Escalafón Profesional en Ciberseguridad: Del Técnico al CISO

En ciberseguridad, el conocimiento técnico es fundamental, pero igual de importante es saber dónde estás en tu carrera profesional y hacia dónde puedes proyectarte. Por eso nace la idea de un escalafón profesional: una guía estructurada que te permite identificar tu nivel actual, conocer los siguientes pasos, y construir una ruta de crecimiento clara y realista.

Este escalafón está inspirado en marcos reconocidos internacionalmente como el NIST NICE Framework (National Initiative for Cybersecurity Education) y el SFIA (Skills Framework for the Information Age), y ha sido adaptado a las realidades de América Latina y el mundo hispano hablante.

Más allá de los títulos o certificaciones, lo que este modelo busca es ayudarte a responder tres preguntas esenciales:

  • ¿Qué tipo de tareas realiza un profesional de ciberseguridad en cada nivel?
  • ¿Qué habilidades se esperan en cada etapa?
  • ¿Cómo puedo avanzar hacia el siguiente nivel?

El resultado es una herramienta útil tanto para profesionales en transición (por ejemplo, desde soporte técnico), como para líderes que necesitan construir o fortalecer sus equipos de seguridad.

1. Técnico

Descripción: Es el punto de entrada al mundo de la ciberseguridad. Su rol es operacional y de ejecución directa. Apoya tareas básicas que requieren precisión y constancia.
Habilidades: Manejo de sistemas operativos, redes básicas, instalación de software, uso de herramientas básicas de análisis.
Tareas comunes: Escaneos de vulnerabilidades, soporte en configuraciones de seguridad, instalación de agentes EDR, documentación técnica.
Certificaciones recomendadas: Fundamentos de redes, sistemas operativos, introducción a la ciberseguridad, seguridad informática básica.

2. Analista

Descripción: Profesional orientado al monitoreo, análisis y primera respuesta ante incidentes. Suele trabajar en un Centro de Operaciones de Seguridad (SOC).
Habilidades: Análisis de logs, correlación de eventos, uso de SIEM, respuesta inicial a alertas, redacción de reportes.
Tareas comunes: Monitorear eventos en tiempo real, generar tickets de incidentes, aplicar playbooks, escalar amenazas relevantes.
Certificaciones recomendadas: Análisis de incidentes, gestión de amenazas, seguridad operativa, uso de plataformas SIEM.

3. Especialista

Descripción: Profesional que ha elegido un dominio técnico para profundizar: malware, cloud, forense, redes, DevSecOps, etc. Posee capacidad de investigación y resolución avanzada.
Habilidades: Toma de decisiones técnicas, investigación de incidentes complejos, análisis de comportamiento, scripting.
Tareas comunes: Búsqueda proactiva (threat hunting), análisis de malware, simulación de ataques (red teaming), análisis forense, asesoramiento técnico.
Certificaciones recomendadas: Seguridad en cloud, análisis forense digital, pentesting, threat hunting.

4. Ingeniero

Descripción: Profesional con capacidades para diseñar e implementar soluciones técnicas de seguridad a nivel empresarial. Integra soluciones, automatiza defensas y lidera mejoras tecnológicas.
Habilidades: Arquitectura de seguridad, hardening, scripting (Python, Bash, PowerShell), automatización con herramientas como Ansible, Terraform, CI/CD.
Tareas comunes: Diseño de arquitecturas seguras, implementación de controles, gestión de firewalls, integración de soluciones EDR, NDR, DLP, WAF.
Certificaciones recomendadas: Diseño de arquitecturas seguras, automatización, arquitectura cloud, seguridad aplicada a la infraestructura.

