Un gran salón, equipo rojo, equipo azul. Ordenadores y tecnología de última generación. Mesas redondas con sillas ergonómicas. Se apagan las luces blancas y aparecen azules, rojas, púrpura. ¿Es un centro de gaming? ¿Un espacio de transmisión de Twitch? ¿Un popular bar tecnológico? No, es un nuevo laboratorio para formación de hackers. Hackers éticos, claro.
¿Qué sucede? La ciberseguridad ha escalado en la lista de prioridades de empresas y organizaciones a una velocidad asombrosa, y donde no se ha reposicionado aun, lo hará en breve. Las ciberamenazas, los ataques ransomware o las intrusiones son noticia a diario. Y no es para menos, ciudades y estados han llegado a quedar paralizados por semanas, infraestructuras críticas se han visto seriamente comprometidas, y compañías grandes y pequeñas han sufrido pérdidas de enormes cantidades de dinero.
En este contexto, la denominada brecha de talento es una de las principales preocupaciones del sector, que según las estimaciones que realizó el INCIBE, en España alcanzará los 83.000 puestos en 2024. “El entorno cambiante de la ciberseguridad evoluciona rápidamente y las ciberamenazas están en constante transformación. Por ello, es necesario el desarrollo de una estrategia de gestión del talento en ciberseguridad a nivel nacional que permita adelantarse a las necesidades del sector y que contribuya a cerrar la brecha de profesionales existente actualmente”, indicó en ese mismo informe del INCIBE Carme Artigas Bugal, Secretaria de Estado de Digitalización e Inteligencia Artificial, dependiente del Ministerio de Asuntos Económicos y Transformación Digital.
Mientras se van proyectando y aplicando políticas públicas para fomentar la inversión privada, junto a programas de inversión estatal, concienciación y promoción en centros de educación primaria y secundaria, también crece la oferta en centros de formación especializada, que, siguiendo con los relevamientos de INCIBE, ya superan las 160 instituciones dedicadas a la educación en ciberseguridad, con titulaciones tanto oficiales como propias.
La ciberseguridad necesita de diversos perfiles
Escudo Digital conversó con Andrés Soriano, que es miembro de las Fuerzas y Cuerpos de Seguridad del Estado y CISO de UNIVERSAE, un instituto de Formación Profesional ubicado en San Sebastián de los Reyes (Madrid), sobre los distintos perfiles que podrían acercarse, nutrir al sector y colaborar para achicar esa temida brecha, que puedan actualizar su capacitación, y a su vez cómo “tentar” a nuevos talentos para que se sumen a las filas de la ciberseguridad. “Nosotros ofrecemos formación para aquellos que ya están introducidos en ciberseguridad o tienen ya algunos conocimientos iniciales. Bien sean de legislación, finanzas, recursos humanos, o conocimientos de informática que quieran transitar a la ciberseguridad. Tienen cabida todo tipo de perfiles. En definitiva, en ciberseguridad no se mide todo por la titulación que tengas, sino por los conocimientos que demuestres que tienes. Entonces una persona que es autodidacta puede ser perfectamente un hacker, la mayoría de hackers no tienen ninguna carrera universitaria ni ninguna titulación. Y tienen una mente privilegiada, prácticamente me atrevería a decir que casi todos son superdotados, porque ven cosas donde el resto de población no ve. Si ven ceros y unos son capaces de detectar fugas de información, brechas de seguridad, y tienen una mente fascinante”, se entusiasma Soriano. También encuentra que la especialización en ciberseguridad de los miembros de los cuerpos de seguridad del estado, del Ministerio de Defensa, del Centro Nacional de Inteligencia o del Centro Criptológico Nacional, así como administraciones y personal civil es prometedora.
UNIVERSAE lanzará en los próximos meses una titulación denominada Master propio en Gestión Estratégica de la Ciberseguridad y un Master de FP en Ciberseguridad en Entornos de las Tecnologías de la Información, este último de carácter oficial. Para ello han inaugurado un laboratorio de ciberseguridad con un espacio de análisis forense, otro de criptoanálisis con un ordenador de cracking y análisis criptológico y una zona de operaciones hacking ético, en la que interactuarán y se entrenarán un Red Team, dedicado al ataque, un Blue Team, orientado a la defensa y un Purple Team, integrado por docentes y facilitadores que monitorean las dinámicas, en formato de retos, para los que deberán desplegar estrategias y trabajo en grupo. La estrella de la sala es el ordenador del centro de criptoanálisis que cuenta con más de 12 tarjetas RTX 4090, con la particularidad de que cada una de ellas puede descifrar una contraseña de 8 caracteres en 48 minutos, y generar 200 mil millones de contraseñas en ese mismo tiempo. Una herramienta para aprender técnicas de cifrado y procesamiento de datos que requieren gran capacidad de cómputo.
“¿Por qué un ingeniero en electrónica no puede formarse en hardware hacking? Sabrá de componentes de electrónica y de cómo hacer placas y hardware, pues puede formarse en hardware hacking”, sostiene Soriano, y continúa abriendo posibilidades: “La ciberseguridad tiene muchas patas. En análisis forense, por ejemplo. Si eres un criminólogo, ¿no vas a poder hacer un análisis forense? Si eres un especialista en derecho, en seguridad, en cadena de custodia, en todo lo que engloba a las víctimas o los delincuentes, hay una gran variedad de perfiles que tienen cabida. Estamos acostumbrados a las películas, que solo vemos la seguridad ofensiva, el hacker que quiere penetrar un sistema, o que quiere romper una barrera o interferir comunicaciones, pero en ciberseguridad hay muchos perfiles que necesitan formarse. Es decir, un departamento de ciberseguridad es multidisciplinar. Tendrá especialistas en forense, en gestión de incidentes, en seguridad ofensiva, en seguridad defensiva, en inteligencia y contrainteligencia, y tiene que haber alguien que también sepa liderar ese equipo multidisciplinar de personas, que es la figura del CISO, del director de ciberseguridad”.
¿Qué fue primero?
Ahora bien, estas capacitaciones multidisciplinares para combatir la delincuencia necesitan indefectiblemente aprender el accionar de los hackers para poder combatir sus acciones intrusivas y destructivas. ¿O es que los delincuentes utilizan las herramientas pensadas originalmente para la seguridad con finalidades maliciosas? ¿Quién lleva la delantera?
Aquí es donde entra la figura del hacker ético y la importancia de una formación integral. Soriano explica que “es un hacker propiamente dicho, que se dedica a analizar vulnerabilidades de una empresa u organización que le ha contratado. Como su nombre lo indica, quiere decir que se rige por una ética profesional, un código deontológico y unos principios que ha pactado previamente. Cuando tu inicias una auditoría, lo primero que haces es medir el alcance de la ciberseguridad, ¿hasta dónde quieres que llegue? Hay tres tipos de auditorías en ciberseguridad. Está la auditoría de caja blanca, en la que como auditor, como hacker ético que realizará la auditoría, conoces toda la información de la empresa, la empresa te la facilita toda y, por lo tanto, va a ser una auditoría un poco más liviana, puesto que tienes todos los logs de acceso, la infraestructura de red de la empresa, etc. Luego está la auditoría de caja gris, es decir, conoces algunas cosas, pero no todas. Ya tienes que empezar a buscarte la vida y a trastear un poco como lo realizaría un ciberdelincuente, haciendo un análisis de inteligencia, un modelado de amenazas, programando scripts para las amenazas que has descubierto. Y luego está la auditoría de caja negra, es decir que no conoces nada, hazlo tal cual lo realizaría un ciberdelincuente. El concepto es ‘atácame hasta ver mis barreras, hasta dónde son capaces de llegar’. Todo va regido por una limitación de esa auditoría que se ha pactado y se ha firmado, tú no puedes hacer nada que no hayas acordado previamente con la empresa. Y lógicamente todo sujeto a un acuerdo de confidencialidad, se firma que no habrá ningún tipo de filtración, y que esa información no se va a utilizar para nada que no sea la misma auditoría. Y por supuesto esa información, la empresa que realiza la auditoría no puede guardarla, no guarda nada, se le da al cliente, y el cliente decide qué se hace con ella porque la finalidad es analizar los fallos y las vulnerabilidades que se han encontrado para solucionarlo”.
La descripción de funciones es vasta y por supuesto no se agota en estas líneas. Gran parte de las tareas de concienciación y de divulgación de los roles y especificidades de una profesión tiene que ver con conocer el día a día de esas labores, y si bien la ciberseguridad tiene una cuota de largas horas de estudio y análisis, y mucho de aprendizaje autodidacta, también muestra un lado más lúdico que se acerca lateralmente al gaming, apela a la curiosidad y a la investigación, la estrategia, la resolución de problemas y el gusto por los desafíos. Además, son variables a considerar que es un sector donde prácticamente no existe el paro y los sueldos son jugosos, aunque aquí se abre un debate que tiene que ver con la falta de mejores condiciones económicas para evitar que mucho talento acabe marchándose fuera de España, aumentando así esta brecha de talento tan preocupante. Pero de lo que no quedan dudas es que la seguridad digital es un mundo en constante expansión, con desafíos y posibilidades para todos los actores involucrados.