La toxicidad del sector de Ciberseguridad.

Hoy veo necesario apartar el lado técnico de este sitio web para dar paso a un artículo de opinión.

Llevo 5 años en el sector de la ciberseguridad. Concretamente, en ciberseguridad ofensiva. He tenido la suerte de entrar directamente a trabajar en ciberseguridad, cosa poco habitual. Lo más común es encontrar perfiles que tienen un background de desarrollo o administración de sistemas y que deciden dar el salto a la seguridad informática.

Por ello no puedo comparar con otros sectores, ya no solo del mercado laboral, sino de la propia ingeniería informática.

Pero sí que puedo hablarte de lo que he visto durante estos 5 años, en los que he trabajado para empresas de 3 países distintos y he conocido a personas de todas las nacionalidades.

Y lo que he visto es que el mundo de la ciberseguridad es un mundo tóxico. 

El nivel de presión que puede alcanzarse en una empresa es extremadamente alto. Cualquiera podría pensar que esa presión viene por la carga de trabajo, por el jefe que explota al trabajador. Pero en nuestro sector esto no es así. Al menos no en mi experiencia. En nuestro sector, somos los compañeros de trabajo los que nos generamos unos a otros un ambiente tóxico.

La toxicidad del sector de Ciberseguridad.

La necesidad de ser aceptado

He participado actívamente en decenas de charlas en las que se criticaba a compañeros de trabajo. El mundo de la ciberseguridad es complejo, y se cometen errores. Especialmente cuando eres novato. Pero en estos ambientes, un error supone que los demás te señalen y se rían de ti. No lo van a hacer de frente, cuando te pase te ayudarán y te explicarán el error, demostrando su conocimiento en ese tema. Sin embargo antes de que termine la jornada laboral ya se habrá hablado de tu error hasta en el edificio de al lado.

Esto hace que todos intentemos ocultar nuestra ignorancia a toda costa. No quieres ser como aquel tonto que trató de conectarse por SSH a un servidor abriendo el navegador y poniendo ssh://<ip>

Todos queremos estar en el bando de «los buenos». Los que más nivel técnico tienen. Por tanto toca aparentar y formar parte de la burla. Porque admitir que tú tampoco sabías que eso solo se puede hacer con FTP y no con SSH sería admitir tu ignorancia y pasar a ser el foco de burla, y no puedes permitir que eso pase. Supondría bajar tu estatus social dentro de la empresa.

La dificultad de aprender

En un entorno así, donde estás todo el día bajo la presión de tener cuidado con no cometer ningún error de novato por el miedo al qué dirán, es muy difícil encontrar a alguien que te enseñe. Por un lado, temes preguntar algo tonto y que tu ignorancia quede destapada. Por el otro, temes responder mal y que ocurra lo mismo. El bando de «los buenos» te ayudará puntualmente, pero no esperes encontrar a alguien que pueda hacer de mentor y ayudarte en tu camino. 

Es cierto que en nuestro sector es relativamente sencillo utilizar internet y formarte por tu cuenta. Pero también es cierto que yo cuando más he aprendido ha sido con ejemplos prácticos observando a los demás, preguntando dudas y tratando de entenderlo. Y es una pena que entre compañeros no nos ayudemos más. Pero cómo vamos a hacerlo estando sometidos a la constante presión que nos ejercemos unos a otros.

Seguridad por Oscuridad

Todos estos puntos suponen que en nuestro sector se genere la «seguridad por oscuridad» de la que tanto reportamos después cuando son nuestros clientes quienes la usan.

Cuanto menos se comparta, menos posibilidades de quedar mal. Nos afecta demasiado lo que piensen de nosotros, necesitamos ser aceptados por los demás. En un entorno así es muy difícil que predomine la transparencia.

El que intenta destacar es criticado. Da igual cuán válido seas, como te expongas y trates de hacer algo fuera de lo común, pronto te saldrán detractores entre tus propios compañeros. No hay más que ver casos como el de Chema Alonso o S4vitar. Son personas que han conseguido llegar lejos y desmarcarse en el mundo de la ciberseguridad. Gracias a la difusión de contenido que hacen cada día aumenta más la comunidad de seguridad ofensiva, se nos da más visibilidad y las empresas entienden por qué somos necesarios. Y eso se transforma directamente en dinero para tu bolsillo.

Desde luego la envidia abunda, y es más común oír comentarios como «ese? ese no se merece la pasta que está cobrando, es un pringado que se saca las certificaciones pidiendo hints, yo soy mucho mejor que él».

 

El Síndrome del Impostor

Toda esa presión a la que nos vemos sometidos en nuestro sector no viene dada solo de forma externa. Tú mismo eres peor que cualquiera de los demás si se trata de juzgarte.

