Madrid
El paro registrado en junio se ha situado en 2.561.067, la cifra más baja desde agosto de 2008 y, en esta ocasión, con récord de empleo. No obstante, el sector de la ciberseguridad no encuentra profesionales. Según el Instituto Nacional de Ciberseguridad (Incibe) esta área tiene hasta 30.000 vacantes en España sin cubrir y para este año se estimaba que serían necesarios más de 80.000 profesionales en esta área.
El sector de la tecnología de la información (IT) está experimentando un crecimiento significativo, pero enfrenta dificultades para encontrar profesionales calificados. La falta de personal especializado ha llevado a que casi la mitad de las empresas tengan que capacitar a sus propios empleados para cubrir estos puestos de trabajo. Los perfiles más solicitados incluyen cloud computing, análisis de riesgos, inteligencia artificial y gobernanza, aunque también hay oportunidades en campos como la comunicación, el marketing y el derecho TIC. La demanda de profesionales en ciberseguridad está en alza y se espera que siga aumentando. A nivel global, el sector de IT ha experimentado un alto nivel de crecimiento en la última década, pero la escasez de profesionales especializados es uno de los desafíos principales. Muchas empresas están contratando candidatos menos experimentados pero con habilidades transferibles y los capacitan para convertirlos en recursos ideales.
En términos militares, el ciberespacio se considera el "quinto dominio", y hay muchas personas trabajando para crear un ciberespacio más seguro desde diferentes ámbitos, como el técnico, la comunicación y la regulación. La industria del cibercrimen es la tercera más grande a nivel mundial, por lo que se necesita una mayor colaboración entre estados y empresas, ya que las amenazas son globales. Es evidente que existe la necesidad de homogeneizar la legislación en la protección de datos, ya que un usuario europeo no está protegido por la legislación europea al acceder a servicios o contenidos de empresas fuera de la UE.
Madrid necesita cubrir 20.000 vacantes
El Incibe indica que de esos 80.000 puestos en ciberseguridad, 30.000 puestos quedarán sin cubrir. Y de estos, la Comunidad de Madrid necesitará cubrir 20.000 vacantes, pero se estima que 6.000 quedarán sin ocuparse debido a la falta de personal cualificado. A pesar de contar con el 42% de la oferta universitaria en ciberseguridad, la región no logra formar suficientes expertos para satisfacer la creciente demanda.
En 2023, la Comunidad de Madrid experimentó un alarmante aumento del 25% en delitos informáticos, y esta tendencia ha continuado en 2024 con un crecimiento del 9,4% en el primer trimestre. Ante esta situación, se necesitan urgentemente 41.000 profesionales en el sector digital.
Y es que, en 2024, el Ministerio del Interior registró 19.569 infracciones penales digitales en el primer trimestre. Instituciones como la Universidad Complutense y grandes empresas como Iberdrola, Telefónica y Santander fueron víctimas de hackeos en solo dos semanas en el mes de mayo.
La Comunidad de Madrid ha establecido una Oficina Técnica de Impulso de la IA y un clúster de inteligencia artificial en la Universidad Carlos III, con la colaboración de empresas como Microsoft y NTT Data. El objetivo es desarrollar aplicaciones de IA tanto en el sector industrial como en los servicios públicos, con más de cien proyectos en marcha, incluyendo la Tarjeta Sanitaria Virtual.
En su primer año, la Consejería de Digitalización ha simplificado y digitalizado más de 1.450 trámites administrativos, buscando hacer los servicios más accesibles para personas con discapacidades visuales o cognitivas mediante sistemas de voz y asistentes de conversación.
Según Manuel Rodriguez, Sr Manager para Fraude & Delitos Financieros en SAS, se está produciendo un aumento en los intentos de ataques cibernéticos que afectan a consumidores, empresas y administraciones públicas, lo cual puede ser descrito como ingeniería social a gran escala. De acuerdo con un estudio realizado por SAS llamado 'Faces of Fraud', el 84% de los españoles teme ser víctima de algún tipo de fraude digital, y el 44% ha experimentado algún intento de estafa durante el año 2023. Estos datos reflejan que tanto la sociedad como las organizaciones están enfrentando las mismas amenazas en este sentido. En consecuencia, la evolución y la cantidad de ataques cibernéticos superan el ritmo de creación y formación de expertos en el campo de la ciberseguridad. En este contexto, aún no se sabe cuánto tiempo tomará desarrollar una cantidad suficiente de profesionales que este sector en constante evolución demande.
