La precariedad laboral es el flanco débil de la ciberseguridad: “No puedes pedir un arquitecto y luego pagarle como a un albañil”

En ciberseguridad es habitual decir que la parte más débil de cualquier sistema es el ser humano. Un empleado con malas intenciones puede dejar vía libre a un atacante para dañar o infiltrarse en los sistemas informáticos de su organización. Uno despistado puede picar en uno de los engaños que los ciberdelincuentes emplean para hacerse con contraseñas y datos sensibles. Según IBM, el coste de una filtración de datos ya alcanza los 4,5 millones de euros de media. Para evitar esos riesgos, los planes de ciberseguridad también incluyen campañas de formación y concienciación que pongan sobre aviso a las personas sobre los peligros que pueden acechar tras las pantallas de sus dispositivos. Pero ¿cuánto aumenta el riesgo si los empleados vulnerables son los que pertenecen a las propias empresas de ciberseguridad?

Que en España los sueldos en ciberseguridad son bajos es un hecho asumido que incluso genera protestas. Como la que, según una publicación digital, realizó la consultora EY al recurrir un concurso público porque la empresa ganadora detallaba en su oferta sueldos “inusualmente altos”, de unos 80.000 euros brutos anuales, equivalentes a los de sus homólogos en Alemania. La retribución media para esos puestos ronda los 28.000 euros anuales en la consultoría, según la página web Glasdoor, que elabora cifras a partir de ofertas de empleo y de los testimonios de empleados.

Hay otra realidad: cada vez hay más demanda de empleos en el sector, y más cuando el Gobierno va a inyectar 1.157 millones de euros (en un mercado que se estima que movió más de 2.400 millones en 2024) para que España se blinde digitalmente, al ser uno de los países más atacados del mundo, tanto por cibercriminales como por Estados rivales. Aunque, según se temen trabajadores y sindicatos, ese dinero no va a repercutir en todas las escalas de las empresas por igual.

Fuga de cerebros

El mantra habitual de la industria es que falta talento y que las universidades españolas no preparan lo suficiente a los titulados, un diagnóstico que los sindicatos están acostumbrados a desmentir. Según José Varela, responsable de IA y digitalización de la Unión General de Trabajadores (UGT), el talento existe, lo que pasa es que se marcha directamente a trabajar para empresas extranjeras, que, al contrario que las españolas, ofrecen mejores sueldos, no exigen presencialidad, respetan el derecho a desconexión (a no ser contactado fuera de horas de trabajo) y asumen los costes de formación complementaria de los profesionales.

Varela estima que alrededor de un tercio de cada promoción de expertos españoles en ciberseguridad trabaja para empresas extranjeras. “Lo que no puede ser es que exijan profesionales con experiencia, pero quieran mantenerles con condiciones de becarios”, reflexiona Guzmán Nieto, responsable del Sector TIC en USO Industria. “Y tampoco hay un convenio definido; se supone que la ciberseguridad entra dentro del convenio de Consultoría, pero cada empresa interpreta la ley a su manera y te pueden meter en el de Despachos y Oficinas, donde no hay un convenio colectivo a nivel estatal y las tablas salariales son menores”.

Pero no se trata solo de sueldos. En el sector de la ciberseguridad es necesario hacer guardias en los llamados centros de operaciones o SOC, que utilizan tecnología, procesos y personal especializado para prevenir, detectar, analizar y responder a amenazas cibernéticas 24 horas al día y siete días a la semana. Y en los que, denuncia Varela, pocas veces se paga la nocturnidad o las horas extras. “En las grandes empresas que tienen departamento de ciberseguridad esto ocurre menos”, matiza el sindicalista; “pero en las empresas españolas que son puramente de ciberseguridad, esto está a la orden del día”. Esta precariedad en las condiciones hace que la rotación sea superior al 50%, por lo que la esperanza de muchos trabajadores del sector es que los clientes de sus empresas sean los que les terminen contratando.

“Los jefes y los comerciales lo venden todo”, reflexiona Carlos Peña, extrabajador de una empresa de ciberseguridad española, “pero las personas no lo aguantan todo; te piden formación constante que no pagan, excelencia técnica…”, enumera. “Y todo para que al final tu éxito sea invisible, porque los éxitos en este trabajo son que no pase nada de todo lo que podría pasar”.

Alfredo Estirado, consejero delegado de la empresa de ciberseguridad TRC, comparte parcialmente este diagnóstico y cree que algunas de estas malas prácticas irán desapareciendo con la automatización de los SOC. “No puedes pedir un arquitecto y luego pagarle como a un albañil”, afirma el ejecutivo. “Para muchos es más fácil montar máquinas que buscar gente, pero es precisamente la gente quien da el valor añadido”. Estirado, que cree que los planes formativos de España “son muy largos” para el ritmo de incorporaciones que precisa el sector, también destaca que la ciberseguridad demanda enfoques y perfiles cada vez más heterogéneos, como psicólogos, especialistas en criminología o lingüistas. Y a la vez también ve necesario ir automatizando las tareas más penosas, dejándolas en manos de la IA. Aun así, el consejero delegado de TRC también advierte de que el principal competidor por el talento nacional no son otras empresas de ciberseguridad españolas, sino los proveedores extranjeros; compañías estadounidenses e israelíes en su mayoría, que fabrican elementos de software o hardware imprescindibles en el sector.

Marta Carrascosa, psicóloga y experta en recursos humanos, cree que el problema es también la falta de competitividad del mercado español, la excesiva subcontratación y la resistencia a abandonar costumbres del pasado. “No es normal que empresas que se suponen tecnológicas insistan en tenerte metida en una oficina; y menos cuando ven que sus competidores son empresas extranjeras que permiten trabajar desde tu casa, en otro país”. Carrascosa cree que parte de la fuga de profesionales se detendría solo con volver a tasas de teletrabajo similares a las de la pandemia.

Peña añade el factor retributivo: “Si una administración o una gran empresa lanzan un proyecto de ciberseguridad con un presupuesto de 100 y yo cobro 25, a lo mejor habría que fijarse bien en qué se emplean los otros 75; de nada vale que te digan que estás en un proyecto de gran valor estratégico si luego no llegas a fin de mes”. El especialista en ciberseguridad recuerda que más de una vez algún empleado descontento ha robado información clasificada a sus empleadores o clientes para luego intentar venderla al mejor postor.

“En seguridad o ciberseguridad, al final hablamos de personas”, reflexiona Jesús Manuel Pérez Triana, experto en seguridad y defensa, que recuerda que los empleados desmotivados son “un regalo” para los ciberdelincuentes. Pérez Triana cree que España no puede permitirse un mercado donde “los informáticos intercambian en foros ofertas de trabajo en ciberseguridad solo para reírse de ellas”.