La ciberseguridad es uno de los sectores con mayor demanda de talento a nivel mundial y uno de los pocos en los que la escasez de profesionales no es una proyección futura sino una realidad documentada hoy. Si estás valorando orientar tu carrera hacia este campo —o estás en IT y quieres dar el salto— esta guía te explica qué roles existen, qué gana cada uno, cómo se entra sin experiencia y cómo construir un perfil que contrate.
No encontrarás aquí listas de atajos ni promesas vacías. Lo que sí encontrarás es información concreta: qué hace un analista SOC de nivel 1, cuánto cobra un pentester en España, qué certificaciones importan de verdad y cuáles son los errores que frenan a la mayoría de la gente durante años.
El sector: demanda real y por qué ahora es buen momento para entrar
Según el informe ISC2 Cybersecurity Workforce Study 2023 (publicado en octubre de 2023 por la asociación ISC2), la brecha global de profesionales de ciberseguridad alcanzó los 4 millones de puestos sin cubrir ese año, con una fuerza laboral activa de 5,5 millones. Es decir, el sector necesita casi duplicar su tamaño para satisfacer la demanda actual. En Europa, la brecha supera el millón de posiciones.
En España, la Agencia de Ciberseguridad de Cataluña y el INCIBE (Instituto Nacional de Ciberseguridad) han documentado en sucesivos informes un crecimiento sostenido y elevado de la demanda de perfiles de ciberseguridad, muy por encima de la oferta de talento disponible. El sector financiero, la Administración Pública, la industria y el sector sanitario son los mayores demandantes.
Lo que hace especialmente interesante este mercado laboral es la combinación de tres factores:
- Demanda estructural, no coyuntural. Las amenazas no desaparecen; aumentan en volumen y sofisticación. Cada empresa que digitaliza procesos amplía su superficie de ataque.
- Rutas de entrada múltiples. No existe un único camino. Se puede entrar desde informática, desde telecomunicaciones, desde derecho (GRC), desde administración de sistemas, o desde cero con la formación adecuada.
- Salarios competitivos desde el principio. Incluso los perfiles júnior en España tienen salarios superiores a la media del sector tecnológico.
Si te interesa ver el panorama completo de certificaciones del sector antes de decidir tu ruta, el Mapa de certificaciones de seguridad es el punto de partida más visual.
Los perfiles y roles: qué hace cada uno de verdad
La ciberseguridad no es una sola profesión. Es un ecosistema de roles con perfiles técnicos, de gestión, legales y organizativos muy distintos. Conocer las diferencias te ahorrará años de formación mal orientada.
Analista SOC (Security Operations Center) — Niveles N1, N2 y N3
El SOC es el corazón operativo de la seguridad defensiva. Un analista SOC N1 monitoriza alertas en tiempo real usando un SIEM (herramientas como Microsoft Sentinel, Splunk o IBM QRadar), clasifica incidentes según su severidad y escala los que superan su criterio de resolución. Es el rol de entrada más común en seguridad defensiva.
El N2 investiga los incidentes escalados, correlaciona eventos de múltiples fuentes y decide si activar el procedimiento de respuesta a incidentes. El N3 —o analista sénior / threat hunter— realiza caza de amenazas proactiva (threat hunting), analiza malware de forma básica y diseña reglas de detección (correlation rules, YARA, Sigma).
Herramientas clave: SIEM (Splunk, Microsoft Sentinel, QRadar), EDR (CrowdStrike Falcon, SentinelOne, Microsoft Defender), SOAR para automatización de respuesta, Wireshark para análisis de tráfico.
Perfil: orientado al detalle, cómodo con turnos (los SOC suelen funcionar 24/7), con buena capacidad de triage bajo presión. Para saber más sobre el día a día de este rol, lee nuestra guía cómo trabajar en un SOC.
Pentester / Red Team
El pentester (o ethical hacker) simula ataques reales contra sistemas, aplicaciones y redes para identificar vulnerabilidades antes de que lo haga un atacante malicioso. Trabaja con un alcance definido y produce un informe técnico con sus hallazgos y recomendaciones.
El Red Team va un paso más allá: simula amenazas persistentes avanzadas (APT), opera en sigilo durante semanas y evalúa no solo la tecnología sino también los procesos y las personas (ingeniería social, phishing).
Herramientas clave: Kali Linux, Metasploit, Burp Suite, Nmap, Cobalt Strike (Red Team), técnicas de explotación manual, scripting en Python y Bash.
