“No se aprende ciberseguridad solo leyendo diapositivas, hay que perder el miedo a romper cosas” 23 enero 2026
Ganar una competición de hacking ético no es solo una cuestión de conocimientos técnicos, sino también de método, intuición y capacidad para resolver problemas bajo presión. Pedro José Navas Pérez, estudiante de la Universidad de Cádiz que se ha proclamado vencedor del Capture The Flag del congreso SecAdmin 2025, representa a una nueva generación de especialistas en ciberseguridad formados en la universidad pública. En esta entrevista, aborda cuestiones claves en la labor de profesionales dedicados al hacking ético, el papel de la UCA en su formación y su visión sobre los retos actuales y futuros de la seguridad digital.
Recientemente, ha ganado la competición Capture The Flag del congreso SecAdmin 2025 sobre hacking ético. El concepto de hacking ético todavía genera cierta confusión fuera del ámbito técnico. ¿Crees que falta pedagogía social sobre qué es realmente y por qué es tan necesario hoy en día?
Totalmente. Todavía persiste el estigma que asocia hacker con delincuencia, cuando en realidad nuestra labor se basa en un principio de defensa proactiva. La idea es sencilla, pero potente: en lugar de esperar de forma pasiva tras nuestros muros a que el ataque ocurra, nos adelantamos para identificar y neutralizar las amenazas antes de que golpeen. El hacking ético es, en esencia, un control de calidad llevado al extremo. Al igual que en la industria se somete a un producto a pruebas de estrés límite para asegurar que no fallará en el peor escenario, nosotros ‘estrellamos’ los sistemas digitales contra ataques simulados para fortalecerlos. No somos el agresor, somos el equipo que pone a prueba la resistencia de la estructura para que, cuando llegue un ataque real, no encuentre ninguna fisura. Para la ciudadanía, esta labor es crítica. En un escenario geopolítico donde el ciberespacio se ha consolidado como el quinto dominio de la guerra, el hacker ético es el encargado de que los sistemas que sostienen la vida cotidiana —desde el suministro eléctrico hasta la privacidad de nuestros datos— sean resilientes. Es una labor de prevención necesaria para garantizar que el entorno digital sea un lugar seguro para todos.
¿Qué supone para ti ganar una competición de este nivel dentro de un congreso de referencia en el ámbito de la ciberseguridad y recibir su emblemática katana?
A nivel personal es un orgullo increíble. Por un lado, me hacía mucha ilusión porque me acerca un poco a Ángel Suero Campano, que ha sido uno de mis referentes. Él ha ganado esta distinción dos veces y para mí era un reto personal estar a esa altura. Además, el hecho de que el trofeo sea una katana me ha hecho gracia porque me ha recordado mis años practicando AiKiDo. Al final, las artes marciales y los CTFs se parecen en algo básico: entrenamiento, disciplina y mantener la calma cuando las cosas no salen. Es un detalle que me ha hecho ilusión porque une un poco mis aficiones de joven con lo que es ahora mi profesión.
Antes de esta competición, ya habías logrado victorias en otros eventos como Talent4Cyber o competiciones CTF nacionales e internacionales. ¿Qué aprendizajes concretos te han aportado esas experiencias previas?
Me han enseñado a combinar el instinto con la disciplina. Con la experiencia desarrollas un cierto ‘olfato’ técnico: aprendes a identificar patrones e intuyes dónde está la vulnerabilidad nada más ver el reto. Pero también aprendí a base de golpes que ese instinto, sin orden, no sirve de nada. En mis primeras competiciones perdía mucho tiempo probando cosas de forma caótica, y de ahí me llevé la importancia de tener una metodología de trabajo estricta. He aprendido a documentar en tiempo real lo que hago, si no apuntas lo que ya has probado, acabas repitiendo errores. Esa mezcla de intuición rápida y ejecución ordenada fue clave en la SecAdmin, donde al tiempo de resolución técnica había que sumarle la redacción y entrega de los informes.
¿Cómo ha influido tu formación en el Máster en Investigación en Ingeniería de Sistemas y de la Computación y en tu carrera de la UCA en tu preparación para estos desafíos? ¿Qué aspectos de tu formación consideras más valiosos?
