09 Jun Los más buscados: estudiantes de ‘ciberseguridad’
Viernes tarde en La Salle Campus (Universitat Ramon Llull) de Barcelona. Nueve empresas participan en una curiosa rueda de entrevistas de trabajo con los estudiantes de la asignatura ‘Seguridad en las TIC’. Son chicos y muchas menos chicas de entre 21 a 23 años. En estos tiempos de crisis, la imagen es casi surrealista: las empresas yendo a la universidad a buscar a los trabajadores, prácticamente rivalizando por ellos. Pero es que se necesitan cada vez más expertos en seguridad informática y cuesta mucho encontrarlos.
“¿Cómo haces un “pentesting”?”, pregunta a un alumno Vicente Aguilera, de Internet Security Auditors. En el sitio web de esta veterana empresa siempre hay ofertas de empleo. Y no es la única, afirma Jaume Abella, ingeniero y profesor de la asignatura obligatoria, dentro de los grados de Ingeniería Telemática e Ingeniería Informática, ‘IT Security’: “Este año hemos detectado un gran aumento en la demanda de ingenieros expertos en seguridad. Muchas empresas han contactado con nuestro servicio de ‘Bolsa de trabajo’ y, como en la mayoría de casos no encuentran suficientes personas con este perfil, nos contactan directamente a los profesores“.
La respuesta de Jaume Abella a las empresas es, desde hace tres años, esta rueda de entrevistas de trabajo al acabar el curso. Las empresas y consultoras se sientan cada una en una mesa, creando un círculo, y los alumnos, en grupos de dos, tienen diez minutos para exponer su trabajo de curso a cada empresa. Este año han participado nueve y de las buenas: Deloitte, Ernst & Young, GMV, Blueliv, Everis, Internet Security Auditors, Dimension Data, Salemware y Barcelona Digital.
Vicente Aguilera preguntaba por un ‘pentesting’. Es así como se llama, en la jerga del sector, a la tarea de analizar un sistema informático e intentar asaltarlo. Es el trabajo de cada día de los llamados ‘hackers éticos’. Un alumno responde a Aguilera recitando la letanía mil veces practicada en el laboratorio: “Primero miramos el puerto, servicio y sistema operativo y después buscamos información”. Es el hacking hecho asignatura, metodología, diseccionado, reglado y explicado para legos. Pero, ¿sirven todos los alumnos simplemente por haberlo estudiado?
La respuesta parece ser que no, mientras asistimos a las entrevistas, donde chicos y chicas presentan a las empresas su trabajo de fin de curso: se les dieron cuatro máquinas a atacar y hoy deben explicar cómo lo hicieron. “Pasé Nmap, Nessus, ví que tenía una vulnerabilidad fácil y en tres horas había tomado el control de la máquina“, explica un chaval que afirma trabajar como administrador de sistemas en dos empresas, además de dar clases de informática, razón por la cual sólo tuvo tiempo de asaltar uno de los objetivos. Otros dos o tres alumnos también trabajan y se les nota en el discurso. Tienen todos los números para ser contratados.
Los estudiantes han usado diferentes herramientas de hacking durante el curso, pero las más mencionadas en sus exposiciones son, de lejos, el programa Nmap, que analiza los puertos de un ordenador y descubre cuáles están abiertos; el programa Nessus, que busca fallos para atacarlos; Metasploit, que explota los fallos para conseguir el control de la máquina; e Hydra, para romper contraseñas.
Los enviados de las empresas escuchan una vez y otra cómo se asaltó tal máquina, cómo se descubrió tal fallo, y preguntan, preguntan, preguntan: ¿Si fueses el administrador cómo lo arreglarías? ¿Por qué crees que no pudiste acceder a esa máquina? ¿Qué sistema operativo usas en casa? ¿Si este trabajo lo hubieses hecho para una empresa, qué recomendaciones de seguridad le harías? ¿Cómo explicarías los fallos encontrados al director general de la empresa? ¿Cómo harías para asegurarte de que puedas volver a entrar en la máquina atacada?. Las respuestas desvelan el carácter del alumno, quién se lo ha tomado como una asignatura más, quién quiere seguir estudiando, quién quiere ya trabajar.
