Sheila Berta es especialista en seguridad informática, tiene 24 años y ya lleva varios años en este rubro. Comenzó estudiando programación a los 12 años y empezó a escribir sobre ciberseguridad en sitios especializados a los 15 años. Tres años después obtuvo su primer empleo en una consultora y escribió su primer libro, Web hacking, que publicó mediante la editorial RedUsers.
Hoy en día lidera el equipo de investigación para Dreamlab Technologies, una compañía Suiza que tiene sedes en diferentes países; escribe en su blog personal y ofrece charlas por el mundo. Participó de eventos muy reconocidos dentro del mundo de la ciberseguridad como Black Hat, Def Con, HITB, HackLu, Ekoparty Security Conference, DragonJARCon, IEEE ArgenCon y OWASP Latam Tour, entre otros.
También está dando capacitaciones gratuitas de introducción a seguridad informática en el Museo de Informática. Esos cursos están dirigidos a las mujeres que deseen iniciarse en el tema. “Lo hago con la intención de incentivar e incluir a más mujeres en esta profesión, ya que alrededor del mundo representamos sólo el 10% de profesionales en el área”, explicó en diálogo con Infobae.
-Por lo que leí en tu blog, sos autodidacta: comenzaste a estudiar a los 12, después de hacer una página web seguiste aprendiendo por tu cuenta. ¿Esto es así?
-Si, comencé a los 12, aprendiendo a programar un sitio web por mi cuenta. Enseguida me pregunté cómo se podrían “romper” los sitios web que programaba y entonces mi curiosidad se desvió para el lado de la seguridad informática.
- ¿Cómo fue ese recorrido autodidacta? ¿aprendiste con tutoriales en YouTube, libros, foros?
-Bueno, YouTube medio que no existía o no era muy utilizado cuando empecé a estudiar. Así que no, no me guié por tutoriales de YouTube. El conocimiento que me interesaba se compartía en foros de hacking. La mayoría de ellos hoy ya no existe más. En aquel entonces eran una de las mayores fuentes de material de estudio junto a los blogposts de otros entusiastas. Aprendí de la gente que compartía su conocimiento en internet, yo también compartía en los mismos foros las cosas que iba aprendiendo.
-¿Qué le aconsejarías que estudie alguien interesado en ciberseguridad?
-Hoy el tema ya no es tan “tabú” como lo era hace 12 años, cuando empecé. Hay muchísimos recursos, ya no están solo los blogspost de entusiastas sino que hay muchos más libros, cursos, videos y demás. Es cuestión de sentarse a buscar y estudiar, la seguridad informática tiene muchas áreas y está bueno saber aunque sea un poco de cada una antes de especializarse en alguna en particular. Requiere tiempo y dedicación, como cualquier otra profesión.
-Entiendo que, a grandes rasgos hay dos grandes ramas dentro de la ciberseguridad: optar por la ofensiva (ethical hacking) o la defensiva. ¿ Es así?
-Sí, podría decirse que existe esa división, los que se divierten en el “red team” (ofensivo) y los que les gusta el “blue team” (defender). Siempre digo que para saber defender hay que saber atacar, es necesario conocer las técnicas de ataque, de lo contrario no es posible defenderse de lo que no se conoce. Luego hay quienes se quedan en lo ofensivo y quienes se pasan al trabajo de defender.
-¿Cuál de las dos se demanda más hoy en día en el mercado?
-Hay demanda para ambos perfiles. Las grandes compañías suelen tener ambos equipos: uno de red team y otro de blue team. Quizás las consultoras de seguridad informática suelen buscar perfiles más ofensivos que realicen tareas de “test de intrusión” porque es el servicio que más se ofrece. Por otro lado empresas medianas o pequeñas pueden buscar una persona o tener un pequeño equipo más de blue team que se ocupe únicamente de proteger los activos de la empresa. Pienso que hay demanda para todos los perfiles.
-¿Se puede decir que los expertos en ciberseguridad son los más demandados dentro del mundo IT? ¿Qué otros especialistas son los más requeridos?