Perfil: curioso, con mentalidad de atacante, alta tolerancia a la frustración (buscar una vulnerabilidad puede llevar días), buenas habilidades de redacción técnica para los informes. Las mejores plataformas para practicar hacking son el campo de entrenamiento natural de este perfil.
Analista forense / DFIR (Digital Forensics & Incident Response)
El analista DFIR interviene cuando ya ha ocurrido un incidente: reconstruye qué pasó, cómo entró el atacante, qué datos se comprometieron y cómo erradicar la amenaza. Trabaja preservando la cadena de custodia para que la evidencia sea válida en procesos legales.
Herramientas clave: Autopsy, FTK Imager, Volatility (análisis de memoria), SIFT Workstation, The Sleuth Kit.
Perfil: metódico, con base sólida en sistemas operativos (Windows y Linux a bajo nivel), cómodo trabajando con logs, artefactos del sistema de archivos y memoria RAM. Frecuentemente trabaja con equipos legales y directivos.
Consultor GRC / Auditor
El área de Gobernanza, Riesgo y Cumplimiento (GRC) es la más orientada a negocio. El consultor GRC diseña políticas de seguridad, gestiona riesgos según marcos como ISO 27001, NIST CSF o ENS (Esquema Nacional de Seguridad en España), prepara auditorías y gestiona el cumplimiento normativo (RGPD, NIS2, DORA).
Perfil: no necesariamente técnico al nivel de un pentester; requiere comprensión del negocio, habilidades de comunicación con directivos y conocimiento de marcos normativos. Es uno de los perfiles más demandados por consultoras y despachos de abogados.
Ingeniero de seguridad
Diseña, implementa y mantiene controles técnicos de seguridad: firewalls, sistemas de detección de intrusiones, VPN, PKI, gestión de identidades (IAM). A diferencia del analista SOC (que opera herramientas), el ingeniero las configura, integra y mantiene.
Perfil: con base fuerte en redes y sistemas, experiencia en administración de infraestructura, capacidad para traducir requerimientos de seguridad en configuración técnica.
Arquitecto de seguridad
El arquitecto diseña la estrategia de seguridad de la organización a alto nivel: decide qué tecnologías adoptar, cómo estructurar la defensa en profundidad, cómo segmentar redes, qué modelo de Zero Trust implementar. Es un rol sénior, normalmente con 7-10 años de experiencia en otros perfiles.
Especialista en seguridad cloud
Con la migración masiva a AWS, Azure y Google Cloud, la seguridad cloud se ha convertido en una especialidad de alta demanda. El especialista configura entornos cloud seguros (IAM, grupos de seguridad, KMS, políticas de acceso mínimo), detecta configuraciones incorrectas y garantiza el cumplimiento en entornos multi-cloud.
Herramientas clave: AWS Security Hub, Microsoft Defender for Cloud, Prisma Cloud, herramientas de IaC segura (Terraform con Checkov).
CISO (Chief Information Security Officer)
El CISO es el responsable de seguridad a nivel ejecutivo. Define la estrategia de seguridad, gestiona el presupuesto, reporta al consejo de administración y es el interlocutor con reguladores. Es un rol de gestión, no técnico en el día a día. Requiere años de experiencia en múltiples áreas de seguridad y habilidades de liderazgo sólidas.
Rutas de entrada según tu punto de partida
No existe una sola puerta de entrada a la ciberseguridad. Lo que sí existe es la necesidad de ser honesto sobre desde dónde partes, porque la ruta óptima varía mucho.
Si partes de cero (sin base técnica)
El camino más estructurado empieza por los fundamentos: redes (modelo OSI/TCP-IP, subnetting, protocolos), sistemas operativos (Linux y Windows a nivel usuario avanzado y administración básica), y programación básica (Python es suficiente al principio). Sin estos pilares, cualquier certificación de seguridad será memorizar sin entender.
La buena noticia: todos estos fundamentos se pueden aprender gratis o casi gratis. Nuestra guía cómo empezar en ciberseguridad desde cero detalla el orden exacto y los recursos recomendados.
Tiempo realista para estar listo para el primer empleo partiendo de cero con dedicación de 10-15 horas semanales: 18-24 meses.
Si vienes de IT (sysadmin, redes, desarrollo)
Tienes la base más valiosa. Un sysadmin con sólido conocimiento de Active Directory, Windows Server y Linux tiene la mitad del camino hecho para un puesto de analista SOC o ingeniero de seguridad. Un desarrollador tiene ventaja natural en seguridad de aplicaciones (AppSec) y pentesting web.
