🇪🇸 La paradoja de la ciberseguridad
Hay una profesión que tiene demanda garantizada, salarios muy por encima de la media, posibilidad de trabajo remoto global, y una escasez de talento tan aguda que las empresas llevan años compitiendo por los mismos perfiles sin conseguir cubrirlos.
Y sin embargo, muy poca gente sabe exactamente en qué consiste, cómo se accede a ella, o qué se necesita para ejercerla.
Se llama hacking ético — o pentesting, o red teaming, dependiendo del nivel de especialización — y es la práctica de atacar sistemas informáticos, redes y aplicaciones con el permiso explícito del propietario para encontrar sus vulnerabilidades antes de que lo hagan los atacantes reales.
La lógica es simple: la única forma de saber si tu sistema de seguridad funciona es atacarlo. Y la única forma de hacerlo de forma controlada y legal es contratar a alguien que sepa atacar — y que lo haga para ti, no contra ti.
🇬🇧 The cybersecurity paradox
There's a profession with guaranteed demand, salaries well above average, global remote work possibilities, and such an acute talent shortage that companies have been competing for the same profiles for years without managing to fill them.
And yet, very few people know exactly what it consists of, how to access it, or what's needed to practice it.
It's called ethical hacking — or pentesting, or red teaming, depending on the level of specialization — and it's the practice of attacking computer systems, networks, and applications with the explicit permission of the owner to find their vulnerabilities before real attackers do.
The logic is simple: the only way to know if your security system works is to attack it. And the only way to do so in a controlled and legal way is to hire someone who knows how to attack — and who does it for you, not against you.
🇪🇸 Los números que explican la urgencia
El déficit global de talento en ciberseguridad supera los 3,5 millones de profesionales según el informe anual de ISC2 — la principal organización certificadora de ciberseguridad del mundo.
En España, las estimaciones del sector apuntan a un déficit de entre 30.000 y 40.000 especialistas en ciberseguridad, con una demanda que crece entre un 15% y un 20% anual.
Las causas del déficit son estructurales.
Por un lado, la formación universitaria tradicional no produce suficientes especialistas. Los grados de informática y telecomunicaciones forman programadores y administradores de sistemas — perfiles valiosos pero distintos al especialista en seguridad ofensiva. La ciberseguridad como disciplina autónoma es relativamente nueva en los planes de estudio españoles.
Por otro lado, la demanda se ha disparado por dos razones convergentes: la digitalización acelerada de empresas que antes no eran objetivos relevantes para los atacantes, y el aumento exponencial de los ataques — tanto en volumen como en sofisticación — que ha hecho que la ciberseguridad pase de ser un coste opcional a ser una obligación legal en muchos sectores.
La directiva NIS2 de la Unión Europea, que entró en vigor en 2023 y cuya transposición en España es obligatoria, exige a un amplio conjunto de empresas — no solo las grandes, también las medianas que operen en sectores críticos — que implementen medidas de ciberseguridad verificables. Y verificar que esas medidas funcionan requiere, entre otras cosas, pruebas de penetración regulares.
En otras palabras: la regulación europea está creando demanda legal obligatoria de hackers éticos.
🇬🇧 The numbers that explain the urgency
The global cybersecurity talent deficit exceeds 3.5 million professionals according to the annual ISC2 report — the world's leading cybersecurity certification organization.
In Spain, industry estimates point to a deficit of between 30,000 and 40,000 cybersecurity specialists, with demand growing between 15% and 20% annually.
The causes of the deficit are structural.
On one hand, traditional university education doesn't produce enough specialists. Computer science and telecommunications degrees train programmers and systems administrators — valuable profiles but distinct from the offensive security specialist. Cybersecurity as an autonomous discipline is relatively new in Spanish curricula.
On the other hand, demand has skyrocketed for two converging reasons: the accelerated digitalization of companies that previously weren't relevant targets for attackers, and the exponential increase in attacks — both in volume and sophistication — that has made cybersecurity go from being an optional cost to a legal obligation in many sectors.
