Son las siete de la mañana de este 14 de marzo de 2026 y, mientras espero a que la cafetera termine de hacer ese ruido infernal que tanto me gusta, me he puesto a revisar las últimas ofertas de empleo que están brotando en el sector tecnológico. Si hace cinco años nos hubieran dicho que el perfil de «hacker ético» se iba a fusionar de forma tan agresiva con el de Site Reliability Engineer (SRE), probablemente habríamos arqueado una ceja con escepticismo. Pero aquí estamos. La frontera entre el que construye la infraestructura y el que intenta derribarla para ver por dónde cojea se ha difuminado tanto que ya casi no se distinguen.
La verdad es que el mercado laboral en España ha dado un vuelco curioso. Ya no basta con saber usar Nmap o lanzar un Metasploit y esperar a que ocurra el milagro. Hoy, si quieres un hueco en empresas potentes —estoy pensando en las que operan desde el Distrito Telefónica en Madrid o el polo tecnológico de Málaga, que por cierto está que arde—, tienes que entender la nube como si la hubieras programado tú mismo. Las ofertas que estamos viendo hoy, a mediados de marzo, apuntan a una dirección clara: la seguridad ya no es un parche que se pone al final, sino el cemento que une cada ladrillo del código.
Y es que, para que nos entendamos, el «hacker de capucha» de las películas ha muerto. O al menos, se ha tenido que sacar una certificación en Kubernetes y aprender a programar en Rust para sobrevivir. El panorama actual nos obliga a ser mucho más versátiles. No se trata solo de encontrar vulnerabilidades, sino de asegurar que la plataforma sea resiliente mientras escala para dar servicio a millones de usuarios. Vaya, que el trabajo se ha vuelto más complejo, pero también mucho más interesante para los que nos gusta mancharnos las manos con la arquitectura real de los sistemas.
¿Por qué las empresas buscan ahora un híbrido entre SRE y Hacker?
Si echamos un vistazo a lo que se está cociendo en portales como Indeed o LinkedIn hoy mismo, vemos un patrón que se repite. Las empresas ya no quieren a alguien que solo les diga «tienes un agujero aquí». Quieren a alguien que sepa por qué ese agujero existe en el despliegue de la nube y cómo automatizar la solución para que no vuelva a ocurrir. Es lo que algunos llaman DevSecOps, pero con esteroides.
La razón es sencilla: la velocidad. En España, empresas del sector bancario o energético no pueden permitirse parar un despliegue porque el equipo de seguridad tiene que hacer una auditoría manual de tres semanas. Eso es cosa del pasado, de cuando el ADSL era un lujo. Ahora, el hacking ético se integra en el pipeline de CI/CD. Si eres capaz de escribir scripts que auditen la seguridad de un contenedor en tiempo real mientras se despliega, tienes el trabajo asegurado. Si mal no recuerdo, hace un par de años todavía discutíamos si la seguridad debía ser un departamento estanco. Hoy, esa discusión parece tan antigua como el Windows 95.
Además, hay un factor emocional y de responsabilidad que no solemos mencionar. Un SRE con mentalidad de hacker ético es, en esencia, el guardián de la continuidad del negocio. No es solo evitar que roben datos (que también), sino evitar que el sistema colapse bajo un ataque de denegación de servicio o por una mala configuración que un atacante podría explotar para minar criptomonedas a costa de la factura de AWS de la empresa. Ojo con esto, porque las facturas de la nube pueden arruinar a una startup española más rápido que cualquier multa de la RGPD.
El día a día de un «Security SRE» en el mercado español
Para los que estéis pensando en dar el salto, el día a día no es tan glamuroso como salir en Mr. Robot. Suele empezar con una revisión de las alertas de seguridad automatizadas. Imagina que trabajas para una fintech en Barcelona. Tu mañana podría consistir en analizar por qué un microservicio ha empezado a hacer peticiones extrañas a una IP en el extranjero. No vas a usar una herramienta mágica; vas a mirar logs, vas a entrar en la consola de la nube y vas a rastrear el tráfico como un detective de los de antes, pero con herramientas del siglo XXII.
