Creo en usar todas las herramientas disponibles para dar lo mejor de uno mismo. Los pensamientos y experiencias en esta página son míos; uso IA para ayudar a asegurar que la gramática sea correcta.
Mencioné en un post anterior que íbamos a profundizar en este tema y aquí estamos.
Si has pasado tiempo investigando cómo entrar en el campo de la ciberseguridad, probablemente ya te has encontrado con alguna versión de este debate en la internet.
El Problema del Gatekeeping
Hay algo que quiero abordar: el debate entre título, certificaciones y experiencia a veces se convierte en una herramienta de gatekeeping (exclusión), y eso me molesta.
He visto en internet a personas desestimar las certificaciones como sin valor. He visto a quienes tienen título hablar mal de los profesionales autodidactas. He visto a quienes priorizan la experiencia ignorar el esfuerzo que alguien puso en estudiar para un examen. Todo eso son personas que hablan por hablar, y eso mantiene a la gente fuera de un campo que genuinamente necesita más personas.
La realidad es que la persona que pasó años obteniendo su título, la que aprobó su Security+ en cuatro meses mientras trabajaba a tiempo completo, y la que se enseñó a sí misma haciendo desafíos CTF los fines de semana - todas están aportando algo real. El campo es mejor cuando las incluye a todas.
Si estás en alguno de estos caminos ahora mismo, sigue adelante. El objetivo no es ganar un debate sobre cuál es el camino superior. El objetivo es llegar a un lugar donde puedas hacer tu trabajo y contribuir.
El Camino del Título Universitario
Una licenciatura de cuatro años en ciberseguridad, seguridad de la información o ciencias de la computación sigue siendo el camino predeterminado para mucha gente y tiene valor real.
La mayor ventaja de un título no es el conocimiento en sí — es lo que simboliza. Las grandes organizaciones, agencias gubernamentales, contratistas federales y puestos que requieren ciertas habilitaciones de seguridad a veces filtran candidatos por título antes de considerar cualquier otra cosa. Si ese es el mundo en el que quieres trabajar, un título puede no ser opcional.
También hay algo valioso en la estructura que proporciona un título. Te obliga a sentarte con materias que tal vez omitirías si te autodirigieras: fundamentos de redes, sistemas operativos, matemáticas y políticas. Para las personas que prosperan con estructura y necesitan rendición de cuentas para avanzar en el material más difícil, el camino académico tradicional funciona bien.
Dicho eso, no todos los títulos son iguales. Una carrera de un programa que integra laboratorios reales, certificaciones y habilidades prácticas es muy diferente de otra que se basa principalmente en la teoría y en la redacción de trabajos. WGU es un ejemplo de un programa que lo ha resuelto — su rama de ciberseguridad incluye certificaciones directamente en el plan de estudios, así que te gradúas con el diploma y las credenciales. Mi mayor advertencia sobre WGU es que tiene una estructura mínima. Todo depende de ti, lo cual puede ser tu mayor fortaleza, pero también tu mayor debilidad. Hay laboratorios prácticos, notas, cohortes grabadas/en vivo y material de lectura, pero todo depende de que tú mismo los busques y los apliques. Mi recomendación siempre ha sido que si necesitas un título para cumplir un requisito, WGU es el camino a seguir.
Lo que un título te da: credibilidad ante grandes empleadores y roles gubernamentales, aprendizaje estructurado, acceso a programas de pasantías y una base que satisface los filtros de RR. HH.
Lo que no garantiza: un empleo. Capacidad técnica. Experiencia práctica. Los empleadores de empresas más pequeñas y del sector privado a menudo se preocupan mucho más por lo que puedes hacer que por la escuela a la que asististe.
El Camino de las Certificaciones
Las certificaciones son el punto de entrada más comentado en ciberseguridad en este momento. La línea de CompTIA A+, Network+, Security+ representa un camino claramente trazado que alguien puede comenzar hoy, completar en meses y usar para competir por roles reales.
Creo en las certificaciones. No porque lo prueben todo, sino porque estudiar para ellas te obliga a aprender realmente el material. Cuando me senté a estudiar para mi Security+, salí entendiendo cosas sobre marcos de amenazas, seguridad de redes y análisis de riesgo que ninguna cantidad de lectura casual me habría enseñado. El examen te exige responsabilidad.
Las certificaciones que tienen peso en la industria en este momento incluyen la línea de CompTIA para principiantes, el SSCP y el CISSP de ISC2 y las certificaciones de GIAC. Entre más avances haya, más específicas deben ser tus certificaciones. Si planeas ir por un rol específico, investiga cuáles son sus requisitos y cómo es su infraestructura. No quieres especializarte en AWS si esa organización usa Azure.