En este caso la ruta es más corta: 6-12 meses de formación específica en seguridad más una certificación de entrada (CompTIA Security+ o equivalente) pueden ser suficientes para el primer puesto.
Si vienes de otra carrera no técnica
El GRC, la auditoría de seguridad y el ámbito legal-regulatorio (RGPD, NIS2, ENS) son las vías más directas para perfiles de derecho, administración de empresas o ciencias sociales. La Certificación CISA (para auditores) o la vía hacia CISM o CRISC son rutas viables sin necesidad de convertirse en técnico.
Formación: grado, FP, máster, certificaciones y autodidacta
No hay una respuesta única. Cada vía tiene ventajas reales y limitaciones reales. Lo que importa al empleador es lo que sabes hacer, no el papel que lo acredita —aunque el papel ayuda a pasar los filtros iniciales.
Grado universitario en Ciberseguridad o Ingeniería Informática
Ventajas: base teórica sólida, reconocimiento en grandes empresas y Administración Pública, acceso a prácticas en empresas con convenio, red de contactos (compañeros y profesores).
Limitaciones: 4 años, coste elevado, el plan de estudios suele ir por detrás de la realidad del sector, poca práctica real en muchos casos. Los graduados en informática general necesitan igualmente especializarse en seguridad.
FP de Grado Superior (ASIR, DAM, DAW) + especialización
Los ciclos de Administración de Sistemas Informáticos en Red (ASIR), Desarrollo de Aplicaciones Multiplataforma (DAM) o Desarrollo de Aplicaciones Web (DAW) dan una base práctica sólida en sistemas y redes que es exactamente lo que necesita un analista SOC o un ingeniero de seguridad. Con una o dos certificaciones encima (Security+, eJPT), el perfil es muy empleable.
La FP Dual o con prácticas en empresa tiene una tasa de inserción laboral alta en el sector tecnológico. En España, el Ciclo Formativo de Grado Superior en Especialización en Ciberseguridad en Entornos de las Tecnologías de la Información (equivalente a un año adicional) es una opción directa.
Máster en Ciberseguridad
Útil si ya tienes titulación universitaria y quieres especializarte o si buscas acceder a roles sénior rápidamente. El retorno de inversión depende mucho del máster concreto: algunos tienen una red de alumni y relaciones con empresas que aceleran el acceso al mercado; otros son caros y aportan poco que no puedas conseguir con certificaciones y práctica.
Los mejores másteres combinan teoría con laboratorios prácticos reales, tienen profesorado activo en el sector y ofrecen bolsa de empleo efectiva. Antes de matricularte, pregunta a exalumnos qué porcentaje encontró trabajo en el área y en cuánto tiempo.
Certificaciones de industria
Las certificaciones son el idioma común del sector: permiten demostrar competencias concretas de forma verificable, independientemente del título académico. Para muchos empleadores, un candidato sin titulación pero con OSCP o CISSP es preferible a un graduado sin certificaciones.
El problema es que hay decenas de certificaciones y no todas tienen el mismo valor real. Más adelante en esta guía hay una sección completa sobre qué certificación encaja con cada rol.
Autodidacta
Completamente viable, especialmente para pentesting y seguridad ofensiva. La comunidad de ciberseguridad comparte conocimiento de forma generosa: hay plataformas de práctica gratuitas, writeups de CTF, cursos gratuitos de calidad y documentación oficial de todas las herramientas. El reto del autodidacta no es el acceso al conocimiento sino la estructura y la demostración de ese conocimiento a los empleadores (donde el portfolio y las certificaciones se vuelven críticos).
Habilidades técnicas y blandas que realmente importan
Habilidades técnicas según el área
- Base común para todos los roles: Redes (TCP/IP, DNS, HTTP/S, TLS, routing básico), sistemas operativos (Linux: comandos, permisos, procesos, logs; Windows: AD, GPO, registro, Event Viewer), scripting básico (Python, Bash o PowerShell).
- Seguridad defensiva / SOC: análisis de logs, uso de SIEM, conocimiento de frameworks de ataque (MITRE ATT&CK), triage de alertas, análisis de tráfico de red (Wireshark, Zeek).
- Pentesting / ofensiva: enumeración y reconocimiento, explotación de vulnerabilidades conocidas (CVE), post-explotación básica, análisis de aplicaciones web (OWASP Top 10), uso de Metasploit y Burp Suite.