- Auditoría de infraestructura como código (IaC): Revisar que los archivos de Terraform no dejen puertos abiertos por descuido. Un clásico que sigue pasando.
- Simulacros de inyección de fallos: No solo ataques externos, sino provocar caídas controladas para ver cómo reacciona la seguridad del sistema.
- Desarrollo de herramientas internas: A veces, lo que hay en el mercado no sirve. Toca picar código en Python o Go para crear un monitor de integridad que se ajuste a lo que necesitas.
La verdad es que es un trabajo agotador pero gratificante. Requiere una curiosidad casi patológica. Tienes que querer saber cómo funciona cada engranaje, desde el protocolo de red hasta la lógica de negocio de la aplicación. Y eso, amigos, no se aprende en un curso de fin de semana.
Herramientas y lenguajes: El arsenal del 2026
Hablemos de lo que realmente importa cuando estás frente a la terminal. Si en 2020 el rey era Python (y lo sigue siendo para muchas cosas), en 2026 hemos visto una explosión de Rust en el ámbito de la seguridad. ¿Por qué? Por la gestión de memoria. La mayoría de las vulnerabilidades críticas de las últimas décadas venían de errores en la gestión de memoria en C o C++. Rust elimina eso de un plumazo, y las empresas están locas por contratar a gente que sepa auditar código en este lenguaje.
Pero no nos pongamos demasiado técnicos sin dar ejemplos. Imagina que tienes que hacer un pequeño script para comprobar si las cabeceras de seguridad de tus servidores están bien configuradas. En los viejos tiempos harías un script de Bash cutre. Hoy, lo integramos en nuestras herramientas de monitorización. Aquí os dejo un ejemplo de cómo se vería un chequeo rápido, comentado con un poco de esa ironía que nos da el haber visto demasiados servidores caer en viernes por la tarde:
# Un script sencillo para no llorar el lunes por la mañana
import requests
def check_security_headers(url):
headers_to_check = [
"Content-Security-Policy",
"Strict-Transport-Security",
"X-Content-Type-Options",
"X-Frame-Options"
]
try:
response = requests.get(url, timeout=5)
print(f"Analizando: {url}")
for header in headers_to_check:
if header in response.headers:
print(f"[OK] {header} está presente. Al menos alguien hizo los deberes.")
else:
print(f"[PELIGRO] Falta {header}. Alguien va a tener una charla seria con el CTO.")
except Exception as e:
print(f"Vaya, parece que el servidor ni siquiera responde: {e}")
# Ejemplo de uso (no lo hagáis con la web de vuestro jefe sin permiso)
check_security_headers("https://tu-empresa-paco.es")
Este tipo de automatización básica es el pan de cada día. Pero claro, en las ofertas de este 14 de marzo, se pide mucho más. Se pide saber gestionar identidades en entornos multi-cloud (Azure, AWS, Google Cloud) y, sobre todo, entender cómo la Inteligencia Artificial está cambiando el juego. Porque sí, los atacantes ya usan modelos de lenguaje para generar phishing hiperrealista o para buscar fallos en el código de forma masiva. Nosotros tenemos que ser más rápidos.
El impacto de la IA en el Hacking Ético: No es el fin del mundo, pero casi
No quiero sonar como un anuncio de esos que te prometen hacerte rico con tres clics, pero la IA ha cambiado la forma en que buscamos vulnerabilidades. En 2026, ya no buscamos manualmente un «SQL Injection» básico. Usamos agentes de IA entrenados para navegar por la aplicación y encontrar rutas lógicas que a un humano le llevarían semanas descubrir.
La conclusión que saco de todo esto es que el hacker ético ahora es más un «entrenador de perros guardianes» que un guardia de seguridad. Tienes que saber configurar estos modelos, alimentarlos con los datos correctos y, lo más importante, saber interpretar sus resultados. Porque la IA alucina, y mucho. Me ha pasado más de una vez que una herramienta de análisis automático me marca una vulnerabilidad crítica que resulta ser una función perfectamente legítima pero escrita de forma un poco creativa por un becario a las tres de la mañana.
En España, estamos viendo cómo startups de ciberseguridad en Madrid están liderando el uso de IA para la defensa activa. Es un campo donde hay mucho dinero ahora mismo. Si sabes de seguridad y sabes cómo funcionan los LLM (Large Language Models) por dentro, no es que vayas a encontrar trabajo, es que te van a llover las ofertas. Pero ojo, no vale con saber usar ChatGPT; hay que entender cómo proteger esos mismos modelos de ataques de «prompt injection» o de envenenamiento de datos. Es el gato y el ratón de toda la vida, pero con esteroides computacionales.
¿Dónde están los trabajos? Un mapa del tesoro nacional
Si estás en España y buscas moverte, el mapa está bastante claro. Madrid sigue siendo el centro neurálgico, especialmente por la presencia de las grandes corporaciones y el sector público (no olvidemos el INCIBE en León, que aunque esté un poco más lejos, es el faro que nos guía a todos). Pero Málaga… ay, Málaga. Lo que está pasando allí es digno de estudio. El centro de ciberseguridad de Google ha atraído a un ecosistema de empresas que buscan talento como locas.
Barcelona, por su parte, mantiene su fuerza en el sector de las startups tecnológicas y el e-commerce. Si te gusta el hacking aplicado al fraude online y la protección de pasarelas de pago, ese es tu sitio. Y no quiero olvidarme de mi tierra, Cartagena. Aquí, con la base naval y la industria pesada, el foco está virando hacia la ciberseguridad industrial y de sistemas críticos. Hackear un servidor web es una cosa, pero asegurar que el sistema de control de un submarino o de una refinería no sea comprometido, eso son palabras mayores. Es un nicho menos conocido, pero pagado a precio de oro.
Para que nos entendamos, la situación es la siguiente:
- Madrid: Grandes cuentas, banca, consultoría estratégica y administración pública.
- Málaga: Innovación pura, centros de I+D de multinacionales y un ambiente muy internacional.
- Barcelona: Startups, fintech, retail y un enfoque muy fuerte en la nube.
- Norte (Bilbao/León): Ciberseguridad industrial e infraestructuras críticas.
La formación en 2026: ¿Títulos o habilidades?
Esta es la pregunta del millón. ¿Sigue valiendo la pena sacarse el OSCP o el CISSP? La respuesta corta es sí, pero con matices. En las ofertas que vemos hoy, 14 de marzo, las certificaciones sirven para pasar el primer filtro de Recursos Humanos (esos algoritmos que leen CVs y que a veces parecen tener menos luces que un barco pirata). Pero en la entrevista técnica, lo que cuenta es tu GitHub o tu perfil en plataformas de CTF (Capture The Flag).
La verdad es que he visto a gente con cinco certificaciones quedarse bloqueada ante un problema real de configuración de red, y a chavales que han aprendido de forma autodidacta resolver incidentes complejos en minutos. Las empresas españolas están empezando a valorar mucho más la experiencia práctica. Por eso, mi consejo si estás empezando es: monta tu propio laboratorio en casa. Rompe cosas (en un entorno controlado, por favor, que no queremos visitas de la Guardia Civil) y documenta cómo las has arreglado.
Además, hay algo que no te enseñan en los libros: la ética. Parece una obviedad, pero en un mundo donde un hacker ético tiene las llaves del reino, la integridad personal es el activo más valioso. En los procesos de selección actuales, las pruebas psicotécnicas y las entrevistas de valores están ganando peso. Quieren saber que, cuando encuentres ese fallo que permite acceder a las cuentas bancarias de medio país, vas a reportarlo correctamente y no vas a caer en la tentación de jubilarte en una isla privada.