5. Consultor

Descripción: Profesional con una visión integral de la seguridad. Asesora empresas, traduce riesgos técnicos a impacto de negocio, y trabaja con múltiples actores (técnicos, legales, directivos).
Habilidades: Comunicación efectiva, gestión de proyectos, análisis de riesgos, conocimiento normativo (ISO 27001, NIST, GDPR), redacción de políticas.
Tareas comunes: Evaluaciones de madurez, planes de mejora, capacitaciones, gestión de auditorías, alineación con requisitos regulatorios.
Certificaciones recomendadas: Gestión de riesgos, normativas de ciberseguridad, auditoría de seguridad, continuidad del negocio.

6. Arquitecto / Consultor Senior

Descripción: Rol estratégico. Define arquitecturas complejas, valida planes de continuidad, seguridad en entornos híbridos y diseña soluciones desde la visión del negocio.
Habilidades: Arquitectura empresarial, modelado de amenazas, segmentación avanzada, zero trust, SASE, gobierno de seguridad.
Tareas comunes: Diseñar arquitecturas seguras desde cero, liderar diseños multi-nube, asesorar CISOs, integrar soluciones con visión a 3-5 años.
Certificaciones recomendadas: Arquitectura de seguridad empresarial, diseño estratégico, protección de infraestructuras críticas.

7. CISO / Director de Ciberseguridad

Descripción: Líder responsable de toda la estrategia de ciberseguridad de una organización. No solo entiende la tecnología, sino también el negocio, la regulación y el entorno geopolítico.
Habilidades: Liderazgo, gestión de crisis, gobernanza, compliance, relaciones con stakeholders, presentación ante juntas directivas.
Tareas comunes: Definir estrategia, liderar equipos, representar a la empresa frente a entes regulatorios, justificar inversiones, establecer cultura de seguridad.
Certificaciones recomendadas: Gobierno corporativo de TI, liderazgo en ciberseguridad, gestión de riesgos empresariales, continuidad de negocio.

Cuadro Comparativo

Este escalafón también puede visualizarse como una tabla donde se comparan las habilidades, tareas y certificaciones recomendadas por nivel. Ideal para planes de carrera o procesos de reclutamiento.

Nivel Enfoque Principal Habilidades Clave Tareas Comunes Certificaciones Recomendadas
Técnico Soporte técnico operativo Redes básicas, sistemas operativos, troubleshooting Escaneos, instalación de agentes, soporte en campo Fundamentos de ciberseguridad, redes y sistemas
Analista Monitoreo y análisis de incidentes SIEM, análisis de logs, respuesta a incidentes Monitoreo en SOC, generación y escalamiento de alertas Seguridad operativa, gestión de incidentes
Especialista Profundización técnica en dominios específicos Análisis avanzado, threat hunting, scripting Análisis forense, pentesting, tuning de reglas Especialización técnica (cloud, malware, forense)
Ingeniero Diseño e implementación de soluciones de seguridad Automatización, arquitectura, hardening, integración Implementar EDR, NDR, WAF, arquitecturas seguras Arquitectura segura, seguridad de infraestructura
Consultor Asesoría integral en ciberseguridad Normativas, evaluación de riesgos, comunicación Diagnósticos, auditorías, redacción de políticas Gestión de riesgos, cumplimiento, metodologías
Arquitecto / Consultor Senior Diseño estratégico y arquitecturas complejas Arquitectura empresarial, segmentación, modelado Diseño de seguridad por capas, integración avanzada Gobierno de seguridad, arquitectura empresarial
CISO / Director Liderazgo estratégico y gestión del riesgo Liderazgo, gestión de crisis, gobernanza Definir estrategias, reportar a dirección, liderar equipos Gobernanza de TI, liderazgo ejecutivo, continuidad

Conclusión

El crecimiento en ciberseguridad no es lineal, pero sí debe ser intencional. Este escalafón te ofrece una brújula para navegar tu carrera, detectar tus fortalezas y reconocer los nuevos conocimientos que debes adquirir para avanzar.

En un mundo donde las amenazas cambian todos los días, necesitamos profesionales que también evolucionen. No se trata solo de saber usar herramientas, sino de entender por qué se usan, cómo fallan y cómo anticiparse al adversario.

