Cómo Convertirte en Un Experto en Ciberseguridad

Cómo convertirte en un experto en ciberseguridad
Cómo convertirte en un
experto en ciberseguridad
Guía para iniciar tu carrera en
el campo
Por:
Karina Astudillo B.
CEH – CSCE – CyberOps
Copyright © 2023 – Todos los derechos reservados
Karina Astudillo B. © 2023

Disclaimer
Todos los derechos reservados. Esta publicación
no puede ser reproducida total ni parcialmente, ni
registrada o transmitida por un sistema de
recuperación de información o cualquier otro
medio, sea este electrónico, mecánico,
fotoquímico, magnético, electrónico, por fotocopia
o cualquier otro, sin permiso por escrito previo de
la editorial y el titular de los derechos, excepto en
el caso de citas breves incorporadas en artículos
críticos o revisiones.
Todas las marcas registradas son propiedad de sus

respectivos propietarios. En lugar de poner un
símbolo de marca después de cada ocurrencia de
un nombre de marca registrada, usamos nombres
en forma editorial únicamente, y al bene cio del
propietario de la marca, sin intención de infracción
de la marca registrada. Cuando estas
designaciones aparecen en este libro, se imprimen
con mayúsculas iniciales y/o con letra cursiva.

Table Of Contents
Cómo convertirte en un experto en

ciberseguridad 1
Guía para iniciar tu carrera en el campo 1
Introducción 4
Formación y educación en
ciberseguridad 19
Desarrollo de habilidades en
ciberseguridad 37
Oportunidades de empleo en
ciberseguridad 49
Consejos para iniciar tu carrera en
ciberseguridad 64
Re exiones nales 71
Recursos adicionales 74
Sobre la autora 79
Sobre Academia Hacker y un regalo
para los lectores 84

Otros libros de Karina Astudillo 85

Glosario de términos técnicos 86
Notas y referencias 101

Introducción
La información publicada en este libro está basada
en artículos y libros publicados y en la experiencia
de su autora. Su único propósito es educar a los
lectores sobre cómo incursionar en la carrera de
ciberseguridad. No nos responsabilizamos por
efectos, resultados o acciones que otras personas
obtengan de lo que aquí se ha comentado o de los
resultados e información que se proveen en este
libro o sus enlaces.
Se ha realizado un esfuerzo en la preparación de

este libro para garantizar la exactitud de la
información presentada. Sin embargo, la
información contenida en este libro se vende sin
garantía, ya sea expresa o implícita. Ni la autora, ni
la editorial, sus concesionarios o distribuidores
serán responsables de los daños causados o
presuntamente causados directa o indirectamente
por el uso de la información provista en este libro.

La ciberseguridad es un campo que ha cobrado

una mayor importancia para los individuos y las
organizaciones en los últimos años.
Esto se debe entre otras causas, al notable

crecimiento del número de dispositivos
conectados al Internet, que ya no sólo son
computadoras, servidores, smartphones o tablets,
sino también equipos como cámaras de video,
teléfonos IP, e inclusive electrodomésticos como
neveras y televisores inteligentes.
Esta “hiperconectividad” abre la puerta para que se

presenten más amenazas a la seguridad de la
información, para las que en muchos casos los
usuarios y empresas no están preparados para
defenderse adecuadamente.

He ahí la razón por la que el mundo necesita más

profesionales de ciberseguridad expertos que
ayuden a las organizaciones y a los individuos en
su lucha contra las ciber amenazas. De modo, que,
si deseas convertirte en un experto en
ciberseguridad, no podría haber mejor momento
que el actual para iniciarte en esta tanto divertida,
como lucrativa carrera.
Esta guía te ayudará a comprender los conceptos

básicos de la ciberseguridad, así como a conocer
qué habilidades especí cas deberás desarrollar
para especializarte en una o varias de las carreras
posibles dentro del área de la seguridad de la
información.
¿Así que qué estás esperando? Adelante con la

lectura, ¡comencemos!

Seguridad de la Información vs
Ciberseguridad
De acuerdo con la ISO/IEC (2023), la seguridad de
la información puede de nirse como aquellos
procesos, buenas prácticas y metodologías que
buscan proteger la información y los sistemas de
información del acceso, uso, divulgación,
interrupción, modi cación o destrucción no
autorizada.
Por otro lado, aunque no hay un consenso global

sobre la de nición de ciberseguridad, de forma
sencilla podemos decir que se trata de una
disciplina que se encarga de proteger los sistemas,
redes y datos informáticos de ataques maliciosos o
accidentales. Esto incluye la protección contra
software malicioso, phishing, ataques de
denegación de servicio (DoS), robo de identidad y
otros tipos de amenazas a la seguridad de la
información.

La ciberseguridad también incluye la recuperación

de datos en caso de un ataque exitoso y la
implementación de medidas preventivas para
evitar futuros ataques. Asimismo, también abarca
la protección de la privacidad de los usuarios y el
cumplimiento de regulaciones legales y
estándares.
De lo anterior se desprende que la ciberseguridad

es un segmento de la seguridad de la información,
pues la segunda comprende la protección de toda
la información, mientras que la primera se enfoca
en proteger solamente aquella que puede
compartirse por medios informáticos.
Es importante, además, destacar que la

ciberseguridad es un proceso continuo que
requiere la implementación de medidas de
seguridad, el monitoreo constante y la
actualización de estas medidas para mantener la
protección contra las nuevas ciber amenazas.

Importancia de la ciberseguridad
Con el creciente uso de la tecnología en todos los
aspectos de la vida y la gran cantidad de
información con dencial y transacciones
económicas que se llevan a cabo en línea, la
ciberseguridad se ha vuelto esencial para proteger
esta información y evitar el robo de identidad y la
pérdida de datos.
Al mismo tiempo, las empresas y organizaciones

se ven expuestas a interrupciones del negocio y
daños económicos graves en el caso de ser
víctimas de un ciber ataque exitoso, por lo que la
implementación de medidas de ciberseguridad se
vuelve crucial para minimizar estos riesgos.

Otro aspecto importante de la ciberseguridad es

cumplir con las regulaciones legales y estándares.
Muchas industrias tienen requisitos especí cos en
cuanto a aseguramiento de información que deben
cumplirse, y las organizaciones pueden enfrentar
sanciones y multas signi cativas en caso de
incumplimiento. Por ejemplo, en mi país, Ecuador,
el 26 de mayo de 2021 entró en vigor la Ley
Orgánica de Protección de Datos Personales
(LOPD)[1], la cual se encarga de normar el
tratamiento de datos de carácter personal que
realizan las empresas públicas y privadas, así como
los profesionales independientes, de aquellos
individuos con quienes interactúan dichos entes,
como, por ejemplo, colabores, clientes,
proveedores, etc., con el propósito de garantizar el
derecho que la constitución ecuatoriana otorga
sobre protección de datos personales.

Como contraparte, en la Unión Europea, el

Reglamento General de Protección de Datos,
mejor conocido como GDPR por sus siglas en
inglés, entró en vigor mucho antes que la LOPD, el
25 de mayo de 2018, justamente con el n de
proveer mayor protección y transparencia para los
datos personales de los ciudadanos europeos.
Por todo esto, la ciberseguridad es esencial para

proteger la información con dencial, evitar la
interrupción del negocio y cumplir con las
regulaciones y estándares legales. Este es un
proceso continuo, por lo que se vuelve necesario
mantener actualizadas las medidas de seguridad
para así poder protegerse de las nuevas amenazas
cibernéticas.

Campos de especialización en
ciberseguridad
Los campos de especialización en ciberseguridad
incluyen una variedad de áreas, cada una con su
propio conjunto de habilidades y
responsabilidades. Algunos de los campos más
comunes incluyen:

Ciberdefensa: Este campo se enfoca en

proteger los sistemas informáticos de ataques
y amenazas. Los profesionales en
ciberdefensa analizan las redes y sistemas,
identi can posibles vulnerabilidades e
implementan medidas de seguridad para
protegerlos. Usualmente a los miembros del
equipo de ciberdefensa de una empresa se les
denomina el “blue-team” o equipo azul. En la
línea de ciberdefensa existen
subespecialidades como: seguridad de la red,
seguridad de sistemas operativos, seguridad
de código y aplicaciones, etc.

