El constructor importa más que la muralla.

-

 "La gente quiere una autoridad que le diga cómo valorar las cosas, pero no eligen dicha autoridad basándose en los hechos o los resultados, la eligen porque parece acreditada."

Una crítica directa a la falsa autoridad en ciberseguridad

“La gente quiere una autoridad que le diga cómo valorar las cosas,
pero no eligen dicha autoridad basándose en los hechos o en los resultados;
la eligen porque parece acreditada.”
(Paráfrasis de una verdad incómoda)

En el corazón de la ciberseguridad moderna se esconde una mentira que pocos se atreven a señalar. Una mentira que no solo mina proyectos, sino que pone en riesgo infraestructuras enteras. Y es esta: la apariencia de conocimiento se valora más que el conocimiento real. Es un fenómeno que atraviesa todas las capas del sector —desde la alta dirección hasta los equipos técnicos— y que condiciona decisiones clave, presupuestos millonarios y la contratación de perfiles que no están a la altura.

He sido testigo directo. En más de un caso, empresas de renombre han puesto su seguridad en manos de personas que, si bien ostentan cargos sonoros y un buen puñado de certificados colgados en la pared, han demostrado una alarmante falta de visión técnica y estratégica. ¿El resultado? Proyectos fallidos, recursos desperdiciados, seguridad comprometida. Y lo más preocupante: una falsa sensación de protección basada en el título de quien dirige el departamento, no en su competencia real.

El titán que construye la muralla

Déjame ilustrarlo con un relato de las Eddas nórdicas. Asgard, la ciudad de los dioses, es atacada. Su muralla cae. En ese contexto, Loki propone contratar a un gigante para reconstruirla. Una muralla nueva, fuerte, aparentemente igual a la anterior. ¿Por qué era mejor? Porque no se trataba solo de la estructura, sino de quién la construía. El valor no estaba en la piedra, sino en las manos que la colocaban. El constructor era un titán. Y eso lo cambiaba todo.

En la ciberseguridad ocurre lo mismo. Puedes tener firewalls, SIEM, IDS, compliance con ISO 27001, y todo el stack de protección más moderno. Pero si quien lidera ese diseño carece de criterio, si quienes lo controlan y manejan , no son críticos con su propio conocimiento,  tu muralla no vale nada. Porque un buen profesional no solo configura herramientas. Un buen profesional entiende cómo piensa un atacante, cómo evoluciona una amenaza y cómo proteger el valor real de la organización, más allá del postureo técnico o las palabras rimbombantes.

El arte de vender humo

Hay figuras que han hecho carrera vendiendo humo. Y no lo digo como metáfora. Literalmente venden mejoras cosméticas como si fueran innovaciones revolucionarias. Le cambian el color al coche y lo presentan como un avance disruptivo. Lo hacen con una sonrisa segura y un PowerPoint lleno de siglas. ¿Cómo logran convencer a ejecutivos y responsables? Porque saben un poco más que sus jefes y eso les da poder de manipulación técnica. Se aprovechan de la ignorancia ajena, no para educar, sino para escalar.

Este tipo de liderazgo basado en apariencia no solo daña a la empresa, daña al sector entero. Porque normaliza la mediocridad disfrazada de innovación. Porque impide que el talento real, muchas veces joven, crítico o autodidacta, pueda tener voz. Y porque cuando todo sale mal, nadie mira al líder: miran al equipo técnico.

La superficialidad disfrazada de profundidad

He conocido profesionales con una larga lista de herramientas y lenguajes en su currículum. Que conocen las leyes, los marcos regulatorios y las técnicas. Pero cuando hablas con ellos te das cuenta de algo devastador: no ven el mapa completo. Se pierden en los árboles y no entienden el bosque. No comprenden el propósito profundo de la defensa, ni los matices del comportamiento ofensivo. No saben lo que hace un Blue Team, o confunden auditoría con defensa operativa.

El conocimiento técnico sin visión estratégica es una fachada. Y cuando se convierte en criterio de autoridad, todo se vuelve superficial. La empresa cree que está segura porque ha cumplido con la checklist de contratación. Pero en realidad, está desnuda.

Una muralla real se construye con criterio

Este artículo no es un ataque a la formación, ni a las certificaciones. Son necesarias. Pero no suficientes. El problema no es estudiar. Es creer que estudiar ya te hace competente. Es confundir diploma con criterio, cargo con liderazgo, experiencia con sabiduría.

Lo que necesita la ciberseguridad actual es una nueva forma de valorar el talento. No solo por lo que sabe, sino por cómo actúa. Por si tiene el carácter para soportar presión, para detectar lo invisible, para anticiparse. Por si entiende el valor real de lo que protege.

La autoridad no puede seguir siendo una cuestión de apariencias. Porque la muralla puede parecer sólida… hasta que llega el primer ataque serio.

Y entonces, como en Asgard, solo queda rezar para que tu constructor haya sido un titán.

Comentarios

Publicar un comentario

Entradas populares de este blog

El gran engaño: Creer que un CTF o un Máster te hace un experto en ciberseguridad es como creer que guerra es como en el Call of Duty

-
Imagen
Hoy, demasiada gente cree que tener un máster en ciberseguridad, haber ganado un CTF o acumular certificados equivale a ser un profesional competente en defensa digital. No lo es. Esos logros pueden ser valiosos. Pueden abrir puertas. Pueden ser parte de un camino. Pero confundirlos con experiencia real es peligroso. Y es justo lo que está haciendo el sistema. La metáfora es sencilla y brutal: Nuestros hijos juegan a Call of Duty creyendo que eso es la guerra. Se mueven sin cobertura, sin estrategia. Mueren y reaparecen sin consecuencias. Se creen soldados porque dominan el control, porque suben de nivel, porque ganan partidas. Pero en una guerra de verdad no hay respawn. El sonido de una granada te puede paralizar. El eco de un disparo real cambia todo. Lo mismo pasa en ciberseguridad. Como los niños creen que sus estadísticas en el Call of Duty serían las mismas en la guerra real, ustedes creen que vuestros laboratorios o vuestros CTFs representan la vida real. Un CTF no repr...
Read more »

Competencia vs Apariencia en Ciberseguridad: La Realidad Tras las Herramientas

-
Imagen
La ciberseguridad se ha convertido en una profesión clave y en una industria en auge. Sin embargo, un fenómeno preocupante se está expandiendo dentro de este ecosistema: la confusión entre competencia real y apariencia de saber hacer . El disfraz de la herramienta Hoy, basta con abrir una consola, lanzar un escáner automático o ejecutar un script con un nombre intimidante para ser considerado un “experto”. Las herramientas como Metasploit, Burp Suite, Nessus, Wireshark, entre otras, son poderosos recursos, sí, pero sin un conocimiento profundo detrás, no son más que disfraces técnicos . Estas herramientas pueden crear una ilusión peligrosa. Generan una pantalla de complejidad que oculta la verdadera carencia de comprensión. El riesgo es alto: un operador que no entiende lo que su herramienta hace está gestionando sistemas críticos con los ojos vendados . Saber usar no es saber hacer Saber usar una herramienta —clic aquí, lanzar escaneo allá— es muy distinto a entender qué está pas...
Read more »