Press "Enter" to skip to content

La toxicidad del sector de Ciberseguridad.

By Lethani on octubre 14, 2022

Hoy veo necesario apartar el lado técnico de este sitio web para dar paso a un artículo de opinión.

Llevo 5 años en el sector de la ciberseguridad. Concretamente, en ciberseguridad ofensiva. He tenido la suerte de entrar directamente a trabajar en ciberseguridad, cosa poco habitual. Lo más común es encontrar perfiles que tienen un background de desarrollo o administración de sistemas y que deciden dar el salto a la seguridad informática.

Por ello no puedo comparar con otros sectores, ya no solo del mercado laboral, sino de la propia ingeniería informática.

Pero sí que puedo hablarte de lo que he visto durante estos 5 años, en los que he trabajado para empresas de 3 países distintos y he conocido a personas de todas las nacionalidades.

Y lo que he visto es que el mundo de la ciberseguridad es un mundo tóxico. 

El nivel de presión que puede alcanzarse en una empresa es extremadamente alto. Cualquiera podría pensar que esa presión viene por la carga de trabajo, por el jefe que explota al trabajador. Pero en nuestro sector esto no es así. Al menos no en mi experiencia. En nuestro sector, somos los compañeros de trabajo los que nos generamos unos a otros un ambiente tóxico.

La necesidad de ser aceptado

He participado actívamente en decenas de charlas en las que se criticaba a compañeros de trabajo. El mundo de la ciberseguridad es complejo, y se cometen errores. Especialmente cuando eres novato. Pero en estos ambientes, un error supone que los demás te señalen y se rían de ti. No lo van a hacer de frente, cuando te pase te ayudarán y te explicarán el error, demostrando su conocimiento en ese tema. Sin embargo antes de que termine la jornada laboral ya se habrá hablado de tu error hasta en el edificio de al lado.

Esto hace que todos intentemos ocultar nuestra ignorancia a toda costa. No quieres ser como aquel tonto que trató de conectarse por SSH a un servidor abriendo el navegador y poniendo ssh://<ip>

Todos queremos estar en el bando de «los buenos». Los que más nivel técnico tienen. Por tanto toca aparentar y formar parte de la burla. Porque admitir que tú tampoco sabías que eso solo se puede hacer con FTP y no con SSH sería admitir tu ignorancia y pasar a ser el foco de burla, y no puedes permitir que eso pase. Supondría bajar tu estatus social dentro de la empresa.

La dificultad de aprender

En un entorno así, donde estás todo el día bajo la presión de tener cuidado con no cometer ningún error de novato por el miedo al qué dirán, es muy difícil encontrar a alguien que te enseñe. Por un lado, temes preguntar algo tonto y que tu ignorancia quede destapada. Por el otro, temes responder mal y que ocurra lo mismo. El bando de «los buenos» te ayudará puntualmente, pero no esperes encontrar a alguien que pueda hacer de mentor y ayudarte en tu camino. 

Es cierto que en nuestro sector es relativamente sencillo utilizar internet y formarte por tu cuenta. Pero también es cierto que yo cuando más he aprendido ha sido con ejemplos prácticos observando a los demás, preguntando dudas y tratando de entenderlo. Y es una pena que entre compañeros no nos ayudemos más. Pero cómo vamos a hacerlo estando sometidos a la constante presión que nos ejercemos unos a otros.

Seguridad por Oscuridad

Todos estos puntos suponen que en nuestro sector se genere la «seguridad por oscuridad» de la que tanto reportamos después cuando son nuestros clientes quienes la usan.

Cuanto menos se comparta, menos posibilidades de quedar mal. Nos afecta demasiado lo que piensen de nosotros, necesitamos ser aceptados por los demás. En un entorno así es muy difícil que predomine la transparencia.

El que intenta destacar es criticado. Da igual cuán válido seas, como te expongas y trates de hacer algo fuera de lo común, pronto te saldrán detractores entre tus propios compañeros. No hay más que ver casos como el de Chema Alonso o S4vitar. Son personas que han conseguido llegar lejos y desmarcarse en el mundo de la ciberseguridad. Gracias a la difusión de contenido que hacen cada día aumenta más la comunidad de seguridad ofensiva, se nos da más visibilidad y las empresas entienden por qué somos necesarios. Y eso se transforma directamente en dinero para tu bolsillo.

Desde luego la envidia abunda, y es más común oír comentarios como «ese? ese no se merece la pasta que está cobrando, es un pringado que se saca las certificaciones pidiendo hints, yo soy mucho mejor que él».

 

El Síndrome del Impostor

Toda esa presión a la que nos vemos sometidos en nuestro sector no viene dada solo de forma externa. Tú mismo eres peor que cualquiera de los demás si se trata de juzgarte.

En un entorno en el que tienes que mantenerte a flote aparentando y buscando la aceptación del resto, lo lógico es que cuando te pares a pensar te des cuenta de que realmente tú no eres tan bueno, que los demás te ven con la imagen que tú estás reflejando pero que realmente es mentira. Eres un impostor y lo único que te queda es seguir aparentando porque como descubran los pocos conocimientos que tienes te van a despedir.

Esto es lo que se conoce como el Síndrome del Impostor, y ocurre muy frecuentemente. A medida que vamos avanzando en un campo, vamos descubriendo cada vez cosas más complejas que requieren mucho tiempo de investigación. Cada paso que das te revela tres nuevos caminos por recorrer.

Cuanto más aprendes, más consciente eres de tu ignorancia. Pero eso no te hace ser un impostor, al revés. Si a mi me viene alguien y me dice que trabajar con Beacon Object Files en Cobalt Strike es una movida, no pienso que sea un impostor. Pienso que es alguien que conoce el lenguaje de programación C, usa servidores de Command and Control y tiene conocimiento en sistemas suficiente como para afirmar que en verdad, es una movida.

El impostor solo es aquel que afirma poder hacer cosas de las que no tiene ni idea.

Conclusiones

Nuestro sector tiene muchos beneficios. Posibilidad de teletrabajo, carga laboral moderada y (para mi lo más importante) un trabajo tremendamente divertido y apasionante. 

Pero hay algunas cosas en las que debemos mejorar. Las críticas a compañeros es una de ellas. Y ojo, no quiero dar la sensación de que ir a trabajar cada día es un infierno. En este post solo expongo algunos comportamientos que todos hemos tenido en algún momento.

Desde que empecé, no puedo estar más agradecido a los distintos compañeros que he ido teniendo. Han sido un gran apoyo para mi y en parte gracias a ellos estoy en mi posición actual. Pero podemos crear una comunidad mucho más sana si eliminamos estos comportamientos tóxicos que tenemos eventualmente.

Espero que no te importe que haya cambiado un poco la temática de la web con este artículo más personal. Llevo unos días reflexionando sobre ello, y me pareció apropiado comunicarlo, por si alguien siente lo mismo.

Lethani.

Published in Cloud Security and Malware

Lethani
Lethani

Hola! Soy el admin ;)

More from Cloud SecurityMore posts in Cloud Security »
More from MalwareMore posts in Malware »

Be First to Comment

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Blog de Hacking Ético

Mission News Theme by Compete Themes.