Seguridad ofensiva: Los profesionales de

seguridad ofensiva realizan ataques
controlados en contra de los sistemas
informáticos de las organizaciones, con
autorización de estas, emulando las acciones
de los ciber atacantes, pero sin causar daños a
los sistemas o información, con el n de
evaluar si existen vulnerabilidades informáticas
que no hayan sido solventadas
adecuadamente y proveer recomendaciones
de remediación que permitan solucionar los
huecos de seguridad existentes, para así estar
siempre un paso delante de los chicos malos.
Este es un ámbito en donde operan los
llamados hackers éticos o hackers de
sombrero blanco (white-hat-hackers). A los
miembros del equipo de seguridad ofensiva se
les suele llamar el “red-team” o equipo rojo.
Cuando el hacker ético es externo a la
organización y se dedica a la ejecución de
pruebas de intrusión, ya sea de forma
independiente o trabajando para una empresa
de ciberseguridad, se le denomina “Pentester”.

Ciberoperaciones y Respuesta a Incidentes:

Esta área involucra la identi cación, registro,
análisis y gestión de amenazas a la seguridad,
riesgos e incidentes cibernéticos en tiempo
real. Los profesionales de este ámbito
monitorean de forma constante la red y los
sistemas de una organización en busca de
amenazas, con el n de responder a ellas de
forma ágil y prevenir, mitigar o solucionar,
riesgos para la información. Las plataformas
que proveen servicios de ciberoperaciones ya
sea al interior de una organización, o para
terceras empresas se denominan SOC’s
(Security Operation Centers).

Cumplimiento normativo: Este campo se

enfoca en cumplir con las regulaciones y
estándares legales en materia de seguridad
informática. Los profesionales en
cumplimiento normativo se aseguran de que
las organizaciones cumplen con las
regulaciones y estándares aplicables. Entre los
estándares internacionales de seguridad de la
información más populares tenemos: ISO/IEC
27001, NIST CSF, NIST 800-53, Secure Controls
Framework (SCF), entre otros[2].

Auditoría y Cómputo Forense: Los auditores

informáticos son responsables por efectuar
auditorías a los sistemas de información y a la
infraestructura informática de una
organización para veri car y garantizar que, en
efecto, todos los sistemas y procesos
funcionen adecuadamente. En el área de
auditoría también existen subespecialidades,
como los auditores de procesos, los auditores
de sistemas, los analistas forenses, etc. La
informática forense ha ganado notoriedad en
los últimos años, debido a la invaluable ayuda
que puede proveer en casos no sólo
empresariales, sino también en el ámbito civil y
penal. Vale aclarar que el cómputo o
informática forense “se re ere a un conjunto
de procedimientos y técnicas metodológicas
para identi car, recolectar, preservar, extraer,
interpretar, documentar y presentar las
evidencias del equipamiento de computación
de manera que estas evidencias sean
aceptables durante un procedimiento legal o
administrativo en un juzgado” (UNIR, 2022)[3].

Cada uno de estos campos de especialización en

ciberseguridad requiere un conjunto especí co de
habilidades y conocimientos, y los profesionales
pueden elegir enfocarse en uno o varios de estos
campos según sus intereses y habilidades.
En mi caso personal, por ejemplo, me especializo

en hacking ético y cómputo forense, pero en mis
empresas colaboro con colegas que a su vez se
especializan en estas mismas áreas u otras
complementarias como: seguridad de redes,
ciberoperaciones, seguridad de sistemas
operativos, seguridad de código, respuesta a
incidentes, cumplimiento normativo, etc. Así que
no te abrumes pensando que debes ser experto
en todo, porque esto sería poco práctico y,
además, con el crecimiento constante y acelerado
de la tecnología que vivimos, sería poco factible
que te conviertas en “todólogo”. Es mejor volverte
experto en una o dos áreas que te gusten y
cultivar buenas relaciones con otros colegas que
puedan complementar tu formación cuando lo
necesites.

Formación y educación en
ciberseguridad
Una de las claves para iniciar una carrera en
ciberseguridad es tener una formación y
educación adecuadas en el campo.
A continuación, describo algunas de las opciones

disponibles para ti si estás realmente interesado en
desarrollar tus conocimientos y habilidades en
ciberseguridad.

Carreras universitarias relacionadas

con la ciberseguridad
Muchas universidades ofrecen programas de
pregrado y posgrado en ciberseguridad y áreas
relacionadas, como computación, telemática,
mecatrónica, robótica o telecomunicaciones. Los
programas especializados en ciberseguridad
suelen incluir cursos teóricos y prácticos en temas
como: seguridad de la red, seguridad de la
información, programación, seguridad de código,
hacking ético, cómputo forense, cumplimiento
normativo y gestión de incidentes.
Algunas de las carreras universitarias más

comunes relacionadas con la ciberseguridad
incluyen:

Ingeniería en ciberseguridad: Este programa se

enfoca en el diseño y desarrollo de sistemas y
tecnologías seguras. Los estudiantes
aprenden sobre cómo proteger redes,
sistemas y datos de ciber ataques y cumplir
con las regulaciones de privacidad y
cumplimiento.
Licenciatura en ciencias de la computación
con un enfoque en ciberseguridad: Este
programa ofrece una base sólida en ciencias
de la computación junto con un enfoque
especí co en ciberseguridad. Los estudiantes
aprenden sobre conceptos teóricos y
prácticos sobre sistemas operativos, bases de
datos, programación, redes de computadoras
y ciberseguridad. Algunos lenguajes de
programación populares que se enseñan en
las universidades son: C, C#, C++, Java, Python,
Perl, Javascript, PHP, Kotlin, entre otros.

Ingeniería en seguridad de la información: Este

programa se enfoca en la protección de la
información almacenada en los sistemas
informáticos. Los estudiantes aprenden sobre
cómo asegurar que la información con dencial
está protegida contra el robo y la pérdida, y
cumplir con las regulaciones de privacidad y
cumplimiento.

En cuanto a programas de postgrado, las

orientaciones pueden ser muy diversas
dependiendo del país y la entidad educativa en
que se dicten. En mi país, Ecuador, por ejemplo, mi
alma máter, la Escuela Superior Politécnica del
Litoral (ESPOL), a través de la Facultad de
Ingeniería en Electricidad y Computación (FIEC),
ofrece el programa de Maestría en Seguridad
Informática Aplicada (MSIA), el cual incluye los
componentes básicos necesarios de marco teórico
de las materias que lo componen, pero con un
enfoque predominantemente práctico, lo cual
desde mi punto de vista es realmente importante,
puesto que le ofrece al estudiante la oportunidad
de adquirir habilidades que le serán útiles dentro
del entorno laboral.

Por ello, independientemente del país en que

residas, si optas por una carrera universitaria te
aconsejo tomar en cuenta programas que no sólo
te brinden los conocimientos teóricos, sino que
también ofrezcan componentes prácticos dentro
de su malla curricular. Por supuesto, el prestigio
institucional y de sus docentes es otro punto
relevante que tomar en cuenta. Te sugiero,
además, averiguar si el contenido del programa se
alinea con certi caciones internacionales de la
industria de la ciberseguridad.
Por último, si no existe una carrera universitaria en

ciberseguridad en tu país, siempre puedes optar
por tomar una carrera de forma online o conseguir
los recursos para estudiar de forma presencial en
el exterior. Muchas de las instituciones
universitarias de prestigio ofrecen a los estudiantes
locales y extranjeros becas parciales o totales a las
que podrás aplicar si cumples con los requisitos
que te soliciten.

Si vives en Estados Unidos o deseas estudiar ahí,

esta página sobre becas en ciberseguridad de
Cybersegurity Guide te puede resultar muy útil:
https://cybersecurityguide.org/resources/scholar
ship-guide/.
Por otro lado, si deseas estudiar en Europa, el sitio

web de Global Scholarships te puede orientar al
respecto: https://globalscholarships.com/best-
cyber-security-schools-europe/.
Finalmente, si vives en América Latina, encontré

estos sitios que te pueden interesar:

La Organización de Estados Americanos (OEA)

tiene un programa de becas académicas que
otorga anualmente becas para maestrías,
doctorados o investigación de postgrado. Más
información en este enlace:
http://www.oas.org/es/becas/.
En Ecuador, la Escuela Superior Politécnica del
Litoral (ESPOL) ofrece la Maestría en Seguridad
Informática Aplicada (MSIA), de la cual la
suscrita es docente y que ofrece en la
actualidad la modalidad online de estudio.
UNIR es una universidad internacional online,
reconocida por la SENESCYT (en Ecuador), que
ofrece una Maestría O cial en Ciberseguridad
y otra en Ciberdelincuencia en modalidad
online y ofrece la opción de postular a becas
de la Organización de Estados Americanos
(OEA) de hasta el 60%.