- Cloud: conocimiento de al menos un proveedor principal (AWS, Azure o GCP), IAM, configuración segura de servicios, Container Security (Docker, Kubernetes).
- GRC: marcos normativos (ISO 27001, NIST CSF, ENS), gestión de riesgos, redacción de políticas, familiaridad con RGPD y NIS2.
Habilidades blandas que los empleadores de ciberseguridad valoran especialmente
- Comunicación escrita. Los informes técnicos, los partes de incidentes y los análisis de riesgo deben ser claros para audiencias no técnicas. Es una de las habilidades más escasas y más buscadas.
- Pensamiento crítico y curiosidad. La ciberseguridad requiere cuestionar asunciones constantemente y aprender de forma continua. El sector cambia tan rápido que quien para de aprender queda obsoleto en 2-3 años.
- Gestión del estrés. Los incidentes de seguridad ocurren a deshoras y bajo presión. La capacidad de mantener el criterio en situaciones de urgencia es esencial.
- Trabajo en equipo. La ciberseguridad es un deporte de equipo: los SOC, los equipos de respuesta a incidentes y los equipos de GRC trabajan en colaboración constante.
- Inglés técnico. La documentación, las certificaciones, los foros especializados y una gran parte de las ofertas de trabajo internacionales están en inglés. Sin un nivel de lectura fluida (B2 mínimo), el techo es bajo.
Qué certificaciones encajan con cada rol
La selección de certificaciones debe seguir la lógica del rol que quieres desempeñar, no la del precio o el marketing del proveedor. Aquí va la guía práctica por perfil:
| Rol objetivo | Certificaciones de entrada | Certificaciones avanzadas |
|---|---|---|
| Analista SOC | CompTIA Security+, CompTIA CySA+ | GCIH, Microsoft SC-200 |
| Pentester | eJPT (INE), CompTIA PenTest+ | OSCP (OffSec), PNPT |
| DFIR / Forense | GCFE (GIAC) | GCFA, GCFR |
| GRC / Auditor | ISO 27001 Lead Implementer, CompTIA Security+ | CISA, CISM, CRISC, CISSP |
| Cloud Security | AWS Security Specialty, AZ-500 (Microsoft) | CCSP (ISC2) |
| Generalista / Sénior | CompTIA Security+ | CISSP, CASP+/SecurityX |
Para elegir por dónde empezar, nuestra guía mejores certificaciones para empezar en ciberseguridad analiza las opciones con datos de coste y dificultad. Si buscas las más rentables en salario, certificaciones de ciberseguridad mejor pagadas tiene los datos por rol y nivel.
Cómo construir experiencia y portfolio cuando no tienes trabajo en el sector
Este es el punto donde más gente se bloquea: «para el trabajo necesito experiencia, y para la experiencia necesito el trabajo». La buena noticia es que en ciberseguridad existen más vías para romper ese círculo que en casi cualquier otro sector tecnológico.
Homelab
Un laboratorio doméstico es la forma más directa de practicar habilidades reales sin riesgo. Con un PC con 16 GB de RAM puedes montar entornos virtualizados con VirtualBox o VMware que simulan redes empresariales: un Active Directory con Windows Server, máquinas vulnerables (VulnHub, TryHackMe), un SIEM con logs reales. El homelab muestra que aprendes activamente y que entiendes cómo funcionan los sistemas en producción.
CTF (Capture The Flag)
Los CTF son competiciones de hacking ético donde se resuelven retos de criptografía, forense, web, reversing y explotación de vulnerabilidades. Participar en plataformas como Hack The Box, TryHackMe, PicoCTF o en competiciones de CTFtime.org tiene un valor real: desarrolla habilidades en un entorno seguro y deja un historial visible. Los writeups (explicaciones de cómo resolviste un reto) publicados en un blog o GitHub son especialmente valorados por los reclutadores técnicos.
Bug Bounty
Los programas de bug bounty (HackerOne, Bugcrowd, plataformas propias de empresas como Google, Meta o Microsoft) pagan recompensas por vulnerabilidades reales reportadas responsablemente. Para un perfil de pentesting, un historial en bug bounty con reportes publicados vale más que muchos cursos.
GitHub y proyectos propios
Scripts de automatización de seguridad, herramientas propias, adaptaciones de herramientas existentes, contribuciones a proyectos open source de seguridad (Sigma, YARA rules, Metasploit modules): todo esto construye un portfolio visible. Un perfil de GitHub activo es el CV real de un técnico de seguridad.
