Formación sobre seguridad informática en España: recursos y consejos para los futuros profesionales

“¿Dónde puedo formarme en ciberseguridad?” Esta sigue siendo una de las preguntas más repetidas y que oímos tras finalizar alguna ponencia en un congreso o se nos pregunta a través de redes sociales o incluso a través de los comentarios de este blog. De un tiempo a esta parte la oferta ha aumentado considerablemente y el problema ya no es encontrar un curso, grado, máster o certificación sobre ciberseguridad, sino algo que se ajuste a nuestras necesidades, presupuesto u horario.

Actualizando las ofertas de formación reglada

Desde que empezamos a elaborar esta guía hace justo cuatro años, el abanico de posibilidades  para todos los interesados en estudiar una rama relacionada con la seguridad informática en España ha experimentado un importante impulso que pocos imaginábamos.

Actualmente sigue siendo recomendable realizar algún ciclo formativo o grado universitario relacionado con la rama de la informática para tener una base sólida. A pesar de esto, nunca debemos descartar las posibilidades que se ofrecen de forma autodidacta, si bien a la hora de buscar empleo la posesión de un título es todavía muy determinante para muchos responsables de recursos humanos.

En lo que respecta a la formación reglada, no ha habido mucho avance en los últimos años, aunque poco a poco empiezan a aparecer iniciativas como la de la Universidad Rey Juan Carlos con su grado de Ingeniería de la Ciberseguridad, que ha obtenido una valoración favorable para que el grado sea reconocido como oficial, pudiendo realizarse a partir del próximo curso 2018-19.

Además, las universidades españolas ofrecen un amplio catálogo de másters relacionados con la ciberseguridad y seguridad de la información. En alguno de estos másters tenemos el orgullo de estar como profesores, por ejemplo en el de la Universidad de Castilla-La Mancha, donde, entre otras muchas materias, se introduce a los alumnos en el análisis de malware.

Los másters no son la única opción que ofrecen las universidades, ya que también ponen a disposición de todo aquel que lo desee los cursos de especialización. Un ejemplo de esto es el curso de experto en derecho tecnológico e informática forense impartido por la Universidad de Extremadura (en el cual también participamos como docentes), orientado tanto a profesionales del derecho como de la informática que quieran  iniciarse y profundizar en Informática Forense, Derecho Tecnológico, Delitos Informáticos, Hacking Ético y Ciberseguridad.

Certificaciones y cursos para todos los gustos

En el artículo anterior relacionado con la formación en ciberseguridad nombrábamos varias de las certificaciones más valoradas en el mercado, además de algunas centradas en sistemas o tecnologías en concreto. Todas esas certificaciones siguen siendo perfectamente válidas actualmente, aunque la oferta se ha diversificado de forma considerable.

Sin embargo, uno de los problemas que tienen las certificaciones clásicas es que muchas de ellas consisten en estudiarse un temario extenso, entrenarse para el examen con una batería de preguntas que podrían aparecer y realizar una prueba que, en demasiadas ocasiones, consiste en una elevada cantidad de cuestiones con múltiples respuestas a elegir. Este sistema produce que un número elevado de estudiantes que han recibido su certificación olviden buena parte de lo estudiado al poco tiempo, a menos que lo pongan en práctica.

Para evitar, o por lo menos minimizar este efecto, varias certificaciones optaron por incluir prácticas de laboratorio para demostrar que lo estudiado podía llevarse a la práctica en un entorno que simulara uno real. Dando una vuelta de tuerca a este concepto, actualmente nos podemos encontrar con ofertas tan interesantes como la que ofrece la academia Securízame.

Esta empresa, de sobrada experiencia en el mundo de la ciberseguridad y capitaneada por todo un referente como es Lorenzo Martínez, presentó hace unos meses la primera certificación española 100% práctica y presencial pensada para formar profesionales en respuesta ante incidentes usando una metodología de certificación propia.

De esta forma, los alumnos que superen esta certificación serán capaces de afrontar incidentes de seguridad para averiguar cómo se produjeron y cuánto daño causaron, además de generar un informe entregable para que los responsables tomen las medidas adecuadas para evitar que este tipo de incidentes vuelvan a suceder.