El sitio web “Becas sin fronteras” es una buena

fuente de información acerca de becas
disponibles para los latinos en distintos
tópicos, incluido ciberseguridad. Visita este
enlace si deseas más información al respecto:
https://becas-sin-fronteras.com/otras/becas-
para-ciberseguridad/.
Cursos y certi caciones en

ciberseguridad
Además de las carreras universitarias, también
existen una variedad de cursos en modalidad
ejecutiva y certi caciones en ciberseguridad
disponibles en línea y de forma presencial. Estos
cursos y certi caciones pueden enfocarse en una
variedad de temas, como seguridad de la red,
seguridad de la información, hacking ético,
cómputo forense, ciberdefensa, cumplimiento
normativo y gestión de incidentes.

En ocasiones, puede que una carrera universitaria

en ciberseguridad no sea la mejor alternativa para
ti. Tal vez ya ostentas un título universitario y no
quieres invertir mucho tiempo en tomar una
segunda carrera académica formal. O bien, que
busques especializarte en un área especí ca de la
ciberseguridad en el menor tiempo posible porque
necesitas trabajar para mantenerte. O que ya
hayas tomado una carrera de pregrado o
postgrado en ciberseguridad y que lo que busques
sea refrescar tus conocimientos, perfeccionar tus
habilidades prácticas o ampliar tu bagaje de
conocimiento.
Sin importar cual sea tu caso, los cursos en

modalidad ejecutiva y, sobre todo, aquellos que se
alinean con una certi cación internacional de la
industria, pueden aportarte los conocimientos y
ayudarte a desarrollar las destrezas que requieres
para convertirte en un experto en ciberseguridad.
Algunos ejemplos de certi caciones en

ciberseguridad muy reconocidas son:

Cybersecurity Certi ed Expert (CSCE)

Certi ed Information Systems Security
Professional (CISSP)
Certi ed Information Systems Auditor (CISA)
Certi ed Information Security Manager (CISM)
CompTIA Security+
Estas certi caciones son reconocidas a nivel
mundial y son altamente recomendadas para
algunos roles y puestos en ciberseguridad ya que
demuestran habilidades y conocimientos
especí cos en el campo.
En Academia Hacker, somos partners de la

Certi cadora Internacional CertJoin, la cual está
avalada por la American Acreditation Association
(AAA). En conjunto con CertJoin desarrollamos en
2022 la certi cación internacional Ethical Hacking
Certi ed Associate (EHCA), convirtiéndonos en la
primera academia de ciberseguridad
latinoamericana en co-crear una certi cación de
Hacking Ético de alto prestigio que está al nivel de
reconocidas certi caciones de la industria.

En retribución por nuestro aporte, nuesto partner

CertJoin nos otorgó un badge que lucimos con
orgullo.

Recursos educativos en línea

Existen varios recursos educativos en línea
gratuitos y de pago, como tutoriales, videos y
cursos, que pueden ayudar a los individuos a
desarrollar sus habilidades en ciberseguridad. Este
ebook es el vivo ejemplo de ello, pues en
Academia Hacker nos esforzamos por contribuir
con la comunidad de ciberseguridad de forma
permanente y además de nuestros libros y cursos
de pago, publicamos de forma periódica recursos
gratuitos en nuestro blog, en la comunidad de
Ciberguerreros y en nuestra tienda digital.
Estos son ejemplos de recursos educativos en

línea gratuitos que te pueden ser útiles:

National Cyber Security Alliance: Es una

organización sin nes de lucro, que provee
diversos recursos gratuitos para ayudar a las
personas a usar la tecnología de forma segura
y a protegerse del cibercrimen. Puedes visitar
su página en https://staysafeonline.org/.
Cybersecurity Awareness Month: Es un evento
organizado en octubre por el gobierno de
Estados Unidos, que se instituyó en 2004, el
cual ofrece una variedad de recursos gratuitos
para ayudar a las personas a aprender sobre
ciberseguridad. Más información sobre el
evento en
https://www.cisa.gov/cybersecurity-
awareness-month.
Programa de Ciberseguridad del CICTE: Es un
programa de la Organización de los Estados
Americanos (OEA) para proveer ayuda a los
Estados miembros en el desarrollo de
capacidades de ciberseguridad. Sus
publicaciones están disponibles al público en
este enlace:
https://www.oas.org/es/sms/cicte/prog-
ciberseguridad.asp.

ENISA: Es la Agencia de la Unión Europea para

la Ciberseguridad cuyo objetivo es velar por un
alto nivel común de ciberseguridad en toda
Europa. En su sitio web,
https://www.enisa.europa.eu/about-
enisa/about/es, encontrarás publicaciones
gratuitas respecto a ciberseguridad de gran
utilidad.
INCIBE: Es el Instituto Nacional de
Ciberseguridad de España, el cual publica
artículos relacionados con estándares de
ciberseguridad, provee guías gratuitas y realiza
eventos relacionados con seguridad de la
información de forma periódica. Más sobre
INCIBE en https://www.incibe.es/.

Si vives en Ecuador, también puedes hallar

información de noticias de ciberseguridad, recibir
alertas y ver videos educativos relacionados, de
forma gratuita, accediendo al sitio web del
Observatorio Especializado en Seguridad de la
Información y Ciberseguridad de la SEPS en
https://www.seps.gob.ec/observatorio-
especializado-en-seguridad-de-la-informacion-y-
ciberseguridad-seps/.
Además de los recursos gratuitos, también existen

una gran variedad de cursos y programas en línea
de pago que ofrecen una educación más profunda
y especializada en temas relacionados con la
ciberseguridad. Algunos ejemplos de plataformas
de educación en línea son:

Academia Hacker: somos una academia online

perteneciente a la empresa Consulting
Systems (https://consulting-systems.tech),
que se especializa en brindar programas de
ciberseguridad enfocados en áreas como la
ciberdefensa, hacking ético, cómputo forense
y frameworks, alineados con certi caciones
internacionales de la industria. Visítanos en
https://academia-hacker.com.
Cisco Networking Academy: el programa
NetAcad de Cisco Systems ofrece programas
en redes, ciberseguridad y otros tópicos
relacionados, que están orientados con
certi caciones de la industria y del propio
Cisco. Además de cursos de pago, también
tienen cursos gratuitos de nivel introductorio.
Dales un vistazo en https://www.netacad.com.
Coursera: ofrece una variedad de cursos en
línea en ciberseguridad, impartidos por
profesores de universidades reconocidas. Su
sitio web es https://www.coursera.org.

Udemy: ofrece una gran variedad de mini-

cursos en línea en ciberseguridad a precios
bastante asequibles. Puedes visitarlos en
https://www.udemy.com.
edX: al igual que Coursera, provee cursos
online en ciberseguridad y otras áreas, que
son impartidos por profesores universitarios.
Visita edX en https://www.edx.org.
Creo importante comentarte que en algunos
países como, por ejemplo, Estados Unidos, las
certi caciones internacionales pueden inclusive
tener más peso que una carrera universitaria para
los empleadores. Así que aún si tuvieres formación
universitaria en ciberseguridad, te recomiendo que
te certi ques y mantengas tus conocimientos
siempre actualizados.

Desarrollo de habilidades en
ciberseguridad
En esta sección, abordaremos cómo desarrollar
habilidades especí cas en ciberseguridad para que
mejores tus oportunidades de carrera y aumentes
tu capacidad de proteger tus sistemas y datos.
Aquí aprenderás qué habilidades técnicas y

blandas son necesarias para que tengas éxito en el
campo de la ciberseguridad, así como sobre las
mejores prácticas para que desarrolles estas
habilidades a lo largo del tiempo.
Habilidades técnicas necesarias

Las habilidades técnicas son cruciales para
cualquier especialista de una carrera práctica,
como lo es la ciberseguridad. En este sentido hay
ciertos prerrequisitos con respecto a
conocimientos que debes tener para poder
adentrarte en esta carrera:

Sistemas operativos: Debes comprender cómo

funcionan los sistemas operativos y tener
bases de aquellos más populares como
Windows, Linux, MacOs, Android, iOS, etc.,
para que más adelante puedas aprender a
asegurarlos.
Bases de datos: De igual forma es esencial que
conozcas qué son las bases de datos, los tipos
de bases que existen, cuáles son las más
populares y cómo funcionan, cuáles son los
riesgos inherentes a estas y cómo proteger
sus datos de accesos no autorizados.
Programación: Saber programar te servirá no
sólo para comprender cómo funcionan las
aplicaciones, sino, además, para poder
desarrollar soluciones de seguridad y
automatizar tareas de seguridad.
Redes de computadoras: Es esencial que
como profesional de ciberseguridad,
comprendas cómo funcionan las redes y sus
distintos protocolos, para que puedas proteger
la infraestructura informática de una
organización de posibles ciber amenazas.

