¿Cómo empezar una carrera en ciberseguridad? ¿Qué calificaciones, certificaciones y habilidades necesitas? ¿Es fundamental un título universitario? ¿Debería intentar comprometer el Pentágono y obtener una reputación o deberías construir tu propia biblioteca de Python que ayude a curar el cáncer y tratar de ganar notoriedad?

Estas son algunas de las preguntas que reciben muchos especialistas de ESET con frecuencia. ¿Qué mejor momento para intentar responderlas en el marco del Antimalware Day, una fecha que se celebró el pasado 3 de noviembre y que busca destacar la importancia que tiene la investigación en seguridad informática. Las respuestas vendrán de dos investigadores de ESET, quienes opinarán sobre lo que ellos necesitaron en el pasado para irrumpir en la seguridad y lo que parece estar atrayendo la atención de todo tipo de empresas que en la actualidad se deciden por contratar estos profesionales.

 Lectura recomendada: ¿Cómo es el trabajo de un malware researcher? 

De hecho, la demanda de profesionales en seguridad sigue superando a la oferta. La brecha de talento sigue siendo preocupante; sobre todo porque las amenazas informáticas no se van a ir a ninguna parte. Ninguna organización es inmune a los innumerables riesgos asociados con los ciberataques, ya que las amenazas aumentan en tamaño y frecuencia y golpean cada vez más cerca de casa, causando un daño incalculable en el proceso (y dejando secuelas). Por lo tanto, no es de extrañarse que muchas empresas paguen mucho dinero para atraer y retener al talento en seguridad.

Sin embargo, la ecuación es más compleja. Por eso, decidimos averiguarlo con dos expertos de ESET que han trabajado en las trincheras de la ciberseguridad durante décadas: el investigador distinguido Aryeh Goretsky y el investigador especializado en seguridad Cameron Camp.

 

Lo primero es lo primero, ¿por qué elegir una carrera en ciberseguridad?

Aryeh: Por un lado, están las razones habituales, como buscar fama o fortuna (o ambas), pero para mi gran parte del atractivo ha sido que es uno de los pocos campos en los que una sola persona, armada solo con su computadora, su ingenio y su persistencia, puede marcar la diferencia de una manera notable y mensurable. Trabajar en ciberseguridad significa que tienes una oportunidad (no una garantía, claro) de hacer algo que impacte y ayude a los demás.

Sin embargo, ten en cuenta que no todos los éxitos se miden en función de la cantidad de vulnerabilidades o CVE descubiertas o de cuánto dinero ganó a través de programas de bug bounty. El éxito es, en última instancia, una medida individual, y las cosas que te brindan la mayor satisfacción personal pueden no ser las que te den atención en los medios, redes sociales, etc.

Dicho esto, ingresar a la práctica de la ciberseguridad te da acceso a oportunidades que pocas otras profesiones brindan, tanto en términos de conocimiento aprendido como de conocimiento aplicado.

Cameron: ¿Tienes curiosidad por saber cómo funcionan las cosas? ¿Por qué se rompen las cosas? ¿Cómo arreglarías las cosas rotas si tuvieras la oportunidad? Básicamente, todas las cosas por las que te has metido en problemas en tu infancia y adolescencia son las que brindan el ímpetu a gran parte de la población de investigadores, nuevos talentos y a quienes se deciden por carreras incipientes. Todas esas cosas que has desarmado en el afán de querer saber cómo funcionan podrían ayudarte a forjar una carrera exitosa.

¿Cómo empezaste y qué te atrajo de la ciberseguridad?

Aryeh: No hubo nada particularmente mágico en cómo comencé, ni fue el resultado de un trabajo particularmente duro. Todo lo que necesite fue un poco de iniciativa y, tal vez, un poco de suerte: conocí a John McAfee varios años antes de que comenzara con la compañía de antivirus que creó con el mismo nombre. Lo vi en la televisión local en una noticia en la que hablaba sobre virus informáticos, y pensé: “Vaya, eso es genial. Yo lo conozco". Luego, apareció por segunda vez y me di cuenta de que podría estar en algo, en términos de negocios. A la edad de 19 años, con poca experiencia y una perspectiva de carrera poco clara, decidí pedirle a John un trabajo pensando que podría hacer trabajos de oficina como mecanografiar y enviar faxes, lo que pensé que probablemente el detestaría hacer y yo estaría feliz de realizar. Sorprendentemente, me contrató en el acto, y así me convertí en el primer empleado de McAfee Associates. Después de dedicar unos minutos a explicarme qué eran los virus informáticos, estaba listo para atender mi primera llamada telefónica como asistente técnico.

