Se necesitan más expertos cibernéticos es seguridad

Hay una nueva razón para preocuparse por los hackers que tratan de invadir su privacidad y robar su dinero y registros de salud.

En este mismo momento la actividad de los hackers se está expandiendo exponencialmente, dijeron analistas, en los Estados Unidos hay cientos de miles de trabajos de seguridad cibernética que quedan vacantes. La extensión de este problema es objeto de debate; el recuento estimado de vacantes oscila entre cien mil y los trescientos mil, con cerca de cincuenta mil en California.

“Cuando se trata de cuantificación, la industria de la ciberseguridad no tiene el mejor historial”, dijo Stephen Cobb, un investigador en la oficina de ESET en San Diego, una compañía de seguridad digital.

Una gran parte de la culpa se la dan a los organismos educativos por no capacitar a un gran número de estudiantes con las habilidades específicas. La industria y los funcionarios gubernamentales están siendo criticados por no definir sus necesidades con más claridad, un componente clave para ayudar a los centros de enseñanza a resolver la escasez de mano de obra.

La ciberseguridad también tiene un problema de imagen. Es un área con buena paga, pero muchos estudiantes en ciencias de la computación preferirían crear nuevos productos y tecnologías para Apple y Google que diseñar y operar sistemas que detecten, resistan y mitiguen una amplia variedad de ataques.

“La informática es sexy. Cyber no lo es”, dijo P.K. Agarwal, decano regional de los campus en Silicon Valley de la Universidad Northeastern, quien enseña ciberseguridad.

“La ciberseguridad puede ser un trabajo de mucho estrés donde pueden despedirte si las cosas van mal y donde nadie te va a dar palmadas en la espalda de felicitación si no hubo problemas durante la noche”, agregó.

La escasez de personal es lo suficientemente grave como para que “el próximo presidente deba... capacitar a cien mil nuevos profesionales en ciberseguridad para el 2020”, dijo el 1 de diciembre la Comisión sobre el Fortalecimiento de Ciberseguridad Nacional.

La escasez también significa que “se verán más casos como el ataque a Tesco, que apuntó a cuentas bancarias (en Inglaterra) y un mayor riesgo para los registros de atención médica y dispositivos cotidianos como tu teléfono”, dijo John Callahan, director de programas de ciberseguridad en la Universidad de San Diego. “En la era digital, este es potencialmente el mayor período de riesgo que los consumidores han enfrentado”.

Hay una preocupación especial por el ransomware, un tipo de software malicioso que los hackers pueden usar para tomar remotamente el control de las computadoras, incluyendo las de los automóviles.

En la mayoría de los casos, las víctimas han pagado dinero para recuperar el control, desde cientos a decenas de miles de dólares. Por ejemplo, en febrero los hackers atacaron el Centro Médico Presbiteriano de Hollywood, obligando al hospital a pagar 17 000 dólares de rescate.

El Departamento de Justicia de los Estados Unidos estima que hay alrededor de cuatro mil intentos de ransomware cada día contra individuos, empresas y el gobierno, y que muchos de ellos tienen éxito.

“Basado en estadísticas del FBI, el robo de bancos en los Estados Unidos es un problema de 40 millones de dólares al año, mientras que los delincuentes cibernéticos que usan ransomware están ganando más de 200 millones de dólares por trimestre”, dijo Cobb en ESET.

“Y mientras un puñado de ladrones de bancos mueren a tiros cada año, no hay informes de un ciberdelincuente que haya sido asesinados en la comisión de un crimen”, agregó.

Desde hace una década el gobierno federal y el ejército comenzaron a intensificar significativamente sus esfuerzos para combatir los ciberataques. Las empresas de seguridad y una amplia gama de empresas hicieron lo mismo.

Los resultados han sido mixtos.

Los analistas dijeron que la mayoría de los ataques cibernéticos, incluidos algunos bastante sofisticados, son bloqueados o minimizados. Sin embargo, los hackers rápidamente se adaptan a cada método utilizado para detenerlos, lo que conduce a rupturas dañinas y vergonzosas en un juego entre el gato y el ratón.

