Cómo contratar ingenieros de seguridad: usa el rendimiento en CTF
Cómo contratar ingenieros de seguridad sin apoyarte en certificaciones: monta un reto práctico tipo CTF como una etapa de contratación estructurada y puntuada con rúbrica.
Ernest Bursa
Para contratar ingenieros de seguridad sin depender de certificaciones, monta un reto práctico calibrado, una prueba de trabajo tipo CTF, como una etapa estructurada y puntuada con rúbrica dentro de tu pipeline. Registra la puntuación de cada candidato como una señal comparable y luego valídala contra el rendimiento en el mundo real, por ejemplo tu programa de divulgación. Así mides la habilidad de forma directa, en lugar de confiar en un papel como sustituto de esa habilidad.
Ese es todo el argumento. Una certificación te dice que alguien aprobó un examen un día concreto. Un reto práctico te dice si esa persona es capaz de encontrar una vulnerabilidad, explotarla y redactar el hallazgo bajo presión de tiempo, que es justamente el trabajo. Esta guía recorre el proceso completo: por qué las certificaciones son una señal débil, cómo diseñar un reto que encaje con tu puesto, cómo encajarlo en un pipeline estructurado, cómo puntuarlo como una prueba de trabajo y cómo cerrar el círculo con los investigadores de seguridad que ya demostraron su habilidad en tus sistemas reales.
El problema de contratar en seguridad: muchas certificaciones, poca señal
El problema de fondo al contratar en seguridad no es la falta de gente, es la falta de habilidad demostrable, y las certificaciones ya no separan ambas cosas. Abres una vacante de ingeniero de seguridad y recibes una avalancha de currículums llenos de siglas que no puedes comparar de forma significativa.
Los datos respaldan ese cambio de enfoque. El ISC2 2024 Cybersecurity Workforce Study estimó una brecha global de 4,8 millones de profesionales necesarios, un aumento interanual del 19%, dejando aproximadamente un 47% de la demanda sin cubrir. (Nota: esa cifra de 4,8 M es la estimación de 2024, que en la cobertura secundaria suele etiquetarse erróneamente como 2025.) El estudio de 2025 dejó deliberadamente de publicar una única cifra de brecha y cambió el lenguaje por completo: el 59% de los encuestados reportó necesidades de habilidades críticas o significativas, frente al 44% en 2024, y el 95% reportó al menos una necesidad de habilidades.
Lee los dos estudios juntos y el mensaje queda claro. La conversación pasó de “no encontramos suficiente gente” a “no encontramos suficiente gente que sepa hacer el trabajo de forma demostrable”. Esa es exactamente la brecha que una señal basada en habilidades viene a cerrar. Si el 95% de los equipos reporta una necesidad de habilidades, el problema del cribado es un problema de medición, y un currículum lleno de certificaciones es un instrumento de medición pésimo.
Por qué las certificaciones son un sustituto débil (y dónde siguen ayudando)
Una certificación es una constatación puntual de conocimiento, a menudo en formato de opción múltiple. Un reto práctico es una demostración en vivo de habilidad aplicada con retroalimentación inmediata de aprobado o suspenso. Son cosas distintas, y confundirlas es como los equipos acaban con gente que rinde de maravilla en exámenes pero se bloquea ante un objetivo real.
El contraste se ve más claro en el manido debate OSCP frente a CISSP. Según la comparativa de DestCert, el CISSP es un examen adaptativo basado en conocimiento, que cubre ocho dominios y dura unas tres horas, muy adecuado para roles de liderazgo y arquitectura. El OSCP es una prueba práctica de 24 horas sin opción múltiple, en la que tienes que comprometer máquinas de verdad y documentar lo que hiciste. Los profesionales tratan de forma sistemática los exámenes prácticos (OSCP, prácticas de GIAC, CPTS, PNPT) como evidencia más sólida de capacidad para hacer el trabajo que las certificaciones de mera memorización.
Así que esto no es “las certificaciones no valen nada”. Tienen su lugar:
- Las certificaciones de conocimiento y arquitectura (CISSP, CISM) señalan amplitud y compromiso, útiles para roles de liderazgo y gobernanza.
- Los roles impulsados por cumplimiento a veces exigen certificaciones específicas para satisfacer un marco normativo o a un cliente.
- Las certificaciones prácticas (OSCP, CPTS) son señales genuinamente mejores, porque son en sí mismas retos prácticos.
