lunes, agosto 20, 2018

El camino de sacarse un doctorado en el mundo profesional

El otro día, mientras estaba en medio de un experimento en mi despacho con dos jóvenes, para sacar información y datos que poder utilizar en un trabajo de investigación de un nuevo sistema de autenticación Rubber Hose en el que puse a trabajar a mi equipo tiempo ha, volví a achuchar a alguno de mis compañeros a continuar con sus estudios académicos, y embarcarse en la aventura de hacer el doctorado. Para mí es cono cuando lees un buen libro, que te sientes en la obligación de recomendarlo a la gente que aprecias, porque ha sido una experiencia enriquecedora y gratificante en mi vida personal,

Figura 1: El camino de sacarse un doctorado en el mundo profesional

Sin embargo, meterse en algo como un doctorado universitarios es algo que debes entender. Debes conocer lo que significa esa decisión. Debes tener presente que no va a ser una camino fácil, ni corto, ni con una recompensa mucho más que la experiencia personal de pasar por todo ese camino con la que te vas a enriquecer. Incluso puede que profesionalmente no te aporte mucho, o directamente nada, dependiendo del rol que juegues en la empresa en la que trabajas. 

A pesar de eso, puede ser algo enriquecedor a muchos otros niveles. Pensando en mis compañeros, y en todos los amigos a los que he contado esta historia, os voy a dejar este artículo con reflexiones personales para que decidas si quieres meterte en el camino de hacer el doctorado cuando ya estás trabajando en el mundo profesional o no.

1.- El título es lo de menos

Si tu motivación principal es la de obtener el título porque piensas que te va a abrir más puertas o te va a hacer ganar más dinero, es lo mismo que ir al gimnasio con una tarjeta de puntos en la que se sella cada día, conseguir ir y sellarlos todos los días, pero no hacer ningún ejercicio. Al final, el objetivo no es terminar con la tarjeta llena de puntos, sino haber hecho ejercicio todos los días de forma correcta y saludable. Eso es lo que significa sacarse un título en la universidad, sea el de Ingeniería, el de Máster o el de Doctorado.

No se trata de tener el título, sino de haber desarrollado las habilidades que con el proceso de sacarlo se obtienen. Esto lo he dicho muchas veces, como cuando os dejé el artículo de "Suspende como ingeniero o atente a las consecuencias". En el caso del título de Ingeniería, se trata de aprender a resolver problemas, de hacerlo bien, de hacerlo tal  como lo haría un ingeniero. Se trata de tener las herramientas necesarias para saber anticipar los problemas y encontrar las soluciones. De esto en concreto os conté la historia de mi Trabajo de Fin de Carrera en la Escuela Universitaria de Informática, donde hicimos la implementación del "Cálculo del par de puntos más cercanos en una nube usando un algoritmo de recta de barrido".

Se trata de que aprendas a resolver problemas, buscando hacerlo de la mejor manera. Como cuando os explicaba la diferencia entre picar código e implementar una solución con el artículo de "Resolver el factorial de 100 no es picar código". O la aventura en la prueba de selección de un nuevo Talentum que os expliqué en "La Mayeútica y el problema de la recta pintada píxel a píxel". En la universidad, y por ende cuando obtienes un título, vas a aprender a transformar el mundo, no a aprender a manejar herramientas, como os decía en la reflexión de "No aprendas SAP... si quieres transformar el mundo".

Tampoco necesitas tener un título universitario para tener un buen trabajo, o ser un buen profesional en un sector en general o en seguridad informática en concreto. Hay grandes profesionales trabajando como pentesters, como CISOs, como Security Researchers o como consultores en seguridad informática que no tienen un título universitario. Personalmente creo que, si has aprovechado tus años en la universidad y has aprendido cosas - no solo aprobando los exámenes -, lo tendrás más sencillo.

