Cada 39 segundos, se produce un ciberataque en algún lugar del mundo. Más de un millón y medio de adultos son víctimas del cibercrimen cada día; y solo en España, se dan 40.000 ataques diarios. La transformación digital de la sociedad, acelerada por la pandemia, ha provocado un aumento exponencial del intercambio y almacenamiento de datos y la contratación de todo tipo de servicios por internet, pero también de unas amenazas que pueden afectar seriamente la integridad de una empresa o incluso de cualquier ciudadano en el desarrollo de su vida privada. “Vivimos en un mundo digitalizado donde las posibilidades de acceso a la información se han multiplicado. El número de dispositivos conectados no para de crecer y pasamos, de hecho, más tiempo delante del móvil que de la tele… La red es una extensión más de nuestra vida, pero muchos usuarios no son conscientes de que las precauciones deben extremarse al máximo”, sostiene Hervé Lambert, manager global de operaciones con los clientes de Panda Security.
“La cuestión no es si una persona o compañía se verán afectadas, sino más bien de cuándo”, asegura Éléna Poincet, CEO de Tehtris, “y las amenazas son cada vez más complejas y crecientes”. Desarrolladores, ingenieros de ciberseguridad e inteligencia artificial, arquitectos de ciberseguridad, analistas de Big Data… La necesidad de profesionales es evidente y, sin embargo, también lo es la falta de profesionales especializados en este sector, que no alcanzan a cubrir las exigencias del mercado. Según el Análisis y Diagnóstico del Talento en Ciberseguridad en España elaborado por el Observatorio Nacional de Tecnología y Sociedad (ONTSI) y el Instituto Nacional de Ciberseguridad (INCIBE), en 2021 había en España un total de 149.774 trabajadores dedicados a la ciberseguridad y una brecha de talento de más de 24.000 empleos, mientras que en 2024 se calcula que la demanda de empleo crecerá hasta superar los 83.000 profesionales adicionales.
¿Están los españoles preparados para afrontar estas amenazas? A medias. Por un lado, a nivel global, España es uno de los países más comprometidos con la ciberseguridad, según se desprende la cuarta posición mundial en el ranking elaborado por la Unión Internacional de Telecomunicaciones. Pero los resultados cambian según el espejo en que los miremos. “La situación ha mejorado, aunque no todos van a la misma velocidad. Si la gran empresa está concienciada y se ven muchos planes de formación, la situación es muy distinta en lo que se refiere a las pymes y los usuarios domésticos”, aclara Lambert. “Las empresas pequeñas son especialmente interesantes para los ciberdelincuentes por las brechas de ciberseguridad que les permiten el robo y secuestro de datos. Alrededor de un 60 % de los ataques en el mundo de la empresa se centran en las compañías pequeñas”.
Los usuarios domésticos, por su parte, parecen concienciados con sus ordenadores personales, pero no protegen tanto sus datos cuando se trata de otro tipo de dispositivos. “Si utilizamos masivamente las nuevas tecnologías, necesitamos un componente de concienciación y de buenas prácticas, que no deja de ser un sentido común. Unas normas que todos tenemos claras cuando hablamos del mundo físico, pero no tanto cuando acudimos al entorno digital”, afirma Sara García, responsable de Talento en Ciberseguridad de INCIBE. “Muchas veces se trata de calmarnos y de decir: “Venga, pues si una cosa que normalmente cuesta 50 € me la están ofreciendo en otro sitio por 20… a lo mejor hay algo por detrás que no es lo que dicen, ¿no?”. En caso de duda, empresas y ciudadanos particulares pueden hacer uso gratuito de cualquiera de las herramientas que INCIBE pone a su disposición: la línea de ayuda 017, la Oficina de Seguridad del Internauta e Internet Segura for Kids (IS4K), para ayudar a menores y ciudadanos más senior a ampliar sus conocimientos básicos en materia de ciberseguridad.
¿Cuáles son las principales amenazas?
Si hacen falta más datos para comprender la magnitud creciente del problema que supone el cibercrimen, basta con este: en el mundo se roban 1.384 registros de datos personales cada minuto. Las herramientas que usan los hackers para atacar a empresas y particulares son de todos los tamaños y colores, y algunos especialistas llegan al punto de decir que, en 2022, se producirá un ataque de ransomware cada siete segundos. Esta amenaza (bloquear el acceso, por parte del usuario, a determinadas partes de su sistema a cambio de un rescate) constituyó la principal amenaza de 2021, y solo en el tercer trimestre del año los ataques aumentaron más del 140 %. Hay ciertas cosas que deben estar muy claras: “Un sencillo clic puede ocasionar un ataque del ciberespacio, y las personas (el eslabón más débil de la cadena de seguridad) o empresas deben decidir cómo solucionarlo para que su reputación no se vea comprometida. Un archivo malicioso puede ser una llave que, desde fuera, alguien usará para acceder a toda nuestra información sin que podamos hacer nada por evitarlo”, esgrime Lambert.
