Tabla de contenido
Ciberseguridad: Una de las Carreras Más Resistentes a la IA para tus Hijos
Hay 3.5 millones de empleos en ciberseguridad sin cubrir. Por qué los papás deben animar a sus hijos a explorar esta carrera que premia la curiosidad y el pensamiento lateral.
Tu hijo de catorce años convenció al maestro de que el sistema de calificaciones tenía una vulnerabilidad en el formulario de login. No la explotó —solo la reportó. El maestro no supo si regañarlo o aplaudirlo. Esa historia, que escucho en versiones distintas más seguido de lo que imaginas, es la mejor señal vocacional que existe. No la ignores.
La paradoja de la carrera más demandada que casi nadie estudia
Hay 3.5 millones de puestos de ciberseguridad sin cubrir en el mundo. Eso no es una proyección a futuro —es el número de posiciones abiertas hoy, según el reporte anual de ISC2 (International Information System Security Certification Consortium) publicado en 2023. La brecha lleva más de cinco años creciendo y no muestra señales de cerrarse.
Al mismo tiempo, en México la matrícula en programas especializados en ciberseguridad es mínima. Pocas universidades tienen licenciaturas dedicadas —la mayoría ofrece ciberseguridad como especialización dentro de ingeniería en sistemas o informática. El resultado es una asimetría enorme: muchos graduados genéricos de sistemas, muy pocos especialistas en seguridad.
Para los padres de hijos curiosos, con tendencia a explorar cómo funcionan los sistemas y disposición a entender las reglas para saber cómo se rompen —esta asimetría es una oportunidad concreta.
Por qué la ciberseguridad resiste la automatización mejor que otros roles en tecnología
Esta es la pregunta que realmente importa cuando hablamos de preparar a un niño para el mercado laboral de los próximos quince años: ¿qué tan automatizable es esta carrera?
La respuesta honesta en ciberseguridad es: menos que la mayoría.
La razón es estructural. La seguridad computacional es un problema adversarial. No es como optimizar rutas de entrega o clasificar imágenes médicas —problemas donde el objetivo es fijo y el desafío es solo computacional. En seguridad, hay un adversario que se adapta activamente a tus defensas. Cuando despliegas un sistema automatizado de detección de intrusiones, los atacantes aprenden a evadir ese sistema específico. Cuando entrenas un modelo de IA para detectar phishing, los atacantes usan IA para generar phishing que evade ese modelo.
Es una carrera armamentista permanente. Y en esa carrera, la creatividad, el pensamiento lateral y la capacidad de anticipar comportamientos no documentados son habilidades que ningún modelo de IA reemplaza todavía.
Un análisis de McKinsey Global Institute (2023) sobre automatización del trabajo clasificó “ciberseguridad y análisis de inteligencia de amenazas” entre las categorías con menor potencial de automatización en el sector tecnológico, junto con gestión de crisis y razonamiento estratégico.
Lo que dicen los datos
| Métrica | Valor | Fuente |
|---|---|---|
| Puestos de ciberseguridad vacantes globalmente | 3.5 millones | ISC2 Cybersecurity Workforce Study, 2023 |
| Crecimiento proyectado de empleo en EE.UU. (2022–2032) | 32% | Bureau of Labor Statistics, 2023 |
| Salario mediano en EE.UU. (analista de seguridad) | $120,360 USD/año | BLS Occupational Outlook Handbook, 2024 |
| Salario mediano en México (analista de seguridad) | 35,000–65,000 MXN/mes | Glassdoor MX, 2024–2025 |
| Ataques a instituciones financieras en México (2023) | +40% vs. 2022 | CNBV Reporte de Ciberseguridad, 2023 |
| Empresas mexicanas sin plan de respuesta a incidentes | ~60% | CONDUSEF / IQSEC, 2024 |
Los números de México cuentan una historia particular. El sistema financiero nacional es blanco creciente de ataques —la CNBV reportó en 2023 un aumento del 40% en incidentes de seguridad respecto al año anterior. El SPEI (Sistema de Pagos Electrónicos Interbancarios del Banco de México) ha sufrido ataques que resultaron en pérdidas de cientos de millones de pesos. Y la CONDUSEF recibe miles de quejas mensuales por fraude digital que, en una proporción significativa, involucra phishing o ingeniería social.