The EU's NIS2 directive, which entered into force in 2023 and whose transposition in Spain is mandatory, requires a broad set of companies — not just large ones, also medium-sized ones operating in critical sectors — to implement verifiable cybersecurity measures. And verifying that those measures work requires, among other things, regular penetration tests.
In other words: European regulation is creating mandatory legal demand for ethical hackers.
🇪🇸 En qué consiste realmente el trabajo
El hacking ético no es una sola cosa. Es un conjunto de disciplinas con distintos niveles de especialización y distintos focos de ataque.
Pentesting de aplicaciones web. El atacante busca vulnerabilidades en aplicaciones web — tiendas online, portales de clientes, intranets — utilizando técnicas como la inyección SQL, el cross-site scripting, o los ataques de autenticación. Es la especialidad más demandada por el volumen de aplicaciones web que existen.
Pentesting de infraestructura y redes. El atacante busca vulnerabilidades en la infraestructura de red — routers, firewalls, servidores, dispositivos IoT — para encontrar puntos de entrada que permitan moverse lateralmente dentro de una red corporativa.
Red teaming. Una simulación completa de un ataque real contra una organización — combinando técnicas técnicas con ingeniería social, es decir, intentando engañar a empleados para que revelen credenciales o instalen software malicioso. Es la modalidad más compleja y más valorada.
Análisis forense y respuesta a incidentes. Cuando el ataque ya ha ocurrido, el especialista analiza qué pasó, cómo entró el atacante, qué datos se comprometieron y cómo remediar la situación.
Bug bounty. Programas donde empresas pagan recompensas — que pueden llegar a decenas de miles o incluso cientos de miles de dólares — a investigadores independientes que encuentran vulnerabilidades en sus sistemas y las reportan de forma responsable en lugar de explotarlas.
🇬🇧 What the work actually consists of
Ethical hacking isn't one single thing. It's a set of disciplines with different levels of specialization and different attack focuses.
Web application pentesting. The attacker searches for vulnerabilities in web applications — online stores, client portals, intranets — using techniques like SQL injection, cross-site scripting, or authentication attacks. It's the most in-demand specialty given the volume of web applications that exist.
Infrastructure and network pentesting. The attacker searches for vulnerabilities in network infrastructure — routers, firewalls, servers, IoT devices — to find entry points that allow lateral movement within a corporate network.
Red teaming. A complete simulation of a real attack against an organization — combining technical techniques with social engineering, meaning attempting to trick employees into revealing credentials or installing malicious software. It's the most complex and most valued modality.
Forensic analysis and incident response. When the attack has already occurred, the specialist analyzes what happened, how the attacker got in, what data was compromised, and how to remediate the situation.
Bug bounty. Programs where companies pay rewards — which can reach tens of thousands or even hundreds of thousands of dollars — to independent researchers who find vulnerabilities in their systems and report them responsibly rather than exploiting them.
🇪🇸 Cuánto se paga y por qué
Los salarios en ciberseguridad ofensiva están sistemáticamente por encima de la media del sector tecnológico — que ya está por encima de la media general.
En España, un pentester junior con uno o dos años de experiencia gana entre 35.000 y 45.000 euros brutos anuales. Un perfil con 3-5 años de experiencia y certificaciones relevantes gana entre 55.000 y 75.000 euros. Los perfiles senior con especialización en red teaming o en sectores regulados como banca o defensa pueden superar los 80.000-100.000 euros.
Los freelancers y consultores independientes con reputación establecida en el mercado cobran entre 800 y 1.500 euros al día por proyectos de pentesting — lo que equivale a ingresos anuales de entre 150.000 y 250.000 euros para quienes trabajan de forma consistente.
La razón de estos salarios es la combinación de escasez de oferta y alta criticidad de la función. Un error en un informe de auditoría financiera tiene consecuencias. Un fallo en una prueba de penetración que no detecta una vulnerabilidad real puede costar a una empresa millones de euros en un ataque real. La responsabilidad es alta. La tolerancia al error es baja. Y el talento escasea.
🇬🇧 How much it pays and why
Salaries in offensive cybersecurity are systematically above the technology sector average — which is already above the general average.
