A raíz de cuatro jóvenes arrestados por presunta participación en los recientes ataques de ransomware de Marks & Spencer, cooperativa y Harrods, es fácil apresurarse a censurar a los responsables de la interrupción causada. ¿Pero estamos siendo demasiado apresurados en nuestra condena? En una era de escasez de habilidades continuas, un gran número de violaciones de seguridad y una fuerza laboral de seguridad cibernética envejecida, ¿deberíamos estar buscando grupos alternativos de talento joven, que incluye piratas informáticos, para salvar el día? Mike Gillespie es director ejecutivo de la consultoría de información y seguridad física, Advent IM. Como él señala: «Es una profesión envejecida. Tengo 56 años y soy promedio aquí. Somos la generación que comenzó todo esto y creó una profesión como profesionales de los aficionados, pero seguimos siendo la mayor parte». Otro desafío es que la industria todavía carece de diversidad y sigue siendo predominantemente «blanca y masculina», dice. Esto significa que la mayoría de los empleadores compran talento «desde la misma tienda de esquina y la acción se está volviendo muy baja». El resultado, dice Gillespie, es que: «Las organizaciones siguen furtivas entre sí y, por lo tanto, los salarios siguen aumentando. Pero estamos llegando a un punto de crisis, a un punto de inflexión, donde un número significativo de nosotros nos estamos moviendo hacia la jubilación y no hay suficientes jóvenes». La seguridad cibernética se entiende mal, algunos de los problemas aquí pueden atribuirse a la imagen basada en la película de los profesionales de la seguridad cibernética que son «geeks solitarios» en sudaderas con capucha que aprovechan los teclados en habitaciones con poca luz. Pero la falta de modelos a seguir alternativos «está dejando a mucha gente», cree que Amanda Finch, directora ejecutiva del Chartered Institute of Information Security (CIISEC). También está reduciendo la percepción de la variedad de roles disponibles dentro de la profesión. «De dónde viene parte de la confusión es que todo está etiquetado como» seguridad cibernética «cuando es realmente seguridad de la información, lo que encapsula las cosas cibernéticas», dice Gillespie. «La seguridad de la información es la gobernanza, el riesgo, el cumplimiento y la auditoría, pero las personas se centran en trabajos de alta tecnología, como pruebas de penetración y piratería ofensiva, ya que parecen más sexys, a pesar de que son solo una pequeña parte de la industria en general». Finch está de acuerdo. «Aunque nosotros, como industria, estamos haciendo un mejor trabajo, todavía no estamos haciendo lo suficiente para explicar cuán diversa es la profesión en términos de roles y cuánto dependemos de la experiencia más allá de las habilidades cibernéticas puras», dice ella. «A la gente le gusta la idea de que está bien pagado y hay trabajo disponible, pero todavía se ve como un arte oscuro». Chris Wysopal es cofundador de la compañía de seguridad de aplicaciones Veracode y un antiguo hacker de L0PHT. Él cree que el problema es aún más básico. «Uno de los desafíos es que los niños de secundaria con aptitud para la seguridad cibernética no siempre son conscientes de ello como profesión», dice. «Pueden ser jugadores o personas que han jugado con diferentes redes de redes y herramientas de IA y no saben que podrían convertir su interés en una carrera, por lo que existe la necesidad de una mejor promoción de la industria». Potencial alternativo de la piscina de talento Otra barrera de entrada es la falta de vías claras hacia la profesión más allá de ir a la universidad. Esto es importante, cree Wysopal, ya que «muchas personas talentosas que podrían ser buenos practicantes no son el tipo de persona que quiere hacer cuatro años en la universidad». Pero parece que algunos empleadores al menos están reconociendo que podrían beneficiarse de tomar un despeje en grupos de talentos alternativos. Por ejemplo, un estudio reciente realizado por el cuerpo de capacitación y certificación cibernética ISC2, titulado 2025 Cyber Security Security Tends, indicó que los empleadores considerarían candidatos para trabajos de entrada y nivel junior si tuvieran experiencia previa en TI o certificados de seguridad cibernética de nivel de entrada sobre graduados sin experiencia laboral. Sin embargo, sin embargo, una proporción significativa de gerentes de contratación también solicitó que los solicitantes de empleo de nivel de entrada y junior con certificados tengan calificaciones destinadas a profesionales más experimentados, una situación que inevitablemente les dificulta poner un pie en la puerta. Como dice Finch: «El primer paso siempre es realmente difícil porque las organizaciones están sobrecargadas y ocupadas y, por lo tanto, quieren experiencia. Pero estamos viendo cada vez más personas invirtiendo en talento en bruto y organizaciones, como IASMe [formerly known as the UK Cyber Security Forum] – Trabajar con personas en el [neurodiverse] espectro.» En un intento por hacer su parte, el CIIS también ofrece una calificación de proyecto extendido de nivel de entrada (EPQ) en seguridad cibernética. El abastecimiento de jóvenes, pero las fuentes de empleo no tradicionales siguen siendo la excepción en lugar de la regla. La pila está contratando a personas de otros departamentos internos (22%), asumiendo veteranos militares (12%) u otros miembros del ejército (8%). aptitud, y cuando ven a alguien sumergiendo los dedos de los pies en cómo romper sistemas o adversarios de ingenieros sociales, se interesa y se convierten en parte de la conversación «. Casey Ellis, fundadora y directora ejecutiva de la plataforma de seguridad de crowdsourced, Bugcrowd, está reclutando a los piratas informáticos en el crimen cibernético de 13 años de plataformas de juego múltiples, utilizando los mismos métodos de reclutamiento de los traficantes de drogas en la década de 1980, ya que los niños de 12 a 18 años son particulares «. ¿Contrarrestar eso para desviar a los jóvenes lejos del crimen? Es una de las razones por las que Ellis estableció Bugcrowd en 2012, dice. «El talento no convencional (jugadores, constructores, rebeldes y pensadores profundos)» para «enchufarlos a la misión de seguridad cibernética global». Fortalezas. Después de eso, es muy difícil «. Pero el problema no se trata solo de desviar a los jóvenes del crimen cibernético hoy, Ellis cree. Se trata de obtener su aporte estratégico, ya que son nativos del entorno tecnológico que estamos creando en este momento y, por lo tanto, no tengo las suposiciones que hacemos, es importante que nos escuchemos y aprendamos «. Sin embargo, un desafío clave es el malentendido generalizado de lo que realmente es un hacker, dice Ellis. Wysopal está de acuerdo en que «el hacker es un término cargado». de criminalidad «, indica Wysopal.» Pueden haber violado la ley, pero debe tener cuidado de no empañar toda la carrera de alguien, ya que gran parte de esto sucede cuando las personas son menores «. ¿Qué hacer con un hacker convicto? No obstante, inevitablemente habría limitaciones sobre los tipos de trabajo que podrían hacer, dice. Esto significa que su preferencia sería que un hacker condenado trabaje en los roles de back-office, no orientados a los habitantes, como el investigador o el miembro del equipo de ingeniería inversa, donde no se requeriría explicaciones. Alguien tiene una condena, puede evitar que consigas el trabajo ”. Sin embargo, en última instancia, Wysopal cree que es hora de que el sector de la seguridad cibernética contrate más talento autodidacta.