La ola nos está golpeando contra el fondo desde hace tiempo”, así ilustró Gustavo Betarte, director del Grupo de Seguridad Informática del Instituto de Computación de la Facultad de Ingeniería de la Universidad de la República (Udelar), la falta de personal capacitado para hacer frente a la creciente escalada de problemas de ciberseguridad. Se estima que en Uruguay existe una “necesidad insatisfecha” de unos 2.000 profesionales en el área, pero cada año solo unas pocas decenas de estudiantes optan por esta especialización, a pesar de que, según Betarte, hay “una enorme demanda real y potencial” en el mercado laboral.

Para mitigar esta carencia, la Facultad de Ingeniería lidera un proyecto innovador en la región: la creación del primer Cyber Range de la Red de Excelencia en Ciberseguridad de Latinoamérica y el Caribe (Red Ciberlac). Este proyecto, que cuenta con la participación de 13 universidades y el apoyo institucional y financiero del Banco Interamericano de Desarrollo (BID), tiene como objetivo fortalecer las capacidades en ciberseguridad.

Un Cyber Range es una plataforma virtual que simula entornos operativos reales y está diseñada para fomentar la capacitación y el aprendizaje práctico en ciberseguridad. En otras palabras, es una “escuela” de hackers y antihackers (hackers éticos), donde los estudiantes realizan ejercicios que les permiten desarrollar habilidades en ciberdefensa, criptografía, ingeniería inversa y seguridad forense. “Este ambiente está completamente aislado de la red de enseñanza habitual, lo que permite a los estudiantes realizar tanto tareas defensivas como ofensivas”, explicó Betarte.

Lo distintivo de este entorno es que los ejercicios están basados en software y herramientas reales, un aspecto crucial para la formación de expertos en seguridad informática.

Los entrenamientos se dividen en dos grandes categorías, según explicó Juan Diego Campo, coordinador de Cyber Range: Red Team y Blue Team. Los ejercicios de Red Team (equipo rojo) están orientados a la seguridad ofensiva, donde los participantes simulan ataques para identificar vulnerabilidades en sistemas e infraestructuras. En contraste, los ejercicios de Blue Team (equipo azul) se centran en la seguridad defensiva, donde los estudiantes deben proteger infraestructuras de ataques externos o analizar incidentes y remediar los daños. Además, existen ejercicios combinados, llamados Purple Team, que integran tanto aspectos ofensivos como defensivos.

Un ejemplo concreto es el ejercicio de “Shell Reversa”, en el que los estudiantes explotan una vulnerabilidad para tomar control remoto de una máquina. Según Betarte, este ejercicio, de complejidad media, permite a los participantes desarrollar habilidades esenciales como la identificación de vulnerabilidades y la gestión de ataques.

En noviembre de 2023 se llevó a cabo la primera sesión de entrenamiento utilizando el Cyber Range en el marco de la Red Ciberlac. El ejercicio se enfocó en un escenario de “Password Cracking” (descifrado de contraseñas) y “Privilege Escalation” (escalada de privilegios, en la que un usuario no autorizado logra acceso total a recursos restringidos en el sistema operativo). Con un nivel de dificultad medio y de carácter ofensivo, este ejercicio permitió experimentar técnicas avanzadas de ataque.

Foto: Archivo El País

El Grupo de Seguridad Informática del Instituto de Computación fue fundado en 2006 con el objetivo de ofrecer cursos especializados en seguridad informática. Hasta la fecha, es el único grupo de docencia e investigación en esta área en la Udelar. “Desarrollamos el primer curso optativo para estudiantes avanzados y también para posgrados. Hasta que se apruebe el nuevo plan, en el programa de formación de ingeniero en computación no hay una asignatura obligatoria de seguridad informática”, comentó Betarte. Esta situación resulta increíble ante las crecientes amenazas en ciberseguridad y hace aún más comprensible la metáfora de la ola.

“Claramente, hay enormes carencias en nuestro país, pero, al mismo tiempo, hay una gran demanda real y potencial. Ni siquiera las organizaciones son conscientes de que necesitan a estos profesionales”, dijo. Se estima que Uruguay necesita unos 2.000 profesionales en ciberseguridad, cifra que se eleva a 500.000 para América Latina y a 3,5 millones a nivel mundial.

La materia electiva que brinda el Grupo de Seguridad Informática comprende a 60 estudiantes. La asignatura más avanzada tiene una asistencia un poco inferior. Campo indicó que no se pueden ampliar los cupos por falta de profesores.

La oferta educativa en la materia se completa con el perfil de tecnólogo en seguridad informática de la UTU, cuyo plan de formación fue diseñado con la ayuda de la Facultad de Ingeniería. Por otra parte, el Cyber Range es de código abierto, por lo que puede ser utilizado por otras instituciones o universidades privadas. “Entendemos que nuestra tecnología puede jugar un rol muy importante fuera del ámbito universitario. Tenemos la esperanza de que efectivamente puede desarrollar este tipo de programas técnicos que son fundamentales para el país”, concluyó Campo.