Cifrado: Los mecanismos de cifrado permiten

codi car datos para protegerlos de accesos no
autorizados. Por ende, comprender conceptos
sobre criptología, criptografía y criptoanálisis
es esencial si deseas especializarte en
ciberseguridad.
Investigación: Un profesional de
ciberseguridad debe ser capaz de investigar y
analizar sobre posibles amenazas e incidentes
de seguridad y mantenerse al día con las
publicaciones formales que en journals
académicos se publican sobre protocolos,
aplicaciones y otros tópicos relacionados con
seguridad y tecnología.
Si bien estos conocimientos y habilidades los
puedes obtener a través de cursar programas
académicos formales, también es posible que te
auto eduques al respecto a través de la lectura de
textos académicos o tomando cursos ejecutivos
impartidos por academias online, como algunas de
las ya mencionadas en la sección previa.

Habilidades no técnicas importantes

El desarrollo de habilidades no técnicas, o también
denominadas “habilidades blandas” es igual de
importante que las habilidades técnicas en
ciberseguridad.
Estas incluyen:
Comunicación efectiva: La capacidad de explicar

técnicamente complejas soluciones de seguridad
a colegas y superiores es crucial. También es
importante que aprendas a comunicarte de
manera clara y concisa con los clientes y usuarios
nales.

Pensamiento crítico y creativo: La capacidad

de analizar y resolver problemas de manera
efectiva, rápida y creativa es fundamental al
interior de las empresas. Si no te consideras
creativo, no debes preocuparte, pues de
acuerdo con McFadzean (2000)[4], es posible
usar técnicas para incrementar el pensamiento
creativo y lograr pensar “fuera de la caja”,
como, por ejemplo, la conocida lluvia de ideas
o brainstorming.
Adaptabilidad: La tecnología y los métodos de
ataque cambian constantemente, por lo que
es importante que seas exible y estés
dispuesto a aprender y aplicar nuevos
conocimientos.
Proactividad: La ciberseguridad requiere un
enfoque proactivo y preventivo para identi car
y solucionar problemas antes de que ocurran.

Liderazgo: La capacidad de liderar equipos y

proyectos de seguridad es una habilidad
valorada en cualquier organización. Esta, por,
sobre todo, es una habilidad que conviene que
desarrolles tanto si deseas ascender en la
escalera corporativa, como si deseas
independizarte y montar tu propia empresa de
ciberseguridad.

Trabajo en equipo: La seguridad informática es

un esfuerzo en equipo y requiere la capacidad
de colaborar con colegas y compañías para
lograr objetivos comunes, puesto que trabajar
en equipo “reporta dividendos tanto
individuales como colectivos” (Ayoví, 2019)[5].
Pero, si te consideras un solitario y te resulta
complicado o incómodo trabajar
presencialmente con otras personas, no
desesperes, existen carreras en
ciberseguridad como la de Bug Bounty Hunter
en las que puedes manejar la interacción con
tus contrapartes de forma totalmente online.
Puedes ver un video sobre esto en mi canal de
YouTube.
Estas habilidades blandas complementarán tus
destrezas técnicas y podrás adquirirlas poco a
poco a través de la experiencia laboral, cursos y
capacitación continua.

Cómo desarrollar habilidades en

ciberseguridad
El desarrollo de habilidades en ciberseguridad es
esencial para que tengas éxito en esta carrera. Hay
muchas maneras de desarrollar habilidades en
ciberseguridad, y es importante identi car las
habilidades que son esenciales para tu carrera y
concentrarte en ellas.
Para desarrollar habilidades técnicas, puedes

seguir los siguientes pasos:

Participar en proyectos prácticos: Trabajar en

proyectos prácticos es una excelente manera
de desarrollar habilidades técnicas en
ciberseguridad. Estos proyectos pueden incluir
la con guración de sistemas de seguridad, la
identi cación y corrección de vulnerabilidades,
y la implementación de soluciones de
seguridad. Dependiendo de las regulaciones
en tu país es posible que las empresas deban
abrir plazas anualmente para practicantes,
acude a la página web de la entidad
reguladora y consulta al respecto. En Ecuador,
por ejemplo, existe una ley denominada la
“Ley de Pasantías en el Sector Empresarial”.

Participar en desafíos de seguridad: Estas son

actividades que ponen a prueba las
habilidades técnicas en ciberseguridad de los
participantes. Pueden incluir desafíos de
hacking ético como los famosos CTF (Capture
the Flag), competiciones de seguridad y otras
actividades similares. Una plataforma de
desafíos de seguridad bastante reconocida, y
que, además, está en español, es ATENEA
(https://atenea.ccn-cert.cni.es/home),
hospedada por el Centro Criptológico Nacional
de España.
Participar en cursos y certi caciones: Aunque
ya lo he mencionado, no me cansaré de
repetirte que participar en cursos y
certi caciones es una excelente manera para
que desarrolles tus habilidades técnicas en
ciberseguridad de forma rápida.
Para desarrollar tus habilidades no técnicas, te
sugiero lo siguiente:

Practica la comunicación y la presentación:

Como ya lo he mencionado, mi experiencia me
indica que es muy importante que puedas
comunicarte de manera clara y efectiva sobre
los aspectos técnicos de la ciberseguridad.
Practicar la presentación y la comunicación
periódicamente te ayudará a mejorar estas
habilidades. Una forma de mejorar como
presentador es transmitir en vivo por medio de
tu plataforma favorita y hablar sobre un tópico
de ciberseguridad que hayas aprendido y que
te interese, recuerda que la práctica hace al
maestro. Si eres un poco tímido, puedes optar
por explicarle a un grupo pequeño de amigos
que, al igual que tú, sean entusiastas de la
ciberseguridad; lo importante es que
practiques a transmitir tus ideas y que recibas
retroalimentación de tu público, para que
mejores poco a poco.

Participar en discusiones y debates: Participar

en discusiones y debates en torno a temas de
ciberseguridad es una excelente manera de
desarrollar tus habilidades blandas. Esto
incluye la capacidad de argumentar de manera
clara y efectiva y de escuchar y responder a
las preocupaciones de los demás. Existen
muchos foros especializados de
ciberseguridad donde puedes conversar con
otros entusiastas y profesionales del área,
pero sin duda, Quora (https://es.quora.com), es
bastante popular y puede ser un punto de
partida.
Leer y escribir sobre ciberseguridad: Crear un
blog sobre ciberseguridad es una excelente
manera de desarrollar habilidades blandas.
Esto incluye la capacidad de comprender y
comunicar información técnica de manera
accesible y comprensible para un público no
técnico.

Oportunidades de empleo en
ciberseguridad
En esta sección nos centraremos en las
oportunidades de empleo en el campo de la
ciberseguridad. A medida que la demanda de
profesionales en este campo sigue creciendo, es
importante entender las diferentes opciones de
carrera y las habilidades requeridas para cada una.
En esta sección, exploraremos los diferentes roles
e industrias que ofrecen oportunidades en
ciberseguridad, así como los salarios y el potencial
de crecimiento en la carrera. Con esta información,
podrás tomar una decisión informada sobre cómo
iniciar y desarrollar una carrera en ciberseguridad.

Tipos de empleos en ciberseguridad

En la sección de Introducción, mencionamos
diversos campos de especialización en
ciberseguridad. Así que como habrás notado, la
industria de la ciberseguridad es bastante amplia y
diversa, y ofrece una amplia gama de
oportunidades para profesionales con diferentes
habilidades e intereses.
Estos son algunos de los roles más comunes en

ciberseguridad:

Analista de SOC (Security Operations Center):

Este profesional se encarga de monitorear y
evaluar la seguridad de la información de una
organización, identi cando posibles
vulnerabilidades y tomando medidas para
proteger los datos.
Consultor en ciberseguridad: Este rol implica
trabajar con organizaciones para mejorar su
seguridad online y proteger sus datos contra
posibles ciber ataques.
Hacker Ético: Un hacker de sombrero blanco o
también llamado, hacker ético, es un
profesional de ciberseguridad especializado en
hallar huecos de seguridad en la
infraestructura informática de una
organización y explotarlos de forma
controlada, con el n de evidenciar los riesgos
asociados para así poder mejorar la postura de
seguridad de la organización.

