“En el mundo real no sales de tu casa dejando la puerta abierta y las llaves puestas. En el virtual es lo mismo, hay que proteger el perímetro de tu infraestructura lo máximo posible”, recuerda Enrique Cubeiro, alto mando del Área de Ciberdefensa de las Fuerzas Armadas. Es un aviso que se repite desde hace años, pero en los últimos tiempos las empresas e instituciones públicas no solo le están viendo las orejas al lobo, también están sintiendo sus dentelladas: sistemas informáticos secuestrados, fábricas paradas, exposición de datos de ciudadanos (Felipe VI incluido) o extorsiones.
El resultado ha sido un enorme crecimiento de la demanda de profesionales de ciberseguridad, hackers que sepan levantar muros contra los asaltos de los ciberdelincuentes. En medio de la digitalización masiva, la oferta ha crecido mucho más rápido que el mercado laboral. Se estima que solo en España hay decenas de miles de vacantes abiertas y las empresas se pelean por ellos.
Las compañías especializadas en ciberseguridad pueden llegar a ofrecer 30.000 euros al año a recién licenciados, conscientes de lo importante que puede ser fidelizarlos con sus proyectos. Con cinco o siete años de experiencia es habitual que estos profesionales hayan doblado esos salarios, y a partir de ahí su progresión dependerá de factores como en qué área de la ciberseguridad se especialicen y el grado de responsabilidad que estén dispuestos a asumir dentro su organización.
Pero fuera de esas empresas especializadas, el sector muestra aún síntomas de inmadurez, con multinacionales importantes un poco perdidas: “A mí un banco español top3 me ofreció el año pasado un contrato de 30.000 euros más tickets restaurante por un puesto de responsabilidad. No quise calcular la cantidad que tickets que tenían que darme para igualar las condiciones que tengo ahora”, ironiza un reputado experto que trabaja para una empresa americana. “Eso sigue pasando y es peligroso, porque con esas ofertas lo mejor que puede pasar es que cojan a alguien que no esté preparado. Lo peor es que metan a una persona que una vez esté dentro se ponga a vender datos o información”.
Te ofrecen condiciones que dependen del país en el que residas. Si vives en España el sueldo es menor que si vives en EEUU, pero aún así es mucho más alto que lo que ofrecen las empresas de aquí
Como apunta el experto, las empresas españolas compiten contra todo el mundo en el territorio ciber. La pandemia ha terminado de consolidar el teletrabajo en un sector que ya era muy proclive a él, convirtiendo el mercado nacional en un caladero de profesionales consolidados y bien vistos en el exterior. “Te ofrecen condiciones que dependen del país en el que residas. Si vives en España el sueldo es menor que si vives en EEUU, pero aun así es mucho más alto que lo que ofrecen las empresas españolas”, continúa el mismo experto, con más de 10 años de experiencia que pide que no se cite su nombre.
¿Afecta esta falta de hackers a la ciberseguridad general del país? Desde el Instituto Nacional de Ciberseguridad (Incibe) adelantan que están preparando un “diagnóstico” sobre la situación que se publicará a principios de 2022. Hasta entonces la fuente de referencia es el informe mundial de (ISC)², que calcula que en España faltan 38.000 especialistas en ciberseguridad. A nivel europeo se necesitan más de un millón.
El informe de (ISC)² se publica anualmente desde 2019 y la falta de profesionales es endémica en todo el mundo. Sin embargo, los países que mejores condiciones pueden ofrecer a los trabajadores son los que mejor pueden ir reduciendo la brecha. Según esta organización sin ánimo de lucro, especializada en la formación y certificaciones, Alemania ha multiplicado un 125% los hackers que sus empresas e instituciones tienen contratados de 2020 a 2021, Singapur un 61% y EEUU un 30%. Por contra, España solo ha podido aumentar un 1,7% sus plantillas en el mismo período.
“Arrastramos un problema de falta de perfiles que obviamente afecta a la seguridad”, advierte Sara García, responsable de Talento para la Ciberseguridad del Incibe. “La pandemia lo ha multiplicado porque todos los negocios se han dado cuenta de que tienen que digitalizarse. Pero esa digitalización tiene que ser segura, no es ninguna broma. Hablamos de que el 60% de las pymes no son capaces de recuperarse de un ciberataque y tienen que cerrar. La necesidad de profesionales ha aumentado mucho y las universidades y centros de formación todavía no pueden satisfacerla”.
El 60% de las pymes no son capaces de recuperarse de un ciberataque y tienen que cerrar
Esta carestía la notan tanto el mundo privado como las fuerzas de seguridad y los ejércitos, reconocía Enrique Cubeiro ante una pregunta de este medio en un reciente acto del Instituto Hermes.
Psicólogos, abogados, expertos en relaciones internacionales
A la profesión de especialista en ciberseguridad la rodean un gran número de estereotipos, como el de hacker como sinónimo de ciberdelincuente o como una persona retraída pero con una mente privilegiada para el código informático. La realidad es otra. “En nuestros equipos también hay también psicólogos, expertos en relaciones internacionales, abogados...”, enumera Carlos Ramos, jefe de Recursos Humanos de S21Sec, una de las principales empresas del sector de la ciberseguridad española.