Esto es algo importante a tener en cuenta. Yo siempre cuento la historia de que cuando me honraron con el título de Embajador honorífico de la Escuela de Informática de la Universidad Politécnica de Madrid me llevé las notas y expliqué que yo nunca estudié Seguridad Informática en mi época de estudiante. Porque a mí lo que me gustaba entonces eran las bases de datos. Eso me ayudó mucho después, cuando uní los puntos hacia atrás, y se descubrió el bug de SQL Injection.


Figura 2: Discurso de la servilleta. No estudié Seguridad Informática

Sacarse un título universitario, como es un título de ingeniería, un máster o un doctorado, es algo que debes tomarte como una experiencia holística donde importa más todo lo que haces durante ese tiempo que el aprobar el examen final. Os dejé unos consejos para cuando empiezas la universidad, y son igual de aplicables si quieres hacer un Máster o comenzar un doctorado.

2.- Un doctorado es una investigación

La gente suele confundir mucho los títulos y sus enfoques. Un título de Ingeniero significa que has aprendido los conceptos de ese ámbito de especialización para resolver proyectos con las herramientas adecuadas. Te han enseñado los conceptos de fundamentales de ese ámbito de conocimiento para que puedas utilizarlos en resolver problemas en los que es necesario aplicar esta disciplina de conocimiento. 

Un Máster es un paso más allá. Es una especialización dentro de ese campo tan grande que es una ingeniería para centrarse en una disciplina concreta. Por ejemplo, puedes estudiar una ingeniería informática y luego una maestría en Big Data o en Inteligencia Artificial. Especializas tus conocimientos en un área más ajustado a lo que deseas trabajar en tu vida profesional, o hacia donde deseas moverte. De hecho, si quieres cambiarte de área laboralmente porque no te gusta en qué has enfocado tu carrera profesional, hacer un nuevo máster te ayudará.

No sirve de nada acumular maestrías como si fuera una colección. De hecho, es algo que me llama la atención cuando veo un CV. Si tienes maestrías muy seguidas en cosas que son antagónicas, parece que no tienes nada claro qué es lo que quieres, o piensas que un máster es para acumular puntos. No, un máster debe ser una especialización de lo que te interesa profesionalmente o donde quieres alcanzar mayores grados de excelencia profesionalmente.

Y un Doctorado, no es nada de eso.

Los estudios de ingeniería te enseñan a resolver problemas de un ámbito de conocimiento concreto, la maestría te especializa en un área más específica aún y un doctorado es una dedicación con resultados a la investigación dentro de ese campo de conocimiento.

Es decir, que un doctorado es solo si tienes ganas de investigar algo nuevo que creas que puedes avanzar. O lo que es lo mismo,  que puedas aportar nuevas ideas, nuevo conocimiento y hacer más amplio el campo de conocimiento en el que trabajas. No tiene nada que ver con ser un buen profesional. No tiene nada que ver con ser un gran especialista en un área. De hecho, en muchas empresas el título de doctor no es lo que buscan, ya que puede que estén más centrados en el conocimiento especializados en la ejecución de proyectos que en la investigación pura y dura.

Ingenieros y personas con másters resolviendo proyectos mejor que un doctor los vais a encontrar en mil y un sitio. Un doctor es alguien que se ha especializado durante años en la investigación de un tema muy concreto que expande el conocimiento, y no quiere decir que, por defecto, sea mejor que un ingeniero especializado y con mucha experiencia en un ámbito profesional. Yo veo a muchos ingenieros dirigiendo a equipos con doctores todos los días.

Por otro lado, hay ingenieros espectaculares a los que no se les da bien la investigación. No es necesario. Directamente es "otra" habilidad.

Seguramente, usando un símil con el mundo del fútbol, puedes pensar en el jugador perfecto que remata de cabeza, con el pie izquierdo, con el derecho, defiende bien, trabaja en equipo, se sacrifica sin balón, tira bien los penalties y las faltas, pero lo más probable es que tengas que hacer un equipo con gente que tenga diferentes habilidades dentro de esa misma disciplina.