Así que si hoy estás empezando como técnico o si ya lideras equipos como CISO, este mapa te ayudará a seguir creciendo con foco, propósito y visión.

TI vs Ciberseguridad: No es guerra, pero uno sí necesita saber más que el otro

Muchos lo piensan, pocos lo dicen en voz alta: ¿por qué un profesional de TI con años de experiencia no puede saltar directamente a un rol senior de ciberseguridad?

La respuesta es simple y estratégica: los roles pueden parecer parecidos, pero no persiguen lo mismo.

TI y Ciberseguridad: dos lados de la misma infraestructura

TI es quien mantiene la luz encendida. Se asegura de que los servidores funcionen, las redes operen y los usuarios tengan acceso. Sin TI, no hay operación posible.

Pero Ciberseguridad va más allá. Su función no es solo que el sistema funcione, sino que funcione de forma segura. Donde TI piensa en disponibilidad, Ciber piensa en integridad y confidencialidad.

¿Por qué no son intercambiables?

Un profesional senior de TI domina sistemas, redes, cloud, y herramientas administrativas. Pero cuando se enfrenta a un ataque real, eso no basta. El especialista en ciberseguridad:

  • Debe anticiparse a cómo se rompen esos sistemas
  • Debe conocer las técnicas que usan los atacantes (MITRE ATT&CK, TTPs, evasion techniques)
  • Debe mapear riesgos, amenazas, y entender cómo proteger sin interrumpir

No basta con saber cómo se configura un firewall. Hay que saber cómo se evade ese firewall.

Comparación estratégica

Aspecto TI Ciberseguridad
Propósito Operar sistemas correctamente Proteger los sistemas y su información
Enfoque Disponibilidad, mantenimiento Riesgos, amenazas, respuesta
Visión Servicio funcional Servicio resiliente y seguro
Indicadores de éxito Rendimiento y uptime Ausencia de incidentes, visibilidad y control

¿Está Ciber un paso adelante?

En términos de complejidad y visión: sí. El profesional de ciberseguridad necesita conocer más capas del entorno. No solo lo visible, también lo que hay detrás de cada puerto, log o comportamiento anómalo.

Debe tener conocimientos amplios y cruzados: sistemas, redes, criptografía, normativas, modelos de amenazas, frameworks como NIST o ISO 27001, y herramientas como SIEM, EDR, NDR, entre otros.

Pero esto no es una batalla

TI y Ciber no son enemigos. Son áreas complementarias. Un sistema sin TI no arranca. Un sistema sin Ciber, se filtra. Ambos necesitan coexistir, pero entender sus diferencias permite trazar mejores planes de carrera, estrategias de formación y decisiones de liderazgo.

Conclusión

Un ingeniero de TI puede aspirar a ser un gran profesional de ciberseguridad. Pero no se trata solo de cambiar el nombre del cargo. Requiere formación, experiencia en amenazas reales, y una mentalidad orientada al riesgo.

Mientras TI mantiene el motor encendido, Ciberseguridad se asegura de que nadie más tenga las llaves. Y eso, requiere saber más.


Detection Maturity Level: ¿Qué tan madura es tu capacidad de detección de amenazas?

En ciberseguridad, no basta con tener herramientas: es vital saber qué tan bien las estamos usando. El Detection Maturity Level (DML), propuesto por David J. Bianco (el mismo creador de la Pirámide del Dolor), es un modelo que permite a los líderes de seguridad medir y mejorar la efectividad real de sus capacidades de detección.

Este modelo no se enfoca en la cantidad de alertas generadas, sino en la calidad, contexto y utilidad operativa de los datos que obtenemos para responder a incidentes. Para un CISO o CTO, el DML es una brújula estratégica para saber si sus inversiones en SIEM, EDR, NDR o Threat Intelligence están dando frutos reales.

¿Qué es el DML?

El Detection Maturity Level es un marco que categoriza los distintos tipos de datos que una organización puede recolectar para detectar amenazas, clasificándolos desde los más básicos (e.g., hashes, IPs) hasta los más avanzados (e.g., TTPs o técnicas del adversario).

