El pasado 7 de marzo Gabriela García y David Meléndez dieron ante 1500 personas en la RootedCon, la mayor conferencia de ciberseguridad del mundo hispano, una charla titulada “Dark territory: paralizando la red ferroviaria de un país entero”. Todo fue según lo previsto. La charla era sobre una delicada vulnerabilidad de seguridad ferroviaria, en la señalización. García es desarrolladora de software, hacker y profesora, y Meléndez es ingeniero I+D en el equipo de hacking de Innotec Security con más de una década de experiencia en la comunidad.
La charla, aún no disponible online, tuvo cierta repercusión en blogs y medios. Pero unos días después García expuso una queja que lanzó como mensaje en X (antes Twitter): “Me parece curioso que muchísimas personas que vieron nuestra charla en @rootedcon se les olvida mencionar mi mera existencia en ella teniendo en cuenta que en la investigación, el desarrollo y la explicación estuvimos @TaiksonTexas [apodo de Meléndez en X] y yo currando el 50%”.
Aquel mensaje causó revuelo. Recibió docenas de respuestas y muestras de apoyo, y llevó al mundo de la ciberseguridad hispana a hacerse un montón de preguntas sobre sesgos, meritocracia y género. Lo que parecía un aparente despiste puntual revelaba una situación mucho más compleja.
“Fue una falta de respeto profesional absoluta”, dice García a EL PAÍS. “Lo he visto repetirse varias veces, me ha llevado a quejarme para llamar la atención ante la falta de atribución de algo que es mío, y que puede cerrarme puertas a nivel profesional, porque es una charla muy llamativa también a nivel técnico”, añade. EL PAÍS ha consultado a una docena de personas del sector. Nadie niega que hay pocas mujeres en ciberseguridad y que su camino tiene dificultades propias.
Hay, sin embargo, más debate en los motivos y en la dificultad general de salir adelante en un sector tan competitivo. García explica: “La tecnología, y especialmente la ciberseguridad, es muy competitiva, llena de egos, y a veces tu trabajo no basta, sino que tienes que ser conocido de alguna manera por tus compañeros. Es un entorno hostil en general, y para las mujeres no es distinto. La tecnología no es un campo que invite a entrar, y la ciberseguridad, menos”, dice.
En la conferencia, los desaires con García son evidentes a varios niveles. Así, por ejemplo, explica Meléndez cómo fue el final de su presentación: “A mí me venían a saludar y a Gabriela apenas le decían nada y se despedían con ‘hasta luego chicos’. Yo llevo 13 años dando conferencias y en el sector estoy hasta en la sopa. Me pueden dar a mí la mano antes que a Gabriela porque igual me han visto más”, dice Meléndez.
A pesar de esa sensación, Meléndez dice que no es solo un tema de género, y que él también ha sufrido ese “ninguneo” por otros motivos “desde que empezó”: “Creo firmemente que, más que con un tema de género, tiene que ver con a quién le caes mal. Ves cómo te llaman de un sitio, pero de otro no, aunque ocupemos 1500 plazas en la RootedCon. En el sector, todo el mundo me conoce como el tipo de los drones, pero luego es muy curioso ver cómo cuando toca hablar de ellos sale literalmente cualquier otra persona a la palestra, y eso solo puede ser fruto de egos dañados por algo que haces o dejas de hacer”, explica a este periódico.
La organización de la RootedCon funciona, excepto en casos puntuales, con una rigurosa apuesta por los trabajos más interesantes con votaciones anónimas, explica Román Ramírez, coorganizador de la conferencia: “Tenemos una postura muy rígida con no meter a mujeres a presión en el evento. No queremos que ninguna mujer piense que se la ha metido de relleno porque la ciberseguridad es un sector muy méritocrático en la parte más técnica”, dice Ramírez. La demostración con el código es una condición inexcusable y extendida. “Es una línea roja. Las charlas que damos en RootedCon son de demostración técnica: o demuestras o no vienes”, dice Ramírez.
Por ese motivo es aún más flagrante la desaparición de García. A esta difícil combinación de egos heridos, años en la comunidad y la apuesta tajante por la meritocracia se añade una característica que complica el acceso a las mujeres: la informática, y más la ciberseguridad, ha sido siempre un sector extremadamente masculino. “En el sector en general hay entre el 1%1 y el 18% de mujeres”, dice Ramírez. “En la Rooted ha habido años donde han sido un 5%, pero este año llegamos al 24%”.
Después de la explosión del debate en X, el hacker ético y arquitecto tecnológico Fran de la Iglesia montó una charla de más de una hora con García y Meléndez en su canal de Twitch titulada Les olvidades de les TIC [nuevas tecnologías]. “Aunque quisiéramos aplicar cuotas en tecnología, el porcentaje de mujeres es tan pequeño que ni siquiera sería técnicamente posible”, dice De la Iglesia. “También quizás hay algo ahí con que sea un mundo muy de analítica matemática; al fin al cabo la informática son ecuaciones y lenguajes de programación. No sé si a lo mejor tiene que ver con eso o que durante mucho tiempo ha sido un sitio mayoritariamente masculino y que lo que hace falta es tiempo para que se llegue a una ‘paridad’ entre comillas”, añade.