Pues bien, un título de doctorado implica que alguien ha sido bueno investigando cosas nuevas, no implica que sea bueno ejecutando los proyectos de ese área de conocimiento - que luego lo podrá ser o no -. Si buscas un buen ejecutor de proyectos, mira mejor la experiencia profesional, los trabajos que se han hecho, y los resultados obtenidos. Es por eso que os decía que lo mejor para buscar trabajo es tener cosas que enseñar.

3.- El rol de aplicación en seguridad informática

En el mundo profesional un ingeniero, y en concreto en el área de informática, puede ejercer muchos roles. Es bueno que se haya especializado en uno de ellos en su vida profesional, ya sea vía experiencia laboral, o especializado con cursos y maestrías. Yo recomiendo siempre hacer una mezcla. Aprender aprendiendo y aprender haciendo, como os contaba en este artículo de los "Consejos malignos para tu etapa formativa y profesional". Por ejemplo, en el área de Seguridad Informática se pueden ser muchas cosas, como explicaba este post en el blog de ElevenPaths.

Figura 3: Roles en el mundo de la Seguridad Informática

En mi caso particular, yo he hecho muchas cosas diversas a lo largo de los más de 20 años que llevo trabajando. He hecho proyectos de implantación de soluciones de seguridad, he hecho pentesting y consultoría de troubleshooting, seguridad en correo electrónico, gestión de identidades, hardening, y un montón de cosas diversas más...

Pero a pesar de haber hecho todo eso, he trabajado con pentesters mucho mejores que yo como compañeros, con consultores de seguridad mucho mejores que yo, y con CISOS mucho mejores que yo. A mí, lo que más me gustaba y lo que más me atraía era la investigación. La innovación. Descubrir nuevas cosas. Hacer cosas nuevas. Por eso me atraía tanto el proceso del doctorado y el trabajo de los hackers y Security Researchers.


Figura 4: Evil FOCA en DefCON

Y por eso di tantas charlas. Porque yo he querido ser más un Security Researcher y hacer cosas nuevas como FOCA, como Latch, como las técnicas de Blind LDAP Injection, como la Evil FOCA, o el DirtyTooth. Ese trabajo me ha atraído siempre más que el que realiza un CISO o pentester. Ahí, admiro a muchos profesionales que hacen esos trabajos con un nivel de especialización asombroso.

Es lo que más me gustaba y sigo disfrutando con ello. Con las nuevas ideas que se me ocurren y cómo ejecutarlas. Me encanta llegar de vacaciones y poner a mi equipo a trabajar en nuevas investigaciones, y perder tiempo mi tiempo libre haciendo pruebas y research. Por eso nunca he orientado mi vida profesional a ser un CISO o un pentester puro. Disfruto el proceso de crear algo nuevo "from scratch". Y además me gusta sobre todo, verlo acabado. Innovar con fecha de entrega y puesta en producción.

Nada que ver con un trabajo en Seguridad Informática de los que hay otra gran miriada de posibilidades para elegir. Y no tienes por qué ser el mejor en todas. Un gran CISO no tiene que ser el mejor Security Researccher, y el mejor Security Researcher no tiene por qué ser el mejor CISO. Son cosas distintas. 

Por eso, sacarte un doctorado para ser un CISO no tiene ningún necesidad - puedes hacerlo si te gustan las dos cosas, por supuesto -. Tal vez sea mejor hacer una maestría y aprender bien cómo es el día a día de un CISO, su problemática, sus responsabilidades, sus herramientas y las estrategias que se pueden seguir o como utilizar a un Red Team que os contábamos hace poco.

4.- Investigaciones y papers

Si ya has decidido que te gusta la investigación puedes hacerlo desde ya en tu casa. Es verdad que necesitas para sacarte el doctorado haber obtenido previamente un número mínimo de créditos en la universidad - lo que implica que tienes que tener el título de ingeniero y el de máster - pero investigar lo puede hacer cualquiera todos los días, como hacen muchos Security Researches que no tienen por objetivo el doctorado.

Yo quiero a la Universidad. Creo que es un valor único de las sociedades que debemos cuidar y respetar, y por eso siempre he estado muy ligado a ella. Personalmente, creo que es bueno que un profesional tenga una relación de ida y vuelta constante con la universidad. Y por el año 2007 comencé a trabajar en mi doctorado.