Graves consecuencias para las empresas
La escasez de talento en ciberseguridad puede tener consecuencias muy graves para las empresas. Mario García, director general de Check Point Software para España y Portugal, destaca que por ejemplo, son más vulnerables ante un posible ciberataque al no contar con un equipo preparado para identificar y mitigar estos peligros con la eficacia adecuada. "Esto puede conllevar brechas de seguridad, pérdidas de datos sensibles y daños reputacionales". Además, la falta de especialistas ralentiza la implementación de medidas de seguridad avanzadas y reduce notablemente la capacidad de respuesta para salir airosos de estos incidentes. "Como consecuencia, el tiempo de recuperación puede extenderse y aumentar los costes asociados". Por otro lado, la escasez de expertos en esta materia dificulta la formación y la concienciación interna sobre prácticas de ciberseguridad, lo que deja a las empresas en una situación de vulnerabilidad y a merced de las amenazas internas y los errores humanos.
Álvaro Fraile, Global Cybersecurity Services Director de Ayesa, aborda también las principales consecuencias de la escasez de expertos en ciberseguridad para las empresas. Según Fraile, la falta de profesionales cualificados en este campo ha generado un aumento de vulnerabilidades dentro de las empresas, lo que las convierte en blancos fáciles para los ciberdelincuentes. Esta situación ha llevado a un incremento significativo de amenazas como malware, ransomware y phishing, que prosperan en entornos desprotegidos. Además, la escasez de expertos en ciberseguridad ha tenido implicaciones financieras significativas, con pérdidas económicas directas a través de robos de datos y extorsiones, así como costos elevados asociados a la remediación de incidentes de seguridad. La falta de expertos también ha dificultado el desarrollo e implementación de estrategias proactivas de ciberseguridad, lo que ha permitido a los delincuentes evolucionar sus técnicas sin una oposición eficaz. En términos de reputación, una violación de seguridad puede dañar la confianza de clientes, socios y accionistas, lo que a su vez puede tener consecuencias duraderas en las ventas y las relaciones comerciales. Además, los ataques cibernéticos pueden causar interrupciones significativas en las operaciones diarias de una empresa, comprometiendo la continuidad del negocio y afectando la productividad. La falta de expertos en ciberseguridad también puede retrasar la implementación de nuevas tecnologías, como IoT, inteligencia artificial y blockchain, que requieren medidas de seguridad sólidas. Esto no solo afecta la innovación, sino que también reduce la competitividad de las empresas en un mercado donde la rapidez y la seguridad en la adopción tecnológica son clave.
Recientemente, Check Point Research ha sido testigo de un aumento en la incidencia media de ciberataques por empresa y semana en el primer trimestre de 2024, que ha alcanzado los 1.308. Esto presenta un incremento del 5% en comparación con el Q1 de 2023 y del 28% con respecto al último trimestre de 2023. Esta estadística es un claro indicador del continuo y cambiante entorno de los ciberataques, y pone de manifiesto una tendencia preocupante hacia una rápida escalada de las ciberamenazas, con un repunte destacable con respecto al final del año pasado. En España, una empresa sufre una media de 1.067 ataques semanales en los primeros 6 meses de 2024, según datos de nuestro Threat Intelligence Report de Check Point Research.
El país se enfrenta a varios peligros importantes debido a la escasez de profesionales en este campo. Desde Check Point Research enumeran algunos. En primer lugar, los ciberataques a las cadenas de suministro y a cualquier tipo de infraestructura esencial como la energía, el transporte y la sanidad son más susceptibles, lo que podría tener consecuencias devastadoras para la seguridad y el bienestar de los ciudadanos. Además, las entidades gubernamentales y las empresas privadas están en riesgo de sufrir robos de información confidencial y propiedad intelectual, lo que podría perjudicar la competitividad y la economía nacional. "La falta de especialistas dificulta la creación de políticas y regulaciones adecuadas para combatir las ciberamenazas emergentes. Esto no solo afecta la seguridad, sino que también puede retrasar la adopción de nuevas tecnologías y la transformación digital, limitando el desarrollo y la innovación tecnológica", afirma García.
Adaptarse a los cambios
En relación con la brecha en las habilidades que necesita el mercado, Rodriguez señala que "la brecha existente no ha disminuido a lo largo del tiempo". Los profesionales de esta industria "no solo necesitan formarse en ciberseguridad para ser competitivos en el mercado laboral, sino que también deben adaptarse rápidamente a los cambios que experimenta el sector debido a la evolución de los cibercriminales". Los constantes cambios en este ámbito son provocados por la diversidad de ataques y virus. A medida que los ataques son más recientes y sofisticados, se requiere una mayor innovación en la forma de combatirlos. Todo esto contribuye a que la brecha entre las habilidades demandadas por las empresas y las que poseen los expertos aumente, y continúe haciéndolo, lo que podría representar una lucha interminable.
El departamento de RRHH de TRC señala que muchos de los programas existentes no están alineados con las necesidades y amenazas actuales del mercado. Según ellos, esto afecta tanto a los nuevos profesionales como a aquellos que ya están en el mercado laboral, ya que necesitan formación continua para mantenerse actualizados.
