España busca hackers de los buenos

El robo de información en Internet es ya un problema endémico. A través de las webs de las empresas, los piratas informáticos pueden acceder a las bases de datos, suplantar la identidad de los usuarios o realizar interrupciones del servicio, entre otros actos delictivos. España es el segundo país más atacado del mundo después de Estados Unidos y concentra el 20% de los ciberataques internacionales, según datos de la compañía española de seguridad S21sec, que opera con 26 empresas del IBEX 35. Pese a la proliferación de los delitos en la red, no hay suficientes expertos en ciberseguridad que implementen muros para evitar las fugas de datos.

“En España debería existir un grado de ingeniería especializado en ciberseguridad. Hacen falta profesionales bien formados”, señala José Luis Narbona, presidente de la Asociación Nacional de Ciberseguridad y Pericia Tecnológica. En los últimos cinco años se ha contratado a más de 23.000 expertos en este campo, según datos del Servicio Público de Empleo Estatal (SEPE), pero el 22,73% de los ingenieros TIC españoles tienen un nivel de formación “inadecuado” y “falta de formación práctica”, señala el estudio Necesidades de Formación en el Sector de la Seguridad de la Fundación ESYS.

España es el segundo país más atacado del mundo después de Estados Unidos y concentra el 20% de los ciberataques internacionales

A escala global, el déficit de estos expertos supera el millón y la mayoría de organizaciones no disponen de personal para monitorear las redes y detectar infiltraciones, indica el Informe Anual de Seguridad de Cisco 2014, empresa tecnológica que cotiza en el Nasdaq.

Dentro de la ciberseguridad existen diferentes perfiles de especialización y el que se encarga de detectar los fallos de seguridad de los espacios virtuales y de habilitar los mecanismos necesarios para evitar las amenazas es el llamado hacker ético. “Tienen dos misiones fundamentales. Por una parte atacan la infraestructura interna de la empresa para hallar los puntos débiles y evitar posibles robos de información por parte de los propios empleados, y por la otra se meten en la mente de un cibercriminal y atacan los sistemas expuestos en Internet para detectar las vulnerabilidades”, explica Mario López, analista de seguridad y profesor de la Universidad Pontificia Comillas (ICADE).

La única vía para especializarse en España son los cursos y los másteres impartidos por empresas de seguridad y universidades. Chema Alonso, CEO de la empresa de seguridad de Telefónica Eleven Paths, se formó por su cuenta. El paso por la universidad le sirvió para asentar los conocimientos básicos de informática; el resto lo consiguió de forma autodidacta. “Mi clave fue la autoformación con cursos y conferencias online y libros y artículos de investigación”, asegura el también autor del blog Un informático en el lado del mal, con más de ocho millones de páginas vistas al año.En su opinión, cada vez son más las empresas que focalizan su negocio en Internet y el número de compañías que han solicitado estos servicios a Eleven Paths ha crecido un 300% en los últimos tres años. “Todavía hay muchas que son reticentes por el coste, que va desde los a 6.000 euros al año si se escoge el servicio automático a los 200.000 si lo hace un equipo humano. Lo que está claro es que hacen falta expertos”, apunta Alonso, también profesor del Máster Interuniversitario de Seguridad en las TIC de la Universitat Oberta de Catalunya (UOC).

El 22,73% de los ingenieros TIC españoles tienen un nivel de formación “inadecuado” y “falta de formación práctica”

El director de la empresa de seguridad S21sec, Xabier Mitxelena, considera que en los últimos dos años se ha diversificado el perfil de las compañías que contratan estos servicios, aunque el sector financiero continúa a la cabeza en cuanto a inversiones en seguridad. La banca online es la más afectada por los ataques de piratas informáticos en España, con un 84% de los casos detectados, seguida de compañías de otros ámbitos como aseguradoras, empresas de juego online, de hosting -alojamiento web- o redes sociales, entre otras, según S21sec. “Existe un déficit importante de mano de obra especializada. Crece la demanda y hay pocos expertos”, remarca Mitxelena. En el año 1999, cuando se lanzó S21sec, la mayoría de los empleados eran ingenieros que habían obtenido sus conocimientos en ciberseguridad en universidades de Boston (EEUU). “En aquel momento la oferta de cursos o másteres en España era inexistente. Había que salir a formarse al extranjero”.

Otra de las grandes compañías de seguridad españolas, Indra, con una inversión de más de 550 millones de euros en I+D+i en los últimos tres años, también pone de manifiesto esta carencia. “Los currículums de los candidatos que nos llegan presentan flaquezas en temas de hacking”, indica Jorge López, jefe del Grupo de Investigación en Seguridad de Indra y director del Máster Indra en Ciberseguridad de U-tad.

El hacking ético, que se encarga de realizar el llamado Penetration Testing -prueba de intrusismo en los servidores- ocupa una parte fundamental en la mayoría de cursos y másteres en ciberseguridad que ofertan las universidades y empresas, pero lo más importante es que los programas de estudios incluyan formación práctica.