Andrés Soriano (UNIVERSAE): “La ciberseguridad necesita formación constante, de todos los perfiles”

Andrés Soriano es CISO (director de ciberseguridad) de UNIVERSAE. Con él, en esta entrevista concedida a EDUCATIONAL SUCCESS, conversamos sobre las necesidades formativas del sector.

Andrés es criminólogo con 16 años de servicio activo en la Guardia Civil, de los cuales 12 desempeñando funciones de Analista en ciberinteligencia y ciberterrorismo.

Como profesor en este este Instituto Superior de Formación Profesional en Madrid, nos habla de cómo enfocan la Formación Profesional en ciberseguridad, tanto a trabajadores en activo como a perfiles más jóvenes, que buscan su ingreso en un mercado que sigue con un agujero de más de 60.000 puestos por cubrir.

En todo. Somos una incubadora tecnológica que busca que el alumno se sienta inmerso en la infraestructura y le dé ganas de estudiar; que tenga esa intención de querer ir más allá, investigar, tener inquietudes y desarrollar su carrera como profesional de la ciberseguridad. Por eso se ha cuidado todo: desde el ambiente, la metodología práctica learning by doing (aprender haciendo) desde el minuto uno. Porque no sirve de nada que sepamos la parte teórica si no lo desarrollamos en la práctica.

A su vez, de nada sirve que tengamos la infraestructura técnica sin los mejores profesionales. Tenemos docentes de Microsoft, en consultorías y empresas de primer orden mundial (Ferrovial, la directora del Cibershot de Madrid, al director Cibershot del Ayuntamiento de Madrid, al fiscal Jorge Bermúdez para la rama de Derecho Penal, profesionales de la ciberinteligencia, Javier Rodríguez, yo mismo con mi perfil de ciberinteligencia, a Chema Gil para temas de comunicación…).

En definitiva tienes que cubrir todas las facetas que compone la actividad de un profesional de la ciberseguridad. Hacemos prácticas de CTF (capturar la bandera en inglés), y son los alumnos quienes tienen que cumplir los hitos necesarios para, por ejemplo, tomar el control de una red, un servidor, un ordenador… Son ejercicios muy demandantes, que pueden llevar 4 o 5 horas con mucho estrés. Intentamos crear entornos reales, tal y como se los van a encontrar en la calle. Si en un empresa estás en el equipo de defensa -ante ciberataques-, es la parte más sufridora.

Imagínate un hipotético caso: una central nuclear, una infraestructura crítica española, y detectamos un intento de intrusión. El equipo de defensa (azul) sudor le va a costar… Imagina cuatro o cinco horas para conseguir mitigar ese incidente, en el caso de que lo consiga, porque a lo mejor el otro equipo tiene mayor capacidad de ataque o infraestructura técnica o tecnología, o conoce vulnerabilidades Zero Day (vulnerabilidades básicas que los usuarios y propietarios de sistema desconocen). Es decir, que tienen conocimientos, a través de un estudio de inteligencia) de vulnerabilidades de las que no eres consciente que existen.

Son entornos hostiles y complejos, y en ellos el régimen de rotación de personas es muy alto; necesitas poder tener la posibilidad en un momento dado de descansar, comer, evadirte, tener una charla, o incluso de brainstorming (lluvia de ideas) con tu equipo sobre cómo enfocar la situación.

Necesitas todas, porque la ciberseguridad es multidisciplinar. No hay un especialista en ciberseguridad que sea especialista en todo. Como hemos dicho, la ciberseguridad se compone de: análisis forense, hacking ético, blue teams y red teams -equipos de defensa y ataque-, equipos de gestión de incidentes, equipos de ciberinteligencia… Necesitamos ser multidisciplinares, porque puedo ser muy bueno en red team o en hacking ético (es decir, saber penetrar en los mejores sistemas, tener la mejor capacidad de invención de técnicas de ataque, sploiting, de análisis de vulnerabilidades, pero a lo mejor no sé hacer un forense; no tengo conocimientos de cómo se hace una respuesta ante incidentes. Es decir, puedo saber atacar pero no defender. Son ramas muy amplias en las que se encuentran perfiles que se hacen especialistas en esos diferentes módulos de la ciberseguridad.

Al final sí que debes tener una idea general de todo, pero es muy difícil que sepas realizar todo. Es como en el Derecho: puedes ser especialista en Derecho Penal, pero no sabes de Mercantil o Civil. Has estudiado todo, pero no eres un especialista para enfrentarte a un procedimiento de envergadura en el ámbito civil si eres penal.

Un hacker ético es una persona con amplios conocimientos en ciberseguridad, una persona instruida y perito en ciberseguridad, pero que sigue una ética profesional; un régimen de conducta o unos principios éticos, como su propio nombre indica. Por tanto, cuando se contrata a un hacker ético, lo contratamos para que nos realice una auditoría y lo primero que se mide es el alcance de la auditoría. Donde, yo como entidad, contrato a un equipo de ciberseguridad (el hacker), y determino hasta dónde quiero llegar.