Las amenazas informáticas cada vez son más complejas y para responder a ellas se hace necesario contar no solo con perfiles técnicos sino también con especialistas en regulación o protección de datos. Las empresas especializadas cuentan con departamentos multidisciplinares de contrainteligencia para intentar desentrañar de dónde proceden los ciberataques. Esto es útil no solo para identificar a los responsables y denunciarlos, sino también para saber cómo trabajan, qué armas utilizan y cómo contrarrestarlas.
En cualquier caso, en el lado de los malos la profesionalización también es muy alta. “Hay organismos especializados en ciberatacar, con trabajadores que fichan y los fines de semana no trabajan”, recordaba en entrevista con elDiario.es Rosa Díaz, la directora del Incibe. Esto hace que los ciberdelincuentes, al igual que los criminales del mundo físico, siempre busquen cómo ir un paso por delante.
Nosotros tenemos siempre activas unas 40 vacantes. Un 25% son vacantes de nueva creación, porque siempre se están generando nuevas amenazas
Esto obliga a los profesionales a estar constantemente en formación, pero también a buscar perfiles muy especializados para frenarlos. “Nosotros tenemos siempre activas de 35 a 40 vacantes, porque muchas veces se tarda más de un mes en encontrar personas para cubrirlas. Aproximadamente un 25% son vacantes de nueva creación, porque se están generando nuevas amenazas y nuevos negocios constantemente”, explica Ramos, de S21Sec, que en total tiene más de 400 trabajadores en plantilla.
En suma, “el mercado está on fire”, continúa Ramos. “El paro es cero. Estamos continuamente fichando a gente, ya sea de la competencia (al igual que la competencia a nosotros) o si no, cogiendo gente de la cantera y apostando muchísimo por planes de formación de formación de dos o tres años y darles visibilidad”.
A los estudiantes “se los rifan”
En el único grado de Ingeniería de Ciberseguridad impartido en una universidad pública, la Rey Juan Carlos de Madrid, las empresas se acercan a los estudiantes cuando pasan primero. Más de 20 compañías del sector les ofrecen un apoyo en forma de mentoría durante su segundo y tercer año de estudios. En cuarto llega el período de prácticas obligatorias y a partir de ahí “se los rifan”, declara Marta Beltrán, su directora.
Este 2022 se gradúa la primera promoción de este plan de estudios y “casi todos tienen ya ofertas de empleo. Esperamos una empleabilidad del 100%”, expone. No obstante, la experta explica a elDiario.es que si a las empresas muchas veces les cuesta cubrir sus vacantes no es solo por una cuestión de falta de profesionales, sino también “porque a veces piden cosas que no son posibles”.
Más o menos la mitad de los alumnos están planteándose trabajar en al extranjero. ¿Por qué? Porque el salario es el doble o más del doble
“Por ejemplo pueden exigir diez años de experiencia en una tecnología que solo lleva cinco funcionando. O tener conocimientos de ofensiva, defensiva, gestión y análisis, un perfil muy complicado de encontrar porque lo reúne todo”, avanza la directora. Sobre todo por las condiciones que se ofrecen en España.
“Es verdad que los salarios de la ciberseguridad están muy bien en comparación con los de otros puestos más genéricos del sector informático, pero son muy poco competitivos con los salarios para estos perfiles del mercado internacional”, avisa Beltrán. “De los alumnos del grado que este año van a terminar, unos 30 o 35, más o menos la mitad están planteándose trabajar en el extranjero. ¿Por qué? Porque el salario es el doble o más del doble”.
Un sector sesgado
Un hacker no tiene por qué ser un ciberdelincuente ni un adolescente encapuchado. La mayoría no son ni una cosa ni la otra. Pero sí es muy posible que sea un hombre y que sea blanco. El informe de (ISC)² refleja que el 76% de los especialistas a nivel mundial son varones, y el 72%, caucásicos. A pesar de en los últimos años han surgido muchas iniciativas para corregir esta situación, el nivel de masculinización no ha mejorado desde 2019, cuando el estudio arrojó un 30% de trabajadoras.
Esta tendencia se aprecia desde la universidad. “Estamos estancados”, lamenta Marta Beltrán. “Nosotros tenemos dos títulos, el grado y un master. En el master no hay mujeres, y es lo que suele ocurrir en los master de otras universidades. En el grado tenemos un 20% de chicas, más o menos igual en las cuatro promociones. Y a lo mejor me equivoco, pero creo que tiene que ver con que la directora soy yo y hago esa labor de patearme institutos para dar charlas para que ellas vean que es una opción real”.
La experta abunda además que el sesgo no es solo a la hora de entrar en esta profesión o no, sino también en las especializaciones. Ellos, hacia las variantes más técnicas. Ellas, hacia la parte de regulación y concienciación. “Mi impresión es que este tipo de estereotipos se están extremando en los más jóvenes y que si no hacemos algo, que no tengo claro que se esté haciendo, el porcentaje de mujeres podría reducirse en los próximos años”.