Jorge Martínez Hurtado tiene 22 años y acaba de terminar el grado de Ingeniería de Software con especialización en ciberseguridad en la U-tad (Centro Universitario de Tecnología y Arte Digital), una universidad privada especializada en estudios tecnológicos e innovadores. Antes de finalizar el curso ya tenía trabajo. Su carrera tiene un 100% de empleabilidad debido a la alta demanda de su profesión: él es hacker ético.
"Ahora mismo soy auditor de seguridad en la empresa SilentForce. Voy a hacer un año aquí el próximo 3 de julio. Primero estuve como becario durante tres meses y después me hicieron el contrato fijo cuando todavía no había terminado la carrera, la cual ofrece la opción de elegir una rama universitaria en el tercer año. Entonces, dependiendo de la rama que escojas, tienes algunas asignaturas específicas de esa rama para ayudar a especializarte un poco en ella. Y en este caso yo escogí ciberseguridad porque era lo que siempre me había llamado la atención", cuenta a EL ESPAÑOL Jorge.
Un hacker ético es el profesional que intenta descubrir problemas de seguridad en empresas con la finalidad de reportar esos fallos de la forma más descriptiva posible para intentar que los corrijan. "Básicamente imito al malo, al ciberdelincuente, para que cuando llegue el de verdad no haga daño", aclara el madrileño.
[Pedro está estudiando un doble grado que es único en España y que tiene un 100% de empleabilidad]
Jorge desde bien pequeño vivía obsesionado al ordenador, se pasaba "pegado" a este día sí y día también. "Cuando hackearon a Telefónica en 2017 me sorprendió bastante que se pudiera hacer eso con un virus, y me voló la cabeza. A partir de ese momento, empecé a investigar por mi cuenta y formarme más. En 2018 ya sabía que quería hacer algo relacionado con ingeniería informática, con ordenadores, y vi que la U-tad ofrecía la ingeniería del software". Y en 2019 entró en la carrera de sus sueños.
El trabajo de un hacker ético
Ahora, cuatro años después, el joven "emula" de la forma más realista posible ataques usando herramientas que los hackers "malos" también utilizarían para poder evaluar la seguridad en un escenario de la empresa. "Es literalmente hackear bajo contrato y recoger todas las evidencias que tenemos de que hemos logrado entrar a sitios o hemos detectado distintas cosas y explicar por qué lo consideramos como una vulnerabilidad".
Sin embargo, él no soluciona el problema ni corrige los errores, simplemente "los hago conocer". "Es verdad que hay otras empresas que también son auditorías y consultorías y das la solución. Nosotros simplemente aconsejamos. Imagínate que hay un servidor web que vemos que está desactualizado y cualquiera puede ejecutar comandos, pues nosotros el consejo que vamos a dar es actualizado el servidor web. No les vamos a decir exactamente cómo, porque quizá ese servidor web es crítico dentro de su infraestructura, no pueden actualizarlo por algún motivo, o tiene que solucionarse el problema de otra forma que no determinamos. Pero nosotros, a priori, simplemente lo que hacemos es descubrir esos fallos de seguridad e intentar dar unas guías generales sobre cómo se podría hacer", desarrolla Jorge.
Su sector es uno de los más demandados ya que "apenas" hay perfiles para cubrir los puestos, y "ahora que se está implementando el tema digital en absolutamente todo, igual que sube la demanda de programadores e igual que sube la demanda de técnicos, también está subiendo la demanda de gente especializada en ciberseguridad".
Pregunta.- ¿Cuánto cuesta el grado que ha estudiado?
Respuesta.- Unos 1.100 euros al mes. Cuenta también con ayudas al estudio. Si tienes de los mejores expedientes te hacen descuentos. También hay becas para chicas. Porque sí es verdad que la mayoría de nosotros somos hombres. Y, de hecho, para que te hagas una idea, en mi clase éramos 25 personas y solo había una chica.
Esos 1.100 euros al mes durante los cuatro años de estudio se traducen en 52.800 euros, sin embargo, ese desembolso le ha servido a Jorge para dedicarse de lleno en lo que más le apasiona, lo considera una inversión. Confiesa que esto ha sido posible ya que el grado que ha cursado es poco conocido. Jorge Sanz, director del área de ciberseguridad de la U-tad, asegura a este periódico que la carrera "facilita el hecho de que estos profesionales que terminan el grado puedan de alguna manera empezar a trabajar directamente en cosas relacionadas".
Sanz subraya que el fin último durante los dos últimos años del curso es que los alumnos como Jorge sepan "ver de qué manera se pueden llegar a comprometer una información valiosa por un posible ataque". Y esto se hace de la siguiente manera: "Comprometiendo activos para poder conseguir un acceso y moverse dentro de una empresa. Una vez que has conseguido ese acceso principal, esa puerta de entrada, ya puedes empezar a moverte para poder seguir examinando, revisando o comprometiendo los diferentes sistemas que hay dentro de la propia empresa".
P.- ¿Qué se les enseña a los estudiantes del área de ciberseguridad?
R.- Saber de qué manera van a poder responder a un incidente, conocer los escenarios, conocer las técnicas, los equipos y, sobre todo, quiénes tienen que tomar las decisiones en el momento de gestionarlo. Porque muchas veces se tiene la idea errónea de que la gente de ciberseguridad se encarga. Pero el impacto es en el negocio, no en una tecnología. Insistimos en el negocio, en la operación del día a día, lo que realmente está repercutiendo. Esa es la mejor manera de hacerlo. Y hay que dejar que sea el negocio el que decida cuál es la mejor solución para arreglar el problema, porque a lo mejor el remedio que he puesto para contener, que técnicamente hablando podría estar muy bien, ha sido terrible porque ha roto un proceso completo de negocio, de creación de nóminas, de gestión de clientes, de gestión de proveedores... Entonces el negocio tiene que estar involucrado en la toma de decisiones.
P.- ¿Y cómo se realizan este tipo de operaciones?
R.- Evitando que te detecten cuando estás haciendo un reconocimiento de las tecnologías, una explotación de una vulnerabilidad... Todas estas operaciones no solo hay que realizarlas, sino que hay que hacerlo de forma sigilosa para que las técnicas de detección que tiene desplegada la empresa no se den cuenta de que alguna operación maliciosa se está llevando a cabo. Entonces nos parece que es un enfoque muy útil para cuando los alumnos, una vez finalicen el curso y puedan ejercer la función, en este caso de hacker ético, cuenten con unas ciertas garantías no solo de conocimiento de las plataformas, sino también de cómo poder hacerlo de forma discreta.
Debido al 100% de empleabilidad que tiene el grado de Ingeniería de Software en la U-tad, todo aquel que desee especializarse en este campo conseguirá un trabajo fijo al instante, como ha ocurrido con Jorge y sus compañeros.