La parte honesta, sin embargo, es que una certificación por sí sola no te hace contratable. Security+ en un currículum, sin nada más adjunto, es un punto de partida, no una línea de llegada. Los empleadores quieren ver que puedes aplicar lo que el certificado evaluó. Ahí es donde entra la siguiente sección.
Lo que las certificaciones te dan: una forma estructurada de aprender, una prueba de que puedes absorber y aplicar un conjunto de conocimientos y una base que muchas ofertas de trabajo usan como requisito mínimo.
Lo que no garantizan: experiencia. Contexto. La capacidad de solucionar problemas en una red real a las 2 de la mañana cuando algo falla.
El Camino de la Experiencia
La experiencia es la variable que une todo. También es la más difícil de obtener cuando estás empezando, lo que crea uno de los catch-22 más frustrantes del campo: necesitas experiencia para conseguir el trabajo, pero necesitas el trabajo para obtener experiencia.
La forma en que la mayoría de las personas resuelven esto es entrando primero en un rol de TI relacionado. Help desk (soporte técnico), administración de sistemas, soporte de redes, trabajo en NOC — estos no son glamurosos, pero son la base. Aprenderás cómo funciona realmente la infraestructura, cómo se comportan los usuarios y cómo las cosas se rompen de maneras que la teoría por sí sola no te enseñará. Luego, cuando hagas la transición a un rol de seguridad, estarás protegiendo sistemas que ya entiendes.
El servicio militar es otro camino que merece mucho más crédito del que recibe. La disciplina, la exposición estructurada a las operaciones, los escenarios del mundo real y, en muchos casos, el entrenamiento técnico directo — todo esto se traduce bien en ciberseguridad. Las personas que provienen de un entorno militar a menudo tienen habilitaciones de seguridad, mentalidades operativas y experiencia trabajando bajo presión que no se obtiene en ningún otro ámbito. Solo asegúrate de ingresar el Código de Especialidad Militar correcto.
Las plataformas prácticas, como las de las que hablamos en el post anterior, también aportan experiencia real, especialmente para el trabajo de seguridad ofensiva y de detección. No son solo herramientas de estudio; son entornos donde practicas técnicas reales en infraestructura real.
Lo que la experiencia te da: contexto que hace que todo lo demás tenga sentido, capacidad práctica para resolver problemas y credibilidad que proviene de haber hecho el trabajo en la práctica.
Lo que no puede reemplazar por sí sola: En algunos entornos, la experiencia sin credenciales llega a un techo. Para ciertos roles, promociones y habilitaciones de seguridad, los empleadores necesitan documentación para cumplir con los requisitos.
Lo Que Realmente Te Consigue Empleo
La respuesta honesta es una combinación, pero varía según el tipo de rol que buscas.
Para roles de nivel inicial en empresas más pequeñas y MSPs: las certificaciones, junto con algo de práctica, a menudo son suficientes para conseguir una entrevista. Security+ y un perfil de TryHackMe que muestre que realmente has estado haciendo ejercicios que llegan lejos.
Para roles de nivel medio en entornos corporativos, los empleadores quieren ver una progresión. Una certificación o título que muestre conocimientos fundamentales, más uno o dos años de experiencia en TI o en seguridad relacionada. El título importa menos aquí que tu capacidad para hablar de escenarios reales.
Para el gobierno, la contratación federal y los puestos que requieren habilitación de seguridad, el título se vuelve más importante. Combínalo con certificaciones y cualquier experiencia relevante y estarás en una posición sólida.
Para roles avanzados o especializados: la experiencia y las habilidades demostradas se convierten en el filtro principal. Nadie que te pida que lideres la respuesta a incidentes se preocupa mucho por si tu Security+ está vigente. Quieren saber qué has manejado.
Mi Opinión Personal
Mi camino ha tocado los tres y no cambiaría ninguno de ellos. El servicio militar me dio disciplina y una perspectiva operativa que no podría haber obtenido de ninguna otra manera. Mis certificaciones me dieron conocimientos estructurados y credibilidad en el ámbito profesional. Mi título me otorga una credencial que abre ciertas puertas. El trabajo práctico que he hecho es lo que hace que todo quede grabado.
Si estuviera aconsejando a alguien que empieza desde cero hoy, esto es lo que le diría: descubre en qué sector quieres trabajar, luego construye las credenciales que ese entorno respeta. Si algún día quieres trabajar para el gobierno federal, empieza a trabajar para ese título mientras obtienes tus certificaciones de lado. Si quieres ser contratado en una startup o en una empresa mediana en los próximos 12 meses, las certificaciones y la práctica son el camino más rápido.
No hay una respuesta universal. Hay un punto de partida: simplemente comienza.
El mejor camino es el en el que realmente estás.
- Jose F. Caro
Creo en usar todas las herramientas disponibles para dar lo mejor de uno mismo. Los pensamientos y experiencias en esta página son míos; uso IA para ayudar a asegurar que la gramática sea correcta.
