Faltan profesionales especializados en ciberseguridad, y esta escasez va cada vez a más. Según una estimación de Cyber Security Ventures, para el año 2021 habrá unos 3,5 millones de puestos de trabajo sin cubrir en el área de la ciberseguridad. Y cuando hay candidatos para un puesto concreto, menos del 25 % de ellos está realmente cualificado para el empleo. 

Muchas empresas grandes están invirtiendo en soluciones a largo plazo, que varían desde camiones de formación móviles y programas de aprendizaje. Pero el Sistema Universitario de Texas A&M (EE. UU.) ha encontrado una manera de resolver su escasez de personal a corto plazo. Su estrategia consiste en juntar a los estudiantes de ciberseguridad con un software de inteligencia artificial (IA).

Cada mes, el Centro de Operaciones de Seguridad del centro gestiona cerca de un millón de intentos de hackear el sistema de la universidad. Aunque la universidad tiene algunos empleados a tiempo completo, la mayoría de su fuerza de ciberseguridad está formada por estudiantes. Actualmente, diez estudiantes trabajan junto con el software de IA para detectar, supervisar y dar solución a las amenazas.

Por un lado, esta estrategia amplía la formación de los estudiantes para que aprendan a realizar estas tareas en otras compañías. Por otro, ofrece trabajadores de ciberseguridad a la universidad a un coste muy bajo. Y a diferencia de muchas otras organizaciones, la Universidad de Texas A&M no está teniendo problemas para cubrir los puestos. El director ejecutivo del Centro de Operaciones de Seguridad del centro, Daniel Basile, afirma: "Nunca hemos tenido que publicar ni un solo puesto de trabajo. Todos [los estudiantes] han oído hablar de nosotros a través de sus redes".

Cuando los estudiantes llegan a su puesto de trabajo en un día normal, se les presenta una pizarra que muestra las diferentes áreas de la universidad, y las posibles amenazas a las que se enfrentan cada una de ellas. La IA es capaz de identificar estos "eventos" y ayudar a priorizarlos. Después, los estudiantes observan cada anomalía en función de su prioridad y verifican si se trata de una actividad sospechosa. Para ello, la comparan con ciberataques previos, analizando las direcciones IP y los datos proporcionados por el software. La estudiante y analista de seguridad Jennifer Allen cuenta: "Hacemos todo lo posible para que las agencias no lleguen a recibir ninguna alerta. Una vez hecho eso, realizamos una segunda revisión para detectar lo que hayamos podido pasar por alto".

Y aunque esa revisión adicional podría parecer redundante, Allen recuerda que una de las cosas que de las que más se enorgullece se produjo en una revisión secundaria. La joven identificó una gran cantidad de datos que movían a través de la red escolar y que resultó ser una actividad ilícita de BitTorrent.

El estudiante de último curso de Gestión Tecnológica Benjamin Cervante empezó trabajar en el centro hace un año y medio con la esperanza de adquirir experiencia y prepararse para un puesto de ciberseguridad en el ejército. Antes de eso, había trabajado en un taller local de reparación de coches para ayudar a pagarse las clases. Ahora, en vez de trabajar de mecánico, respalda su educación gracias a sus habilidades de codificación. Cervante dedica entre 20 a 30 horas a la semana a analizar amenazas y desarrollar un software de IA para automatizar aún más el proceso.

Pero atraer perfiles para que se dediquen exclusivamente a la ciberseguridad no es el único problema. Una encuesta reciente descubrió que casi el 40 % de los expertos en ciberseguridad afirman que la falta de habilidades estaba causando altas tasas de agotamiento y rotación entre los trabajadores (ver El estrés laboral en ciberseguridad es el nuevo aliado de los hackers). "Da igual el sueldo que se ofrezca, es imposible encontrar personal", alerta el CEO de Vectra, Hitesh Sheth, cuya empresa fabrica el software de inteligencia artificial que usa la universidad. "La gente se va en 12 meses porque alguien les pagará un 30% más de salario".

El Centro de Operaciones de Seguridad de la universidad también sufre el problema del estrés, pero intenta combatirlo con una gran cantidad de trabajadores. Cervantes explica: "Todos analizamos miles de amenazas. Se vuelve un poco frustrante, pero como somos muchos [estudiantes], podemos mantenernos al día con los números y hacer algunos proyectos paralelos y formarnos para prevenir el agotamiento".

La IA es un bastón sobre el que los estudiantes sin experiencia se apoyan para poder empezar a evaluar las amenazas rápidamente. Por ahora, el software solo detecta anomalías y proporciona algún contexto. Pero no tiene capacidad de acción, así que son los trabajadores humanos los que deben combatir las amenazas que detecta. Sheth sostiene: "En el futuro, creo que llegaremos al punto en el que el software se volverá predictivo, detectará etapas muy tempranas de un ataque y actuará para contenerlo".

Pero depositar demasiada confianza en la IA para luchar contra los ciberataques podría ser arriesgado (ver Claves para automatizar las tareas de ciberseguridad de forma fiable). Los hackers pueden aprender a evadir los algoritmos de ciberseguridad y manipular los datos de entrenamiento. Por lo tanto, la automatización no es la única respuesta. Los humanos también tienen un papel importante que jugar. Y el mundo los necesita desesperadamente.