Este año los piratas informáticos robaron herramientas digitales de espionaje que pertenecerían a la súper secreta Agencia de Seguridad Nacional.

Los hackers también robaron datos del Comité Nacional Demócrata y de la campaña de Hillary Clinton en un aparente intento de influir en las elecciones presidenciales.

A finales de noviembre, un hacker inhabilitó el sistema de tarifas de la Agencia de Transporte Municipal de San Francisco, forzando al sistema a dar transporte gratis hasta que se restablecieron las operaciones.

Los expertos dijeron que este tipo de intrusiones subrayan la necesidad de desarrollar una gran clase profesional de expertos cibernéticos y comercializar el área como un campo de dominio noble y dinámico donde especialistas bien considerados y altamente valorados defienden activos preciosos y protegen la seguridad del público.

“Algunas personas piensan en los cyber como el aprendiz de sistemas, pero eso está mal”, dijo Callahan en la Universidad de San Diego.

Aunque las estimaciones de personal varían, los analistas coinciden en la enorme necesidad de trabajadores calificados en la industria cibernética.

Agarwal de la Universidad de Northeastern calcula que hay cien mil de estos empleos vacantes en todo el país. Peninsula Press, un programa de periodismo en la Universidad de Stanford, sitúa la cifra en más de doscientos mil. Cyber Seek, una coalición de la industria y el gobierno, dijo que el número podría ser de unos trescientos cincuenta mil cuando se incluyen posiciones que requieren al menos algunas habilidades cibernéticas.

Las descripciones de trabajos van desde analistas de seguridad hasta ingenieros de red y desarrolladores de software hasta gestores de riesgos. Algunas posiciones de nivel inferior pagan cerca de setenta mil dólares al año, y las posiciones gerenciales pueden pagar más de doscientos mil dólares o más.

Las universidades comienzan a apresurarse con programas de formación, incluyendo USD que ahora ofrece una maestría en el campo y San Diego State University, cuyo programa de seguridad nacional se ocupa fuertemente de la ciberseguridad.

Los expertos están ansiosos por ver un grupo de candidatos más amplio y están buscando tipos específicos de candidatos.

“Los mejores profesionales de ciberseguridad piensan como criminales”, dijo Domini Clark, un reclutador de Idaho en la empresa de reclutamiento Decision Toolbox. “La broma en la industria es que las superestrellas tienen un ‘bit malo’ en el código de sus personalidades. Ellos saben que es mejor no tener una presencia en línea de alto perfil. ‘Paranoico’ es una palabra demasiado fuerte, pero tienden a ser hiper-cautelosos y algunos se enorgullecen de operar en ‘modo sigilo’”.

Esas personas tienden a ser codiciadas, por lo que las ofertas de empleo con una oferta baja simplemente no funcionan.

“Algunas compañías están haciendo falsas promesas, no están dispuestas a financiar los roles importantes que son necesarios para los crecientes problemas de seguridad”, dijo Kirsten Bay, directora ejecutiva de la firma Cyber adAPT en Half Moon Bay. “Hay una necesidad desesperada de tecnólogos que pueden dominar tanto a nivel de ingeniería como empresarial, candidatos que pueden entender la tecnología y también hablar con el negocio sobre la seguridad”.

Clark de Decision Toolbox está de acuerdo, señalando: “Alrededor de la mitad de los profesionales en ciberseguridad son contactados por un reclutador al menos una vez a la semana. Si publicas una descripción de trabajo corriente de recursos humanos con deberes y requisitos, seguramente no llegarás a ningún lado y quedará oculta por otras ofertas. Los candidatos quieren anuncios que llamen la atención y que ofrecen trabajos intrigantes, variados y únicos. Tienes que dejar que su creatividad reprochable pueda ser usada para beneficio de tu empresa”.

Robbins escribe para el U-T.