García afirma que la escasez de expertos en ciberseguridad ha contribuido significativamente al aumento de los delitos cibernéticos. "Los ciberdelincuentes aprovechan la falta de defensas sólidas y la escasa vigilancia en muchas organizaciones para lanzar ataques cada vez más sofisticados". Sin personal cualificado que pueda identificar y neutralizar estas amenazas, las organizaciones se convierten en blancos fáciles. Además, la falta de expertos impide el desarrollo e implementación de estrategias proactivas de ciberseguridad, lo que permite a los delincuentes evolucionar sus técnicas sin una oposición eficaz. Esta situación no solo incrementa la frecuencia de los ataques, sino también su éxito y el impacto financiero y operativo sobre las organizaciones. Además, García considera que con "la llegada de la inteligencia artificial (IA), la brecha de profesionales formados en ciberseguridad afecta gravemente a la eficacia con la que las compañías pueden establecer un sistema de defensa adecuado contra la ciberdelincuencia basada en IA". Según una investigación de mercado realizada por Check Point Software junto a Vanson Bourne, el 98% de los encuestados ha señalado que la IA generativa ha tenido un "impacto" en sus operaciones de seguridad, y el 40% ha destacado un "fuerte impacto". Para abordar esta situación, es crucial utilizar contraseñas seguras, emplear la autenticación multifactor, mantener el software de correo electrónico y los sistemas operativos de los dispositivos actualizados, usar cifrado para proteger la privacidad y confidencialidad de los correos electrónicos, y contar con un software de seguridad adecuado.
La brecha de género sube
Según INCIBE, solo el 18% de las personas graduadas especializadas en esta materia son mujeres. La brecha de género en sectores cualificados es un problema que también afecta a la brecha salarial, por lo que el Foro de Mujeres Ciberlíderes de Andalucía propone trabajar desde etapas tempranas de la educación para fomentar las vocaciones en ciberseguridad.
No obstante, los del Instituto de la Ciberseguridad muestran que ha habido un incremento cercano al 30% en el número de mujeres que trabajan en el campo de la ciberseguridad. Sin embargo, el Foro Económico Mundial ha realizado una previsión a largo plazo y afirma que no será hasta el año 2150 cuando se alcanzará la igualdad en términos de hombres y mujeres dedicados al mundo de la tecnología.
El sector está estereotipado y se asocia con la imagen de un hombre joven o adolescente, con sudadera y capucha, que vive frente a un ordenador y tiene una vida social limitada a través de las pantallas. Pero la realidad es bien distinta. Hay oportunidades de empleo cualificado y con buenas remuneraciones en este sector. De hecho, no es necesario estudiar Informática o Telecomunicaciones para ingresar a esta industria, ya que los departamentos de ciberseguridad están compuestos por una variedad de perfiles, incluidos profesionales del Derecho, la Economía o el Periodismo.
Sin embargo, es cierto que las series, el cine y los medios de comunicación han impuesto una imagen muy masculinizada del hacker, tanto del que está del lado del mal como del que lucha para frenar esos ataques. Estos estereotipos actúan como disuasivos para las mujeres.
Cristina Gonzalez Pitarch, directora General para EMEA, Google Cloud Security, asegura que "la ciberseguridad es un sector que necesita variedad de perfiles y ángulos, y mucha diversidad de formación si de verdad se quieren cubrir todas las vacantes existentes a día de hoy en este ámbito". En este punto, cree que es esencial conseguir atraer el talento femenino, que, desafortunadamente, "sigue siendo escaso en nuestro sector". Por ello, desde Google, junto con otros partners como INCIBE, EOI y Women4cyber han formado a más de 98.000 usuarios con cursos online y presenciales que contribuyen a cubrir la gran demanda de puestos de trabajo en ciberseguridad. Esta iniciativa incluye 10.000 becas para acelerar el efecto en el mercado laboral español.
Además, en España, Google ha lanzado el programa "Protege tu negocio", dirigido a reforzar la seguridad en Internet de las pequeñas y medianas empresas, en el que ya han participado más de 64.000 pymes. Y ha lanzado junto a Fundae y el Servicio Público de Empleo Estatal (SEPE) un nuevo curso que facilitará la inserción laboral de personas desempleadas en el ámbito de la seguridad informática lo que muestra también la firme creencia de Google en la necesidad de una colaboración estrecha entre entidades públicas y privadas en este ámbito.
