El problema de la autoridad: Líderes sin carácter

-



La otra cara de la ciberseguridad: el culto al cargo y la renuncia al criterio

“Como todo en seguridad, la personalidad y el carácter se demuestran en el campo de batalla.
Ni en los CTFs, ni en las prácticas, ni en un foro.”
(Reflexión desde la trinchera)

En la Parte I hablamos de murallas construidas por titanes. Ahora toca hablar de quienes dirigen la obra: los líderes. O mejor dicho, de quienes ocupan posiciones de liderazgo sin tener el carácter necesario.

Porque no basta con tener conocimientos. En ciberseguridad —y en cualquier dominio crítico— la personalidad importa tanto como la técnica. Y aquí se encuentra uno de los errores más recurrentes en las contrataciones: suponer que el título asegura el criterio, o que el cargo valida las decisiones. No, no es así.

El liderazgo no se imprime en un diploma

Las empresas siguen cayendo en el mismo patrón: buscan titulaciones, certificaciones, experiencia en CVs, y una entrevista con respuestas tipo, o una prueba "generada" en la cual el candidato tendrá que enfrentar , no solo con el nerviosismo de la prueba, si no con la presión de que un simple despiste podría negar pasar al siguiente nivel.

Lo que no buscan —porque no saben cómo evaluarlo— es carácter, sentido crítico, iniciativa, visión. ¿El resultado? Equipos dirigidos por personas que repiten procedimientos, pero no entienden el contexto real de una amenaza.

En mis experiencias en consultoría, he visto esto repetirse en múltiples ocasiones. Personas perfectamente formadas, pero incapaces de adaptarse cuando la situación no está en el manual. Cuando todo falla, no saben qué hacer. No porque les falte conocimiento técnico, sino porque nunca desarrollaron pensamiento táctico. Nunca fueron educados para improvisar. Y en seguridad, si no sabes improvisar, estás muerto.

La personalidad no se enseña, se forja

La técnica se aprende. La ley se estudia. Las herramientas se dominan con tiempo. Pero la personalidad se forma con fricción. Se moldea enfrentando errores reales, presión, amenazas activas, equipos disfuncionales. Y ahí es donde un verdadero líder se diferencia. No es quien grita órdenes desde el otro lado del muro, sino quien entra en el barro con su equipo, y sabe cuándo gritar, cuándo callar y cuándo intervenir.

El problema es que muchas organizaciones no saben buscar este tipo de profesional. Premian al obediente, no al crítico. Al que no incomoda. Y ese tipo de perfil no sirve en ciberseguridad. Porque la seguridad real incomoda. Obliga a cambiar cosas. A denunciar fallos. A decirle a un directivo que su idea es insegura. Y eso requiere carácter.

La falsa autoridad como tótem empresarial

Vivimos una época en la que la autoridad se representa con insignias: másteres, titulaciones, roles corporativos. No importa si esa autoridad es hueca. Mientras tenga logotipos oficiales detrás, nadie la cuestiona. Pero el verdadero respeto no se impone desde arriba. Se gana en el día a día, en las decisiones críticas, en la gestión de crisis.

Este culto a la falsa autoridad se vuelve letal cuando alguien con voz y seguidores —como el caso del influencer que dijo que los Blue Team solo “mueven dinero”— lanza opiniones sin fundamento a miles de personas. Porque eso, aunque parezca una tontería, moldea el pensamiento de muchos futuros profesionales. Y normaliza el desprecio por áreas fundamentales como la defensa, la detección o la respuesta forense. O que la IA puede ser tratada como un "socio" o un "colega" del trabajo, humanizándola. 

La irresponsabilidad comunicativa en sectores técnicos debería tener consecuencias. Porque una mala idea repetida muchas veces se convierte en cultura.

No todos deberían liderar, aunque tengan el currículum

Esta es una frase incómoda, pero necesaria: no todas las personas con formación están preparadas para liderar equipos de ciberseguridad. No por falta de méritos académicos, sino porque les falta visión, humildad o valentía. Hay una categoría silenciosa de profesionales con carácter, con estrategia, con intuición. Suelen estar más abajo en el organigrama, haciendo el trabajo de verdad.

