Rafael Bucio 𝕏

Llevo casi 10 años reclutando talento de ciberseguridad en México y quiero compartirles para construir mejor en ambos lados, empresas y candidatos. Estamos viendo perfiles de 22-23 años con 6-8 meses en su primer empleo pidiendo el doble de su sueldo actual para moverse. ¿Es ambición? Sí. ¿Está alineada con la realidad? No siempre. De esos 8 meses, 3 fueron inducción. Quedan 5 meses de operación real. ¿Cuántas veces ejecutaste ese proceso de respuesta a incidentes? ¿Cuántos análisis completaste de principio a fin? La experiencia no se mide en meses de nómina. Se mide en problemas resueltos. El patrón se repite: entras, te quedas 8-12 meses, saltas al siguiente empleo por más dinero. Y otra vez. Y otra vez. ¿El resultado? Un CV con muchos logos pero poco conocimiento afianzado. Difícilmente dominas algo si nunca te quedas lo suficiente para ver las consecuencias de tus decisiones. El salario en ciberseguridad es la consecuencia de tu desarrollo, no el fin. Y aquí va la parte incómoda para nosotros como empresas: también tenemos responsabilidad. Cuando inflamos títulos y posiciones para perfiles que aún están en desarrollo, les estamos vendiendo una imagen que no corresponde con su nivel real. Después se sorprenden cuando el mercado no valida esas expectativas. Un talento de 23 años no es un profesional con experiencia. Es una promesa con potencial enorme, si lo desarrollamos bien. Si estás arrancando en ciberseguridad, tres cosas que ojalá alguien me hubiera dicho antes: 1. Quédate lo suficiente para dominar, no solo para conocer. Dos años mínimo te dan ciclos completos de operación real. 2. Pregúntate: ¿estoy aprendiendo o solo estoy cobrando? Si la respuesta es "cobrando", el mercado te va a alcanzar. 3. Invierte en profundidad, no en velocidad. El profesional que resuelve problemas complejos nunca tiene que perseguir el dinero, el dinero lo persigue a él. La ciberseguridad necesita talento con urgencia. Pero necesita talento que se construya con base, no con prisa.

Una auditoría técnica no se hace con fotos. Esto es complacencia visual. Pueden mostrarte exactamente lo que quieren que veas, no necesariamente cómo funciona el sistema bajo condiciones reales. Un sistema electoral puede tener decenas de miles de líneas y más si son 4 softwares interconectados. Pero sin posibilidad real de ejecutarlo, instrumentarlo, alterar entradas, forzar condiciones atípicas y analizar su comportamiento interno paso a paso, no es una auditoría, es una lectura pasiva u observación superficial. Y la lectura pasiva no detecta lógica condicionada, funciones que se activan por fecha, umbral o evento específico, ni modificaciones sutiles en algún algoritmo que alteren resultados sin ser evidentes a simple vista. Si existiera una manipulación, no estaría escrita de forma obvia, estaría diseñada para pasar desapercibida. El debido proceso exige documentación completa de cada uno de sus componentes funcionales, revisión exhaustiva de vulnerabilidades, puertas traseras y accesos arbitrarios más un mecanismo verificable que certifique que el mismo código auditado es el que se ejecuta o ejecutará en producción.

Si he ayudado a grandes compañías tecnológicas a fortalecer su ciberseguridad, ¿por qué no poner esa experiencia al servicio de Colombia? Ofrecí donar una auditoría independiente, sin costo para el país, en un año donde se invertirán más de $60.000 millones en auditorías tecnológicas. https://t.co/e73H7vDLWd

Estonia tiene el código abierto de su sistema electoral, permitiendo revisión pública. Cualquier ciudadano puede auditarlo, analizarlo y cuestionarlo. Eso fortalece la seguridad y la transparencia en sistemas que ayudan a definir el rumbo de un país. Si un sistema tecnológico influye en su futuro, toda su infraestructura, incluido el código, debe poder revisarse.