“Más del 99 % de los ciberataques depende de la interacción humana para activarse, y el correo electrónico es el vector de amenaza más usado porque, simplemente, funciona”, ilustra por su parte Nuria Andrés, estratega de ciberseguridad de Proofpoint en España y Portugal. Aunque, añade, el correo no es la única entrada de malware: “Según nuestro equipo de investigación, se ha detectado un enorme aumento de los intentos de distribución de malware para móviles en Europa, y desde febrero se ha visto un incremento del 500 %”, añade. Lo más preocupante es que este, actualmente, es capaz de mucho más que robar credenciales de acceso a distintos servicios, llegando a grabar audio y vídeo telefónico y no telefónico. Sin embargo, “la mayor amenaza para el usuario medio corresponde a los famosos phishing, mensajes que aparentemente vienen de una fuente confiable y que consiguen los datos de acceso a alguna de las plataformas del usuario”, señala Jared Gil, CEO y fundador de Nuclio Digital School.
Los perfiles más demandados
La digitalización que ha permeado en todos los ámbitos de la sociedad ha provocado que también los especialistas en ciberseguridad deban ser igualmente heterogéneos. “Tenemos que recordar que la ciberseguridad no es una carrera exclusivamente técnica. Se trata de una disciplina transversal que se entremezcla con otras que históricamente no eran digitales”, afirma García. Esto lleva al mercado a buscar perfiles híbridos con áreas como el derecho (toda la perspectiva legal de Internet, los delitos en la Red y la protección de datos), la sanidad (aspectos como la adicción a las redes y el ciberacoso) o incluso la educación (de manera que un educador conozca la mejor manera de manejar elementos como las redes sociales o los grupos de WhatsApp de los alumnos).
Luego, por supuesto, están los perfiles técnicos, hacia los que están enfocados la mayoría de los másteres de especialización. “Los profesionales más demandados son aquellos que tienen una visión estratégica del manejo global de la información. De ahí su especialización en lo que se refiere a la arquitectura e infraestructura de seguridad”, apunta Gil. Las habilidades principales de un experto en ciberseguridad, añade, “son las de hacker, fundamentales para identificar agujeros de seguridad complejos; de forense, para aplicar técnicas de investigación científica a los delitos digitales; y de arquitecto, para aplicar todas las tecnologías posibles”. Otra de las especialidades más buscadas, según Lambert, es la de los analistas de Big Data, profesionales que sean capaces de construir modelos matemáticos para la detección de anomalías; un perfil más deseado en empresas que requieren un avanzado nivel de ciberprotección o en empresas que ofrecen servicios específicos de ciberseguridad. “Casi dos tercios de los CISOS (directores de seguridad de la información) encuestados creen que sus empresas corren el riesgo de sufrir un ciberataque importante en los próximos 12 meses”, recuerda Andrés.
Ahora bien, en lo que respecta a la formación, ¿cuántas especialidades relacionadas con la ciberseguridad hay? El último catálogo de formación reglada en ciberseguridad de INCIBE, de noviembre de 2021, incluye 84 programas de máster, tres especializaciones universitarias, cuatro grados y 30 especializaciones de FP (aunque hay muchas más). “En España hay tantos másteres porque muchos de ellos son títulos propios, que dependen de la propia universidad, pueden cambiar el temario de una forma más ágil e incluir fácilmente profesorado proveniente de la industria”, explica García. El problema, señala, es que pocas de estas formaciones se centran en un determinado perfil, sino que se les ofrece un conocimiento más generalizado a través de distintas materias, y la capacidad de autoaprendizaje sigue siendo clave.
“Somos conscientes de que el mundo de la academia y de la industria tienen que estar conectados. Es decir, que lo que yo estudie sea algo que demande el mercado”, reflexiona García. Para solucionarlo, INCIBE, junto con el Foro Nacional de Ciberseguridad y ENISA (la Agencia de la Unión Europea para la Ciberseguridad), trabajan en un marco competencial común en el que se han establecido, de momento, 12 perfiles en materia de ciberseguridad necesarios para la empresa: el CISO (Chief Information Security Officer), responsable de la ciberseguridad en una empresa; el gestor de incidentes; el perfil legal; el especialista en amenazas; el arquitecto de ciberseguridad; el auditor; el que educa (que conciencia tanto dentro de una empresa como de cara a ciudadanía); el implementador de soluciones; el investigador; el que hace análisis de riesgos; el forense y el penetration tester. “Estos perfiles engloban prácticamente todas las necesidades del mercado laboral y facilitan un lenguaje común para que la academia, por un lado, pueda empezar a definir programas formativos en base a esos perfiles, y que la empresa pueda definir los puestos vacantes”.
Un marco común que afectará, también, a los futuros grados superiores y especializaciones de Formación Profesional. La actual carencia de profesionales hace que “hoy por hoy, tanto quien venga de la FP como de la universidad vayan a ocupar puestos de relevancia, resolver incidentes y escalar por la pirámide laboral sin problema”, asevera García. “Pero cuando ya tengamos ciclos completos de ciberseguridad en FP, másteres y grados, la diferencia será la que debería haber en todas las carreras: Formaciones Profesionales mucho más operativas y funcionales, que entrarían en jerarquías de las empresas un poquito más en la base; y graduados universitarios con, presumiblemente, mayores capacidades de gestión”.
El análisis de ONTSI-INCIBE, presentado en el pasado Mobile World Congress 2022 de Barcelona, hizo también referencia a la brecha de género en el mundo de la ciberseguridad. Un déficit que se refleja ya en la etapa universitaria, en la que solo el 18% de las personas graduadas especializadas en esta materia son mujeres, y que se extiende a todas las diciplinas STEM (Ciencias, Tecnología, Ingeniería y Matemáticas, por sus siglas en inglés).
FORMACIÓN EL PAÍS en Twitter y Facebook
Suscríbase a la newsletter de Formación de EL PAÍS