Pentester: Es un tipo especial de hacker ético

que se especializa en efectuar pruebas de
intrusión o Pentesting; pero a diferencia del
anterior, que suele trabajar al interior de una
organización en una postura defensiva, el
pentester trabaja de forma independiente o
para una empresa que brinda servicios de
seguridad ofensiva a sus clientes.

Bug Bounty Hunter: Este es un especialista en

ciberseguridad que al igual que un hacker
ético o un pentester, está en la capacidad de
hallar vulnerabilidades informáticas y
explotarlas. Pero a diferencia de los anteriores,
que usualmente perciben una remuneración
mensual o por proyecto, el Bug Bounty Hunter,
trabaja de forma independiente para diversas
plataformas de Bounty Hunting, que le pagan
recompensas monetarias por cada
vulnerabilidad que descubre y reporta
adecuadamente; aunque hay ciertas reglas
que debe seguir para recibir las recompensas.
Algunas plataformas reconocidas de Bounty
Hunting son: HackerOne, BugCrowd, Synack,
Intigriti, YesWeHack, HackenProof, entre otras.

Analista Forense: El auditor de cómputo

forense analiza evidencia digital en busca de
pistas que le permitan reconstruir un incidente
y responder a preguntas como ¿qué pasó?
¿cómo pasó? ¿cuándo inició el evento? ¿quién
es responsable? que luego formarán parte de
un informe que podrá ser presentado en una
corte legal y a su vez, testi car ante una
autoridad como testigo experto.
Especialista en seguridad de redes: Este
profesional es responsable de diseñar,
implementar y mantener una red segura.
Usualmente se especializa en asegurar una
marca particular de equipos de redes, pero sus
conocimientos sobre protocolos de seguridad
de red son extrapolables a otras marcas.

Especialista en cifrado: Este rol implica

usualmente proteger los datos sensibles
mediante el uso de tecnologías de cifrado. Los
profesionales que desarrollan sistemas
criptográ cos o criptosistemas se denominan
criptógrafos y son muy bien remunerados. En
contraparte, un criptoanalista estudia cómo
romper códigos y criptosistemas y también
suelen percibir ingresos altos.

Investigador de ciberseguridad: En inglés,

Security Researcher; este profesional investiga
posibles amenazas y ataques en línea, y toma
medidas para proteger los sistemas y datos de
las organizaciones. Los investigadores de
seguridad siempre deben estar al tanto de las
últimas tendencias y desarrollos en
ciberseguridad y a menudo publican los
resultados de sus investigaciones en journals
académicos y en simposios de ciberseguridad
como los conocidos DefCon y BlackHat. Mi
buen amigo y colega, Carlos Mario Penagos
Hollman, o Shogimaster como le gusta que le
digan, de quien por cierto estoy muy orgullosa,
es un reconocido Security Researcher que ha
presentado sus investigaciones en
importantes eventos como Black Hat, PacSec,
Cairo Security Camp, Energysec, Ekoparty,
etc., y es el vivo ejemplo de que la
investigación en ciberseguridad puede ser no
sólo bien remunerada, sino también divertida.

Estos son tan sólo algunos de los tipos de empleos

disponibles en ciberseguridad, pero hay muchos
más. Cada rol requiere habilidades y conocimientos
especí cos, por lo que es importante que
investigues a fondo para encontrar el que mejor se
ajuste a tus intereses y habilidades.
Cómo encontrar empleo en

ciberseguridad
Aquí tienes algunas estrategias que puedes
implementar para encontrar un trabajo en
ciberseguridad:

Networking: Asiste a eventos y conferencias

relacionados con ciberseguridad y haz
contactos valiosos. Habla con profesionales
experimentados y hazte conocido en la
industria. Infosec mantiene un sitio web
actualizado a diario con información acerca de
los eventos más renombrados a nivel global
en seguridad y hacking, puedes visitarlo en
este enlace: https://infosec-
conferences.com/.
Voluntariado y prácticas: Muchas empresas
ofrecen oportunidades de voluntariado o
prácticas remuneradas para personas
interesadas en ciberseguridad. Esto te
permitirá adquirir experiencia y hacer
contactos valiosos.
Envía solicitudes de empleo: Revisa las
páginas web de empresas y recursos de
empleo especializados en ciberseguridad para
encontrar oportunidades de trabajo
adecuadas a tus habilidades y experiencia.

Crea una presencia en línea: Crea un per l

profesional en LinkedIn y muestra tus
habilidades y experiencia en ciberseguridad.
También puedes crear un blog o un sitio web
para mostrar tus conocimientos en el campo.
Forma parte de una comunidad: Participa en
foros y grupos de discusión en línea sobre
ciberseguridad y comparte tus conocimientos
y habilidades. Esto te ayudará a establecer una
presencia en línea y hacerte conocido en la
industria. Aprovecho de invitarte a formar
parte de la Comunidad de Ciberguerreros de
Academia Hacker, puedes hallar más
información en este enlace:
https://store.academia-hacker.com/academia-
hacker-community, es totalmente gratis.
Recuerda que encontrar un empleo en
ciberseguridad puede requerir paciencia y
perseverancia, pero si estás dispuesto a seguir
estos consejos y a desarrollar tus habilidades y
conocimientos, estarás bien preparado para una
carrera exitosa en ciberseguridad.

Vale mencionarte, que una vez hayas adquirido

experiencia práctica en el campo y siempre y
cuando tengas espíritu emprendedor, el
convertirte en consultor de ciberseguridad
independiente o montar tu propia empresa de
ciberseguridad, puede ser una excelente opción.
Ese ha sido mi camino y me llena de mucha

satisfacción, pero no te voy a mentir diciéndote
que es un camino fácil, una de las características
vitales de todo emprendedor es la perseverancia,
porque sin ella no llegarás muy lejos. Si deseas
conocer sobre mi lado emprendedor, te invito a
leer mi libro “Cómo Emprender un Negocio
Rentable – Simples Pasos Para Ganar Dinero
Haciendo Lo Que Amas”.

Tendencias en el mercado laboral de

la ciberseguridad
Es importante que tomes en cuenta que la
ciberseguridad es un campo en constante
evolución y que las tendencias cambian a medida
que surgen nuevos desafíos y amenazas a la
seguridad de la información.
Una tendencia importante es el creciente uso de

tecnologías en la nube, lo que requiere
profesionales con experiencia en seguridad en la
nube para proteger los datos alojados en estas
plataformas. Proveedores de nube importantes
como Amazon Web Services (AWS), Microsoft
Azure y Google Cloud, han desarrollado sus
propias capacitaciones y certi caciones, algunas
de las cuales se ofrecen incluso de forma gratuita
al público. Amazon inclusive tiene cursos en
español gratuitos sobre AWS que puedes revisar
en este enlace:
https://aws.amazon.com/es/training/digital/.

Otro desarrollo importante es la aparición del

Internet de las cosas (IoT), lo que implica que por
ende haya una creciente demanda de
profesionales que puedan garantizar la seguridad
de los dispositivos conectados. Si deseas aprender
sobre IoT de forma gratuita te invito a revisar los
cursos introductorios del programa Cisco
Networking Academy en este enlace:
https://www.netacad.com/es/courses/iot.
Además, la creciente demanda de soluciones de

ciberseguridad en todas las industrias, incluyendo
la banca, la salud, la industria militar y la tecnología,
está generando una gran cantidad de
oportunidades de empleo en este campo. La
industria de la ciberseguridad es un mercado en
expansión, con una tasa de crecimiento prevista
del 15% anual hasta 2025, de acuerdo con
Technavio, lo que signi ca que hay una gran
cantidad de oportunidades para aquellos que
buscan una carrera en este campo emocionante y
en constante evolución.