En ese momento, sabía que quería hacer algo con las computadoras y que iría a un colegio comunitario para aprender sobre ellas, pero no estaba seguro acerca de qué quería hacer exactamente. En McAfee Associates tuve la oportunidad de aprender sobre el acelerado negocio de la seguridad informática, y eso me permitió aprender más sobre los fundamentos del hardware, el software y las redes. Todos los días aprendía algo nuevo. Ahora, más de treinta años después, nada de eso ha cambiado, excepto por mi continuo asombro por cómo han progresado las amenazas y las defensas contra ellas.

Cameron: Nunca se sintió como un trabajo 'real' porque estaba haciendo cosas que probablemente hubiera hecho de todos modos, y el ritmo con el que las cosas cambian es vertiginoso, lo que hace que mi corazón se salte algún que otro latido. También el hecho de unir constelaciones de datos aparentemente dispares con hilos más finos para comprender un sistema era algo que me parecía obvio, pero aparentemente no lo era para los demás.

¿Qué implica realmente tu trabajo? Desacreditemos algunos estereotipos ...

Aryeh: Una gran parte de mi trabajo consiste en hablar con la gente. Otra gran parte, y quizás incluso más importante, implica escucharlos. Se dedica aún más tiempo a la lectura, que podría ser cualquier cosa, desde un artículo técnico hasta las redes sociales y la documentación interna. Yo también, en ocasiones, escribo cosas.

Una de las cosas que me gustan de mi trabajo es que tiene mucha variabilidad. Para dar un ejemplo de cómo funciona todo esto de hablar y escuchar en la vida real, en la última semana tuve que:

  • monitorear en busca de amenazas emergentes y también de los actores de amenazas
  • conversar con un colega en Europa sobre las diferencias en las leyes de privacidad y las expectativas en los EE. UU.
  • responder algunas preguntas sobre nuestro software para un gobierno
  • dar una devolución a los desarrolladores sobre la próxima versión de uno de nuestros programas,
  • investigar la seguridad del nuevo sistema operativo de Microsoft, Windows 11
  • reportar a nuestro laboratorio de amenazas la actividad de spammers y estafadores que realizaban estafas de soporte

También estoy involucrado en algunas actividades continuas a más largo plazo, como un proyecto con Cameron en el que buscamos de manera proactiva falsos positivos en nuestros sistemas de detección de amenazas. Tener un falso positivo puede ser un evento muy debilitante para una empresa, por lo que ESET trabaja arduamente para prevenirlo.

Además, debido a que parece que una vez que uno se gana la vida dando soporte técnico esta actividad nunca desaparece, ayudé a un amigo a actualizar su instalación de ESET Smart Security Premium a la versión más reciente.

Cameron: Más cosas corporativas y de RR.HH. de lo que pensaba que existían. Desarmar cosas está bien, pero trabajar para una empresa que vende cosas significa que también tienes que volver a armar las cosas y entregar informes que sean legibles para personas que no son técnicas. Eso significa la mayoría de la gente. Básicamente, informes que deben tener sentido para alguien que participará en la venta o la compra de algo que, con suerte, será útil. En resumen, tienes que ser un traductor que hable en el idioma de la gente real para que te den dinero; de lo contrario, dejarán de hacerlo.

¿Qué habilidades y calificaciones necesito?

Aryeh: Esta es una pregunta algo más difícil de responder para mí, porque entré en el campo mucho antes de que hubiera títulos en ciberseguridad, y también pasé los primeros dieciséis años de mi carrera centrado principalmente en el lado del soporte.