Blog técnico
Escribir sobre lo que aprendes tiene un triple efecto: consolida el conocimiento, demuestra que sabes comunicar y genera visibilidad online. No hace falta un blog profesional: Medium, GitHub Pages o Substack son suficientes. Los writeups de CTF, los análisis de malware (con muestras de MalwareBazaar) o las explicaciones de CVE recientes son contenido de alto valor para reclutadores técnicos.
Cómo buscar empleo en ciberseguridad
El CV técnico de seguridad
El CV de ciberseguridad tiene particularidades respecto al CV generalista. Lo más importante:
- Sección de habilidades técnicas clara: herramientas (SIEM, EDR, Kali, Burp), lenguajes de scripting, sistemas operativos, marcos (MITRE ATT&CK, OWASP), certificaciones vigentes.
- Proyectos y portfolio: homelab, CTF destacados, bug bounty, GitHub. Esta sección puede valer más que la de formación.
- Logros cuantificables: no «participé en respuesta a incidentes» sino «analicé y contuve X incidentes de seguridad en entorno de N endpoints».
- Extensión: 1 página para júnior, 2 páginas para sénior. Los reclutadores técnicos leen CVs en 30 segundos.
LinkedIn y portales especializados
LinkedIn sigue siendo el canal principal en España. Optimizar el perfil con palabras clave del sector (SOC analyst, penetration tester, SIEM, incident response) mejora significativamente la visibilidad ante reclutadores. Activar «Open to Work» para reclutadores (no visible al público) aumenta los contactos entrantes.
Portales útiles para ciberseguridad en España: InfoJobs, Tecnoempleo, LinkedIn Jobs. Para ofertas internacionales (incluido remoto): CyberSecJobs, InfoSec Jobs, We Work Remotely (sección Tech), LinkedIn global.
Networking y comunidades
El sector de ciberseguridad tiene una comunidad activa en España. Las conferencias son el mejor lugar para hacer contactos reales: RootedCON (Madrid, marzo), No cON Name (Barcelona), 8dot8 (Chile, pero con presencia online). Las comunidades online de referencia incluyen el servidor de Discord de Hack The Box, los foros de CTFtime y los grupos de Telegram de seguridad en español.
El networking no es pedir trabajo directamente; es construir relaciones con personas del sector. Un mentor técnico o un contacto en una empresa puede valer más que cien solicitudes de empleo en frío.
La entrevista técnica: qué esperar y cómo prepararla
Las entrevistas de ciberseguridad suelen tener varias fases. Saber qué esperar en cada una reduce el nerviosismo y permite prepararse de forma eficiente.
Fase de recursos humanos / primera criba
Preguntas sobre motivación, disponibilidad, expectativas salariales y comprensión básica del puesto. Hay que conocer la empresa, su sector y por qué tiene sentido trabajar en seguridad ahí concretamente.
Entrevista técnica
Depende mucho del rol. Para un analista SOC: preguntas sobre protocolos de red, análisis de logs, tipos de ataques comunes (phishing, ransomware, lateral movement), herramientas SIEM. Para un pentester: preguntas sobre metodología de pentesting, CVE conocidos, técnicas de explotación, fases de un ataque. Algunos empleadores ponen una prueba práctica: un archivo PCAP para analizar, un CTF corto, un análisis de log de un incidente.
Cómo preparar la parte técnica
- Practica el vocabulario: explica en voz alta cómo funciona un SQL injection, qué es un CVE, cómo funciona el handshake TLS. Si no puedes explicarlo con palabras, no lo has entendido.
- Repasa los conceptos del nivel de la certificación que tienes: si tienes Security+, te pueden preguntar sobre lo que cubre Security+.
- Para roles ofensivos: ten un historial de CTF o bug bounty para mencionar y describir.
- Para roles defensivos: practica con un SIEM (Splunk Free, Elastic SIEM) y analiza logs reales de incidentes (los de BlueTeamLabs son buenos).
Nuestra guía sobre el primer empleo en ciberseguridad cubre en detalle cómo preparar la fase de búsqueda y la entrevista desde cero.
Salarios por rol y seniority en España (rangos orientativos 2024-2025)
Los salarios en ciberseguridad en España varían significativamente según el rol, la seniority, la empresa (gran empresa vs. PYME, sector financiero vs. consultoría) y la ubicación (Madrid y Barcelona pagan entre un 15 y un 25% más que otras ciudades).