Siendo totalmente honesto, cuando gané la competición apenas llevaba unas semanas en el Máster, por lo que la preparación técnica para este evento viene del Grado y de mucho aprendizaje por mi cuenta. Sin embargo, lo que el Máster me está aportando ahora es una perspectiva investigadora fundamental: me permite ver cómo se aplican distintas tecnologías en la investigación y me está permitiendo explorar alternativas nuevas. Donde realmente construí los cimientos técnicos fue en el Grado. Mirando atrás, veo asignaturas que han sido clave: Redes y Sistemas Operativos son la base de casi todo. Luego hay otras materias, como Arquitectura de Computadores, que me dieron la base teórica para afrontar retos bastante más complejos. Obviamente, el objetivo del Grado no es enseñarte a hackear. Se trata de adquirir una visión completa de la ingeniería: algoritmia avanzada, bases de datos, sistemas distribuidos, entre otras muchas cosas. Al final, entender la lógica de construcción de estos sistemas es requisito indispensable para luego poder buscar sus vulnerabilidades. Y hay otro factor crucial que me llevo de la carrera: la capacidad de ir a la fuente original. En el Grado, muchas veces te ves obligado a resolver problemas leyendo documentación oficial técnica o bibliografía compleja, un hábito que desgraciadamente se está perdiendo por el abuso de tutoriales rápidos y la IA. Esa disciplina marca la diferencia, porque nos recuerda que los ingenieros estamos aquí para construir soluciones, no para copiarlas.
“La imagen del hacker aislado ya no es real; la ciberseguridad es, ante todo, un deporte de equipo”
La ciberseguridad es un campo muy exigente y en constante evolución. ¿Qué habilidades técnicas y personales piensas que son más importantes para tener éxito en este ámbito? ¿Qué competencias son hoy imprescindibles para un profesional de la ciberseguridad, más allá del conocimiento puramente técnico?
Técnicamente, lo vital es tener unos fundamentos sólidos. Mucha gente que intenta entrar en el campo se obsesiona con manejar todas las opciones de una herramienta específica sin entender qué ocurre realmente ‘por detrás’. Las herramientas cambian cada año, pero si entendemos la lógica subyacente, te adaptas a lo que venga. En lo personal, creo que el éxito depende de un triángulo clave: curiosidad insaciable, para no quedarte obsoleto y para motivarte a entender qué hay detrás de cada sistema; pensamiento lateral, para buscar soluciones fuera de la lógica habitual donde otros no miran; y una persistencia a prueba de bombas, porque en este trabajo fallas muchas veces antes de dar con la clave. Y por último, sumaría la comunicación y la colaboración. La imagen del hacker aislado ya no es real; la ciberseguridad es, ante todo, un deporte de equipo. Nadie lo sabe todo, y hoy necesitamos apoyarnos en compañeros y ser capaces de explicar por qué un hallazgo técnico supone un riesgo a alguien no técnico. Esa mezcla de mentalidad técnica, colaboración y comunicación es lo que define al profesional moderno.
Durante tu trayectoria en competiciones de ciberseguridad, ¿cuál ha sido el reto más difícil al que te has enfrentado?
Es difícil elegir uno solo porque la dificultad tiene muchas caras. A nivel de infraestructura y coordinación, sin duda el Locked Shields. Sin entrar en detalles por la naturaleza militar del ejercicio, la envergadura del despliegue es sobrecogedora. Ahí el reto trasciende lo técnico: te exige unas soft skills de comunicación y gestión de crisis bajo presión que no te enseña ningún laboratorio. En cuanto a intensidad técnica pura, me quedaría con la etapa de competición internacional con mi equipo, Flaggermeister. Aunque ahora estamos en pausa, recuerdo estar a las 4 de la mañana con cuatro o cinco compañeros, todos peleando en paralelo contra un único reto web. No recuerdo el nombre exacto del CTF, pero sí la sorpresa al leer el writeup dos días después: la solución implicaba un zero-day en el proxy web. Ese nivel de exigencia es brutal y requiere sacrificar mucho tiempo personal, pero la satisfacción cuando sale es inigualable. Si hablamos de un reto técnico concreto que me sacara de mi zona de confort, diría la máquina Faraday de HackTheBox. Fue especialmente compleja porque combinaba explotación de binarios, web y forense en un solo escenario. Actualmente, estoy sumergido en un laboratorio de hacking a entornos industriales (OT) ofrecido por HackTheBox. No es que tenga una dificultad ‘insana’, pero me obliga a aprender algo nuevo con cada paso que doy. Al final, la dificultad es cuestión de perspectiva: lo que hoy nos parece una montaña imposible, mañana, con el conocimiento adecuado, se ve mucho más pequeño. Lo importante es no dejar de escalar.
En una sociedad hiperconectada como la actual, los ciberdelitos están a la orden del día. ¿Hay alguna posibilidad de evitarlos? ¿Cuál es la mejor forma de prevenirlos?