Pero yo diría que, para un puesto de nivel de entrada, es decir, uno que requiere de cero a un año de experiencia, tener una comprensión de los fundamentos de cómo funciona el hardware de una computadora, lo que hace un sistema operativo (esto incluye una alta comprensión de sus diversos componentes), y cómo se transmite la información a través de las redes, es un buen punto de partida. Si vas a defender algo, tener una comprensión práctica de cómo funciona te ayudará a visualizar mejor cuáles son sus puntos débiles y cómo defenderlos. Con una buena comprensión de esos fundamentos tienes una base sólida sobre la cual aumentar tu conocimiento, diversificarte y explorar aquellas áreas que te interesan y educarte aún más. Si tienes suerte, esto puede darse a través de capacitaciones adicionales con la ayuda de tu empleador.

Cameron: A medida que la industria siga creciendo y se siga diversificando en puestos de trabajo reales, esto continuará cambiando. En futuros artículos podremos desglosar esto aún más. Ejecutar servidores backend (como empecé) es muy diferente a hacer ingeniería reversa de malware. Ciertamente se tocan y trabajan en el mismo ecosistema, pero tienen rutinas diarias muy diferentes. De cualquier manera, aprende a trabajar de forma nativa en la línea de comandos; es una suerte de esencia de lo que está sucediendo en un bajo nivel lo que une todo. La pantalla bonita es solo la cereza o guinda del pastel digital. Necesitarás sentirte cómodo en este tipo de entornos de trabajo "simplificados" solo para teclado, o al menos te pondrá por delante de los demás en el campo.

Lectura recomendada: Perfiles profesionales en la seguridad informática: ¿qué camino elegir?

¿Debería estudiar una carrera universitaria? ¿Vale la pena un título?

Aryeh: Tener un título universitario puede ser importante, ya que demuestra a los posibles empleadores un cierto nivel de rigor académico y compromiso, pero obtener un título de cuatro años puede ser imposible para muchos estudiantes debido al alto costo de la educación secundaria en muchos países.

Asimismo, para alguien que está en la mitad de su carrera y está buscando cambiar de carrera o un ascenso, obtener una maestría o un doctorado definitivamente puede ser de gran ayuda.

En Estados Unidos, por ejemplo, muchos empleadores ofrecen reembolso de la matrícula para incentivar a que los empleados obtengan un título en un campo relacionado con el trabajo, y algunos también ofrecen reembolso por préstamos estudiantiles existentes. Si se está entrevistando para un trabajo, asegúrese de preguntar acerca de esto, así como sobre cualquier otra inversión que haga su posible empleador en la educación continua y el desarrollo profesional de sus empleados.

Ahora, dicho todo esto, señalaré que hay muchos candidatos para quienes el enfoque tradicional de la universidad de cuatro años no es una opción. Hay muchos cursos gratuitos y de bajo costo que puedes tomar, así como certificaciones disponibles que demuestran el dominio de un tema. Dependiendo de si el puesto que te interesa es de nivel de entrada, esta podría ser una forma más rápida y menos costosa de poner un pie en la puerta.

Cameron: No es malo tener un título, ya que esto permite a las posibles empresas contratantes tener algún tipo de expectativa de base, especialmente si se trata de una institución reconocida, y asegurarles potencialmente que tienes la capacidad de comprender la tecnología disponible y que puedes ayudarlos a mejorarla.

Pero no es garantía. He estado en entrevistas con graduados en ciencias de la computación que habían obtenido su título recientemente y que no pensé que supieran hacer mucho más que abrir una computadora portátil. Fué embarazoso, tanto para la escuela, para el exalumno, y para la tecnología. Simplemente mal. Además, he estado rodeado de personas que nunca pasaron por una universidad que muchas empresas desearían tener en sus equipos. Por lo tanto, no es garantía. Sí probablemente aumente tus probabilidades de parecer calificado para superar la primera ronda del proceso de contratación, pero esto no garantiza que te contraten.

¿Existe un camino que sea el mejor? ¿Qué debo estudiar para una carrera en ciberseguridad?

Aryeh: Si hay algo que espero haber dejado claro es que no hay una única forma de entrar en el mundo de la ciberseguridad. Siempre animo a las personas que tienen algún conocimiento en otra área a que comiencen por mirar con lo que están familiarizadas y luego intenten pensar en esa área en términos de ciberseguridad. ¿Cuáles son los problemas a los que se enfrenta de forma única? ¿Cómo resolverías esos problemas? Tomar aquello con lo que ya estás familiarizado y luego pensar en cómo protegerlo es una excelente manera de comenzar a unir tu carrera desde el lugar en el que estas hacia la ciberseguridad. Recuerda que la ciberseguridad es un campo muy amplio, no hay nadie que sea experto en todo. Tu quieres encontrar un nicho que te interese y centrarte en ese aspecto del campo. Si no estás seguro de qué es lo que más te interesa, comienza con una formación general sobre conceptos de ciberseguridad y ve probando distintas cosas. Con el tiempo, encontrarás una parte que te resulte interesante y ahí es donde debes enfocar tus estudios.