Una brecha histórica
“La brecha de género en ciberseguridad persiste debido a la histórica dominación masculina en el campo”, dice Elena Casado, jefa de operaciones de ciberinteligencia en Deloitte. “Las mujeres enfrentamos barreras adicionales, como el mansplaining y, en muchos casos, la necesidad de esforzarnos el doble para ser reconocidas como profesionales”, cuenta.
Marta Barrio, ingeniera en Oracle Netsuite, es cofundadora de Securiters, un proyecto de divulgación creado en 2021 y que tiene como una de sus iniciativas crear un espacio donde más mujeres de la comunidad se conozcan. Como otras ingenieras con años de experiencia, Barrio explica que no se ha sentido invisibilizada por sus compañeros. Pero sí que hay algo que a las mujeres les cuesta más y que define como “tres barreras”. “Al principio veías a una mujer dar una charla y automáticamente pensabas: ‘ojo, va a contar algo interesante, porque para haber llegado a ser seleccionada seguro que es buena’”, dice Barrio. Cuando hubo más mujeres empezó a verse de otro modo, dice: “‘La habrán cogido por ser mujer y así mejorar los porcentajes’, he oído muchas veces”, añade. Esa reacción al crecimiento de mujeres creó esta triple barrera: “La primera es mental, de creer tú misma que lo que vas a contar tiene valor. La segunda, de exposición y hablar en público, pero aún nos quedaba una tercera impuesta, un ‘tengo que demostrar más aún para que no piensen que estoy aquí por ser mujer’, lo que implica una presión extra y que muchas personas no estén dispuestas a exponerse por ese miedo”, dice.
‘No parecías ponente’
Esa barrera de tener que hacerlo perfecto para que nadie crea que la presencia de una mujer es por cuota ha perjudicado obviamente su crecimiento. Más aún si, como en el caso de Gabriela García en la RootedCon, cuando lo hace todo como le exige la comunidad, luego se “olvidan” de ella. “Por lo que me dijeron, yo ‘no parecía’ ponente”, escribió en uno de sus mensajes en X. Es el colmo de la invisibilización: cumplir con todos los requisitos y seguir siendo infravalorada.
Esta situación tiene unas consecuencias difíciles de medir porque dependen del carácter y confianza de cada persona. La ciberseguridad no es tan distinta del resto de la sociedad, pero la falta de presencia femenina crea un círculo difícil de romper: “Conozco chicas que son técnicas muy reputadas y ahí siguen, pero es verdad que son pocas y coincide que tienen un carácter fuerte con una personalidad bastante imponente”, dice Iris Martín, especialista en ciberseguridad.
“Pero en general las chicas que trabajamos en áreas de muchos hombres, no presentamos o divulgamos hasta lo que hacemos es tres veces mejor que nuestros compañeros. O en las ofertas de trabajo la mayoría de los chicos si ven una oferta de trabajo y piden diez cosas, ellos con tener dos o tres aplican, pero la mayoría de nosotras, si no cumplimos nueve de diez, no aplicamos. Por esta presión, muchas de las chicas que empezaron como técnicas se fueran a áreas de gestión por estar más cómodas o porque se paga más”, añade Martín.
Esta distinción es evidente incluso para un artículo de periódico como este. EL PAÍS ha tenido que contactar con el doble de mujeres hasta tener un grupo suficiente que quisiera dar su opinión sobre esta situación. Todos los hombres contactados contestaron rápido y sin precauciones. “Es por la propia cultura que tenemos metida”, dice Rafa López, profesor y especialista en ciberseguridad. Se da por hecho que como había muy pocas chicas en la carrera, su bagaje será “poco técnico y más filosófico”: “Hay un prejuicio de que esa persona no me va a dar una charla técnica por ser mujer y porque se asocia ser mujer a que no vengas de una carrera técnica”, aclara López.
La presión por estar al nivel se extiende por todo el sector tecnológico, más allá del ámbito estricto de la ciberseguridad. Azahara Fernández Guizán viene de biología sanitaria, donde tiene un doctorado, y luego se reconvirtió a desarrolladora de software. Incluso compañeros de trabajo en su caso presuponen que sus funciones no son técnicas: “Ya sabes que yo soy técnica, que no tengo ningún rol de gestión. Quién crees que me hace el trabajo en el día a día”, les responde Fernández Guizán, que ha ganado tres veces un premio de programación de Microsoft. Ahora publicará un libro: “Tengo unos nervios”, dice. “Se lo decía a mi editor, a ver qué va a pasar y qué van a decir. Igual me dicen que la parte técnica del libro está mal, o cómo lo van a abordar. Es un doble rasero muy grande siempre”, añade.
Fuente La Nacion