El CERT-MX (Equipo de Respuesta a Emergencias Informáticas de México), coordinado por la Secretaría de Seguridad y Protección Ciudadana, publica alertas regulares sobre campañas de ataque activas contra infraestructura crítica mexicana. Los profesionales que leen esas alertas y saben cómo actuar sobre ellas no sobran.
Qué hace realmente un profesional de ciberseguridad
La ciberseguridad no es un rol único —es una familia de roles que van desde muy técnicos hasta estratégicos y de comunicación. Eso es importante para los papás, porque significa que hay espacio para distintos perfiles de hijos.
Análisis de vulnerabilidades (pentesting): Los pentesters son hackers éticos contratados para atacar sistemas antes de que lo hagan los malos. Usan las mismas herramientas que un atacante —Metasploit, Burp Suite, Wireshark— pero con autorización formal. Es el rol más técnico y el que más suele atraer a adolescentes con perfil explorador.
Respuesta a incidentes: Cuando una organización detecta que fue comprometida, los especialistas en respuesta a incidentes determinan qué pasó, contienen el daño y restauran la operación. Requiere pensamiento analítico rápido bajo presión, capacidad de reconstruir timelines de ataque a partir de logs, y comunicación clara con personas no técnicas (directores, abogados, reguladores).
Seguridad en la nube: La migración masiva a AWS, Azure y Google Cloud ha creado una demanda específica por personas que entiendan cómo asegurar infraestructura en la nube. Es un área con escasez severa y donde las certificaciones específicas (AWS Security Specialty, Google Cloud Professional Security Engineer) son muy valoradas.
Red-teaming de IA: Es el rol más nuevo y posiblemente el que más crecerá en los próximos cinco años. Los red-teamers de IA prueban adversarialmente los sistemas de inteligencia artificial —intentan hacer que los modelos de lenguaje produzcan contenido dañino, que los sistemas de detección fallen, que los clasificadores médicos cometan errores peligrosos. Anthropic, OpenAI, Google DeepMind y Microsoft tienen equipos dedicados a esto y pagan entre $150,000 y $300,000 USD anuales por perfiles senior, según datos reportados en Levels.fyi (2024–2025).
Las competencias CTF como puerta de entrada
Capture The Flag (CTF) son competencias donde los participantes resuelven desafíos de ciberseguridad para obtener “banderas” —cadenas de texto escondidas en sistemas vulnerables deliberadamente. Son la mejor introducción práctica a la seguridad ofensiva que existe, y las hay para todos los niveles.
Plataformas gratuitas como HackTheBox, TryHackMe y PicoCTF tienen rutas de aprendizaje desde nivel cero. PicoCTF en particular fue diseñado por Carnegie Mellon para estudiantes de preparatoria y tiene problemas accesibles desde los doce o trece años con bases mínimas de programación.
En México, la Competencia Nacional de Ciberseguridad (antes Reto de Ciberseguridad SEP-CERT-MX) ha ganado participación en los últimos años. Y el equipo mexicano ha participado en competencias internacionales como RuCTF e ICPC Security Track con resultados crecientes.
Un adolescente que pasa seis meses resolviendo CTFs de nivel principiante tiene más habilidad práctica verificable que uno que tomó un curso de “introducción a la ciberseguridad” sin aplicar nada.
Si te interesa entender cómo el pensamiento computacional se relaciona con este tipo de resolución de problemas, el artículo sobre pensamiento computacional vs. programación para niños explora exactamente esa diferencia.
Cómo se ve esta carrera en la práctica
Sofía trabaja como analista de seguridad en una fintech con sede en Ciudad de México. Su semana tiene componentes que no encajan en el estereotipo del “hacker en cuarto oscuro”: reuniones con el equipo de producto para revisar el diseño de seguridad de una nueva función de pagos, análisis de logs de autenticación para detectar patrones de bot, y un reporte semanal al CISO (Chief Information Security Officer) sobre el estado de las amenazas activas.