Como mencioné anteriormente, debes comenzar entendiendo qué es lo que se debe proteger. Tener un conocimiento general de las computadoras y las redes, o incluso una capacitación más especializada en soporte y sistemas de TI o administración de redes, te convertirá en un mejor profesional de la ciberseguridad.

No todos los trabajos en ciberseguridad involucran programación, pero si vas a escribir código, tener un conocimiento práctico de varios lenguajes de programación diferentes es un gran comienzo, porque te permite pensar en cómo resolver un problema de diferentes maneras.

Sin embargo, no debemos olvidar que las habilidades sociales y las habilidades que son tangenciales a su función también son muy importantes. Si bien es posible que quieras aprender todo sobre cómo atacar y defender computadoras, tener conocimientos de psicología puede ayudarte a comprender las motivaciones de un atacante. Del mismo modo, es muy importante poder comunicarse de manera clara, concisa y efectiva tanto con individuos como con grupos de personas, ya sea para justificar la compra de un nuevo firewall, explicar a tu C-suite el impacto de una brecha de datos o solicitar un aumento. Por otra parte, independientemente de si planeas tener tu propio negocio o trabajar para otra persona, comprender cómo funciona un negocio puede marcar una gran diferencia, especialmente si necesitas explicar las cosas de acuerdo con el resultado final (por ejemplo, el dinero).

Cameron: Es casi más importante conocer a las personas adecuadas, de lo contrario, eres una colección de texto para la búsqueda de palabras clave de RR.HH. Afortunadamente, hay muchos eventos de seguridad gratuitos (o cerrados) en los que puede realizar ingeniería inversa de lo que otros están usando para obtener trabajos. Una buena forma es encontrar un proyecto de código abierto y ver la forma de cómo contribuir. Esto significa que tienes que averiguar qué proyectos son populares y de uso generalizado, cómo llevarse bien con otros que están trabajando en el proyecto y parecen lo suficientemente valiosos para que piensen que eres útil, luego seguir adelante y hacer el trabajo duro de contribuir en algo que la gente utiliza. Ahora que lo pienso, así es como funciona un trabajo.

¿Cómo empiezo si tengo poca o ninguna experiencia?

Aryeh: Sugeriría hacer dos cosas diferentes. La primera es concentrarte en aprender y desarrollar tus habilidades. Esto se puede hacer leyendo, escuchando podcasts, viendo videos y haciendo preguntas en las redes sociales. A medida que vayas aprendiendo, toma notas, escribe un código de muestra (si esa es la dirección a la que apuntas) y publica esta información en tus propios sitios web personales, como un blog, wiki, repositorio de código, etc. Estos no tienen que compartirse públicamente, al menos inicialmente, pero debes crear un registro escrito de lo que estás haciendo. Incluso puedes participar en proyectos de código abierto, que también son buenos para la creación de redes (del tipo sociales) laborales.

La segunda parte de esto es buscar trabajos para de nivel de entrada o puestos junior. Esto lo puedes hacer visitando la sección de carreras de las empresas para las que deseas trabajar, buscando en las listas de empresas locales para puestos junior o, si estás en un centro de formación, pidiendo ayuda para acceder a un trabajo. Es posible que tu profesor incluso tenga algunos contactos de antiguos alumnos.

Una vez que envíes tu currículum vitae o tengas tu primera entrevista, asegúrate de incluir enlaces a tus sitios web personales, ya que estos a menudo pueden mostrarle a un posible empleador tus procesos de pensamiento, tales como la forma de abordar los problemas y cómo buscas soluciones.

Cameron: Ver mi comentario sobre los proyectos de código en la respuesta anterior.

Certificaciones: ¿para quiénes son y qué importancia tienen?