El hacker firmará un NDA -acuerdo de confidencialidad- para garantizar la protección de esa información y de esos activos digitales en relación a la empresa; no trascenderá más que para la auditoría (no se usa esa información para nada más). Te garantiza que va a llegar hasta donde tú quieres que llegue en ciberseguridad. Hay tres tipos de auditoría: caja blanca, caja gris y caja negra.

Caja blanca: el hacker ético conoce toda la información de la empresa (los logs de acceso, la estructura de red, todo). Hay mucha información sobre cómo acometer esa auditoría. Caja gris: conocemos algunas cosas (podemos conocer la estructura de red, pero no los logs), por lo que hay que emplear técnicas que usaría un ciberdelincuente. Y caja negra: no conocemos nada; realiza un ejercicio como lo haría un atacante: va a poner verdaderamente a prueba todos los escalones de ciberseguridad de la empresa.

Esto lo decide la empresa, en ese alcance de la ciberseguridad, lo primero que se firma entre la empresa contratante y la auditora, cómo se va a hacer y qué límites hay.

Va en función del presupuesto. Una auditoría de caja negra tardará y necesitará más recursos que una de caja negra. Si ya sé la estructura de red y los logs voy a tiro fijo. Me conecto y voy a ver qué tipo de información puede darse en los diferentes roles establecidos; cómo saltar de una red a otra. Si no tengo ningún tipo de información ya tienes que empezar por conocer la red, hacer labor de inteligencia, romper las contraseñas de los logs… requiere mucho más esfuerzo. Pero en definitiva la caja negra será atacar como lo haría un ciberdelincuente, con todos los recursos al alcance que usan.

La ciberseguridad es cosa de todos; todos somos susceptibles de ser víctimas de un ataque. Un centro educativo tiene el riesgo de, por ejemplo, la filtración de información. Imagínate que salen a la luz expedientes de los alumnos, con la exposición de sus datos personales, salen a luz los números de cuenta con las que sus padres hacen los pagos, datos personales de niños… Todos somos susceptibles de tener un ciberincidente.

Ya no es que permeen en el sistema escolar (que hackeen los ordenadores o la red física del centro), pero hay información sensible. El Reglamento de Protección de Datos afecta a todas las esferas sociales. Que se publiquen datos personales de niños… puede ser muy peligroso. Todos conocemos los casos de grooming, de sexting, redes de pederastas… En el mercado negro se compra todo. Todo es susceptible de ser utilizado, para el bien o para el mal.

Deben impulsar la cultura de ciberseguridad. Hasta hace unos años, cuando yo estudié por ejemplo, te potenciaban la figura informática: cómo usar Word, programar algún pequeño programa… pero los centros educativos son cada vez más conscientes de la necesidad de formar a profesionales. Y la mejor forma es empezando desde jóvenes, con diferentes políticas y enseñanzas, que les vayan favoreciendo que les pique el gusanillo, que digan ‘quiero saber más de esta temática’, ‘me gusta’, ‘quiero indagar más’…

Y poco a poco la sociedad llegará un momento en que seremos conscientes de que la ciberseguridad ha venido para quedarse. Puesto que cada vez estamos más inmersos en una actividad tecnológica. La sociedad ya no se ve sin tecnología, y cada día llegará a más. Estamos en la fase de la Inteligencia Artificial y en qué pasará con esos motores de IA de aquí a diez años.

Esa IA se puede programar para ayudarnos o para hacer el mal. Una IA es al final un software con capacidad de entender, de desarrollo propio, de almacenar información y de aprendizaje que se puede enseñar a que nos ayude (que disminuyan los tiempos de producción, que realice trabajos profesionales), o a que haga análisis de vulnerabilidades, por ejemplo, y que de forma automatizada intente tomar el control… Tenemos que ser muy conscientes de que la tecnología tiene riesgos aparejados.

Se necesitan todos, porque el perfil de ciberseguridad es multidisciplinar. Necesitamos saber si hemos sido penetrados por algún vector de ataque; si tenemos puertas traseras, o si tenemos un vector de ataque latente que no se active hasta que el ciberdelincuente decida. O que simplemente esté recopilando información de nuestra infraestructura y nuestros sistemas. O también necesitamos personal que, ante un incidente, -sepa- cómo combatirlo, cómo hacer esa gestión de incidente y vulnerabilidades. También necesitamos perfiles de blue team que sepan securizar los entornos, que sepan proteger los servidores, las redes y todos los entornos de trabajo informáticos.

Y también necesitamos el perfil de atacante. ¿Cómo atacan los ciberdelincuentes? Si no sabemos atacar nosotros también, ni estamos versados en las tácticas, técnicas y procedimientos que utilizan los delincuentes, no vamos a saber qué vulnerabilidades tenemos para protegernos. Es un perfil multidisciplinar, y en España hacen falta muchísimos. Se estima que para el año 2023 se necesitan en torno a 70.000 profesionales, que para el 2024 unos 80.000. Estamos yendo a que se necesitan en España unas 150.000 personas formadas en ciberseguridad -datos del INCIBE, que indica que a nivel europeo son unos 168.000 de aquí a 2024-.