-Sé que hay una demanda muy grande de especialistas en seguridad, pero dentro de todo el mundo IT hay demasiados perfiles como para saber cuál es el más requerido. Por ejemplo hay mucha demanda de desarrolladores mobile también o programadores en tecnologías que surgieron hace pocos años y son tendencia ahora.
-¿Cómo ves que será la tendencia en los próximos 10 años? ¿Los ciberespecialistas son los mejores pagos?
-La historia, aunque no es muy larga, parece dictar que siempre hace falta gente que se dedique a la seguridad, y cada vez más, por el simple hecho de que todo migra hacia la tecnología, y es eso lo que un especialista en seguridad ataca o defiende. ¿Si son los mejores pagos? No lo sé, siempre depende mucho del rol que ejerzas dentro de la profesión, al igual que en todas las demás.
- ¿Cuáles son, hoy en día, los mayores riesgos de seguridad que corren los usuarios y cómo deberían protegerse?
-Pienso que la mayoría de la gente carece de una paranoia sana que los ayude a protegerse de los ataques más comunes. Hay quienes suben a sus redes sociales absolutamente todo lo que hacen sin ningún tipo de control de privacidad y eso puede traer consecuencias no solo en el mundo virtual. Tomar control de nuestra privacidad en internet es el primer paso para evitar ser víctima de muchos ataques. Todas las redes sociales ofrecen diferentes controles de privacidad y también medidas que pueden tomarse para brindarle más seguridad a la cuenta ante robos de contraseña y demás.
-Y en lo que respecta a las empresas: ¿cuáles son los mayores vectores de ataque en esos casos y de qué manera deberían protegerse?
-Las empresas son víctimas de todo tipo de ataques: desde ataques masivos que fluyen por internet hasta ataques absolutamente dirigidos a la compañía. Robo de información, secuestro de información, pérdida, infecciones por malware, son algunas de las cosas más típicas. El ataque la mayoría de las veces comienza por alguien dentro de la empresa que “cayó” en hacer clic donde no debía o descargar algo que no debía ejecutar. Siempre digo que las empresas deben invertir en capacitar y concientizar a las personas en estos temas, además de invertir en controles de seguridad.
-¿Qué le aconsejarías a un chico o chica que quiere estudiar ciberseguridad?
-Que le dedique tiempo, es un mundo en el que nunca se termina de aprender. Hay que leer, estudiar, es necesario mantenerse al día. La curiosidad y la dedicación para mi son clave. No hay barreras: el conocimiento está ahí generalmente al alcance de un click.
- ¿Qué es lo que más te gusta y lo que menos te gusta de tu trabajo?
-Siempre digo que a mi me encanta “romper cosas”, me dedico a investigar cómo funciona algo y cómo se puede romper o terminar utilizándolo para un fin que no era el original. En otras palabras: cómo se pueden hackear las cosas. Lo que hago es lo que me gusta hacer. No sé si hay algo que no me guste, quizás de vez en cuando hay que hacer alguna documentación aburrida sobre el procedimiento que se usó para romper algo, pero no es tan grave.
-¿Te identificás con el mote de “hacker buena”? ¿Qué es, después de todo, ser "hacker bueno o malo? ¿Cuáles son los límites?
-Esta pregunta me la han hecho varias veces y siempre digo que el conocimiento puede ser usado para bien o para mal, uno elige. Hay quienes realizamos nuestro trabajo como en una profesión igual a cualquier otra, dentro de los marcos legales y cobramos por nuestro servicio. Por otro lado hay quienes no lo hacen de esa manera y roban tarjetas de crédito o cobran por hackear cuentas entre otro tipo de actividades fuera de lo legal.
- Entiendo que estados y empresas cada vez más requieren de los servicios de hackers éticos o expertos en ciberseguridad para proteger sus datos. Pero ¿se necesita también de estos expertos para hacer trabajos “espía” hacia la competencia u otros estados o incluso para orquestar ciberataques? A diario se lee sobre casos de este tipo. ¿Qué pensás?
-Si, por supuesto, hay demanda para todo tipo de trabajos. Lo que hoy comúnmente llaman “ciberespionaje”, “ciberguerra” y demás es una realidad. Pero como dije antes: el conocimiento es siempre el mismo, después uno elige qué trabajos va a realizar.
MÁS SOBRE ESTE TEMA: