Las empresas buscan ¡®hackers¡¯

Unos 2,9 millones de empleos en ciberseguridad en el mundo est¨¢n vacantes. Unos 142.000 en Europa, Oriente Pr¨®ximo y ?frica, seg¨²n el informe de 2018 Cibersecurity Workforce Study, de la asociaci¨®n internacional que agrupa a estos expertos (ISC)^₂. Apenas hay empresas, da igual su tama?o, que no manejen datos personales en su d¨ªa a d¨ªa, y todos ellos son susceptibles de ser robados, indistintamente de cu¨¢ntas leyes de protecci¨®n de datos los sustenten. Como se ha comprobado con esc¨¢ndalos como el del robo de datos de Facebook por Cambridge Analytica o el ataque que sufrieron los servidores de Telef¨®nica en 2017.

¡°La vulnerabilidad se localiza en los servidores y en los sistemas que los almacenan; tambi¨¦n est¨¢n en la diana las aplicaciones y tecnol¨®gicas que nacen y escalan m¨¢s r¨¢pido que sus sistemas de defensa¡±, expone el ingeniero Miguel ?ngel P¨¦rez S¨¢nchez, profesor del m¨¢ster en Sistemas de Comunicaci¨®n e Informaci¨®n para la Seguridad de la Universidad Polit¨¦cnica de Madrid y coronel de la reserva en la especialidad de transmisiones. Hay que protegerse, pero no hay gente suficiente para cubrir la demanda de las empresas. Faltan estudios superiores para formarlos y estructuras flexibles que los retengan. Porque para desarrollar su trabajo, el hacker exige romper las reglas tradicionales. Lo suyo requiere, entre otras cosas, horarios flexibles, formaci¨®n constante y presupuesto propio. Y no todas las empresas lo ofrecen.

¡°Los incidentes se incrementan de forma exponencial y las empresas se han dado cuenta. Espa?a es uno de los pa¨ªses con m¨¢s porcentaje de ataques. Hay que ponerse las pilas¡±, expone P¨¦rez S¨¢nchez. ¡°Necesitan ciberseguridad todas las compa?¨ªas que realicen almacenado de datos de personas y aquellas que hagan innovaci¨®n e investigaci¨®n como parte de su negocio. Lo necesitan las grandes, las medianas¡­, todas. Las peque?as a veces no pueden permitirse un departamento propio; externalizarlo a una consultor¨ªa es la mejor opci¨®n¡±.

Ricardo Mat¨¦ es director general de la empresa de ciberseguridad Sophos Iberia. Ayuda a empresas a protegerse contra los ataques y confirma el problema de la falta de trabajadores formados en este ¨¢mbito en Espa?a. ¡°Es complicado reclutar talento. El sector bancario y los seguros son los que pueden permitirse contratar a los mejores. El resto comparte la alta demanda y la escasez de perfiles porque hay pocos estudios propios en ciberseguridad y menos alumnos de los que se necesitan interesados en un oficio que es muy vocacional y exige formaci¨®n continua¡±, explica el directivo.

Ruptura del modelo

Mat¨¦ dice que ¡°estamos ante un cambio de modelo total¡±. Porque las empresas que reclutan estos perfiles asumen que deber¨¢n cambiar sus estructuras para adaptarse a ellos. ¡°Los hackers est¨¢n rompiendo la f¨®rmula tradicional de trabajo y gesti¨®n de equipos y tareas. Son personalidades muy diferentes que no encajan en estructuras organizativas tradicionales. Los autodidactas necesitan otro tipo de horarios¡±, apunta Pilar Jeric¨®, socia de la consultora BeUp. ¡°Las empresas deben permitirles flexibilidad total, margen de maniobra, funcionar por objetivos y un presupuesto propio. Creo que los hackers son los que mejor representan lo que ser¨¢ el mercado laboral¡±.

Pablo Ruiz Encinas, un alumno del grado oficial de Ingenier¨ªa del Software en la U-tad, no ha terminado sus estudios y ya est¨¢ trabajando. Un profesor de su escuela le fich¨® para Innotec Systems y all¨ª le ofrecen cursos, foros, viajes, conferencias, m¨¢steres, certificaciones¡­ ¡°Trabajar y estudiar a la vez es lo que nos va a tocar hacer siempre en este oficio, no hay otra forma¡±, apunta este hacker ¡°¨¦tico¡±. ¡°Nos llamamos as¨ª porque sabemos mucho de seguridad, pero no la utilizamos para extorsionar o robar, sino para hacer una Red m¨¢s eficiente. Nos pintaban como gente peligrosa y por eso creo que no siempre hubo muchos alumnos deseosos de estudiar esto, pero hay que romper con la concepci¨®n del ¡®chico del s¨®tano aislado del mundo¡±.

¡°Es un gestor, no un tecn¨®logo. De hecho, est¨¢ muy cercano al negocio y puede decidir qu¨¦ medidas tomar para proteger el entorno digital¡±, describe el directivo de Sophos. El profesor de la Polit¨¦cnica a?ade que es alguien que ¡°debe conocer las redes y lenguajes, protocolos criptogr¨¢ficos, analizar y detectar amenazas de seguridad, saber t¨¦cnicas de prevenci¨®n, establecer la seguridad financiera¡± porque la empresa que le emplea, cuando es atacada, ¡°no puede parar su negocio y, a la vez, debe disponer de tiempo para verificar qui¨¦n fue, por qu¨¦ y d¨®nde se dio el fallo; sacar conclusiones, implementarlas y que no vuelva a ocurrir¡±.

Este perfil viene, generalmente, de disciplinas universitarias como inform¨¢tica y telecomunicaciones. Sin embargo, de momento la universidad p¨²blica tiene poca oferta centrada en exclusiva en ciberseguridad. ¡°Se est¨¢ mejorando en formaci¨®n, pero no urge que se defina un grado, una carrera, una especializaci¨®n superior¡­ El problema es que es una carrera que evoluciona a gran velocidad, y habr¨ªa que hacer un esfuerzo para que la ense?anza se acompasara a las novedades¡±, dice P¨¦rez S¨¢nchez. Y en ese escenario las privadas suelen tener m¨¢s capacidad de avanzar r¨¢pido, ayudadas a menudo por grandes empresas (caso de Indra y U-tad).

¡°Las amenazas est¨¢n creciendo vertiginosamente y las empresas est¨¢n viendo saltar sus negocios por los aires. Es casi un tema de Estado y no hay ning¨²n pa¨ªs m¨¢s susceptible que otro a ser vulnerado. Los datos est¨¢n ah¨ª, listos para que alguien meta las narices en ellos¡±, expone Ruiz Encinas. ¡°Desde el punto de vista de la seguridad, debes asumir que te van a atacar¡±, apoya P¨¦rez S¨¢nchez. ¡°Los focos de ataque est¨¢n en personas normales que tenemos un ordenador; en todas las TIC, en las empresas que mueven dinero. Tambi¨¦n en los ayuntamientos y ministerios¡±, a?ade.