“El trabajo es 30% técnico puro y 70% entender el contexto del negocio”, dice. “Una vulnerabilidad técnica puede ser crítica o irrelevante dependiendo de qué datos expone y qué tan probable es que alguien la explote realmente.”
Ese pensamiento de sistema —entender el riesgo en contexto, no solo en abstracto— es lo que distingue a los buenos profesionales de seguridad de quienes solo saben encontrar bugs.
Qué pueden hacer los papás
1. Normaliza la curiosidad exploradora (con límites claros)
El perfil de muchos niños que acaban siendo buenos en ciberseguridad incluye: desmontaron cosas para ver cómo funcionan, intentaron acceder a partes del sistema a las que no deberían, hackearon su cuenta de videojuegos para conseguir items extra. En lugar de solo regañar, ayuda a canalizar esa energía: “Lo que hiciste no estuvo bien porque X, pero esa curiosidad tiene nombre y campo de aplicación.”
Eso no es permisividad —es orientación. Los hackers éticos más respetados del mundo describen infancias con exactamente ese patrón.
2. Instala un laboratorio en casa
Una máquina vieja con Linux y VirtualBox es suficiente para empezar. Plataformas como TryHackMe tienen rutas de aprendizaje que guían paso a paso desde conceptos básicos de redes hasta técnicas de explotación. La suscripción premium es menos de $150 pesos mensuales. El hardware necesario ya probablemente lo tienen.
3. Introduce fundamentos de redes antes que seguridad
No se puede asegurar lo que no se entiende. Un niño que quiere estudiar ciberseguridad necesita entender cómo funciona TCP/IP, qué es un firewall, qué hace un servidor DNS. El curso de CC BY 4.0 de Cisco “Introduction to Networking” es gratuito y está parcialmente disponible en español. NetworkChuck en YouTube tiene tutoriales accesibles que cubren estos fundamentos de manera práctica.
4. Conecta con comunidades locales
Comunidades como el grupo México en HackTheBox, el foro de la Asociación Mexicana de Ciberseguridad y los capítulos locales de OWASP (Open Web Application Security Project) son espacios donde estudiantes y profesionales se conectan. OWASP tiene capítulo activo en Ciudad de México, Guadalajara y Monterrey. Muchos ofrecen sesiones abiertas para estudiantes.
5. Considera las certificaciones como complemento
La industria de seguridad tiene un ecosistema de certificaciones robusto que vale la pena conocer: CompTIA Security+, CEH (Certified Ethical Hacker), OSCP (Offensive Security Certified Professional). OSCP en particular es la certificación de pentesting más respetada y accesible para profesionales sin doctorado. Saber que estas rutas existen ayuda a planear una trayectoria que no depende solo del título universitario —aunque ese sigue siendo importante para posiciones en sector gobierno y grandes corporativos.
También puedes leer cómo la mentalidad de ingeniería —aprender del fracaso— prepara a los niños para exactamente este tipo de carrera donde los errores son la fuente de aprendizaje más valiosa.
Qué observar en los próximos 3 años
Regulación de ciberseguridad en México: La Ley Federal de Protección de Datos Personales en Posesión de los Particulares existe desde 2010, pero el marco de ciberseguridad para infraestructura crítica está todavía en desarrollo. Se espera que entre 2025 y 2027 México formalice requisitos mínimos de seguridad para empresas financieras y de telecomunicaciones. Eso va a crear demanda inmediata de auditores y consultores de cumplimiento.
IA ofensiva y defensiva: Los atacantes ya usan LLMs para generar correos de phishing personalizados a escala, identificar vulnerabilidades en código publicado en GitHub, y automatizar reconocimiento de objetivos. Los defensores necesitan entender esas capacidades para contrarrestarlas. El “analista de ciberseguridad que entiende IA” va a ser uno de los perfiles más escasos y buscados del mercado.