Por su parte, Ana Bujaldón Solana, presidenta de FEDEPE (Federación Española de Mujeres Directivas, Ejecutivas, Profesionales y Empresarias), ha destacado la importancia de la inclusión de mujeres en equipos de ciberseguridad debido a las repercusiones sociales, económicas y empresariales que esto conlleva. Según Bujaldón, la diversidad de perspectivas que aportan las mujeres es crucial para la identificación y solución de problemas complejos. Los equipos diversos tienden a ser más innovadores, ya que diferentes vivencias y formas de pensar generan enfoques innovadores y efectivos, incluso en el campo de la ciberseguridad. La variación en experiencias y puntos de vista puede estimular nuevas ideas y métodos para abordar desafíos. Por lo tanto, es prioritario corregir los ángulos ciegos que provoca la uniformidad de género en los equipos encargados de ciberseguridad, y asociados a los sesgos sexistas, para garantizar una mirada inclusiva y global. Esto es esencial en un campo como la ciberseguridad, que marcará sin duda el futuro empresarial y de nuestra sociedad.
Además, Bujaldón destaca que la ciberseguridad enfrenta una significativa escasez de talento. "Al atraer y retener a más mujeres en este campo, se puede reducir esta brecha de talento, asegurando que haya suficientes profesionales cualificados para proteger las infraestructuras y datos críticos". Al mismo tiempo, se crean puestos de trabajo cualificados y de calidad para mujeres, lo que contribuye a erradicar la persistente brecha salarial de género y promover la igualdad de oportunidades en sectores estratégicos y rentables de la economía, como la ciberseguridad
Así mismo, Google ha becado a diez alumnos del Título de Experto en Ingeniería Inversa e Inteligencia Malware de la UMA en 2024. Y, desde que "abrimos el centro de ciberseguridad en Málaga, hemos formado a más de 200 pymes y a más de 2500 estudiantes y profesionales de la ciberseguridad. Sin duda, el GSEC Málaga contribuirá al trabajo de Google para reforzar la seguridad digital en Europa ampliando el número de estudiantes atraídos por este campo y mejorando el nivel de conocimientos y experiencia disponible para las empresas", añade Gonzalez.
El departamento de RRHH de TRC reconoce que la brecha formativa en ciberseguridad es un desafío significativo y afirma que están comprometidos con reducir esta brecha. Según ellos, están buscando y proponiendo iniciativas como el mentoring, la formación continua y la colaboración con entidades externas. Además, mencionan que la empresa apuesta por el desarrollo integral de sus empleados, creando un entorno que fomente tanto el crecimiento personal como profesional.
En este punto, Fraile, destaca algunas iniciativas clave que se están llevando a cabo para fomentar la formación y capacitación en ciberseguridad. Según Fraile, estas iniciativas incluyen programas académicos y certificaciones, iniciativas gubernamentales, programas de capacitación corporativa, plataformas de aprendizaje en línea, programas de mentoría y redes profesionales, iniciativas de diversidad e inclusión, competencias y hackathons, alianzas público-privadas, y el apoyo a nuevas empresas a través de incubadoras y aceleradoras. En el ámbito académico, se están ofreciendo programas de grado y posgrado en ciberseguridad en diversas instituciones educativas, proporcionando una formación integral que abarca aspectos técnicos y de gestión. Además, organizaciones reconocidas a nivel global ofrecen certificaciones profesionales que validan las habilidades y conocimientos de los profesionales en ciberseguridad.
A nivel gubernamental, se están ofreciendo becas y subsidios para estudiantes y profesionales interesados en especializarse en ciberseguridad, y se están implementando programas de concienciación para aumentar el conocimiento y la preparación en ciberseguridad entre la población general y las organizaciones. En el ámbito corporativo, muchas empresas están invirtiendo en la capacitación continua de su personal mediante programas internos y colaboraciones con instituciones educativas.
Además, se utilizan simulaciones de ataques cibernéticos para entrenar a los equipos en la respuesta a incidentes de seguridad. Las plataformas de aprendizaje en línea, como Coursera, Udemy y edX, ofrecen una amplia variedad de cursos en ciberseguridad, accesibles desde cualquier lugar y a bajo costo. Además, los Cursos Masivos Abiertos en Línea permiten a los estudiantes aprender a su propio ritmo sobre diversos aspectos de la ciberseguridad.
En cuanto a la diversidad e inclusión, se están implementando programas específicos para atraer a mujeres y minorías subrepresentadas al campo de la ciberseguridad, ofreciendo becas, talleres y eventos de networking. Las competencias CTF (Capture The Flag) y los hackathons permiten a los participantes resolver desafíos de ciberseguridad en un entorno controlado, promoviendo el aprendizaje práctico y la innovación.
Finalmente, las alianzas público-privadas están facilitando el desarrollo de programas de capacitación y certificación, promoviendo la ciberseguridad como una carrera atractiva, y las incubadoras y aceleradoras están apoyando a startups enfocadas en soluciones innovadoras de ciberseguridad, proporcionando recursos, mentoría y financiamiento. Estas iniciativas están diseñadas para cerrar la brecha de habilidades en ciberseguridad, proporcionando a las personas y organizaciones las herramientas necesarias para protegerse contra las crecientes amenazas cibernéticas.