El papel de la comunidad y el aprendizaje continuo
En este mundillo, si dejas de estudiar un mes, estás fuera. Es así de cruel y así de divertido. Por suerte, en España tenemos una comunidad increíble. Eventos como la RootedCON en Madrid o la Navaja Negra en Albacete son donde realmente se aprende lo que no está en los manuales. Es allí, entre charla y charla y con una cerveza en la mano, donde te enteras de la última vulnerabilidad de día cero o de cómo aquella empresa consiguió frenar un ataque de ransomware masivo sin pagar un euro.
La verdad es que el networking «de barra de bar» sigue siendo fundamental. Muchos de los trabajos que se publican hoy en Indeed ya han sido comentados semanas antes en grupos de Telegram o en cenas de colegas. Así que, si quieres meter la cabeza en esto, sal de la cueva. Participa, pregunta y, sobre todo, comparte lo que sepas. El conocimiento en ciberseguridad es de las pocas cosas que crece cuando se comparte.
Hablemos de dinero: ¿Cuánto se paga por «romper» cosas legalmente?
Vamos a lo que nos interesa a todos, que las facturas no se pagan solas. En marzo de 2026, los salarios en España para perfiles de hacking ético y seguridad en la nube han subido considerablemente. No estamos a niveles de Silicon Valley, pero ya no nos podemos quejar tanto como hace una década.
Un perfil junior, alguien que acaba de salir de un grado o un bootcamp potente y tiene un par de certificaciones básicas, puede estar empezando en los 30.000 – 35.000 euros anuales. No está mal para empezar, ¿verdad? Pero lo bueno viene cuando saltas al nivel senior o especialista. Un experto en seguridad de infraestructuras críticas o un arquitecto de seguridad en la nube puede superar fácilmente los 70.000 u 80.000 euros en Madrid o Barcelona. Y si trabajas en remoto para una empresa extranjera pero viviendo en un pueblo perdido de la Sierra de Madrid o en la costa murciana, pues ya te puedes imaginar la calidad de vida.
Pero ojo, que nadie regala nada. Esos sueldos vienen con una carga de responsabilidad y, a veces, de estrés importante. Cuando hay una brecha de seguridad a las tres de la mañana de un domingo, tú eres el que tiene que estar ahí. Es un trabajo de guardia, aunque no siempre se diga. Por eso, muchas empresas están empezando a ofrecer beneficios como semanas de cuatro días o presupuestos generosos para formación, para evitar el «burnout» o agotamiento, que en este sector es una plaga.
Reflexiones finales sobre el mercado laboral de hoy
Al final del día, lo que nos dicen las ofertas de este 14 de marzo de 2026 es que el hacking ético ha madurado. Ya no es una disciplina exótica para cuatro locos de la informática. Es una pieza fundamental de la ingeniería de software moderna. Si te gusta resolver puzles, si tienes esa mentalidad de «qué pasa si toco este botón» y si eres capaz de mantener la calma cuando todo el mundo a tu alrededor está entrando en pánico, este es tu sitio.
La mezcla de SRE y seguridad es solo el principio. En los próximos años veremos cómo la biotecnología, el internet de las cosas (IoT) a nivel masivo y la computación cuántica traen nuevos retos. Pero la base seguirá siendo la misma: entender el sistema mejor que quien lo diseñó para poder protegerlo.
Para que nos entendamos, el trabajo de hacker ético es, posiblemente, uno de los pocos que la IA no va a poder sustituir del todo a corto plazo. Porque hackear no es solo seguir un algoritmo; es tener malicia, es tener intuición y es entender la psicología humana. Y eso, por ahora, las máquinas no lo tienen. Así que, si estás pensando en cambiar de aires o en empezar tu carrera, dale caña. El sector te necesita, y la verdad es que nunca nos hemos aburrido menos que ahora.
Me voy a por el segundo café, que me han llegado un par de alertas de un servidor en pruebas y me da a mí que el día va a ser movido. ¡Nos vemos en los logs!
Deja una respuesta