La curiosidad puede ser el mejor punto de partida para una carrera tecnológica. En el caso de Marta Barrio Marcos, esa curiosidad la llevó a especializarse en ciberseguridad ofensiva y a convertirse en Application Security Engineer en Oracle NetSuite. Con más de doce años de experiencia y múltiples certificaciones técnicas, Marta compagina su trabajo profesional con Securiters, un proyecto de divulgación desde el que comparte conocimiento y despierta vocaciones. En esta entrevista hablamos de aprender, de resolver retos, de crecer en un sector clave para el futuro digital y de por qué la ciberseguridad es también un espacio donde las niñas y jóvenes pueden imaginarse, crear y liderar.

Te defines como curiosa por naturaleza. Mirando atrás, ¿en qué momento esa curiosidad se convirtió en una profesión y te llevó a adentrarte en la ciberseguridad ofensiva, un terreno nada cómodo?

La curiosidad siempre ha estado presente en mi vida y, en realidad, el paso a convertirla en profesión fue bastante natural. Cuando terminé la carrera de Ingeniería Informática no tenía claro a qué quería dedicarme. Probé con programación, que era lo más habitual, pero pronto me di cuenta de que no era mi camino: me generaba mucho estrés y sentía que no avanzaba al ritmo de mis compañeros, aunque pudiera defenderme técnicamente.

En ese momento empecé a fijarme en lo que estaban haciendo otros compañeros de universidad en sus primeros trabajos. Uno de ellos me habló de una empresa que buscaba gente recién licenciada para trabajar en ciberseguridad, sin necesidad de experiencia previa. Apenas sabía que ese campo existía más allá de lo poco que había visto en la universidad, pero el hecho de que ofrecieran formación me dio tranquilidad para enfrentarme a algo nuevo.

Fue allí donde empecé a tener contacto con equipos de seguridad ofensiva. No trabajaba directamente en esa parte, pero convivía con personas que se dedicaban al hacking y me llamaba mucho la atención lo que hacían. Veía que no eran personajes de película, sino gente normal, cercana, y eso hizo que empezara a formarme por mi cuenta en mi tiempo libre, poco a poco, hasta orientar mi carrera hacia ese ámbito.

Llevas más de 12 años en un ámbito muy técnico y en constante evolución. ¿Qué aprendizajes —técnicos y personales— destacarías de este recorrido?

A nivel técnico, el principal aprendizaje es que, aunque algo parezca muy complicado al principio, si le dedicas tiempo y tienes ganas, acaba saliendo. La ciberseguridad puede parecer lejana o inaccesible, pero es un campo donde la gente suele compartir conocimiento y ayudarte a entender. Cuando superas un reto, enseguida aparece otro, y así constantemente.

También he aprendido que es una carrera en la que nunca se deja de aprender. No es un trabajo de hacer tus horas y desconectar por completo, porque tu cabeza sigue procesando información, noticias, vulnerabilidades nuevas. Siempre hay algo que estudiar, algo que mejorar, y cuanto más sabes, más consciente eres de todo lo que todavía te queda por aprender.

A nivel personal, me quedo con la idea de que no estás sola. Siempre hay personas que han pasado por lo mismo que tú y que pueden ayudarte. Da igual el nivel que tengas: siempre se puede aprender de los demás, incluso de personas que acaban de empezar y aportan otra forma de ver los problemas. Mantener la mente abierta es clave para seguir creciendo.

¿Qué es realmente lo que haces en tu día a día y qué te gustaría que jóvenes y niñas entendieran bien sobre este trabajo?

Cuando trabajaba en equipos de seguridad ofensiva, el día a día se organizaba por proyectos cortos. Cada proyecto tenía un tiempo limitado y un objetivo concreto, como auditar una web, una aplicación móvil o una red Wi-Fi. El trabajo consistía en investigar, buscar fallos de seguridad, intentar explotarlos y, finalmente, documentarlo todo en un informe claro y comprensible.

Una parte fundamental del trabajo es saber comunicar. No basta con encontrar una vulnerabilidad muy técnica si no eres capaz de explicar su impacto real. Traducir el lenguaje técnico a algo que entiendan las personas responsables del negocio es clave para que ese trabajo sirva de verdad y se puedan tomar decisiones que mejoren la seguridad.

Ahora, centrada en Securiters, mi día a día gira en torno a la divulgación y la formación. Me mantengo actualizada, preparo clases, resuelvo dudas de alumnos y creo contenido para llegar a más personas. Me gustaría que jóvenes y niñas entendieran que este trabajo no es solo “hackear”, sino aprender, analizar, comunicar y ayudar a que la tecnología que usamos cada día sea más segura.

Después de pasar por certificaciones como OSCP, OSCE o CRTP, ¿qué has descubierto sobre tu forma de aprender y superarte?

Al principio, enfrentarte a una certificación de este tipo impone mucho respeto. Aparece el miedo al fracaso, a no ser suficiente o a que otros te juzguen si no lo consigues. Aun así, he aprendido que las certificaciones son una forma muy eficaz de acelerar el aprendizaje, porque condensan la información más importante y la presentan de manera ordenada.

Más allá de los conocimientos técnicos, estas certificaciones te ponen a prueba a nivel personal. Tienes que gestionar el estrés, el tiempo, la frustración y la presión de un examen con duración limitada. Muchas veces no se suspende por no saber, sino por no saber organizarse o gestionar bien los nervios.