Hay que ser honestos: el riesgo cero no existe. La seguridad total es un mito. La pregunta no es si se puede evitar al 100%, sino cómo podemos gestionar ese riesgo para minimizarlo. La mejor forma de prevención pasa por entender que, hoy en día, el eslabón más atacado es el humano, no la máquina. Para un ciberdelincuente es mucho más barato y fácil engañar a una persona para que le dé su contraseña que romper un sistema de cifrado complejo. Prueba de ello son muchas de las filtraciones de datos y ataques masivos que vemos en las noticias: en muchos casos, cuando revisamos la killchain, el vector de entrada inicial es la ingeniería social o la reutilización de credenciales. Por eso, la defensa más efectiva es una combinación de ‘higiene digital’ y educación. A nivel técnico, medidas básicas como activar el doble factor de autenticación (2FA) y mantener los sistemas actualizados cierran la puerta a la mayoría de ataques oportunistas. Y a nivel humano, necesitamos desarrollar un escepticismo saludable: aprender a verificar antes de confiar y pausar antes de hacer click.
Mirando hacia el futuro, ¿qué objetivo profesional te gustaría alcanzar en el campo de la ciberseguridad? ¿Te gustaría dedicarte a la investigación, a la industria o a otro ámbito?
Tras casi cinco años en la industria, me di cuenta de que el trabajo a menudo se centra en resultados inmediatos y en repetir metodologías ya establecidas, muchas veces más por cumplimiento normativo que por una búsqueda profunda de seguridad. Sentía que me estancaba. Me vi en una encrucijada: para encontrar los retos técnicos que buscaba, mis opciones eran entrar en un Red Team o pasarme a la investigación. Lo que inclinó la balanza fue el entorno: coincidir con doctorandos con perfiles técnicos muy potentes me hizo ver que la academia es el lugar ideal para generar nuevo conocimiento y abordar problemas complejos sin las limitaciones del mercado. Como además la docencia es algo que siempre me ha motivado, sentí que este era mi sitio. Por eso, mi objetivo es claro: tras el Máster, voy a comenzar el Doctorado centrado en Ciberseguridad e IoT, donde puedo unir esa investigación profunda con la formación de los que vienen detrás.
Además de lo académico, ¿qué importancia ha tenido tu paso por la Universidad de Cádiz a nivel personal? ¿Qué recuerdos o aprendizajes te llevarás para siempre?
Más allá de lo académico, lo que realmente me llevo es la calidad humana de las personas que me han acompañado. Aquí tengo que mencionar tres profesores que han sido fundamentales: Antonio Molina, Juan Boubeta y Roberto Magán. Con Roberto tengo un recuerdo muy especial de haber creado ‘Colors’, el primer equipo de CTF de la escuela, juntos antes de que se marchara a la UGR; fue una etapa inicial muy bonita. Antonio fue uno de los ‘culpables’ de que me metiera de lleno en esto: recuerdo enseñarle un reto de RootMe, creo que era algo de BlueTooth, y que él fuera de los primeros en animarme a profundizar en serio en la ciberseguridad. Y Juan ha sido mi gran apoyo dentro del departamento, dándome la oportunidad clave de ser su Alumno Colaborador. Pero la relación con Antonio y Juan ha trascendido totalmente el aula. Sí, me dirigieron el TFG, escribimos artículos y Juan será mi director de tesis, pero para mí son un gran apoyo en este mundillo. Me han acompañado a congresos, celebran cada victoria como si fuera suya y apoyan cada uno de mis proyectos. Me llevo eso: haber pasado de ser un alumno en un pupitre a sentir que tengo su respaldo en cada paso que doy. Y por supuesto, este camino no lo he hecho solo; mis compañeros han sido una parte muy importante del camino, sin ellos este camino habría sido muy distinto. Seguramente me deje a alguien, pero hay gente que ha marcado cada etapa. Roldán, Lagares, Barquín, Raúl Arcos, Teresa y Álvaro han sido mis amigos desde el inicio, un apoyo más allá de los exámenes. En el camino específico de la ciberseguridad, Alejandro y Carlos han sido mis inseparables compañeros de viaje. Con ellos me he recorrido media España, son parte de mi equipo de CTF y comparto con ellos victorias y momentos. Y ahora, en la etapa del Máster, Carlos, Iván, Diego y Alberto comparten mi visión de muchas cosas y están siendo un apoyo brutal. Al final, la universidad es eso: la gente con la que creces e inicias tu carrera profesional.
¿Qué consejo darías a otros estudiantes de la UCA que estén interesados en iniciarse o avanzar en el mundo de la ciberseguridad y las competiciones técnicas?