Bug bounty programs en empresas mexicanas: Empresas como Mercado Libre y bancos grandes comenzaron a formalizar sus programas de reporte de vulnerabilidades. Eso crea un canal legítimo —y remunerado— para que investigadores de seguridad independientes contribuyan a mejorar la seguridad de sistemas que usan millones de mexicanos.
Preguntas frecuentes
¿Es legal aprender hacking siendo menor de edad?
Aprender hacking ético en plataformas diseñadas para eso (TryHackMe, HackTheBox, PicoCTF) es completamente legal —son sistemas que fueron creados para ser atacados. Lo que es ilegal es acceder sin autorización a sistemas ajenos. La distinción es importante enseñársela a los niños desde el principio: el campo tiene un código ético muy claro.
¿Qué carrera universitaria se estudia?
Lo más común es Ingeniería en Sistemas, Informática o Ciencias de la Computación con especialización en seguridad. Algunas universidades como la UNAM (a través del IIMAS y el CCH) y el Tec de Monterrey ya ofrecen especializaciones formales en ciberseguridad. Las certificaciones industriales son complementarias y en algunos roles de consultoría pesan tanto o más que el título.
¿La ciberseguridad sirve si a mi hijo no le interesa programar mucho?
Parcialmente. Los roles de análisis forense, gestión de incidentes y cumplimiento regulatorio requieren menos programación que el pentesting. Pero entender código —aunque sea a nivel básico— es difícil de evitar en el campo. La programación en Python para automatizar tareas de análisis de logs o scripting de herramientas es prácticamente estándar en el campo.
¿Cuánto tiempo toma prepararse para entrar al campo?
Un perfil universitario que también ha hecho CTFs, tiene una o dos certificaciones de entrada (CompTIA Security+) y puede mostrar proyectos prácticos puede conseguir su primer trabajo como analista júnior al graduarse. Para roles de pentesting o red-team senior, el camino es más largo — cuatro a seis años de experiencia progresiva.
¿Hay trabajo en México o hay que emigrar?
Hay trabajo en México, y aumenta cada año. Las fintech, los bancos, las empresas de telecomunicaciones y las cadenas de retail grandes tienen equipos de seguridad activos. También hay trabajo remoto para empresas en EE.UU. y Europa que contratan talento latinoamericano. El inglés es un habilitador importante para ese segundo mercado.
¿Qué hace diferente a esta carrera de otras en tecnología?
La naturaleza adversarial. Un desarrollador de software resuelve problemas técnicos bien definidos. Un especialista en seguridad resuelve problemas donde el adversario se está adaptando en tiempo real a sus soluciones. Eso requiere un tipo de pensamiento — creativo, lateral, paranoicamente detallista — que es genuinamente difícil de enseñar y genuinamente difícil de automatizar.
Sobre el autor
Ricky Flores es el fundador de HiWave Makers e ingeniero eléctrico con más de 15 años de experiencia desarrollando tecnología de consumo en Apple, Samsung y Texas Instruments. Escribe sobre cómo los niños aprenden a construir, pensar y crear en un mundo saturado de tecnología. Lee más en hiwavemakers.com.
Fuentes
-
ISC2. (2023). ISC2 Cybersecurity Workforce Study 2023. https://www.isc2.org/research/workforce-study
-
U.S. Bureau of Labor Statistics. (2024). Occupational Outlook Handbook: Information Security Analysts. https://www.bls.gov/ooh/computer-and-information-technology/information-security-analysts.htm
-
McKinsey Global Institute. (2023). Generative AI and the future of work in America. https://www.mckinsey.com/mgi/our-research/generative-ai-and-the-future-of-work-in-america
-
Comisión Nacional Bancaria y de Valores (CNBV). (2023). Reporte de Ciberseguridad en el Sistema Financiero Mexicano 2023. https://www.cnbv.gob.mx
-
Carnegie Mellon University. picoCTF — Free Cybersecurity Competition for Students. https://picoctf.org
-
Levels.fyi. (2025). Salaries for AI Safety and Red Teaming roles at major AI labs. https://www.levels.fyi
-
CONDUSEF. (2024). Fraude digital y phishing: estadísticas de quejas 2023–2024. https://www.condusef.gob.mx