En un entorno en el que tienes que mantenerte a flote aparentando y buscando la aceptación del resto, lo lógico es que cuando te pares a pensar te des cuenta de que realmente tú no eres tan bueno, que los demás te ven con la imagen que tú estás reflejando pero que realmente es mentira. Eres un impostor y lo único que te queda es seguir aparentando porque como descubran los pocos conocimientos que tienes te van a despedir.

Esto es lo que se conoce como el Síndrome del Impostor, y ocurre muy frecuentemente. A medida que vamos avanzando en un campo, vamos descubriendo cada vez cosas más complejas que requieren mucho tiempo de investigación. Cada paso que das te revela tres nuevos caminos por recorrer.

Cuanto más aprendes, más consciente eres de tu ignorancia. Pero eso no te hace ser un impostor, al revés. Si a mi me viene alguien y me dice que trabajar con Beacon Object Files en Cobalt Strike es una movida, no pienso que sea un impostor. Pienso que es alguien que conoce el lenguaje de programación C, usa servidores de Command and Control y tiene conocimiento en sistemas suficiente como para afirmar que en verdad, es una movida.

El impostor solo es aquel que afirma poder hacer cosas de las que no tiene ni idea.

Conclusiones

Nuestro sector tiene muchos beneficios. Posibilidad de teletrabajo, carga laboral moderada y (para mi lo más importante) un trabajo tremendamente divertido y apasionante. 

Pero hay algunas cosas en las que debemos mejorar. Las críticas a compañeros es una de ellas. Y ojo, no quiero dar la sensación de que ir a trabajar cada día es un infierno. En este post solo expongo algunos comportamientos que todos hemos tenido en algún momento.

Desde que empecé, no puedo estar más agradecido a los distintos compañeros que he ido teniendo. Han sido un gran apoyo para mi y en parte gracias a ellos estoy en mi posición actual. Pero podemos crear una comunidad mucho más sana si eliminamos estos comportamientos tóxicos que tenemos eventualmente.

Espero que no te importe que haya cambiado un poco la temática de la web con este artículo más personal. Llevo unos días reflexionando sobre ello, y me pareció apropiado comunicarlo, por si alguien siente lo mismo.

Lethani.

5/5 - (64 votos)

2 comentarios en «La toxicidad del sector de Ciberseguridad.»

  1. Hola Lethani me encanta tu blog y realmente este articulo en particular porque no puedo sentirme mas identificado no tanto por el criticon pero si por el sindrome del impostor, la cantidad de temas diferentes que existen hoy en dia no da el tiempo suficiente para uno poder conocerlos todos, en mi caso trabajo en un blue team y la verdad es que ser analista es una tarea muy compleja dado que uno tiene que conocer de muchas tecnologias como tambien estar al dia sobre los atacantas y sus buenas nuevas! jaja realmente es extremedamente estresante… en fin…. gracias por tu aporte que creo es muy rico en informacion!

    Saludos desde donde ya tu sabes!! jeje

    Responder
  2. Hola excelente post estimado
    Pero lo que expones para los que trabajamos en tecnología creo la gran mayoría lo a pasado al menos en sus inicios pero entiendo también que es parte de nuestra curva de aprendizaje; es como cuando aprendes a manejar la bicicleta el «instructor – amigo de infancia» se rie cuando te caes, cuando no puedes mantener el equilibrio, cuando no logras manejarla; demasiado parecido con el mundo profesional, también me paso en mi caso con formación de ingeniería sistemas entre en telefonía IP era un mundo fascinante pero a la ves desafiante , términos, conceptos, sintaxis, informacion, solución, y n casuísticas de ensayo error en tu aprendizaje y siempre esta el «mentor verdugo» pero a veces esto nos ayuda en el tiempo incluso a superar nuestras propias expectativas, ahora ya con algunas certificaciones no imagino a ver avanzado en sistemas de informacion y terminar apasionado en ciberseguridad conociendo el circulo que cierra un centro de datos, networking, wirelles, seguridad, colaboración telefonía ip, que definitivamente suma al momento de entender un proyecto ahora en redes pasivas que es otro mundo pero igualmente apasionante, es el dia a dia avanzar aprender pero la gratificación de que si los principios y conceptos los tienes claros lo demás es consecuencia y la felicidad del momento es completa, no olvidar siempre habrá algo nuevo por aprender e investigar…siempre y es mentira que aquel que crea que es el «mentor manager» de aquella compañía es quizá el que mas temor tenga…siempre habrá alguien mejor.

    Responder

Deja un comentario