Aryeh: Las certificaciones son importantes porque son una rúbrica de lo que sabes, pero también soy un defensor de la experiencia. En la última década hemos visto que surgieron una gran cantidad de certificaciones. Si bien muchas de ellas son útiles desde una perspectiva de medición, en algunos casos su valor es dudoso. Algunas pueden ser bastante costosas y representan una gran carga financiera, por lo que creo que sería demasiado solicitar estas certificaciones para un puesto junior o de nivel de entrada. Con mucha frecuencia, las organizaciones que se dedican al reclutamiento utilizan títulos y certificaciones como un filtro para llegar a posibles candidatos. No me gusta esto, porque puedes terminar contratando a alguien que haya ido a una escuela intensiva o que obtenga buenos resultados, pero que no tenga experiencia práctica y no entienda cómo funcionan realmente las cosas.

Si bien es posible que quieras explorar la posibilidad de obtener algunos de los certificados menos costosos por cuenta propia y que estos pueden ayudarte para destacarte de otros posibles candidatos para puestos de nivel de entrada, probablemente sean más útiles cuando las ofertas sean para contratar a empleados de rango medio a senior, especialmente cuando es posible que se requiera una certificación profesional por razones de cumplimiento. Exigir como requisito previo para los puestos de nivel inicial o junior una certificación como la CISSP, la cual está orientada para puestos de nivel superior, es una clara señal de que una organización tiene fallas estructurales, siendo la ciberseguridad solo una de ellas.

Lectura recomendada: Certificaciones en seguridad informática más populares

Cameron: Las certificaciones más comunes probablemente lo ayudarán a que los departamentos de recursos humanos lo consideren al hacer revisión de perfiles durante sus búsquedas. Certificaciones como CISSP están cerca de la parte superior del montón, pero debes hacer coincidir la certificación con lo que te interesa. CISSP, por ejemplo, tiene más que ver con la gestión de la seguridad, mientras que otras certificaciones, como CEH, son más técnicas y tiene una orientación más específica. Entonces, a menos que tengas claro a dónde apuntas, obtener una certificación puede significar que estés recolectando cartas que pueden o no resultar en un trabajo, o al menos en el que te interesa. Por lo tanto, apunta bien.

Para terminar, ¿cómo ha impactado el trabajo remoto e híbrido en el mercado de talentos de seguridad? ¿A dónde crees que nos dirigimos?

Aryeh: El trabajo remoto e híbrido aumentado la base de talentos en el sentido de que las empresas ya no tienen que buscar contratar de forma local u ofrecer paquetes de reubicación. Pero también significa que el número de solicitantes para un puesto también se ha disparado, porque cada trabajo es potencialmente nacional o internacional en el ámbito de la contratación.

Un par de pensamientos finales que me gustaría compartir con los lectores:

En primer lugar, que a pesar de lo que hemos escuchado sobre la escasez de profesionales, no necesariamente tenemos una gran cantidad de puestos de trabajo sin cubrir en ciberseguridad. Si bien es fácil hablar de una brecha de talento, también es importante comprender el lado del salario: si hay menos candidatos para elegir, los salarios tienen que subir. Lo que podríamos tener son empleadores que simplemente no quieren tener que competir pagando salarios altos.

Y hablando de salarios, tu deseo puede que sea hacer todo lo más técnico que se pueda en cualquier parte del campo de la ciberseguridad que te interese. Pero existe una buena posibilidad de que las personas en ventas o legales ganen mucho más dinero. Si lo importante para ti es amasar una gran fortuna, considera sabiamente a qué quiere dedicar tu tiempo durante los próximos cuarenta años.

Cameron: Todavía tienes que construir tu marca personal. Y eso es algo que deberías intentar hacer de todos modos. Dado que en esencia estás vendiendo tus habilidades, alega que las tienes y logra convencer al resto. Piensa en los reviews de un producto. La recomendación de un software por parte de cinco personas al azar genera más confianza que la recomendación que pueda hacer el propio autor del software. Por otro lado, ten en cuenta que es probable que en un proceso de búsqueda laboral tu actividad online sea revisada, así que ten cuidado con lo que publicas.

En cualquier caso, intenta curar tu propia marca como profesional, ya sea en la vida real o en Internet, ya que con el tiempo ambas vidas se convertirán cada vez más en una; por lo tanto, elije con cuidado.