Que pierdan el miedo a romper cosas. La ciberseguridad es un oficio práctico; no se aprende solo leyendo diapositivas. Les diría que monten sus propios laboratorios, que se equivoquen y, sobre todo, que busquen comunidad. Este camino es muy duro para hacerlo solo. Precisamente por eso, les animo a que se acerquen a UCAnHack, nuestra asociación estudiantil. Este año estamos impulsando la creación de un nuevo equipo de CTF para recoger el testigo de lo que empezó en su día con Colors. Queremos recuperar ese espíritu de competición y compañerismo, creando un espacio donde entrenar y aprender juntos. Unirse a iniciativas así acelera tu aprendizaje exponencialmente, porque te nutres de cómo resuelven los problemas los demás.
“Prescindir del factor humano sale muy caro, porque cuando hay que entender una lógica de negocio compleja o responder a un incidente crítico, la IA no te va a salvar. Los ingenieros, sí”
En el contexto actual, marcado por el auge de la inteligencia artificial, ¿cómo crees que está cambiando —o va a cambiar— el trabajo de los profesionales de la ciberseguridad y al trabajo del hacking ético?
Yo lo veo con optimismo, pero con cautela. La IA viene a optimizar tiempos, pero no va a hacer milagros. En el día a día del pentesting hay mucha tarea tediosa, como redactar informes o ejecutar pruebas automatizadas. Ahí la IA es un aliado perfecto para automatizar parte de esa ‘burocracia técnica’ y liberar tiempo para el análisis profundo; un ejemplo claro es usarla para traducir rápidamente una explicación técnica compleja a un lenguaje más accesible para el cliente. Técnicamente, hay que verla como una herramienta más en nuestro arsenal, igual que los escáneres de vulnerabilidades (VAS). Ayudan, pero no sustituyen el criterio de un ingeniero. De hecho, el hacking requiere un pensamiento lateral y una capacidad para salirse del guion que una IA no tiene. Es cierto que estamos viendo empresas que cometen el error estratégico de reducir equipos humanos confiando ciegamente en esta automatización. Pero la realidad suele poner las cosas en su sitio: prescindir del factor humano sale muy caro, porque cuando hay que entender una lógica de negocio compleja o responder a un incidente crítico, la IA no te va a salvar. Los ingenieros, sí.
En los últimos años se habla mucho del aumento de los ciberataques a instituciones públicas y empresas estratégicas. Desde tu punto de vista, ¿estamos preparados a nivel técnico y formativo para afrontar ese escenario?
Hay que entender primero el contexto geopolítico: España no es neutral. Somos un aliado clave de la OTAN y la UE en conflictos recientes, y eso tiene consecuencias. Al posicionarnos, pasamos a ser objetivo directo de potencias con capacidades ofensivas muy avanzadas en el ciberespacio, como Rusia o grupos patrocinados por estados. Dicho esto, quiero destacar la gran labor que se está haciendo desde el sector público. La adecuación a las guías del CCN-CERT está subiendo el nivel de madurez de las administraciones, y la coordinación del INCIBE y la red de CSIRTs es fundamental. Lo he vivido en primera persona: he reportado vulnerabilidades a organismos oficiales —incluida la propia Universidad— y la respuesta y gestión han sido muy profesionales. El problema no es de falta de talento. Me consta que hay gente brillantísima en primera línea: de hecho, algunos de los profesionales más preparados que conozco trabajan actualmente en INCIBE o en operadores críticos como Iberdrola. El verdadero desafío es la asimetría estructural de nuestro trabajo. Es una carrera injusta: los defensores tienen que acertar el 100% de las veces, cada minuto de cada día. El atacante, sin embargo, solo necesita tener éxito una sola vez para provocar un desastre.
¿Qué tipo de amenazas te parecen actualmente más preocupantes: el ransomware, la ingeniería social, las brechas de datos masivas o los ataques a infraestructuras críticas? ¿Por qué?
Para mí, sin duda, los ataques a infraestructuras críticas. El resto de amenazas tienen un impacto económico, pero aquí hablamos de consecuencias en el mundo físico. Un escenario realista que me preocupa es un ciberataque a la red eléctrica. Stuxnet ya demostró que un código puede causar destrucción física, y el malware TRITON atacaba específicamente los sistemas de seguridad humana en plantas industriales para provocar desastres. Tampoco podemos olvidar los ciberataques a redes ferroviarias, donde lograron detener trenes en mitad de la vía y paralizar la logística de regiones enteras, cabe plantearse qué habría pasado si en vez de frenarlos hubieran impedido que parasen… Si sumamos a esto la inestabilidad que mostró la red eléctrica europea el pasado mayo, el riesgo es evidente. Si se comprometen los sistemas de control (OT), en cuestión de horas no solo se pierde la luz; fallan los semáforos, el agua y los hospitales. La seguridad de estos sistemas es el foco de mi tesis, porque un fallo ahí puede costar vidas.