Los rangos siguientes son orientativos, basados en datos de portales de empleo (InfoJobs Informe de Salarios 2024, LinkedIn Salary, Glassdoor España) y en el informe salarial de ISACA España 2023. No son salarios garantizados; son la banda habitual en el mercado.
| Rol | Júnior (0-2 años) | Mid (2-5 años) | Sénior (5+ años) |
|---|---|---|---|
| Analista SOC N1 | 22.000–28.000 € | 28.000–38.000 € | 38.000–50.000 € |
| Pentester / Red Team | 28.000–35.000 € | 35.000–55.000 € | 55.000–80.000 € |
| DFIR / Analista forense | 25.000–32.000 € | 32.000–50.000 € | 50.000–70.000 € |
| Consultor GRC / Auditor | 24.000–30.000 € | 30.000–48.000 € | 48.000–70.000 € |
| Ingeniero de seguridad | 28.000–36.000 € | 36.000–55.000 € | 55.000–75.000 € |
| Cloud Security | 30.000–40.000 € | 40.000–60.000 € | 60.000–85.000 € |
| Arquitecto de seguridad | — | 55.000–75.000 € | 75.000–110.000 € |
| CISO | — | 70.000–90.000 € | 90.000–150.000 €+ |
Para datos más detallados con fuentes y desglose por sector, lee nuestra guía dedicada a sueldos en ciberseguridad en España.
Trabajo remoto y para empresas extranjeras desde España
La ciberseguridad es uno de los sectores con mayor proporción de trabajo remoto en tecnología. Los roles de analista SOC, pentester, ingeniero de seguridad cloud y consultor GRC son habitualmente compatibles con el trabajo remoto total o híbrido.
Trabajar para empresas extranjeras desde España ofrece salarios significativamente superiores (los suelos del mercado europeo norte o estadounidense están entre 1,5x y 3x los salarios españoles equivalentes), pero exige inglés fluido y, en muchos casos, las certificaciones de mayor reconocimiento internacional (OSCP, CISSP, CISA).
Los portales más útiles para encontrar trabajo remoto internacional: LinkedIn (filtrando «Remote»), Remotive.io, Nodesk, Working Nomads. En el segmento de bug bounty y work-for-hire de pentesting, plataformas como Synack o Cobalt trabajan con freelancers españoles.
Aspectos prácticos a tener en cuenta al trabajar para empresas extranjeras como autónomo en España: alta en el RETA (autónomos), facturación con IVA 0% (intracomunitaria si es UE, o exportación de servicios), declaración de IRPF trimestral. Vale la pena consultar con un asesor fiscal especializado en profesionales digitales.
Errores comunes que frenan la carrera en ciberseguridad
1. Querer especializarse antes de tener la base. El error más frecuente: personas que compran un curso de hacking ético sin saber qué es un puerto o cómo funciona TCP/IP. La base de redes y sistemas no es opcional; es el idioma en el que está escrita la seguridad. Sin esa base, la especialización es construir sobre arena.
2. Coleccionar certificaciones sin practicar. Pasar tres exámenes de memoria sin haber tocado las herramientas no prepara para el trabajo real. Los empleadores técnicos lo detectan en cinco minutos de entrevista. Las certificaciones con componente práctico (OSCP, PNPT, eCPPT) tienen precisamente ese valor: demuestran que puedes hacer algo, no solo que lo sabes de memoria.
3. No hablar inglés. La documentación de seguridad, los CVE, los writeups de referencia, las conferencias top (DEF CON, Black Hat), los foros especializados y la mayoría de ofertas de empresas internacionales están en inglés. Limitar el inglés es limitar la carrera a una fracción del mercado.
4. No tener portfolio visible. Un candidato con GitHub activo, writeups de CTF y homelab documentado tiene ventaja sobre otro con el mismo CV académico pero sin evidencias de trabajo real. El portfolio es especialmente crítico para perfiles sin experiencia laboral previa en el sector.
5. Irse al extremo técnico y olvidar las habilidades de comunicación. Los profesionales que saben explicar un incidente a un director sin conocimientos técnicos, redactar un informe de pentest que un cliente pueda entender o gestionar la comunicación durante una crisis tienen un techo de carrera mucho mayor.
6. Apuntar demasiado alto demasiado pronto. Muchos candidatos con formación básica aplican directamente a roles de pentester avanzado o arquitecto de seguridad y se frustran con el rechazo. El camino habitual pasa por roles de analista SOC o helpdesk con enfoque en seguridad como primer escalón, donde se construye la experiencia real que abre las puertas siguientes.