Por otro lado, el mercado laboral de la

ciberseguridad sigue creciendo en Latinoamérica y
España. De acuerdo con Glassdoor (2022), en
Latinoamérica y España, los profesionales de
ciberseguridad están ganando un sueldo promedio
entre $70,000 a $100,000 por año. Este aumento
en la demanda de profesionales capacitados en
ciberseguridad es un indicativo de las excelentes
oportunidades de empleo en esta industria. Tan
sólo en América Latina se estima que la brecha de
talento en ciberseguridad es de alrededor de 700
mil personas, según datos proporcionados por
Cisco Systems durante el Cisco Connect Latam
2022.

Consejos para iniciar tu

carrera en ciberseguridad
En esta sección trataré de proveerte información
valiosa y recomendaciones prácticas para ayudarte
a iniciar y desarrollar una carrera exitosa en el
campo de la ciberseguridad. Por tanto,
abordaremos los pasos esenciales para obtener
una formación y educación sólidas, adquirir
habilidades relevantes, y encontrar oportunidades
de empleo en esta industria en constante
crecimiento.
Cómo construir una red de

contactos en ciberseguridad
Previamente, cuando hablamos sobre el desarrollo
de habilidades blandas, ya te había comentado mi
punto de vista acerca de la importancia del
networking y de pertenecer a una comunidad de
ciberseguridad para tu crecimiento profesional.

Yo creo rmemente, que construir una red de

contactos con otros profesionales en el campo
puede ayudarte a a obtener información valiosa
sobre oportunidades de empleo, a mejorar tus
habilidades y conocimientos y a desarrollar
relaciones profesionales duraderas.
Te dejo por tanto unos pocos consejos para

ayudarte a construir tu red de contactos en
ciberseguridad:

Asiste a conferencias y eventos en

ciberseguridad: Los congresos, simposios,
CTFs, etc., son excelentes lugares para que
conozcas a otros colegas en el campo y que
crees conexiones profesionales valiosas… y por
qué no… hacer nuevos y buenos amigos.
Únete a grupos en línea y foros relacionados
con ciberseguridad: Aquí podrás además de
conectarte con otros profesionales, compartir
conocimientos y aprender de otros.
Participa en programas de mentoría o
shadowing: Esto te permitirá trabajar junto a un
profesional experimentado y aprender de
primera mano sobre el campo. Si te interesa
iniciar una startup de ciberseguridad, puedes
buscarme como mentora en la red
MicroMentor.

Participa en hackathons o desafíos en línea

relacionados con ciberseguridad: Aunque ya lo
he mencionado previamente, vale reforzar que
esta es una excelente oportunidad para que
pongas a prueba tus habilidades y
conocimientos y que aproveches de hacer
networking con otros colegas.
Mantén vivas tus conexiones: Comunícate
regularmente con aquellos con los que hayas
establecido conexiones valiosas y ofrece
ayudarles en cualquier forma que puedas. De
esta manera, podrás crear relaciones
duraderas y fortalecer tus conexiones. Los
seres humanos somos recíprocos, si te
preocupas por dar lo mejor de ti sin esperar
nada a cambio, ten por seguro que recibirás
ayuda sin tener que pedirla cuando más la
necesites.

Cómo prepararte para entrevistas en

ciberseguridad
Las entrevistas de trabajo son una oportunidad
para demostrar tus habilidades, conocimientos y
pasión por la ciberseguridad. Aquí te comparto
algunos consejos útiles para ayudarte a prepararte
para ese momento importante.
Conoce a fondo la empresa: Investiga sobre la

empresa y su cultura, así como sus productos
y servicios. Es importante que conozcas a
fondo sus políticas de seguridad y su postura
en el mercado.

Practica tus habilidades técnicas: Asegúrate de

estar al día en cuanto a técnicas y
herramientas de ciberseguridad. Practica tus
habilidades y piensa en casos concretos de
cómo las has utilizado en el pasado.
Prepara respuestas a preguntas frecuentes: Es
probable que se te hagan preguntas comunes
sobre tus habilidades y experiencias previas.
Prepárate para responder con con anza y en
detalle.
Habla sobre tus intereses y pasión por la
ciberseguridad: Demuestra tu entusiasmo por
la ciberseguridad y cómo te involucraste en
este campo. Habla sobre proyectos o eventos
a los que hayas asistido o incluso sobre blogs
o grupos de discusión que sigas en línea.
Haz preguntas interesantes: Las entrevistas
son una oportunidad para que conozcas más
sobre la empresa y el puesto. Formula
preguntas inteligentes y muestra interés en el
trabajo y en cómo puedes contribuir a la
empresa.

Recuerda que una entrevista es una conversación

y no un interrogatorio. Demuestra con anza, realiza
preguntas interesantes, pero por, sobre todo, sé tú
mismo. ¡Desde ya te deseo mucha suerte!
Cómo mantenerte actualizado en el

campo de la ciberseguridad
A riesgo de sonar repetitiva, la ciberseguridad es
un campo en constante evolución, por lo que es
sustancial que te mantengas siempre al tanto
sobre las últimas tendencias y desarrollos.
Estos son algunos tips adicionales que te pueden

servir:

Sigue a expertos y líderes en el campo de la

ciberseguridad en las redes sociales y sus
blogs.
Mantén tus certi caciones internacionales
actualizadas y preocúpate por obtener nuevas
certi caciones relevantes.
Mantente informado sobre las últimas noticias
y desarrollos en el campo de la ciberseguridad
a través de medios especializados y fuentes
con ables.
Recuerda que mantenerte actualizado es esencial
para tener éxito en la ciberseguridad y estar a la
vanguardia en un campo en constante cambio.
Re exiones nales
Si tu deseo de convertirte en un profesional de
ciber seguridad es ferviente, es fundamental que
adoptes una mentalidad proactiva en cuanto a la
seguridad informática.

Debes tratar siempre de estar un paso delante del

“lado oscuro de la fuerza”, pensando en posibles
escenarios de amenaza y cómo prevenirlos.
La curiosidad y el deseo de aprender también son

características claves en un profesional de
ciberseguridad.
“Si uno quiere saber el gran misterio de la fuerza, la

debe estudiar desde todos sus lados”. Palpatine.
Otro factor importante que considerar es la

importancia de trabajar en equipo. La
ciberseguridad es un campo multidisciplinario que
requiere la colaboración entre diferentes áreas
para lograr una protección efectiva. Por lo tanto, es
fundamental que cultives habilidades de
comunicación y trabajo en equipo.

Por último, es esencial tener un enfoque ético en

todas tus acciones. La ciberseguridad es un campo
en el que se maneja información con dencial y
sensible, por lo que es fundamental que poseas un
fuerte compromiso con la privacidad y la seguridad
de la información.
En resumen, para tener éxito en una carrera en

ciberseguridad es necesario que estés siempre
actualizado, conserves una mentalidad proactiva,
seas capaz de colaborar con tu equipo, que
desarrolles tus habilidades de comunicación y
mantengas un enfoque ético en todas tus
acciones.
Si tomas estos aspectos en cuenta, ten por seguro

que estarás en el camino hacia una carrera exitosa
y satisfactoria en el campo de la ciberseguridad.
¡Que la fuerza te acompañe, querido ciberguerrero!

Recursos adicionales
Organizaciones relevantes en el
campo de la ciberseguridad
LATAM Women in Cybersecurity:
https://www.womcy.org/es/inicio/
LATAM CyberSecurity by Women:
https://www.facebook.com/CySecByWomen
/
CertJoin: https://www.certjoin.com/
SANS Institute: https://www.sans.org/
(ISC)²: https://www.isc2.org/
EC-Council: https://www.eccouncil.org/
CompTIA: https://www.comptia.org/
ISACA: https://www.isaca.org/

The Open Web Application Security Project

(OWASP): https://owasp.org/
National Cyber-Forensics & Training Alliance
(NCFTA): https://ncfta.org/
National Institute of Standards and Technology
(NIST): https://www.nist.gov/
National Initiative for Cybersecurity Careers
and Studies (NICCS): https://niccs.us-cert.gov/

Blogs y revistas especializadas en

ciberseguridad
Blog de Academia Hacker: https://academia-
hacker.com/blog/
Blog de Karina Astudillo:
https://karinaastudillo.com/blog/
Women in Security Magazine:
https://womeninsecuritymagazine.com/
Krebs on Security:
https://krebsonsecurity.com/
Security Boulevard:
https://securityboulevard.com/
Dark Reading: https://www.darkreading.com/
The Hacker News:
https://thehackernews.com/
SC Magazine: https://www.scmagazine.com/