Además de esta certificación, desde Securízame y otras empresas relacionadas con la formación en Seguridad informática como The Security Sentinel se ofrecen cursos de pago con varias temáticas para que el alumno se especialice en la rama que más le interese. Muchos de estos cursos pueden realizarse de forma online y la oferta a nivel nacional es elevada, por lo que recomendamos echar un vistazo al catálogo realizado por INCIBE.

La vía autodidacta

Probablemente, el sector de la seguridad informática sea uno donde más autodidactas existan en la actualidad. La rapidez con la que avanzan las técnicas de ataque y defensa y la necesidad de estar constantemente actualizado juegan en contra de la formación reglada, que necesita de tiempo para adaptarse a estos cambios constantes.

Por eso, no es raro encontrarse con profesionales del sector que han estudiado por su cuenta materias que no se impartían en ningún centro educativo. Incluso algunos de estos profesionales han terminado como docentes en los cursos que han ido apareciendo en los últimos años, debido principalmente a la carencia de profesorado especializado en la materia.

El problema del autoaprendizaje es que exige una mayor disciplina y esfuerzo al profesional, pero, por el contrario, permite explorar campos que en muchas de las formaciones no se llegan a tocar o, al menos, no en la profundidad que se desearía. Sin embargo, de la misma forma que los cursos y certificaciones han aumentado exponencialmente, también lo han hecho los cursos gratuitos disponibles.

Ahora mismo, no es difícil encontrar cursos online gratuitos de todo tipo que permiten aprender materias de lo más interesantes. Incluso desde ESET se ofrecen este tipo de cursos online gratuitos que podemos realizar y que se adaptan tanto a los intereses de un futuro experto en ciberseguridad como a los de un usuario medio dentro de una empresa.

SI necesitamos de un apoyo  para esa materia que se nos resiste podemos optar por una gran cantidad de manuales online y complementarlo con algo más clásico pero igualmente efectivo como son los libros publicados por la editorial 0xWord, siendo algunos de ellos todo un referente entre los usuarios de habla hispana.

Además de todo lo mencionado hasta ahora, no debemos olvidar la gran cantidad de blogs disponibles para cualquiera que quiera aprender seguridad informática. Hace un tiempo hicimos un repaso a alguno de los blogs más destacados en español, y aunque ya entonces se quedaron muchos en el tintero, es un buen punto para empezar a leer a referentes en el mundillo de la ciberseguridad.

Pero no todo va  a ser teoría, ya que la seguridad informática es algo que se debe poner en práctica. Tenemos que conocer cómo evolucionan las técnicas y herramientas utilizadas por los atacantes tanto para defendernos de ellas como para utilizarlas en labores de auditoría y pentesting. Por eso, es importante contar con recursos que nos permitan practicar nuestros conocimientos y la lista elaborada hace un tiempo por los compañeros de Hack Players es un muy buen comienzo.

Por último, no debemos olvidar los numerosos congresos de ciberseguridad que pueblan la geografía española, siendo difícil que no tengamos uno cerca de nuestro lugar de residencia. Estos congresos son una muy buena fuente de conocimientos y nos permiten conocer a profesionales que son referentes en su campo y de los cuales podemos aprender muchas cosas, como, por ejemplo, hacia dónde orientar nuestro futuro profesional.

Conclusión

Como acabamos de ver, las opciones para adentrarse en el mundo de la seguridad informática son múltiples y variadas. Sin embargo, hay algo que todo aquel que quiera dedicarse a este sector profesional debe tener muy en cuenta, y es que este es un proceso de aprendizaje continuo. De nada sirve estudiar durante un tiempo para sacarse un grado o una certificación si luego esos conocimientos no se ponen en práctica y se reciclan constantemente.

Esperamos que esta humilde guía haya servido de orientación y, aunque sabemos que nos dejamos mucha información en el tintero, esperamos poder actualizarla periódicamente para mostrar las nuevas opciones que continuamente van apareciendo.

Josep Albors

Photo credit: J. Paxon Reyes / Foter / Creative Commons Attribution-NonCommercial 2.0 Generic (CC BY-NC 2.0)

Boletines de seguridad de mayo 2018 de Microsoft, Google y Adobe