Por suerte, yo enfoqué mi doctorado en mis inquietudes profesionales. El mundo del hacking, de la seguridad informática, de las nuevas formas de romper y asegurar la seguridad de un sistema informática. Y si quieres que sean parte de un doctorado deben ser investigaciones novedosas hasta ese momento. Se trata de investigar algo nuevo, que se te tiene que ocurrir.

Cada paper debe significar un avance, pequeño o grande, de un área de estudio.  En el mundo académico esos papers deben ser aprobados por tus iguales en congresos regulados por organizaciones de investigación, como son ACM o IEEE, que mantienen una calidad y unos procesos de verificación de los estudios presentados.


Así, durante unos años de tu vida, deberas investigar cosas nuevas que deberás publicar tras ser revisadas por tus iguales (Peer Revision). Esto significa que, doctores en áreas de especialización similares a las de tus investigaciones revisarán tus trabajos sin que se sepa que tú estás detrás de ellos (Blind Revision). No es un proceso divertido, ni perfecto, ni cómodo, ni rápido. Durante varios años debes ir haciendo investigaciones, enviarlas a congresos y sufrir Peer & Blind Revisions en las que solo tu trabajo de investigación será evaluado.

Yo tuve que viajar a Estados Unidos, a Singapoure o a Portugal - por citar algunos países - durante los cinco años que estuve siguiendo este proceso de publicación de papers académicos, que además supone un coste económico alto para los doctorandos. Yo no tenía ninguna beca y lo pagaba con el salario de mi trabajo.

En las conferencias de hacking el proceso es distinto. Hay un comité de programa que evalúa el CFP, pero no es Blind Revision. Es verdad que los CFPs de las conferencias son iguales de competitivos y complicados que los congresos académicos, pero no hay Blind Revision. Hay se sabe quién es el que está detrás de la investigación  - sin necesidad de hacer un doxing al paper ciego. Y lo que importa es la calidad de la investigación y el impacto de la misma en la vida real. Más flexible.

6.- El director de tesis y el equipo de investigación

Cuando lees un paper o una patente normalmente verás a varias personas en la lista de firmantes. Generalmente - aunque esto no es algo a rajatabla - el que aparece en primer lugar suele ser el investigador principal, y va añadiendo a la lista a todos los que le ayudaron. Normalmente se parte de una ida y una pequeña experimentación, pero hacer un paper requiere mucho más, y trabajar en equipos de investigación con gente que te apoye es fundamental.

Toda mi vida he pensado que lo mejor es hacer equipo con otras personas y trabajar juntos, así que esta es la parte más divertida de todo este proceso. Coordinarse con una investigación con gente que te ayuda con una prueba, que te programa una parte de lo que necesitas para la investigación. Yo he firmado papers con más de una veintena de investigadores con los que he colaborado - y colaboro con los que sigo publicando ya sin objetivo académico - día a día.

Al final, la idea original de una investigación es única, pero entre varios se mejora y se expande. Es lo que hace bonito la investigación. Si no te gusta trabajar con gente o no conoces a gente que ame la investigación siempre se hace más complicado. Si estás con gente que ama esto, haz equipo con ellos. Apóyales en sus trabajos y ellos te apoyarán en los tuyos.

Es importante, además de tener buenos compañeros de investigación, que tengas uno o varios directores de tesis que te acompañen en el proceso. Al final el director de tu tesis es quién menos impacto va a tener en la obtención del título - ya que es el tribunal de la lectura de la tesis donde se te concede o no - pero te va a ayudar en los momentos difíciles cuando te rechazan los papers o cuando necesitas localizar a alguien que te ayude con una investigación.