La idea central es que no todos los indicadores son iguales: mientras unos son fáciles de recolectar y usar pero también fáciles de evadir, otros son más complejos, pero más valiosos y resistentes a la evasión.

Niveles del Detection Maturity Level (DML)

Nivel Tipo de Indicador Descripción y Ejemplos Reales Madurez
1 Hash (MD5, SHA1, SHA256) Firmas únicas de archivos maliciosos. Son muy fáciles de detectar con antivirus, pero también muy fáciles de evadir.
Ejemplo: Hash de un archivo de ransomware detectado en VirusTotal. Una recompilación del malware anula su efectividad.
Baja
2 Direcciones IP IPs de servidores de comando y control (C2) o exfiltración. Útiles para bloqueos rápidos, pero los atacantes rotan sus IPs fácilmente.
Ejemplo: Bloqueo de IP 185.100.87.202 asociada a una botnet. El atacante puede cambiarla con un proxy o VPN.
Baja
3 Dominios Dominios usados para phishing, C2, payload delivery, etc. Requieren más esfuerzo para cambiar, pero aún son fácilmente reemplazables.
Ejemplo: microsoft-support-login[.]com usado en una campaña de credenciales falsas.
Media-Baja
4 Artefactos de Red o del Host Información relacionada con el comportamiento del atacante dentro del sistema o red. Más difícil de modificar sin afectar la operación del ataque.
Ejemplo: Nombre de archivo win32update.ps1 o rutas como C:\Users\Public\svc-loader.exe.
Media
5 Herramientas del Atacante Software usado por actores maliciosos, como Cobalt Strike, Empire, o Mimikatz. Identificar estas herramientas permite mitigar múltiples ataques.
Ejemplo: Detectar la firma del beacon de Cobalt Strike o DLLs relacionadas con Meterpreter.
Media-Alta
6 Técnicas (MITRE ATT&CK) Detectar actividades relacionadas con técnicas específicas como Execution via PowerShell (T1059) o Credential Dumping (T1003). Implica conocer patrones de comportamiento.
Ejemplo: Registros que evidencian PowerShell con argumentos sospechosos sin firma digital.
Alta
7 Tácticas y Procedimientos Este es el nivel más maduro. Requiere monitoreo continuo y capacidades avanzadas para correlacionar eventos, entender contexto y predecir acciones futuras.
Ejemplo: Detección de una cadena de ataque basada en spear-phishing, ejecución de scripts y movimiento lateral con RDP, asociado históricamente al grupo APT29.
Muy Alta

¿Por qué el DML es clave para los líderes de ciberseguridad?

  • Permite evaluar la eficacia real del SOC, más allá de KPIs de volumen.
  • Sirve como guía para madurar gradualmente los procesos de detección.
  • Ayuda a justificar presupuestos e inversiones orientadas a aumentar visibilidad y contexto.
  • Fortalece la defensa en profundidad al enfocarse en lo difícil de evadir.

¿Cómo mejorar tu nivel de DML?

  • Usa MITRE ATT&CK para mapear técnicas y ajustar las reglas del SIEM o EDR.
  • Incorpora inteligencia de amenazas que incluya TTPs y no solo indicadores básicos.
  • Capacita al equipo en threat hunting y análisis de comportamiento.
  • Invierte en tecnologías que recojan contexto profundo (como NDR y UEBA).

Conclusión

El Detection Maturity Level (DML) te permite medir no solo cuánto ves, sino qué tan bien entiendes lo que ves. Como líder, moverte hacia niveles más altos significa lograr una defensa que va más allá de la reacción: es anticipación, contexto y resiliencia. Si solo estás operando en los primeros tres niveles, tu visibilidad es limitada y fácilmente evadible.

¿Estás listo para madurar tu estrategia de detección?


Bibliografía y Recursos Recomendados

Autor: Héctor Herrera – CEO ActivosTI