Como joven especializado en ciberseguridad, ¿qué papel crees que deben jugar las universidades públicas, como la UCA, en la formación de profesionales frente a un mercado tan cambiante?
Para mí, la universidad pública es el pilar fundamental y soy un defensor, aunque con algunos matices, de su modelo. Su papel no puede ser convertirse en una ‘fábrica de empleados’ que enseña la herramienta de moda que pide el mercado hoy y que quedará obsoleta mañana. Para esa formación exprés y puramente instrumental ya están los bootcamps. Creo que el equilibrio para las universidades está en apostar por formatos como las microcredenciales: son la herramienta perfecta para ofrecer esa actualización tecnológica rápida que pide la empresa, sin sacrificar la profundidad de los estudios oficiales. La misión de la universidad pública debe ser democratizar el acceso al conocimiento complejo. Debe enseñar los fundamentos de la ingeniería, la ciencia que hay detrás de la tecnología y, sobre todo, debe enseñar a pensar. El mercado cambia rápido, sí, pero los principios de los sistemas operativos, las redes o la algoritmia no cambian cada año. Si la universidad te da esa base sólida y te enseña a investigar, te da la libertad de adaptarte a lo que venga. El papel de la UCA es formar ingenieros con criterio propio y capacidad de adaptación, no simples operarios de herramientas. Esa excelencia y ese rigor, accesibles para todos independientemente de su capacidad económica, es lo que tenemos que proteger.
“Existen muchas más opciones para combatir las prácticas ilegales que se persiguen sin necesidad de vulnerar los derechos fundamentales de todos los ciudadanos ni de exponerlos a filtraciones masivas”
En un contexto de creciente regulación digital y preocupación por la privacidad, ¿cómo se puede equilibrar la seguridad informática con la protección de los derechos de los usuarios?
Sinceramente, creo que se nos plantea un falso dilema. Iniciativas como el ‘Chat Control’ simplemente usan la seguridad como pretexto para una vigilancia invasiva del ciudadano. Bajo la excusa de proteger, se proponen medidas técnicas que implican romper el cifrado de extremo a extremo. Como técnico tengo que ser tajante: no existen las puertas traseras seguras. En el momento en que obligas a introducir una vulnerabilidad en un sistema criptográfico para que ‘mire’ la policía, estás creando un agujero por el que también pueden entrar ciberdelincuentes o potencias extranjeras. No se puede legislar contra las matemáticas. Debilitar el cifrado no detiene a los verdaderos criminales, que usarán sus propias herramientas fuera de la ley; lo único que consigue es dejar expuesta la privacidad de la ciudadanía. Existen muchas más opciones para combatir las prácticas ilegales que se persiguen sin necesidad de vulnerar los derechos fundamentales de todos los ciudadanos ni de exponerlos a filtraciones masivas.
España y Europa hablan cada vez más de soberanía digital. Desde tu experiencia, ¿crees que este objetivo es realista a corto o medio plazo?
Siendo realistas, a corto plazo es una utopía. Es muy irónico que se nos llene la boca hablando de ‘Soberanía Digital Europea’ cuando la inmensa mayoría de los ordenadores de la administración pública y las infraestructuras críticas dependen de Microsoft Windows. Al final, estamos construyendo nuestra ‘soberanía’ sobre un sistema operativo extranjero y privativo. Mientras la base de nuestro funcionamiento sea una ‘caja negra’ que no controlamos, esa independencia es ficticia. Aquí es donde, como defensor del Software Libre, creo que está la clave. No puedes tener soberanía real sobre un software que no puedes auditar ni modificar. Si una institución pública usa código privativo, no tiene el control; lo tiene el fabricante. Y quiero matizar algo importante: no estoy diciendo que el código sea seguro simplemente por ser público; el software libre también tiene vulnerabilidades. Pero la diferencia fundamental es la capacidad de auditoría. Con el software libre tenemos el poder de revisar hasta la última línea para asegurar que no hace nada ‘extraño’ y la libertad de extenderlo o corregirlo según nuestras necesidades sin depender de un tercero. Esa capacidad de control total es lo que realmente define la soberanía digital.