El argumento es más concreto y más útil: deja de usar una certificación como sustituto de medir la habilidad que de verdad necesitas. Una certificación puede servir de desempate o de requisito mínimo. No debería ser lo que decide quién avanza.
¿Se usan los CTF de verdad como señal de contratación, o es pura aspiración?
Ambas cosas, y la historia en reclutamiento es larga. Capture the Flag nació como formato de competición en la DEF CON 4 de 1996, y ha sido un escenario de reclutamiento casi desde entonces. La NSA ha reclutado abiertamente en el CTF de la DEF CON desde al menos 2012, según informó la CNN.
Las herramientas comerciales se pusieron al día. Hack The Box vende Talent Search, que permite a las empresas filtrar candidatos por ranking y enviar máquinas virtuales vulnerables con su propia marca para evaluar habilidades directamente. CyberTalents presenta los CTF explícitamente como un mecanismo de reclutamiento, argumentando que, mientras los currículums y las entrevistas son “subjetivos, sujetos a interpretaciones y sesgos individuales”, los CTF “tienen criterios claros de éxito”.
También hay evidencia del lado de los responsables. El 2023 Cyber Attack Readiness Report de Hack The Box (982 equipos corporativos, 5.117 profesionales, más una encuesta a 803 personas) encontró que más del 70% de los responsables de ciberseguridad considera las competiciones tipo CTF muy eficaces para elevar el compromiso y medir el desarrollo de habilidades. (Una paráfrasis común afirma que los CTF son “la forma más eficaz de retener empleados y reducir el agotamiento”, lo cual tergiversa la fuente. La afirmación verificada trata sobre compromiso y medición de habilidades.)
La élite del campo demuestra el principio: equipos universitarios como el Plaid Parliament of Pwning de Carnegie Mellon y Shellphish de la UCSB son canteras directas hacia las mejores carreras en seguridad. El rendimiento en CTF es una señal de contratación reconocida. La pregunta es cómo operativizarla sin recurrir a una captura de pantalla de la tabla de clasificación.
Diseñar el reto: calíbralo al puesto, no a la tabla de clasificación
El mayor error de todos es tratar una puntuación genérica de CTF como señal de contratación. Resolver a toda velocidad un puzle críptico esotérico no predice si alguien sabe revisar una app de Rails en busca de fallos de inyección o gestionar un incidente. Calibra el reto al trabajo real.
Ajusta el reto al puesto
Construye la prueba de trabajo alrededor de lo que hará la persona contratada en su día a día:
- Ingeniero de AppSec: una app web deliberadamente vulnerable con un puñado de fallos realistas (bypass de autenticación, IDOR, inyección) para encontrar, explotar y documentar.
- Pentester: una máquina tipo OSCP o una pequeña red que haya que comprometer de principio a fin con una cadena documentada.
- Ingeniero de detección o de respuesta a incidentes: un conjunto de logs o un host comprometido donde la tarea sea reconstruir la cronología del ataque.
- Roles con mucha carga de código seguro: un pull request real con vulnerabilidades plantadas para revisar.
Vincula los objetivos a un estándar reconocido. La guía de NICCS de CISA sobre evaluación de talento en ciberseguridad recomienda una evaluación práctica vinculada al NICE Framework para roles de alta carga técnica como respuesta a incidentes, código seguro y pentesting. Mapear cada objetivo del reto a un rol de trabajo del NICE mantiene la evaluación defendible y bien enfocada.
Cuida la equidad y el impacto adverso
Una competición cronometrada premia a quien tiene tiempo libre para machacar plataformas de práctica. Trata eso como un riesgo real, no como una virtud. Mantén el límite de tiempo razonable (unas pocas horas de concentración, no 24 sin dormir), ofrece horarios flexibles y dale al informe y al razonamiento tanto peso como a la captura en bruto. Cómo explica un candidato su pensamiento suele ser mejor señal del trabajo que lo rápido que reventó la máquina, y se traslada mejor entre distintos niveles de experiencia. Y lo más importante: haz que el reto sea una etapa estructurada con una rúbrica clara, nunca la única puerta.
Cómo encajarlo en un pipeline estructurado
Un CTF solo se convierte en una señal de contratación fiable cuando vive dentro de un proceso estructurado con revisores definidos y una rúbrica fija, igual que ejecutarías un ejercicio de código. Por sí solo, no es más que un concurso. Dentro de un pipeline, es una etapa objetiva y comparable.
