará talento para siempre" .
En España y en el área mediterránea y latina hay mucho más talento en ciberseguridad que en otros países, según Lluis Mora
Martín Vigo corroboró lo dicho por sus compañeros y afirmó que con respecto a los sueldos de Estados Unidos hay que añadir varios ceros a los sueldos de los que se habla en España. Afirma que "talento lo hay, lo que pasa es que se va a dónde le pagan, no se queda en España". Lluis Mora dijo que "el talento que hay en España, sea por la EGB o por lo que fuera es muy difícil de encontraren otros sitios, muchísimo de las mejores cabezas que conozco tiene origen español o del área mediterránea o latina, yo ya llevo veintitantos años en Gibraltar y opino como Martin, una multinacional británica me paga bien. Cuando yo me mudé flipé, mi primer salario era tres veces lo que estaba cobrando yo en España () pero incluso pagándolo bien, hay mucha competencia entre empresas por encontrar ese talento". Nico Castellano, que está del otro lado aborda el problema de otra forma, " desde su punto de vista es un ecosistema, no puedo pagar lo que creo que corresponde a esa persona, porque el cliente tampoco lo paga, me encuentro en ese problema. ¿Como voy a pagarle todo esto si no lo gano ni yo? Y al ser socio tengo que ganar dinero, y me encuentro en esa tesitura. El problema es más transversal. ¿Por qué se van los médicos a Inglaterra?, porque en España tampoco se les paga bien. Y ocurre no solo en nuestra profesión. Es algo cultural, y podría estar regulado. ¿Qué cobra un desarrollador senior? El sueldo es bastante diferente al de un experto en ciberseguridad. Y luego hay muchos baremos según qué puesto y qué empresa". Otro ejemplo es lo que paga una hora a la consultora una empresa en España y cuánto pagan en Inglaterra. Allí cobran 100 libras la hora. Así se pueden pagar salarios dignos. ¿Qué es lo que buscan los socios de las empresas? ¿Realmente les preocupa la seguridad o solo llaman cuando un ransomware les barre toda la casa, y ya ahí no encuentran otra solución? Y ahí, como recordó Antonio Fernandes, "la hora está a otro precio".No te pierdas el contenido íntegro del vídeo.