¿Quieres trabajar en ciberseguridad? Llega con 5 años de experiencia, certificados y dispuesto a trabajar por dos

Los optimistas informes financieros de los mayores actores de la ciberseguridad contrastan notablemente con lo que se comenta en las comunidades profesionales. Las empresas cotizadas muestran tasas de crecimiento de dos dígitos, cierran acuerdos multimillonarios y presentan previsiones sólidas, mientras que, en la práctica, los empleados hablan de congelación de contrataciones, ofertas que se caen a última hora y requisitos prácticamente imposibles de cumplir. Los recién llegados, a quienes hasta hace poco se les aseguraba que podían entrar en el sector sin experiencia, se enfrentan a cientos de currículums enviados y a varias entrevistas sin conseguir empleo.

Sin embargo, las cifras muestran otra cara. Gartner pronostica que el gasto de los clientes finales en seguridad de la información crecerá a doble dígito este año y el próximo. Palo Alto Networks anunció la compra de CyberArk por más de 20.000 millones de dólares. Para el cuarto trimestre, PAN prevé un crecimiento de beneficios superior al 15%, y en el tercero ya había registrado un aumento del 23% interanual (no GAAP). CrowdStrike registró un flujo de caja récord y un aumento de ingresos del 20% en el trimestre que finalizó el 30 de abril de 2025, pero poco después anunció la reducción del 5% de su plantilla, unas 500 personas. Otros líderes también presentaron resultados impresionantes: Fortinet — +14% de ingresos, Cloudflare — +28%, Zscaler — +23%. Grandes corporaciones tecnológicas con importantes divisiones de ciberseguridad — Microsoft, Cisco, Broadcom — también reportaron crecimientos de dos dígitos.

La causa de la brecha entre los resultados financieros y la dinámica del empleo no radica tanto en la automatización con IA como en el cambio del modelo de mercado. Cada vez más empresas destinan sus presupuestos no a ampliar la plantilla, sino a suscripciones a plataformas ya listas, automatización de procesos y servicios de proveedores externos. El presidente de EC-Council, Jay Bavisi, señala que ahora los empleadores no buscan especialistas que solo procesen registros o escalen incidentes, sino personas capaces de diseñar estrategias, desarrollar sistemas de gestión de riesgos y usar herramientas inteligentes para las tareas rutinarias. Las exigencias han aumentado y las oportunidades de entrada para principiantes se han reducido drásticamente.

Tendencia similar describe Eric O'Neill de NeXasure.ai, exagente del FBI en contraterrorismo y contrainteligencia. Afirma que gran parte de las tareas de detección y procesamiento inicial de incidentes ya han sido delegadas a herramientas EDR/XDR y servicios gestionados. En lugar de contratar a sus propios analistas, las empresas invierten en soluciones en la nube, plataformas de red y Managed Detection and Response, alquilando de facto equipos y tecnología a un proveedor. Los directivos buscan lograr más con menos personal, y el aumento del gasto en licencias no va acompañado de más contrataciones. Incluso la selección de candidatos se realiza cada vez más con sistemas automáticos, lo que provoca que muchos currículums cualificados sean descartados sin explicación.

Las investigaciones académicas lo confirman: la proporción del gasto en servicios de terceros está en aumento. La doctora Michelle Angelo-Rocha, de Cyber Florida, señala que esto ayuda a cerrar rápidamente tareas operativas, pero dificulta el desarrollo de personal propio, especialmente en puestos junior. Este fenómeno se ve reforzado por las exigencias de aseguradoras y reguladores: para cumplir las normas es más sencillo contratar un equipo ya formado de un proveedor que formar a novatos.

La vertiente tecnológica también está cambiando. Según Tony Anscombe, evangelista de seguridad en ESET, el volumen de datos generado por los sistemas de protección es enorme y no puede procesarse sin automatización. La IA ya analiza la telemetría, detecta acciones sospechosas y genera alertas, dejando al ser humano solo las tareas que requieren contexto y análisis profundo. Al mismo tiempo, el cambio al modelo gestionado impulsa contratos de gran escala y, con ello, la dependencia de las suscripciones.

En el sector también se escuchan críticas. El pionero de Internet Wes Kussmaul califica la ciberseguridad como una “industria de soluciones permanentes” de 240.000 millones de dólares, que gana dinero vendiendo nuevos productos “de moda” sin resolver el problema de raíz. Considera que las empresas caen en un ciclo cerrado de actualizaciones y compras periódicas, obteniendo solo una ilusión de seguridad. Como ejemplo, menciona Google Unified Security, que integra inteligencia de Mandiant y herramientas de IA: según él, soluciones tan integrales elevan el coste de propiedad y complican la infraestructura, pero no eliminan las vulnerabilidades sistémicas. Sostiene que, con otros enfoques organizativos, el sector podría funcionar con un presupuesto de 24.000 millones, y no diez veces más.

Del lado de los clientes ya se nota una menor actividad. El CEO de CyRisk, Ben Goodman, escribe que, tras años de fuertes inversiones, muchos han revisado sus gastos: la ausencia de métricas unificadas de eficacia y la persistencia de incidentes impulsan la cautela. Las empresas siguen invirtiendo en seguridad, pero lo hacen de forma más lenta y selectiva.

¿Qué significa esto? Según O'Neill, si tu trabajo se basa en tareas repetitivas, es hora de adquirir nuevas competencias: herramientas modernas, automatización, capacidad de vincular tecnología y estrategia. Anscombe añade que un título no basta: el mercado demanda certificaciones como CISSP y la disposición a aceptar un puesto menos prestigioso para crecer a largo plazo. Pero ni siquiera eso es suficiente cuando se exige experiencia de 3 a 5 años incluso para vacantes de inicio. La doctora Angelo-Rocha apunta que, por ello, muchos candidatos con formación y certificaciones no logran acceder a prácticas. Hoy en día se espera que los profesionales combinen habilidades técnicas, rápida adaptación, capacidad de comunicación y comprensión del comportamiento humano: un perfil “universal” que en la práctica es muy raro.

La brecha entre los ingresos crecientes de las empresas y la estancada contratación es el resultado de un cambio en el modelo de consumo. Las organizaciones compran resultados por suscripción, externalizan procesos rutinarios, automatizan todo lo que puede formalizarse y redefinen lo que significa ser un especialista en seguridad. Para quienes estén dispuestos a adaptarse, el mercado aún ofrece oportunidades, pero el camino ya no pasa por la vieja escalera profesional, sino por dominar herramientas modernas, estándares y un enfoque estratégico.