Figura 7: paper de Modelado de amenazas en el contexto de la indexación de páginas
y propuesta de inclusión en el ENS  con Enrique Rando, Gonzalo Álvarez y Antonio Guzmán

Yo tuve la suerte de tener a dos grandes profesionales que me ayudaron. Al Dr. Antonio Guzmán, al que años más tarde le convencí de que la startup de ElevenPaths funcionaría con un buen equipo de innovación, y se vino conmigo, y al Dr. Gonzalo Álvarez Marañón, al que admiraba por sus investigaciones en el CSIC y que me ayudó con algunas ecuaciones en papers que no acababan de cerrar.

7.- La tesis y la lectura de la tesis.

Y cuando acaba la etapa de investigación, llega el momento de la soledad. De escribir la tesis. De seleccionar de todos los papers que has escrito aquellos contenidos que encajan con una línea de investigación y escribir el libro final. Por ejemplo, todo lo que hice con metadatos, FOCA, ENS, privacidad, etcétera, se quedó fuera.

No se trata de acumular todos los papers, sino de escribir un libro que tenga sentido y sea autocontenido. Para ello, muchos de los papers que tienen que ver con otras investigaciones se quedan fuera. Seleccionas los que tienen que ver con la investigación principal y los hilvanas todos bien.

Parece un trabajo sencillo, pero de eso nada. Es una parte muy laboriosa donde la ayuda de tus compañeros es fundamental.  Además, cada día vas descubriendo nuevas cosas y quieres ampliar el contenido con nuevas líneas de investigación, y conseguir cerrar el proceso es largo y solitario. Fue la parte menos divertida de todo el doctorado. Escribir el libro es algo que no recuerdo con mucho cariño.


Al final, lo depositas y entregas una copia a los miembros del tribunal. Un equipo de doctores que que deben entender tu investigación y que te van a hacer todo tipo de preguntas. En mi caso, tuve la suerte de tener a un equipo de doctores de la Universidad de Salamanca, de la Universidad Carlos III de Madrid, de la Universidad de Deusto, además de la Universidad Rey Juan Carlos.

Entre todos me tuvieron durante casi tres horas respondiendo preguntas. No fue algo rápido e indoloro como muchos me habían dicho. Fue un momento intenso, de nervios, e incluso de consumo energético masivo. Recuerdo como con cada pregunta mi mente se acordaba de todos y cada uno de los papers publicados y hasta la página de la tesis en la que estaba escrito ese tema del que me estaban preocupando. Y mi madre sufrió más que ninguna. Ahí, en primera fila, viendo como me preguntaban durante tanto tiempo y yo tenía que ir respondiendo.

Pero esto no es algo tan así siempre. Depende del tribunal, y del interés que tenga el trabajo. Yo recuerdo que aquello fue intenso, pero la satisfacción después fue grande.

8.-  La post-tesis

Una vez que se acaba esta fase, la vida sigue. La tesis queda depositada en la universidad, y lo más bonita es la experiencia y el conocimiento que has adquirido de ella. Yo tengo una copia de la misma y en el catálogo de la universidad está disponible.

Figura 9: Tesis en el catálogo de la URJC

Para mí, lo mejor es que todo lo que estudié y publiqué durante el proceso de hacer el doctorado lo utilicé en mi trabajo, e incluso parte de la tesis la utilicé en implementar nuestro querido Faast de ElevenPaths. Quién me iba a decir en el año 2013 que aquellos estudios que comencé por 2006 y 2007 los iba a utilizar después en un servicio que a día de hoy se comercializa. Al final, el día que te ponen la toga y el birrete, fue un día divertido. "Mi hacker" se lo pasó genial cuando se me cayó al suelo el birrete. Aún me acuerdo de su risa.

Dicho todo esto, si te gusta investigar, si te gusta ponerte retos, si te gusta descubrir el mundo por ti mismo, hacer el doctorado es un proceso de aprendizaje único que te va a hacer descubrir partes de ti que no conocías. Vas a salir distinto, y te vas a esforzar por llegar a nuevos sitios y pensar diferente.

Saludos Malignos!

Entrada destacada

Motivación e Inspiración

A veces, cuando voy en un tren, o en un avión en un viaje, me paro a pensar en las cosas que tengo que hacer. Normalmente, las cosas que te...

Entradas populares