Pronto veremos en funcionamiento una mina de carbono de forma remota, sin interacción de ninguna persona. Habrá alguien desde la mesa de una oficina cargando camiones o vagonetas. O un cirujano operando desde la distancia. Con esta futurista descripción, el conocido hacker y CDCO (chief digital consumer officer) de Telefónica, Chema Alonso, nos traslada a lo que será una realidad con la inminente llegada del 5G. A eso y a un peligro que será inevitable en ese nuevo mundo: Crecerá la exposición de estos servicios a ciberataques.

La disrupción que supondrá en los próximos años el aterrizaje de esta tecnología permitirá conectar todos los elementos de las ciudades inteligentes sin apenas latencia (el retraso entre el envío y la recepción de información). Eso nos lleva, por ejemplo, a la interacción con vehículos autónomos prácticamente en tiempo real o la interconexión con dispositivos médicos para llevar a cabo intervenciones quirúrgicas a través de un lápiz táctil y una tablet. Y también se abrirá una gran oportunidad para los ciberdelincuentes.

Ante ello, cabe preguntarse: ¿están las empresas e instituciones preparadas para abordar este nuevo panorama? ¿Disponemos de suficientes profesionales de la ciberseguridad o capacidad para formarlos para evitar amenazas en situaciones tan delicadas? Y no solo las empresas y las instituciones porque, tal y como explica Alonso, con el Internet de las Cosas (IdC), va a estar expuesta toda la sociedad en general.

En el primer caso, los expertos hablan de un escenario en el que la cultura de la ciberseguridad en las pymes españolas es todavía reactiva. Según un informe elaborado por la consultora The Cocktail Analysis para Google el pasado año, el 99,8% del tejido empresarial español no se considera un objetivo atractivo para un ciberataque. De la misma forma, tan solo un 36% de las pymes encuestadas tienen establecidos protocolos básicos de seguridad (sólo el 30% de las webs no disponen de protocolo https). A estos datos se suma el hecho de que España fue víctima del 80% de ciberataques al IdC a nivel mundial en la primera mitad de 2018.

Ese mismo año se llegaron a producir un 350% más de ataques del temido ransomware, un programa malicioso que restringe el acceso a determinadas partes o archivos del sistema operativo infectado, y pide un rescate a cambio de quitar esta restricción, y que afectó a grandes corporaciones.

El problema en España es que muchas empresas piensan eso de yo no soy nadie, ¿quién me va a robar a mí?, y tienen una falsa sensación de seguridad, afirma Marta Beltrán, coordinadora del grado en Ingeniería de la Ciberseguridad de la Universidad Rey Juan Carlos (URJC).

350.000 EXPERTOS

A pesar de las grandes necesidades del mercado laboral en este ámbito y de que se prevé que para 2022 serán necesarios en Europa 350.000 expertos en esta materia, Beltrán expone que a las empresas españolas les cuesta encontrar profesional formado.

Su universidad es, junto con la Francisco de Vitoria, las únicas que a día de hoy ofrecen grados especializados en ciberseguridad. En el caso de la institución pública, se trata de un plan para ingenieros y más técnico, mientras que la segunda está más orientada al cumplimiento y gestión.

Aquí se abarcan dos enfoques. El ofensivo, con el que se les enseña a romper cosas, atacarlas y ver cómo lo hace un adversario, es decir, hacking (para determinar si las aplicaciones son seguras) o ingeniería del malware; y el defensivo, donde se les enseñas técnicas para proteger redes, bases de datos, usar criptografía o proteger infraestructuras críticas, aclara.

A pesar de la escasa oferta en este tipo de planes, el catálogo del Instituto Nacional de Ciberseguridad (Incibe) recoge hasta 68 másteres que abarcan terrenos diferentes, como análisis internacional en cibercrimen y ciberdelito, informática forense y peritaje informático judicial, distribuidos entre universidades, escuelas de negocio y otros centros. De la misma forma, la Formación Profesional ya está elaborando los primeros cursos de especialización en esta materia.