7. Estudiar en solitario y no conectar con la comunidad. La comunidad de ciberseguridad comparte conocimiento, hace referidos, avisa de ofertas y da feedback técnico de valor. El profesional aislado aprende más despacio y pierde oportunidades de networking que en este sector valen mucho.
Plan de acción de 6 a 12 meses
Este plan es para alguien que parte de conocimientos de IT básicos-medios (sabe administrar Windows, usa Linux con comodidad) y quiere entrar en ciberseguridad en 6-12 meses. Ajusta los tiempos a tu situación real.
Meses 1-2: Diagnóstico y fundamentos
- Evalúa tu base actual: redes, Linux, Windows, scripting. ¿Qué tienes sólido? ¿Qué te falta?
- Decide el área que más te atrae (ofensiva, defensiva, GRC, cloud). Esto orienta toda la inversión siguiente.
- Si tienes lagunas en redes: Professor Messer (CompTIA Network+), material de TryHackMe Pre-Security path.
- Crea un perfil en TryHackMe y empieza el learning path correspondiente a tu área (Jr Penetration Tester, SOC Level 1, etc.).
Meses 3-4: Certificación de entrada + práctica
- Para defensiva/generalista: preparar y obtener CompTIA Security+. Material: Darril Gibson (libro) + Mike Chapple (Sybex), o Jason Dion (Udemy, precio ~15 €). Nuestra guía CompTIA Security+ cubre el examen en detalle.
- Para ofensiva: preparar eJPT (INE/Security+) como primera cert práctica.
- Monta tu homelab: VirtualBox + Kali Linux + una máquina Windows Server + una máquina vulnerable (Metasploitable, DVWA).
- Completa los primeros 10 CTF de TryHackMe o Hack The Box (nivel easy). Documenta cada uno.
Meses 5-8: Especialización y portfolio
- Si eres técnico-ofensivo: Hack The Box Pro Labs (Dante o Offshore) + curso de preparación de OSCP (TCM Security, PNPT como alternativa más asequible).
- Si eres técnico-defensivo: Blue Team Labs Online, curso de Splunk (Splunk Free), alert triage en entornos simulados.
- Publica al menos 5 writeups de CTF en un blog o GitHub.
- Comienza a participar en la comunidad: Discord de HTB, Twitter/X de seguridad en español (#ciberseguridadES), Telegram.
Meses 9-12: Búsqueda activa de empleo
- Optimiza LinkedIn con las palabras clave del rol objetivo.
- Solicita 3-5 posiciones por semana. Aplica a empresas grandes (tienen más posiciones de entrada) Y a empresas pequeñas (menos competencia, más responsabilidades desde el principio).
- Prepara la entrevista técnica: repasa protocolos, practica explicaciones en voz alta, ten preparado un relato de 2-3 proyectos/CTF que puedas defender en detalle.
- Si tienes contactos en el sector, actívalos. Un referido interno multiplica las probabilidades de llegar a entrevista.
Si quieres un itinerario más visual, el Mapa de certificaciones y las guías de nuestros itinerarios por especialidad te ayudan a situar cada paso.
Recursos de formación gratuita y de calidad
No todo el aprendizaje tiene que costar dinero. Antes de invertir en cursos o certificaciones, exprime al máximo los recursos gratuitos de calidad:
- TryHackMe — learning paths guiados, nivel 0 a avanzado, free tier muy completo.
- Hack The Box — máquinas y laboratorios para práctica real; algunas retiradas son gratuitas.
- PortSwigger Web Security Academy — el mejor recurso gratuito para seguridad de aplicaciones web (OWASP).
- Cisco Networking Academy / Cybersecurity Essentials — fundamentos, gratuito.
- Microsoft Learn — rutas de aprendizaje para Azure, Defender, Sentinel; gratuito con laboratorios.
- SANS Cyber Aces — introducción a sistemas, redes y scripting.
Nuestra selección completa está en mejores cursos gratuitos de ciberseguridad. Para las plataformas de práctica, la comparativa está en mejores plataformas para practicar hacking.
Preguntas frecuentes
¿Se puede entrar en ciberseguridad sin titulación universitaria?
Sí, y es cada vez más común. Las certificaciones de industria (CompTIA, OSCP, CISA) son el estándar de contratación en muchas empresas del sector privado. La titulación universitaria da ventaja en acceso a la Administración Pública (donde los requisitos de titulación son más rígidos) y en algunas grandes consultoras, pero no es imprescindible en el mercado privado si el portfolio técnico es sólido.
