FP «inmersiva» en el laboratorio de ciberseguridad de Universae

Amenazas cada vez más sofisticadas, carencia de profesionales en activo (que va en aumento) y muchas dudas de cómo formarse para quienes entran a hacer carrera en el sector. Esta es, en parte, la fotografía del sector de la ciberseguridad en España. Según el estudio Análisis y Diagnóstico de Talento de Ciberseguridad en España (2022) el 37% de los especialistas no tenían claro la cualificación necesaria para dedicarse a ciberseguridad. Conocemos la apuesta de este Instituto Superior de Formación Profesional, Universae.

Su estrategia, que viene a actualizar el modelo formativo de la FP, incorpora tecnologías de realidad virtual, ampliada o 3D, busca hacer más atractivo y práctico el estudio y conocimiento profundo de la ciberseguridad. Buena falta hace si, como señalan estudios como el Cybersecurity Workforce Study (ISC 2) hay más de 60.000 puestos por cubrir. Se estima que la brecha entre lo que necesita el mercado y las incorporaciones de nuevos profesionales crece cada año en más de un 50%. Con esta ‘percha’ nos convoca Universae.

Pero no la necesita; la realidad nos vuelve a avisar. Durante la visita a las instalaciones de esta incubadora tecnológica (que lleva poco más de un año en Madrid), recibimos un SMS con un nuevo intento de phising. En este caso haciéndose pasar por la Agencia Tributaria para avisarnos de que hemos sido «calificado para un -supuesto- reembolso de impuestos de 461 euros», acompañado de un formulario-enlace que debemos «encontrar» para cobrar.

«La ciberseguridad es cosa de todos», confirma Andrés Soriano, CISO de Universae y miembro de las Fuerzas y Cuerpos de Seguridad del Estado. «Las empresas españolas tienen que darse cuenta todavía que es necesario invertir en ciberseguridad». El Ministerio del Interior cifró en más de 300.000 los ataques cibernéticos registrados en España; cantidad que esperan aumente en 2022. Y, claro, esto también afecta al sector educativo.

«Todos somos susceptibles de ser víctimas», prosigue Soriano. En el caso de un centro educativo, por ejemplo, la filtración de información. «imagínate que salen a la luz expedientes académicos de los alumnos, con la exposición de sus datos personales; los números de cuenta de las tarjetas bancarias con las que se hacen los pagos; datos personales de niños…». Ya no es que hackeen «la red física» del centro, pero «hay información sensible». «Todos conocemos el grooming y los casos de sexting«, abunda.

Además, el Parlamento Europeo (con la Directiva NIS 2 en la mano) no tardará en empezar a «sancionar» a las empresas «que no protejan la ciberseguridad», recuerda el CISO de Universae. Para entonces ya dará igual si las organizaciones se han dado cuenta o no de qué va la película. «Al final ¿cómo aprendemos todos? A base de palos», reflexiona.

Equipo rojo, equipo azul

Está claro: hay que potenciar la formación para cubrir las necesidades que plantea el escenario actual, al que las empresas «se tienen que adaptar», asevera Soriano. Para ello, Universae cuenta en este edificio en San Sebastián de los Reyes con cerca de 500m2 de laboratorio de ciberseguridad. Una de sus 13 áreas de formación, a disposición de empresas y estudiantes, donde los alumnos aprenden y mejoran sus habilidades operativas o de respuesta y prevención ante ciberataques. Todo con casos reales.

El espacio está distribuido en cinco módulos o estancias: un laboratorio de análisis forense, una sala de reuniones y análisis, un centro de criptoanálisis, una zona de operaciones hacking y una zona de descanso. La zona de hacking consta de 28 ordenadores dispuestos en círculos y divididos en dos equipos (rojo y azul) para practicar en un entorno controlado y monitorizado. «El rojo busca la vulnerabilidad del azul y este se defiende», explica Manuel J. Gazapo, director de relaciones institucionales de Universae.

En esta sala aprenden los alumnos del Máster en Gestión Estratégica de la Ciberseguridad (título propio que se inicia en marzo) y del Máster de FP en Ciberseguridad en Entornos de las Tecnologías de la Información (dirigidos a profesionales en activo y a perfiles más junior, respectivamente).