Gracias a este proceso he aprendido a conocerme mejor: saber cuándo descansar, cuándo cambiar de estrategia y cuándo dejar un problema aparcado para retomarlo más tarde. Aprender no es solo estudiar, también es saber cuidarte y gestionar tus propios límites.

Trabajaste como Application Security Engineer en Oracle NetSuite. ¿Cómo se vive la ciberseguridad desde dentro de una multinacional y qué impacto real tiene tu trabajo?

En una multinacional, al principio puede parecer que tu trabajo tiene poco impacto, porque formas parte de una estructura enorme y global. Te ves como una pieza pequeña dentro de un sistema muy grande, con equipos repartidos por todo el mundo y una organización muy definida.

Sin embargo, cuando participas en proyectos que nacen desde cero y los ves llegar a producción, empiezas a notar ese impacto. Saber que has contribuido a que una funcionalidad se implemente de forma segura y que luego la usan muchas empresas genera una gran sensación de orgullo y pertenencia.

En mi caso, trabajar en una aplicación utilizada por tantas empresas te hace consciente de la responsabilidad. El feedback de los clientes, la mejora continua y la seguridad bien aplicada hacen que ese trabajo, aunque no siempre visible, tenga un impacto real en millones de personas.

Paralelamente has creado Securiters. ¿Por qué sentiste la necesidad de compartir conocimiento y visibilizar este campo?

Securiters nació de mi curiosidad y de las ganas de hacer algo propio. Durante un tiempo estuve dándole vueltas a la idea hasta que empecé compartiendo conocimiento de forma sencilla, primero con un podcast y después en redes sociales. Mi objetivo era ayudar a personas que estaban empezando, igual que a mí me ayudaron otros al inicio.

En ciberseguridad existe una cultura muy fuerte de compartir contenido de forma altruista, y esta fue mi manera de aportar. Con el tiempo, el proyecto creció y se convirtió también en una vía profesional, combinando divulgación gratuita con formación más estructurada.

Además, sentía la necesidad de visibilizar que este sector también es una opción para mujeres. Mostrar referentes, crear espacios seguros y demostrar que hay muchos caminos dentro de la ciberseguridad es una forma de abrir puertas y despertar vocaciones.

En tu experiencia, ¿qué barreras invisibles siguen encontrando las mujeres que quieren entrar en ciberseguridad?

Durante mucho tiempo pensé que no existían grandes barreras, porque en mi experiencia personal no las había vivido de forma directa. Estudié y trabajé en entornos mayoritariamente masculinos y lo normalicé desde el principio, sin que me frenara.

Con el tiempo, al escuchar a otras mujeres, entendí que para muchas sí supone una barrera el hecho de ser minoría. Entrar en un entorno donde sabes que vas a ser una de las pocas mujeres puede generar inseguridad, sobre todo en áreas tan técnicas como la ofensiva.

Aunque la situación está mejorando y cada vez hay más mujeres, esa barrera todavía existe. Depende mucho de las experiencias previas de cada persona, pero sigue siendo un factor que hay que tener en cuenta y trabajar.

¿Qué cambios crees que necesita el sector tecnológico para atraer y retener más talento femenino?

El cambio tiene que empezar desde edades muy tempranas, tanto en casa como en los colegios. Es importante eliminar estereotipos asociados a los juguetes, las profesiones y los roles de género, y mostrar que todas las opciones son válidas para cualquier persona.

También es fundamental ofrecer referentes visibles. Ver a mujeres en distintos ámbitos tecnológicos ayuda a que las niñas puedan imaginarse a sí mismas en esos roles en el futuro. La representación importa, y mucho.

Poco a poco se están dando pasos en esa dirección y las nuevas generaciones vienen con una mentalidad más abierta. Aun así, es un trabajo constante que requiere educación, divulgación y ejemplos reales.

Como divulgadora y profesional, ¿sientes que tienes una responsabilidad social al trabajar en ciberseguridad?

Sí, aunque con el tiempo he aprendido a encontrar un equilibrio. Al principio sentía una gran responsabilidad y quería ayudar en todo, pero no siempre es posible llegar a todo el mundo ni resolver todos los problemas que te cuentan.

Ahora intento centrarme en la concienciación general, en compartir información útil y en guiar cuando puedo. Hay situaciones personales muy duras que requieren otros canales, y es importante saber hasta dónde llega tu papel.

Aun así, divulgar, explicar bien los riesgos y ayudar a que la gente entienda mejor la seguridad digital ya es una forma de responsabilidad social que intento asumir cada día.

Para cerrar: si una niña o joven que ama los retos y los enigmas te está leyendo, ¿qué le dirías?

Le diría que empiece sin miedo, que pruebe. Existen muchas plataformas gratuitas donde puede aprender desde cero, resolver retos y descubrir si este mundo le gusta. No hace falta saberlo todo al principio.

También le diría que avance a su ritmo, sin compararse. La clave es dedicar tiempo, disfrutar del proceso y no frustrarse si algo no sale a la primera. Poco a poco, los conceptos empiezan a encajar.

Y, sobre todo, que pregunte y se rodee —aunque sea de forma digital— de personas con intereses similares. Crear ese entorno ayuda a aprender, a no abandonar y a descubrir que sí hay un lugar para ella en la ciberseguridad.