Conferencias y eventos de
ciberseguridad reconocidos
Black Hat: https://www.blackhat.com/
Def Con: https://www.defcon.org/
RSA Conference:
https://www.rsaconference.com/
NotPinkCon: https://notpinkcon.org/
Infosecurity Europe:
https://www.infosecurityeurope.com/
BSides: http://www.securitybsides.com/
Hack in the Box (HITB):
https://conference.hitb.org/
Nullcon: https://nullcon.net/website/

Cursos en línea y programas de

certi cación en ciberseguridad
Academia Hacker: https://academia-
hacker.com
Coursera: https://www.coursera.org/
Udemy: https://www.udemy.com/
edX: https://www.edx.org/
CompTIA Security+:
https://www.comptia.org/certi cations/securit
y
Certi ed Ethical Hacker (CEH):
https://www.eccouncil.org/programs/certi ed
-ethical-hacker-ceh/
Certi ed Information Systems Security
Professional (CISSP):
https://www.isc2.org/Certi cations/CISSP
Certi ed Information Security Manager (CISM):
https://www.isaca.org/credentialing/cism

Sobre la autora
Karina Astudillo B. es una
consultora de sistemas
especializada en
ciberseguridad. Es Ingeniera
en Computación, MsC en
Ciberseguridad, MBA, y
cuenta con certi caciones
internacionales como:
Certi ed Ethical Hacker (CEH), Cybersecurity
Certi ed Expert (CSCE), Computer Forensics US,
CCNA, Cisco CyberOps, Hillstone Certi ed Security
Professional (HCSP), Cisco Certi ed Academy
Instructor (CCAI), entre otras.

Karina inició su carrera en el mundo de las redes

en el año 1995, gracias a una oportunidad de
trabajo en un proyecto con IBM en su alma máter,
la Escuela Superior Politécnica del Litoral (ESPOL).
Desde entonces el mundo de las redes, los
sistemas operativos y la seguridad, la fascinaron al
punto de convertirse en su pasión.
Años más tarde, luego de adquirir experiencia

trabajando en el área de servicio al cliente de la
corporación transnacional ComWare, se convirtió -
primero en consultora de sistemas independiente
en el año 2002 - para cofundar en el 2007 su
primera empresa de seguridad informática,
Elixircorp S.A. y luego en 2020, Consulting Systems,
CSTECH S.A.S. - empresas que posteriormente se
fusionaron para conformar Consulting Systems-
Tech S.A.

Paralelamente a la consultoría, Karina siempre ha

tenido una pasión innata por enseñar, gracias a lo
cual surgió la oportunidad de vincularse con la
docencia como profesora de la Facultad de
Ingeniería en Electricidad y Computación (FIEC) allá
por el año 1996.
En la actualidad es instructora del programa de

Maestría en Seguridad Informática Aplicada (MSIA)
de FIEC-ESPOL.
Debido a esta experiencia docente consideró

incluir como parte de la oferta de su empresa,
programas de preparación en seguridad
informática, entre ellos talleres de Hacking Ético. Al
publicar el éxito de estos talleres en su página de
Facebook, empezó a recibir solicitudes de
estudiantes que se encontraban en ciudades y
países diferentes que preguntaban por los cursos,
sólo para desilusionarse cuando se les contestaba
que sólo se dictaban de forma presencial en
Ecuador.

Fue entonces cuando nació la idea de escribir su

primer libro, “Hacking Ético 101”, que luego se
convertiría en un bestseller de Amazon Books,
para poder transmitir – sin límites geográ cos - los
conocimientos sobre el taller de Introducción al
Hacking Ético.
Posteriormente, en medio de la pandemia de

Covid-19 que desoló al mundo y trajo consigo
dolorosas pérdidas de familiares y amigos
cercanos, Karina decidió que debía hacer algo para
llegar de forma online a aquellos seguidores y
colegas que en ese momento se encontraban
recluidos en sus casas y con poca esperanza de
volver a la normalidad. Fue así como con apenas
70 estudiantes registrados en Hacking Knight, un
17 de junio de 2020, nació Academia Hacker,
academia de ciberseguridad que hoy cuenta con
más de 5,000 alumnos de diversas partes de
América y España.

En sus momentos de esparcimiento Karina disfruta

leer sobre ciencia cción, viajar, compartir con su
familia y amigos y escribir sobre ella en tercera
persona ;-D
Comunícate con Karina Astudillo B.
Siéntete libre de consultar a la autora o realizar

comentarios sobre el libro en:
• Email: [email protected]
• Website personal: https://karinaastudillo.com
¿Deseas conocer más acerca de Karina Astudillo

B.? ¡Revisa su per l en Amazon!
https://www.amazon.com/author/karinaastudillo

Sobre Academia Hacker y un

regalo para los lectores
Al capacitarte en Academia
Hacker™ adquirirás
conocimientos y
habilidades sobre
Pentesting, Ciberdefensa y
Cómputo Forense para
convertirte en un Experto
en Ciberseguridad, sumar
logros a tu hoja de vida, crecer profesionalmente,
certi carte internacionalmente y aumentar tus
ingresos al formar parte de esta tanto divertida,
como lucrativa carrera.
Academia Hacker™ cuenta, además, con el

respaldo de más de 20 años de experiencia y
profesionalismo de Consulting Systems y su CEO,
Ing. Karina Astudillo B., experta en Ciberseguridad y
autora de los Bestsellers de Amazon Books
"Hacking Ético 101" y "Hacking Wireless 101".

Desarrolla tu potencial y adquiere habilidades

prácticas a través de programas de capacitación
de alto nivel y avalados internacionalmente, al
encontrarse alineados con varias de las
certi caciones de nuestro partner CertJoin.
Nuestros instructores son profesionales expertos

con muchos años de experiencia práctica en
tecnologías de información y ciberseguridad,
cuentan con certi caciones internacionales en sus
áreas de especialidad y están a tus órdenes para
ayudarte a alcanzar tus metas profesionales.
Únete a nuestra comunidad de Ciberguerreros en

https://store.academia-hacker.com/academia-
hacker-community y obtén acceso GRATUITO a
recursos que publicamos de forma periódica como
eBooks, webinars y videocursos.

Otros libros de Karina

Astudillo
Encuéntralos en
https://karinaastudillo.com/libros/

Glosario de términos técnicos

Amenaza
Una amenaza en materia de seguridad informática
se re ere a la posibilidad de que ocurra un evento
que perjudique la seguridad de la información. Las
amenazas pueden ser:
Externas: si son ejecutadas desde fuera de la

organización. Ej.: desde Internet.
Internas: si provienen del interior de la
empresa. Ej.: un empleado descontento.
Estructuradas: si se plani can con antelación.
No-estructuradas: si no existe plani cación
alguna.
Ataque
Un ataque es una agresión contra la seguridad de
la información, que dependiendo de su éxito o
fracaso podría traer resultados nefastos para la
organización.

Existen muchos tipos de ataques especí cos, pero

de forma general los podemos clasi car en cuatro
grandes grupos:
Interrupción: el atacante impide el ujo normal

de información. Este es un ataque a la
disponibilidad de la información.
Intercepción: el intruso captura la información.
Este ataque es hacia la con dencialidad.
Modi cación: el agresor cambia la información.
Aquí se agrede la integridad de la información.
Fabricación: en este caso el atacante crea
información falsa, por lo que se afecta la
autenticidad de la información.

Ciberdelincuente, Cracker o Black

hat hacker
Este es el término usado comúnmente para
referirse a una persona a la que le gusta romper la
seguridad de los sistemas informáticos, sin
permiso. Los motivos pueden ser diversos, desde
el mero deseo de satisfacer el ego y decir "pude
romper X o Y sistema", obtener dinero ilícito
ejecutando fraudes electrónicos, o inclusive
realizar protestas políticas. A este último tipo de
cracker también se le llama hacktivista. Como
ejemplo de hacktivistas podemos citar al grupo
Anonymous, el cual realiza protestas de índole
político in ltrándose en sistemas de gobierno o a
través de ataques de denegación de servicio.

Ciberseguridad o Seguridad
Informática
Es un área de la informática que se enfoca en
proveer mecanismos técnicos que permitan
garantizar la con dencialidad, integridad y
disponibilidad de la información.
La con dencialidad avala que la información puede

ser consultada o accedida solamente por quien
está debidamente autorizado, la integridad certi ca
que la misma no ha sido modi cada sin
autorización y la disponibilidad garantiza – valga la
redundancia - que siempre esté disponible cuando
se requiera.
Si uno de estos ítems falla, entonces la información

no está segura.