Sara García, responsable del área de Talento del Incibe, pone en valor que no existe un perfil único para un experto de este tipo, dada la variedad de disciplinas. Sin embargo, subraya la necesidad de tener capacidad de pensamiento lateral, además de contar con habilidades para la resolución de problemas complejos que no se hayan conocido hasta ahora. Para eso es muy importante contar con conocimientos avanzados en diferentes temáticas (programación, electrónica, criptografía, etc.). 

EL CLICHÉ DEL HACKER

Desde el punto de vista de Xabier Mitxelena, responsable en España, Portugal e Israel (Iberia) de Accenture Security, el aprendizaje del ataque del wannacry ha hecho ver que, aunque hemos invertido mucho en seguridad, los profesionales no han tenido una experiencia práctica como para actuar en momentos críticos, y no vale con formación teórica, hay que capacitar en el ámbito tecnológico dentro de un escenario de guerra.

Centros de formación de compañías como la propia Accenture abordan ya este aspecto a través de modelos de simulación para definir los escenarios a los que hay que enfrentarse: Creamos entornos simulados como una refinería, y actuamos directamente analizando los riesgos reales, afirma Mitxelena.

Según asevera Alonso, estamos en un mercado ya maduro donde se necesitan profesionales de diferentes niveles, y eso ha hecho que el cliché que todos hemos tenido en mente durante años se haya diluido. No es lo mismo un CISO (chief information security office), una persona altamente formada, que sabe cómo gestionar calidad, y ese hacker que nos pintaban en las películas, con labor autodidacta, que hace labores de investigación, que es capaz de ir un poco más allá y encontrar los límites y fallos.

Tanto él como Beltrán y García lamentan la preocupante y escasa presencia femenina que arrastra la formación, al igual que en el resto de carreras STEM. Sin embargo, añaden que empiezan a ver un cambio en ese sentido con iniciativas derivadas a romper estereotipos como el proyecto ElevenPaths de Telefónica para dar visibilidad a las mujeres o la presencia de hackers referentes como Yaiza Rubio.

MATERIA TRANSVERSAL

A pesar del alto nivel de especialización que exige el sector, estos expertos coinciden en la idea de que la ciberseguridad sea una materia transversal dentro de la educación. La eclosión del IdC y la sombra de la ciberdelicuencia no sólo en el sector empresarial sino entre los ciudadanos, ha sembrado ya precedentes de lo que supone una sociedad sin nociones para evitar ataques y extorsiones cibercriminales.

En 2016, piratas informáticos consiguieron infectar medio millón de dispositivos de usuarios de Netflix y Spotify rompiendo la fragilidad de sus contraseñas y bloqueando el acceso a las plataformas. Se prevé que para 2025 se alcancen los 75.500 millones de aparatos conectados a Internet (electrodomésticos, surtidores de combustible, cerraduras inteligentes, medios de pago con tarjetas de crédito, semáforos, sistemas de alarma, vehículos o relojes de pulsera).

De ahí que Mitxelena ponga el foco en una tendencia creciente del sector: Hoy, los profesionales más valorados son los arquitectos en desarrollo de soluciones desde el prisma de la seguridad, porque tener que rediseñar algo cuesta 30 veces más.

Pero también cree que la creciente ciberdelincuencia a través de las nuevas tecnologías es motivo para dar un salto de paradigma en el aprendizaje de la ciberseguridad: En todas las carreras debería haber una asignatura que se llamara seguridad. 

Mientras, Alonso va más allá: En muchos colegios ya se aborda esta materia igual que se toca la economía personal. Ahora los niños tienen teléfonos móviles y redes como Tik Tok, que pueden exponerse en Internet de manera muy despreocupada.

El desafío, según ellos, está en abordar una disrupción que engloba a toda la sociedad y que ya advertía hace años Jeff Jarmoc, jefe de seguridad de la multinacional Salesforce: En un lapso de tiempo relativamente corto, hemos cogido un sistema resistente a la destrucción por armas nucleares y lo hemos hecho vulnerable a los tostadores.