Y si no promovemos a esos perfiles, si no les damos voz, seguiremos reforzando una estructura frágil, basada en la apariencia y no en la competencia. El verdadero cambio no llegará por más compliance, que aparentemos cumplimentar.  Llegará cuando se entienda que el carácter es, debe de ser,  un requisito técnico.

Un cambio necesario

La ciberseguridad no es un escaparate de medallas. Es un campo de batalla constante. Y en ese campo, necesitas personas que no solo sepan qué hacer, sino que se atrevan a hacerlo cuando todo arde. Personas que no necesiten una orden para proteger un activo. Que vean más allá del informe, más allá de la auditoría, más allá del ego.

Porque en seguridad, como en los mitos nórdicos, el gigante que construye la muralla vale más que la muralla misma. Y si no formas a titanes, lo que estás construyendo es una ruina con buena fachada.

Comentarios

Publicar un comentario

Entradas populares de este blog

El gran engaño: Creer que un CTF o un Máster te hace un experto en ciberseguridad es como creer que guerra es como en el Call of Duty

-
Imagen
Hoy, demasiada gente cree que tener un máster en ciberseguridad, haber ganado un CTF o acumular certificados equivale a ser un profesional competente en defensa digital. No lo es. Esos logros pueden ser valiosos. Pueden abrir puertas. Pueden ser parte de un camino. Pero confundirlos con experiencia real es peligroso. Y es justo lo que está haciendo el sistema. La metáfora es sencilla y brutal: Nuestros hijos juegan a Call of Duty creyendo que eso es la guerra. Se mueven sin cobertura, sin estrategia. Mueren y reaparecen sin consecuencias. Se creen soldados porque dominan el control, porque suben de nivel, porque ganan partidas. Pero en una guerra de verdad no hay respawn. El sonido de una granada te puede paralizar. El eco de un disparo real cambia todo. Lo mismo pasa en ciberseguridad. Como los niños creen que sus estadísticas en el Call of Duty serían las mismas en la guerra real, ustedes creen que vuestros laboratorios o vuestros CTFs representan la vida real. Un CTF no repr...
Read more »

Competencia vs Apariencia en Ciberseguridad: La Realidad Tras las Herramientas

-
Imagen
La ciberseguridad se ha convertido en una profesión clave y en una industria en auge. Sin embargo, un fenómeno preocupante se está expandiendo dentro de este ecosistema: la confusión entre competencia real y apariencia de saber hacer . El disfraz de la herramienta Hoy, basta con abrir una consola, lanzar un escáner automático o ejecutar un script con un nombre intimidante para ser considerado un “experto”. Las herramientas como Metasploit, Burp Suite, Nessus, Wireshark, entre otras, son poderosos recursos, sí, pero sin un conocimiento profundo detrás, no son más que disfraces técnicos . Estas herramientas pueden crear una ilusión peligrosa. Generan una pantalla de complejidad que oculta la verdadera carencia de comprensión. El riesgo es alto: un operador que no entiende lo que su herramienta hace está gestionando sistemas críticos con los ojos vendados . Saber usar no es saber hacer Saber usar una herramienta —clic aquí, lanzar escaneo allá— es muy distinto a entender qué está pas...
Read more »

El constructor importa más que la muralla.

-
Imagen
 "La gente quiere una autoridad que le diga cómo valorar las cosas, pero no eligen dicha autoridad basándose en los hechos o los resultados, la eligen porque parece acreditada." Una crítica directa a la falsa autoridad en ciberseguridad “La gente quiere una autoridad que le diga cómo valorar las cosas, pero no eligen dicha autoridad basándose en los hechos o en los resultados; la eligen porque parece acreditada .” (Paráfrasis de una verdad incómoda) En el corazón de la ciberseguridad moderna se esconde una mentira que pocos se atreven a señalar. Una mentira que no solo mina proyectos, sino que pone en riesgo infraestructuras enteras . Y es esta: la apariencia de conocimiento se valora más que el conocimiento real . Es un fenómeno que atraviesa todas las capas del sector —desde la alta dirección hasta los equipos técnicos— y que condiciona decisiones clave, presupuestos millonarios y la contratación de perfiles que no están a la altura. He sido testigo directo. En más de...
Read more »