Y luego iremos más allá. Metodologías que ya están encima de la mesa en la Unión Europea, como es la NIS 2, que ya obligará a que las empresas tengan inversión en ciberseguridad. En el momento en que haya un ciberincidente llegará un señor que te preguntará ‘¿qué medios técnicos o coercitivos ha puesto usted para que ese hecho no se produjera?’, ‘¿tenía alguna barrera de seguridad implementada?’ (sea política de ciberseguridad de la empresa, política de detección de intrusos, firewalls, iEMS, securización de entornos…). Es decir, ‘usted ¿qué ha implementado en su empresa? ¿Nada?’, pues llegará el señor de las rebajas y dirá…

De forma reglada en España solo hay una titulación, la del Máster de FP en Ciberseguridad en Entornos de las Tecnologías de la Información. Es un máster de Formación Profesional, por lo que para acceder a él necesitas tener previamente un ciclo de FP Superior en informática, administración y desarrollo de aplicaciones web multiplataforma, en telecomunicaciones o en el electrónica. Sólo puede acceder ese perfil con esa formación superior como requisito básico, por lo que pueden acceder informáticos, ingenieros de telecomunicaciones, ingenieros en electrónica… que quieran transitar a la ciberseguridad. ¿Por qué no? Yo puedo ser ingeniero y querer formarme en ciberseguridad y mejorar laboralmente. Si vas a mejorar tu carrera transitando a la ciberseguridad y encima te gusta, ¿por qué no vas a poder hacerlo?

Ahí es donde entran a jugar las titulaciones propias. En Universae, de momento, tenemos dos titulaciones propias -en ciberseguridad-. El Specific Master in Strategic Management of Cybersecurity (orientado a formar a profesionales, decisores, directores, CISO, managers, gestores de proyectos, RRHH…). Y ya sobre septiembre-octubre de 2024 empezará el Máster en Seguridad, Ofensiva y Táctica. Ese máster irá enfocado a verdaderos profesionales de la seguridad ofensa, atacantes, pero ya a un nivel avanzado. Ahí, quien no tenga conocimientos avanzados previos no podría seguir el ritmo de la titulación. A esos se les encamina al Máster de FP como iniciación, para que salgas -como- un perfil junior, que vayas cogiendo bagaje en ciberseguridad, y poco a poco vayas subiendo.

Puedes pedirlo por cualquier plataforma de compra, como Amazon o AliExpress… Es hardware totalmente legal porque la finalidad es hacer el bien, medir las vulnerabilidades. Ver si mis redes Wi-Fi están bien, si mis entornos están bien securizados, si las propias políticas de empresa están bien.

Tenemos prohibido que se metan pendrives en los ordenadores de la empresa, pero tendrás que comprobar si hay uno por ahí extraviado y si los trabajadores son conscientes de ello para cumplir las políticas de la empresa. El problema es que, como todo en esta vida, es susceptible de emplearse para el bien o para el mal. Los ciberdelincuentes también usan todas estas herramientas en beneficio propio.

Por desgracia sí, por ello es necesario concienciar en ciberseguridad. Que todo seamos conscientes de los riesgos que la tecnología lleva aparejada. Por ejemplo, que nosotros seamos la primera barrera: que yo sepa que no puedo coger un cable que está por ahí extraviado y del que no tengo conocimiento quién lo ha puesto ahí, y que perfectamente puede infectar mi dispositivo móvil. No usar dispositivos de almacenamiento que no nos ha dado la empresa. Hay que empezar por una base que es la concienciación, y poco a poco ir poniendo barreras. Hablamos de sistemas de detección de intrusos, de análisis de tráfico de red, etc.

Efectivamente, porque en definitiva la FP va a formar a profesionales junior que en cierto modo estarán capacitados para hacer determinados trabajos, técnicas, y ya se puede empezar a nutrir el mercado laboral -con ellos-. Un perfil junior en ciberseguridad es una persona que el empresario asume que tiene que tener aparejados unos dos o tres años de formación. Habrá un perfil senior que tendrá que supervisar a esos junior y, por ende, irá enseñándoles nuevas técnicas, procedimientos, e irá incrementando su valor dentro de la organización.

La intención de UNIVERSAE es colaborar con las empresas españolas para que esos profesionales que formemos vayan al mercado laboral español. Pero claro, como todo en esta vida, todos aspiramos a lo mejor, a mejorar en lo posible laboralmente. Y sí que es cierto que las empresas españolas todavía no pueden competir con el mercado inglés o el norteamericano; los salarios son mucho más atractivos.
Me preocupa también por los funcionarios, y los perfiles que ya llevan un tiempo en el mercado, que no tengan que ser sustituidos por otros nuevos necesariamente.
La ciberseguridad es un entorno que necesita de estudio constante. Como un médico, tienes que estar a la última en las tácticas, técnicas y procedimientos que se están utilizando. Porque a diario se descubren nuevas vulnerabilidades, nuevos vectores de ataque, malwares (softwares maliciosos) con funcionalidades diferentes… Va evolucionando todo y no te puedes quedar obsoleto.