Mapea el reto práctico sobre un pipeline estructurado estándar:
- Formulario de candidatura para capturar lo básico y confirmar el encaje con el puesto.
- Reto práctico (la prueba de trabajo tipo CTF) como una etapa al estilo de un ejercicio de código, con revisores asignados, un alcance definido y un pago al candidato por el tiempo invertido.
- Revisión del equipo, donde los revisores puntúan el informe del reto frente a la rúbrica de forma independiente antes de debatir.
- Entrevista en vivo para indagar en el razonamiento detrás de la entrega y cubrir colaboración, comunicación y criterio.
- Oferta.
El reto práctico encaja limpiamente en una etapa de ejercicio de código: no hace falta ningún concepto nuevo, solo una prueba de trabajo con sabor a seguridad. Así es exactamente como lo modela Kit: una plantilla de proceso para ingeniero de seguridad donde el CTF es una etapa de ejercicio de código con revisores, alcance configurable y un pago por el tiempo del candidato. La estructura es el quid. La misma etapa, la misma rúbrica y los mismos revisores para cada candidato es lo que convierte un puzle ingenioso en una decisión de contratación auditable.
Puntúalo como una prueba de trabajo, no como una tabla de clasificación
Una tabla de clasificación te dice quién terminó primero. Una prueba de trabajo te dice quién es bueno en el trabajo. Puntúa el reto con una rúbrica, no con un cronómetro, y haz que varios revisores califiquen de forma independiente antes de comparar notas.
Una rúbrica viable para una prueba de trabajo de seguridad puntúa a cada candidato en:
- Corrección: ¿encontró y explotó de verdad los problemas previstos?
- Metodología: ¿el enfoque es sistemático y reproducible, o fue suerte?
- Calidad del informe: ¿sabe explicar la vulnerabilidad, el impacto y la solución con la claridad suficiente para que un ingeniero pueda actuar?
- Criterio de severidad: ¿valoró los hallazgos con precisión, o infló o pasó por alto un riesgo real?
- Disciplina de alcance: ¿se mantuvo dentro de las reglas de enfrentamiento?
Como el reto es una sola etapa calibrada con revisores definidos y una rúbrica fija, cada candidato produce una puntuación comparable y auditable. Esa es la propiedad de “objetivo y comparable” que prometen los defensores de los CTF, pero operativizada dentro de tu sistema de contratación en lugar de en una captura de pantalla. Kit registra estas como señales estructuradas de etapa: puntuaciones independientes de los revisores adjuntas al registro del candidato, de modo que la decisión de avanzar o rechazar descansa sobre la rúbrica y no sobre quien habló más alto en el debrief.
No pierdas a los que se quedaron cerca: cultiva una bolsa de talento en seguridad
El talento en seguridad es escaso y caro, así que un candidato fuerte que no encaja del todo en esta ronda es un activo, no un callejón sin salida. Los candidatos que puntúan bien en tu reto práctico pero pierden frente a alguien ligeramente mejor son justamente quienes quieres tener primeros en la cola para la próxima vacante.
La mayoría de los pipelines deja que esas personas se evaporen. Bordaron un reto difícil y específico del puesto, generaron una puntuación real en la que confías, y luego recibieron un correo de rechazo y desaparecieron. Dada la realidad de la fuerza laboral (el 95% de los equipos reporta una necesidad de habilidades, según ISC2 2025), eso es un desperdicio que se acumula.
Aquí es donde una bolsa de talento se gana su sitio. La herramienta de bolsa de talento de Kit mantiene en caliente a quienes rinden bien en lo práctico y dejan buena señal: puedes listar, buscar y reinvitar a candidatos que ya demostraron su habilidad en un reto calibrado. La próxima vez que se abra una vacante de seguridad, arrancas desde una lista corta de gente cuya capacidad ya has medido, en lugar de desde cero.
Cerrar el círculo: reclutar investigadores del CSIRT que brillan con bugs reales
La versión más potente posible de una puntuación de CTF es un hallazgo real en tus sistemas reales. Si gestionas un programa de divulgación de vulnerabilidades o de recompensas por bugs, ya tienes un flujo en vivo de exactamente la señal que ansían los equipos de contratación: qué investigadores encuentran y evalúan correctamente vulnerabilidades genuinas de forma fiable.