In Spain, a junior pentester with one or two years of experience earns between €35,000 and €45,000 gross annually. A profile with 3-5 years of experience and relevant certifications earns between €55,000 and €75,000. Senior profiles specializing in red teaming or regulated sectors like banking or defense can exceed €80,000-100,000.
Freelancers and independent consultants with established market reputation charge between €800 and €1,500 per day for pentesting projects — equivalent to annual income of between €150,000 and €250,000 for those who work consistently.
The reason for these salaries is the combination of supply scarcity and high criticality of the function. An error in a financial audit report has consequences. A failure in a penetration test that misses a real vulnerability can cost a company millions of euros in a real attack. Responsibility is high. Error tolerance is low. And talent is scarce.
🇪🇸 Cómo se accede a esta profesión sin un título universitario
Una de las características más inusuales del hacking ético como profesión es que el título universitario tiene relativamente poco peso en el proceso de contratación.
Lo que importa — y lo que el mercado valida — son las certificaciones técnicas y la capacidad demostrable de hacer el trabajo.
Las certificaciones más valoradas a nivel global:
CEH — Certified Ethical Hacker. La certificación de entrada al sector. Valida conocimiento teórico de las principales técnicas de ataque y defensa.
OSCP — Offensive Security Certified Professional. La certificación más respetada en el sector de pentesting. Es completamente práctica — el examen consiste en atacar una red de máquinas reales durante 24 horas y documentar las vulnerabilidades encontradas. No hay preguntas teóricas. O lo haces o no lo haces.
CISM y CISSP. Certificaciones más orientadas a la gestión de la seguridad que al hacking técnico — más relevantes para perfiles de dirección de seguridad.
Los recursos de aprendizaje práctico que el sector reconoce incluyen plataformas como HackTheBox, TryHackMe y VulnHub — entornos de práctica donde se pueden atacar máquinas virtuales diseñadas con vulnerabilidades reales en un contexto legal y controlado.
El camino típico de alguien que entra en el sector sin formación previa es: aprendizaje autodidacta en plataformas de práctica, obtención de la certificación CEH o OSCP, participación en programas de bug bounty para construir un historial verificable, y primer trabajo como junior en una consultora de ciberseguridad o en el departamento de seguridad de una empresa grande.
El tiempo típico desde cero hasta el primer trabajo: entre 12 y 24 meses de dedicación seria.
🇬🇧 How to access this profession without a university degree
One of the most unusual characteristics of ethical hacking as a profession is that a university degree carries relatively little weight in the hiring process.
What matters — and what the market validates — are technical certifications and demonstrable ability to do the work.
The most valued certifications globally:
CEH — Certified Ethical Hacker. The entry-level sector certification. Validates theoretical knowledge of the main attack and defense techniques.
OSCP — Offensive Security Certified Professional. The most respected certification in the pentesting sector. It's completely practical — the exam consists of attacking a network of real machines for 24 hours and documenting the vulnerabilities found. No theoretical questions. Either you do it or you don't.
CISM and CISSP. Certifications more oriented toward security management than technical hacking — more relevant for security direction profiles.
The practical learning resources the sector recognizes include platforms like HackTheBox, TryHackMe, and VulnHub — practice environments where virtual machines designed with real vulnerabilities can be attacked in a legal, controlled context.
The typical path for someone entering the sector without prior training is: self-directed learning on practice platforms, obtaining the CEH or OSCP certification, participating in bug bounty programs to build a verifiable track record, and a first job as a junior at a cybersecurity consultancy or in the security department of a large company.
Typical time from zero to first job: between 12 and 24 months of serious dedication.
🇪🇸 La Forja Global — Análisis sin humo sobre negocios, tecnología y las ideas que mueven el mundo.
🇬🇧 La Forja Global — No-nonsense analysis on business, technology and the ideas that move the world.
Negocios · Business · Tecnología & IA · Technology & AI · Ciberseguridad · Cybersecurity · Hacking Ético · Ethical Hacking · Empleo · Employment · Formación · Training · LaForjaGlobal ·