¿Cuánto tiempo lleva conseguir el primer empleo en ciberseguridad?
Depende mucho del punto de partida. Desde cero (sin base técnica), el camino realista es 18-24 meses con dedicación constante. Desde IT con base sólida en sistemas o redes, 6-12 meses son suficientes para un perfil de analista SOC o ingeniero de seguridad junior. La clave es combinar formación estructurada, práctica real (CTF, homelab) y certificaciones verificables.
¿Cuál es el rol más fácil de conseguir como primer empleo?
El analista SOC N1 es la puerta de entrada más habitual. Hay más posiciones, los requisitos son más accesibles que en pentesting, y el trabajo en turno (incluyendo noches y fines de semana) reduce la competencia. Muchas empresas contratan perfiles junior para SOC con solo Security+ o equivalente y los forman internamente.
¿El OSCP merece la pena para entrar al sector?
Si tu objetivo es pentesting, el OSCP es la certificación más reconocida del sector ofensivo. El problema es el coste (~1.499 USD la opción más básica con 90 días de laboratorio) y la dificultad: no es para perfiles sin base técnica previa. La ruta recomendada es eJPT o PNPT primero, y OSCP cuando ya tengas práctica real con Hack The Box o TryHackMe.
¿Necesito saber programar para trabajar en ciberseguridad?
Depende del rol. Para GRC y auditoría, no es necesario programar. Para roles técnicos (SOC, pentesting, ingeniería de seguridad), el scripting básico en Python o Bash es prácticamente obligatorio: automatizar tareas de análisis, adaptar herramientas existentes, entender el código de exploits. No hace falta ser desarrollador, pero saber leer y escribir scripts con comodidad marca una diferencia real.
¿El sector tiene mucho intrusismo? ¿Es difícil destacar?
Hay ruido: muchos certificados de papel con poca experiencia real. Destacar no es difícil si tienes un portfolio visible (CTF, homelab, GitHub) y puedes defender técnicamente lo que dices saber. Las entrevistas técnicas filtran bien a los que solo tienen teoría. En ese sentido, la práctica es el mejor diferenciador.
¿Qué diferencia hay entre ciberseguridad y hacking ético?
El hacking ético (o pentesting) es una especialidad dentro de la ciberseguridad, enfocada en simular ataques para encontrar vulnerabilidades. La ciberseguridad como campo incluye además la seguridad defensiva (SOC, DFIR), la gestión de riesgos (GRC), la seguridad de aplicaciones, la seguridad cloud y roles de liderazgo (CISO). Decir «quiero trabajar en ciberseguridad» sin más precisión es como decir «quiero trabajar en medicina» —hay que elegir especialidad.
¿Vale la pena el bug bounty como fuente de ingresos o solo es para el portfolio?
Para la mayoría de los principiantes, el bug bounty es principalmente una herramienta de aprendizaje y portfolio. Los ingresos significativos en bug bounty requieren un nivel técnico elevado y mucha dedicación. Dicho esto, hay profesionales en España que complementan su trabajo habitual con bug bounty y obtienen entre 5.000 y 20.000 € adicionales al año. Para llegar a eso hace falta tiempo y un historial de reportes validados en plataformas como HackerOne o Bugcrowd.
¿Hay demanda de ciberseguridad fuera de Madrid y Barcelona?
Sí, aunque concentrada. Las grandes ciudades tienen mayor densidad de empresas con equipo propio de seguridad, pero el trabajo remoto ha democratizado el acceso geográficamente. Muchas empresas de sectores críticos (energía, industria, banca) tienen sedes en ciudades medianas y contratan perfiles de seguridad. Además, las consultoras de ciberseguridad (grandes y pequeñas) suelen aceptar trabajo 100% remoto para perfiles técnicos consolidados.
¿Cuánto tarda en ascender un analista SOC N1?
El ascenso de N1 a N2 se produce habitualmente en 12-24 meses con buen desempeño y formación continua. De N2 a N3 (o threat hunter), 2-4 años adicionales. El salto de analista a ingeniero o a roles especializados depende más de la orientación que se tome (¿aprender DFIR?, ¿moverse hacia cloud security?) que de los años en el puesto.
Si tienes más dudas sobre el camino concreto para tu perfil, nuestra guía de cómo empezar desde cero y los itinerarios por especialidad son el siguiente paso natural.