Hay intención de carrera documentada detrás de este embudo. El informe “Inside the Mind of a Hacker” de Bugcrowd (edición de 2019, con encuesta a más de 750 investigadores) encontró que el 32% aspiraba a ser cazador de bugs a tiempo completo, más del 20% quería llegar a ser ingeniero de seguridad de primer nivel o CISO en grandes empresas tecnológicas, y el 50% cazaba bugs además de un empleo convencional de nueve a cinco. (Trátalo como datos históricos de intención, no como una estadística de 2026.) Una parte significativa de los hackers prácticos con talento quiere explícitamente roles de ingeniería a tiempo completo. El embudo es real.
La versión nativa de Kit cierra el círculo. Un equipo que gestiona un programa de divulgación a través del módulo CSIRT de Kit detecta a un investigador que presenta de forma consistente hallazgos de alta calidad y con la severidad bien asignada. En lugar de tratarlo como algo puntual, invita al investigador al pipeline de ingeniero de seguridad, cuya etapa de reto práctico esa persona muy probablemente bordará, porque ya lo demostró en producción. El rendimiento observado en el mundo real se convierte en el lead más cálido posible, y el reto estructurado simplemente confirma lo que los hallazgos ya mostraban.
Errores que conviene evitar
Un reto práctico es una señal fuerte, no una señal mágica. Vigila estos modos de fallo:
- La habilidad en CTF no equivale uno a uno a la habilidad en el trabajo. Resolver puzles de nicho (cripto esotérica, reversing profundo) no se traduce en ingeniería defensiva ni en respuesta a incidentes. Calibra al puesto y al NICE Framework.
- Equidad e impacto adverso. Una competición cronometrada puede perjudicar a quien tiene menos tiempo de práctica. Úsala como una etapa estructurada con rúbrica, nunca como la única puerta.
- La trampa de la puerta única. Un reto práctico predice la capacidad técnica, no la colaboración, la comunicación ni el criterio bajo presión organizativa. Combínalo con una entrevista estructurada.
- Higiene estadística. La brecha de 4,8 M en la fuerza laboral es la cifra de ISC2 de 2024, no de 2025. La estadística de los responsables de HTB trata sobre compromiso y medición de habilidades, no sobre retención ni agotamiento. Cita con cuidado; tus candidatos lo van a comprobar.
Júntalo todo: mide la habilidad, no confíes en el sustituto
Contratar bien ingenieros de seguridad se reduce a una disciplina: medir la habilidad de forma directa en lugar de confiar en que un credencial la represente. Ejecuta un reto calibrado tipo CTF como una etapa estructurada al estilo de un ejercicio de código. Puntúalo con una rúbrica y varios revisores independientes, para que el resultado sea comparable y auditable. Mantén en caliente, en una bolsa de talento, a los fuertes que se quedaron cerca. Y recluta a los investigadores que ya brillan en tus sistemas reales, dejando luego que el reto confirme lo que sus hallazgos sugerían.
Eso es un proceso repetible, no un eslogan, y aborda directamente el problema de necesidad de habilidades que los datos de la fuerza laboral no dejan de sacar a la superficie. Kit te da el círculo completo en un solo sistema: una plantilla de proceso para ingeniero de seguridad con una etapa de reto práctico, puntuación por revisores basada en rúbrica, una bolsa de talento para los que se quedaron cerca y un módulo CSIRT que convierte el rendimiento real de los investigadores en tu pipeline más cálido. Empieza una prueba gratuita y crea la plantilla una vez, para luego contratar siempre según la habilidad demostrada.
Artículos relacionados
Disputas por el pago de recompensas: SLA y equidad en tu VDP
AMD tardó 124 días en parchear un fallo crítico y luego negó al investigador su recompensa de 10.000 dólares por estar fuera de alcance. Así se gestiona un VDP con SLA publicados y una matriz de pagos transparente y registrada en el libro mayor.
El feedback a los candidatos no es un detalle bonito. Es una palanca de ingresos.
Casi ningún candidato llega a saber por qué lo rechazaron, y eso te cuesta clientes, recomendaciones y futuras contrataciones. Cómo dar feedback que construye tu marca.
La entrevista de pizarra ha muerto: contratar de forma justa y a prueba de IA
En 2026 la IA dejó inservibles las pizarras y los ejercicios para casa. Aquí tienes el marco de decisión para evaluar con muestras de trabajo justas y a prueba de IA, basado en cómo contratan Anthropic, Stripe y Linear.
¿Listo para contratar de forma más inteligente?
Empiece gratis. Sin tarjeta de crédito. Configure su primer pipeline de contratación en minutos.
Empiece gratis