Y quién tiene alma de hacker: “Un ‘server’ tenía un puerto abierto, intentamos un ataque de diccionario y entramos con ‘user user’, conseguimos ‘root’. Hicimos un ‘script’ en ‘bash’. También había unos ‘exploits’ que tenían muy buena pinta pero no nos ha dado tiempo”. Quien habla es una chica, cuyo discurso en perfecta jerga ha despertado al amodorrado entrevistador. Él le pregunta: “¿Qué es lo que más te ha gustado de este trabajo?”. Ella responde: “La sensación del ‘¡ostras, he conseguido entrar!’, también lo fácil que ha sido”. Brillan los ojos del entrevistador. Ha dado con un diamante.
Posiblemente a esta chica le saldrá más de una oferta. “La mayoría de empresas repiten y muchas han incorporado uno o dos alumnos cada año”, explica Jaume Abella. Una de las repetidoras es Barcelona Digital. Su representante, Marc Rivero explica a los alumnos: “Somos una empresa académica y por eso buscamos gente de la universidad, con perfiles dinámicos”. La seguridad informática está viviendo un ‘boom’ en los últimos cinco años. En Estados Unidos, grandes empresas y el gobierno buscan a expertos bajo las piedras.
Una de las causas de esta escasez es que hace relativamente poco que se estudia seguridad informática en las universidades.
Según Jorge Ramió, director de CriptoRed, profesor y autor de una tesis recién publicada sobre la enseñanza universitaria en seguridad TIC, la primera asignatura dedicada íntegramente a seguridad de la información en España nace en 1988 en la Universidad Politécnica de Madrid. Pero será una rara avis: hasta 1999 sólo habrá 4 asignaturas obligatorias sobre esta temática en las 67 universidades españolas. Ramió lo califica de “situación anómala que relegaba a un segundo plano las enseñanzas de seguridad en las carreras de ingeniería. Tanto es así que profesores e investigadores asistíamos impotentes al espectáculo de ver cómo el mercado demandaba ingenieros con una amplia formación de seguridad y que, sin embargo, era muy difícil introducir estas materias en los planes de estudios”.
La situación cambia radicalmente con el ‘Plan Bolonia’ (Espacio Europeo de Educación Superior), explica Ramió: “De las 4 asignaturas obligatorias en los planes de estudio de 1999, se ha pasado en 2013 a 109 asignaturas obligatorias. En cuanto al cómputo total de asignaturas, el informe de 1999 arrojaba 37 y el actual estudio, con datos hasta diciembre de 2013, entrega la cifra de 221 asignaturas. Además, se imparten en 67 de las 82 universidades actuales, pasando así de una presencia del 40% en 1999 al 82% en 2013. Más aún, se trata de la totalidad de las universidades que ofrecen grados técnicos. Si nos vamos a los másteres, la oferta es de 18 y están para salir dos más”.
Jaume Abella impartió un máster sobre seguridad en La Salle entre el año 2000 y 2008, que se suspendió por falta de demanda. En 2010 la universidad volvió a ofrecer la materia, pero en forma de asignatura obligatoria y en inglés. Que se sepa, es la única que facilita el contacto de sus alumnos con las empresas de esta original manera. Para el curso que viene, Abella dirigirá un ‘Máster en CiberSeguridad’ (PDF), con la colaboración de la empresa Deloitte.
Ahora bien, se aprenda en la universidad o de forma autodidacta (el camino que han seguido los ahora primeras espadas), el gran problema de la ciberseguridad como profesión es la necesidad constante de actualizarse, explica Rivero a los estudiantes: “Debes practicar toda la vida. Los certificados y titulaciones no son tan importantes como os puedan decir. Lo importante es estar muy actualizados de lo que hay en el mundillo, ir a congresos, hacer ‘networking’, participar en proyectos”. Algo que significa bastante más de ocho horas de trabajo al día y que quizás explique también esta falta de efectivos.