Exploit
Un exploit es un procedimiento que permite
aprovechar una vulnerabilidad dada. Dicho
procedimiento consiste en una serie de pasos que
se ejecutan en un orden preciso y pueden requerir
el uso de conexiones hacia puertos de aplicativos,
envío de paquetes con datos especiales
(payloads), ejecución de scripts, etc.
Gray hat hacker

La traducción literal es "hacker de sombrero gris" y
nos recuerda al doble agente de las series
televisivas sobre espionaje; es decir que se trata
de un personaje que puede actuar con nes
ofensivos o defensivos dependiendo de sus
intereses. Usualmente se trata de un black hat
hacker "reformado", que brinda sus servicios como
auditor de seguridad y que eventualmente
sucumbe a la tentación de introducirse en un
sistema remoto sin autorización.

Hacker
El término hacker se re ere a una "persona que
disfruta de un conocimiento profundo del
funcionamiento interno de un sistema, en
particular de computadoras y redes informáticas"
(IETF (1993), RFC 1392 – Internet Users\x27
Glossary, Recuperado en 2023, de
http://tools.ietf.org/html/rfc1392).
Este punto es importante puesto que la

desinformación creada por alguna mala prensa ha
colocado en la mente del público la creencia
errada de que todos los hackers se dedican a
in ltrarse en sistemas informáticos con el objetivo
de hacer daño, lo cual no es cierto. El término
hacker por sí solo no emite ningún juicio de valor,
por lo que podemos ser hackers tanto los
auditores de seguridad informática que
implementamos técnicas defensivas y también
aquellos que decidieron unirse al lado oscuro de la
red.

ISO 27002
La ISO 27002 nace del concepto de seguridad de la
información desde la ISO 27001 que es clave en la
elaboración del aseguramiento de con dencialidad
e integridad de los datos. No es certi cable debido
a que cualquier organización que desee adoptar
sus requisitos no está exigida a cumplirlos en su
totalidad, pero es un buen inicio o guía para las
buenas prácticas de cara a implementar la norma
certi cable ISO 27001.
ISO 27002 proporciona 14 dominios, 35 objetivos de

control y 114 controles para la evaluación del
riesgo.

NIST Cybersecurity Framework

(NIST CSF)
De acuerdo con NIST (2018)[6], el NIST
Cybersecurity Framework, o abreviado, CSF, “es
una guía voluntaria, basada en estándares
existentes, lineamentos, y prácticas para que las
organizaciones administren mejor y reduzcan los
riesgos de ciberseguridad”[7].
El marco consta de tres componentes que son:

Framework Core: comprende tareas y

objetivos de seguridad deseados, que se
ordenan dentro de Categorías y se alinean
respecto a estándares o referencias de la
industria. El Core a su vez se divide en cuatro
secciones: Funciones, Categorías,
Subcategorías y Referencias Informativas.
Niveles de implementación: Los Niveles de
Implementación, Tiers en idioma inglés, sirven
para re ejar las prácticas de ciberseguridad de
una organización.
Per les: corresponden al alineamiento de una
organización particular respecto a los
resultados deseados del Core, versus sus
objetivos organizacionales, requerimientos de
cumplimiento, su apetito de riesgo y los
recursos de que dispone. Los Per les permiten
a una organización comparar su situación
actual versus la deseada, facilitando así la
identi cación de oportunidades de mejora.

NIST 800-53
El NIST 800-53 ofrece un catálogo de controles de
seguridad y privacidad para todos los sistemas de
información federales de EE. UU. (inicialmente en
2005), excepto los relacionados con la seguridad
nacional.
La publicación NIST 800-53, revisión 5 proporciona

un catálogo de controles de seguridad y privacidad
para los sistemas de información y las
organizaciones para proteger las operaciones y los
activos de la organización, los individuos, otras
organizaciones y la Nación de un conjunto diverso
de amenazas y riesgos.

Pentesting
El término pentesting viene de las palabras
inglesas penetration, que signi ca penetración, y
testing que signi ca probar; por lo que, si
tradujéramos literalmente, contarle a nuestra
mamá que nos ganamos la vida haciendo
penetration testings podría causarle preocupación;
de ahí que el término en español más adecuado
sea pruebas de intrusión.

Hecha esta aclaración vale indicar que nos

referimos al proceso de realizar un ataque
controlado sobre la infraestructura informática de
una organización, de la que previamente hayamos
obtenido la autorización bajo un contrato formal. El
objetivo de realizar una auditoría de hacking ético
es probar las defensas de la organización desde el
punto de vista de un cracker, pero sin causar daño
a los sistemas auditados, ni a la información del
cliente y emitir un reporte de remediación que le
permita a la empresa tomar los correctivos
necesarios. Para ello el auditor debe estar
cali cado y tener los conocimientos y la
experiencia necesarios para llevar a cabo el ataque
de manera segura y culminar la auditoría con éxito.

Secure Controls Framework (SCF)

Es un metaframework de seguridad y privacidad de
código abierto que tiene como objetivo principal
proporcionar una guía gratuita de controles de
privacidad y seguridad cibernética tomando como
referencia un conjunto de controles de varios
estándares para cubrir las necesidades
estratégicas, operativas y tácticas de las
organizaciones, independientemente de su
tamaño, industria o país de origen.
Vulnerabilidad
Se re ere a una debilidad que podría conllevar que
se comprometa la seguridad de la información. Las
vulnerabilidades pueden ser de tres tipos:

Tecnológicas: cuando son inherentes a la

tecnología implementada. Ej.: Se publica una
falla en el aplicativo X que permite a un intruso
tomar control de un sistema Y.
De con guración: en este caso la
vulnerabilidad se presenta debido a una mala
con guración de un sistema que abre la puerta
a una posible explotación. Ej.: El administrador
de red deja abierto en el rewall el puerto del
servicio de Escritorio Remoto de Windows del
servidor de Directorio Activo.
De política: aquí la inexistencia de una política
de seguridad o la falta al no seguirla provoca la
vulnerabilidad. Ej.: La puerta del centro de
datos permanece sin seguro y cualquiera
puede ingresar al área de los servidores
corporativos.

White hat hacker

O también llamado "hacker de sombrero blanco".
En este per l encajamos los administradores de
redes y consultores de seguridad informática que
utilizamos nuestros conocimientos sobre sistemas
con propósitos defensivos.

Notas y referencias
1. Asamblea Nacional del Ecuador. (2021). Ley
orgánica de protección de datos personales. ↑
2. Complianceforge.com. NIST 800-53 vs ISO

27002 vs a NIST CSF vs SCF. Recuperado de
https://www.complianceforge.com/faq/nist-
800-53-vs-iso-27002-vs-nist-csf.html ↑
3. Informática forense: En qué consiste y

ejemplos de aplicación. UNIR. (2022, October
24). Retrieved February 4, 2023, from
https://www.unir.net/ingenieria/revista/infor
matica-forense/. ↑
4. McFadzean, E. (2000). Techniques to enhance

creative thinking. Team Performance
Management: An International Journal, 6(3/4),
62-72. ↑

5. Ayoví-Caicedo, J. (2019). Trabajo en equipo:

clave del éxito de las organizaciones. Revista
Cientí ca FIPCAEC (Fomento de la
investigación y publicación cientí co-técnica
multidisciplinaria). ISSN: 2588-090X. Polo de
Capacitación, Investigación y Publicación
(POCAIP), 4(10), 58-76. ↑
6. NIST es el Instituto Nacional de Estándares y

Technología del Departamento de Comercio
de Estados Unidos. ↑
7. NIST (2018, febrero 5). Getting started. NIST.

Recuperado de
https://www.nist.gov/cyberframework/getting
-started. ↑

Cómo Convertirte en Un Experto en Ciberseguridad

Cargado por

Copyright:

Formatos disponibles

Cómo Convertirte en Un Experto en Ciberseguridad

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cómo Convertirte en Un Experto en Ciberseguridad

Cargado por

Copyright:

Formatos disponibles

Cómo convertirte en un experto en ciberseguridad

CEH – CSCE – CyberOps

Copyright © 2023 – Todos los derechos reservados

Karina Astudillo B. © 2023

Todas las marcas registradas son propiedad de sus

Karina Astudillo B. © 2023