Se simulan escenarios de amenaza cibernética para que los estudiantes participen y ejerzan diferentes roles: detectar, mitigar y enfrentar vulnerabilidades. Siempre respetando de forma estricta la legalidad de los procesos, para garantizar que las evidencias obtenidas son auténticas, como para usarlas en un procedimiento penal, civil o mercantil, afirman.

«Hacemos prácticas de CTF (capturar la bandera), y son los alumnos quienes tienen que cumplir los hitos necesarios para, por ejemplo, tomar el control de una red, un servidor, un ordenador…», describe Soriano. Aprender a atacar igual que los que atacan. «Son ejercicios muy demandantes, que pueden llevar cuatro o cinco horas con mucho estrés. Intentamos crear entornos reales, tal y como se los van a encontrar en la calle. Si en un empresa estás en el equipo de defensa -azul-, estás en la parte más sufridora».

Ciberseguridad en entornos «hostiles»

Preguntado por qué es lo que diferencia verdaderamente al modelo de Universae, Soriano recalca que tratan de sumarlo todo. «Somos una incubadora tecnológica que busca que el alumno se sienta inmerso en la infraestructura y le dé ganas de estudiar; que tenga esa intención de querer ir más allá, investigar, tener inquietudes y desarrollar su carrera como profesional de la ciberseguridad». Hasta la iluminación cuenta para facilitar la práctica, pues la teoría (por muchos profesores de Microsoft que tengan, que los tienen), no es suficiente.

«Queremos que el alumno se sienta partícipe, que esté a gusto. Por eso jugamos con las luces, el entorno… para que el alumno esté motivado», añade Gazapo, mientras vemos la sala que recuerda a una academia de e-sports. «No nos sirve un alumno que no va a aprobar. Se ha intentado generar un espacio para que el alumno practique y se enfrente a espacios reales».

Gazapo cuenta además que muchos de los perfiles vinculados a la ciberseguridad están caracterizados por la «autoformación» y el autodesarrollo profesional, antes que a través de un ciclo formativo o carrera. Todos tienen una formación base, pero después se coge el machete y a la jungla. «Es así», asegura. Algo que concuerda con lo que pide este sector: gente que sepa defenderse (de ataques) y sepa colaborar con otros equipos (rojo-azul) para ver las potenciales puertas traseras, la capacidad de resiliencia.

Son entornos «hostiles y complejos, y en ellos el régimen de rotación de personas es muy alto», apunta Soriano, quien pone en valor el espacio de descanso (con su cocina, sofá, videoconsola…). «Necesitas poder tener la posibilidad en un momento dado de descansar, comer, evadirte, tener una charla, o incluso de brainstorming (lluvia de ideas) con tu equipo sobre cómo enfocar la situación».

‘Cracking’ y análisis ‘forense’

El centro de criptoanálisis del edificio Universae cuenta además con un ordenador de cracking con 12 tarjetas RTX 4090. Cada una de ellas tarda menos de una hora en descifrar cualquier contraseña de ocho caracteres (un 32% más rápido que cualquier otro dispositivo actual). En este tiempo puede generar 200 mil millones de contraseñas.

Con este equipo, los alumnos podrán aprender técnicas de cifrado de contraseñas y procesamiento de datos que requieran gran capacidad de cómputo. Todo ello en un entorno con el que «sólo unos pocos laboratorios, y ningún centro de formación», aseguran, cuentan en Europa. También apoyan esta y toda su formación en la metodología KSA (conocimientos estáticos, habilidades entrenadas y humanas, por sus siglas en inglés)

Por otra parte, en el laboratorio forense los estudiantes aprenderán técnicas para medir la seguridad de los sistemas, identificar brechas físicas y cibernéticas, o evaluar cadenas de custodia de los datos, entre otras. La técnica, apelando al estilo learning by doing (aprender haciendo), es hacerlo en situaciones reales. Desde el clonado de dispositivos (con hardware como cables y USB que infectan al conectarlos al móvil, por ejemplo) hasta la reparación de piezas, la detección de redes o el análisis de intrusiones.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí