Fernando Thompson de la Rosa / @cyberthompson
México enfrenta una creciente amenaza: es uno de los países más atacados por cibercriminales en el mundo.
Según el Informe sobre Amenazas Cibernéticas de 2023, el país tuvo 30% más ataques respecto del año anterior.
Este panorama sombrío es, en gran parte, resultado de la falta de talento en ciberseguridad y de desarrolladores de inteligencia artificial (IA).
Ejemplo: negligencia en la preparación de los profesionales que han llevado a que muchas empresas e instituciones sucumban ante estos ataques.
Resalta la urgencia de abordar la escasez de habilidades y el desajuste entre oferta y demanda en este campo crítico.
Nadie puede evitar ser atacado, pero los expertos en seguridad garantizan la resiliencia o bien la recuperación rápida y completa tras el ataque.
Los casos y las estadísticas en México son alarmantes: el boquete de profesionistas calificados en ciberseguridad y en desarrollo de inteligencia artificial es de poco más de 12 mil posiciones actualmente.
En el mundo, se estima un déficit de al menos 4 millones.
Esto constituye un gran riesgo para la seguridad nacional y empresarial.
En contraste, sólo unos 300 mil de esos puestos están ocupados por profesionales capacitados. Al menos 700 mil de estas vacantes están en Estados Unidos.
La fuga de cerebros hacia mercados donde la demanda y la compensación son mucho más atractivas es inminente: un profesionista en seguridad bilingüe certificado, gana mucho más dinero en la iniciativa privada que para el gobierno.
Esta falta de profesionales en México resulta grave: técnicos e ingenieros carecen de habilidades esenciales, certificaciones y dominio de idiomas, especialmente inglés y alemán.
Todo ello limita la capacidad para acceder a información actualizada, participar activamente con colegas a nivel internacional y colaborar con equipos globales para resolución de crisis, que operan en inglés.
Los planes de estudio están desactualizados: universidades públicas y privadas y escuelas técnicas carecen de programas que satisfagan las necesidades actuales del mercado laboral.
No abordan en profundidad temas críticos como ciberseguridad en la nube, inteligencia artificial aplicada ni técnicas más recientes de ataque y defensa.
La falta de inversión y capacitación es común, sólo pocos profesionistas reciben actualización.
En estos campos, quien no está a la vanguardia en técnicas y herramientas sucumbe ante los cibercriminales.
Siempre.
Poca gente invierte en sí misma y no muchas compañías financian certificaciones reconocidas a nivel internacional para su personal, como Certified Information Systems Security Professional (CISSP) o Certified Ethical Hacker (CEH); son costosas, pero elevan sustancialmente el nivel de los especialistas.
Trabajar bajo presión no es divertido como ambiente de trabajo para muchos, y el sector de la ciberseguridad suele ser altamente demandante; por agotamiento, hay alta rotación de personal.
En México, los salarios de los profesionales en ciberseguridad o desarrollo de IA son altamente competitivos: de 40 mil a 300 mil pesos mensuales, dependiendo de experiencia y habilidades.
Pero son irrisorios en comparación con los sueldos que se ofrecen en EU y Canadá, donde oscilan entre 8 mil y 22 mil dólares mensuales (equivalentes a 160 mil y 440 mil pesos mensuales).
Este desfase salarial contribuye a la fuga de talento mexicano hacia el norte.
Los cibercriminales tienen en México un campo fértil para operar. Las organizaciones delictivas son altamente estructuradas y eficientes.
A menudo, ofrecen salarios y bonificaciones superiores a los del sector legal para atraer a hackers de alto nivel.
Este aspecto se pasa por alto en el debate sobre la ciberseguridad, pero es esencial reconocer que la economía de los cibercriminales compite y rebasa a la formal en términos de incentivos.
Los hackers de India y otras naciones asiáticas, se ven atraídos por la compensación y las oportunidades de crecimiento y desarrollo profesional que sus países de origen no les ofrecen.
Para abordar esta crisis de talento en México, se requieren acciones coordinadas y multifacéticas: cambiar y mejorar los planes de estudio en universidades y centros de formación, actualizar programas educativos de IA, machine learning, y ciberseguridad en la nube.
Esto puede lograrse a través de colaboraciones con empresas del sector que puedan proporcionar insumos sobre las habilidades más demandadas e invertir en sus profesores para que se actualicen, a fin de que no enseñen temas de hace más de una década.
Instituciones educativas, dependencias de gobierno y empresas deben aliarse para ofrecer programas de certificación a precios accesibles.
Esto podría incluir subsidios, financiamiento a plazos, o incluso becas específicas para estudiantes sobresalientes.
En paralelo, hay que implementar programas de formación en idiomas, inglés y mandarín, desde etapas tempranas de la educación técnica y universitaria; así los profesionales pueden colaborar con sus pares extranjeros.
Las empresas deben crear ambientes laborales que prioricen el bienestar de sus empleados con programas de salud mental, formación continua, y oportunidades de crecimiento profesional. Esto reduce el estrés y la rotación de personal.
También es fundamental que el gobierno implemente políticas que incentiven la inversión en educación y formación en ciberseguridad, con créditos fiscales para empresas que inviertan en capacitación.
Campañas de concienciación sobre la importancia de la ciberseguridad en la educación básica pueden cultivar un interés temprano en la carrera.
Alentar a más jóvenes a seguir una trayectoria profesional en este campo es crucial; hay que copiar las campañas de salud, pero ahora aplicadas al tema de la consciencia en ciberseguridad.
Además de lo anterior hay que educar sobre la ética en la tecnología y la ciberseguridad puede ayudar a crear un sentido de responsabilidad social entre los futuros profesionales, disuadiéndolos de unirse a redes criminales.
La crisis de talento en ciberseguridad y desarrollo de IA es un problema que debe resolverse con alta prioridad, no será de la noche a la mañana, porque es un problema multifacético que requiere una respuesta integrada por parte de instituciones educativas, empresas y gobiernos.
Al abordar las deficiencias en la formación, la calidad del talento y las condiciones laborales, México puede comenzar a cerrar la brecha que actualmente lo coloca en el mundo como el paraíso para los cibercriminales.
En última instancia, la ciberseguridad no es sólo una cuestión de defensa técnica, sino también representa un desafío social y económico, una verdadera prioridad nacional.
Abordar esta crisis no protegerá a las organizaciones y al país en su conjunto, y también abrirá nuevas oportunidades para el crecimiento económico y la innovación en el sector tecnológico.
