Durante la RootedCON 2026, Adelaida Buisán Perales, CIO de la Universidad San Jorge, y Víctor Pérez Roche, responsable de seguridad de la Universidad de Zaragoza, compartieron su visión sobre el presente y el futuro de la ciberseguridad en la región, la irrupción de la inteligencia artificial y el papel de las universidades en continuar la expansión de la comunidad ciber en Aragón.
Transcripción
R. V. — Algo que se ha estado comentando estos dos últimos años ha sido el uso de la IA, su estandarización en prácticamente todos los sectores y, este año en concreto, la agentización de la inteligencia artificial. Desde vuestros puestos de responsabilidad, ¿estáis pensando en implantar o habéis implantado ya modelos agénticos en vuestros sistemas de seguridad?
A. B. — Nosotros, en este caso, no lo hemos implantado todavía en la parte de ciberseguridad. Sí lo hemos hecho en la parte más orientada a la gestión, y desde luego los siguientes pasos van hacia ahí: hacia la implantación de agentes en diferentes áreas funcionales.
V. P. — En nuestro caso es parecido. En la Universidad de Zaragoza hay iniciativas de utilización de estas tecnologías en diferentes ámbitos, sobre todo a nivel informativo para el alumnado y para el profesorado. La utilización en la parte de ciberseguridad también es un tema pendiente. Estamos muy atentos porque hay bastantes iniciativas, tanto por parte de otras universidades como de proyectos de software libre, que nos parecen muy interesantes y que sería bueno poder poner en marcha también en la universidad.
R. V. — Quizá lo que más os ha traído aquí es el track de ProtAAPP, enfocado a la securización de las administraciones públicas. No sé si ha habido alguna ponencia que os haya llamado especialmente la atención, ya sea dentro de ese track o de otro.
A. B. — En nuestro caso, nosotros no pertenecemos a la administración pública, así que le cedo la palabra a Víctor.
V. P. — Yo he estado casi todo el día en el track de ProtAAPP. Me ha parecido muy interesante. Ahora mismo acabo de salir de una ponencia en la que un chico de 19 años presentaba cómo se podía hacer bug bounty desde las administraciones públicas, y la verdad es que sales con una envidia sana.
A mí, al menos, me gustaría mucho proponer este tipo de programas, porque me parece que van muy alineados con la transparencia, con la mejora de los servicios al ciudadano y con una forma más abierta de entender la seguridad. Aunque probablemente no se pueda dar una recompensa económica a las personas que participen en ellos, ese reconocimiento sí creo que está al alcance de todas las administraciones públicas.
Aparte de eso, también me ha parecido muy interesante la ponencia de Antonio Sanz. No defrauda. Es muy didáctico, muy divertido y muy rápido. El Centro de Seguridad de Madrid también ha estado muy bien; la verdad es que nos hemos podido reír muchísimo.
En general, es un poco abrumador, porque tantos tracks a la vez dan algo de vértigo. Pero si puedo coincidir con gente, hacer networking y saludar a compañeros, ya me voy muy contento a casa.
R. V. — Algo que me ha gustado mucho es el tema de traer esta conversación al territorio, a Aragón. Al final, sois dos grandes talentos aragoneses de la seguridad que tenemos aquí. Ya que la USJ no participa dentro de ProtAAPP, por ejemplo, ¿podría estar adherida o se podrían estudiar convenios en el futuro? Al final, es una universidad importante y está formando a muchos responsables de la seguridad del futuro.
A. B. — Nosotros sí participamos. Lo que ocurre es que no tenemos acceso absolutamente a todas las plataformas. Sí participamos en el foro y en las reuniones, y la verdad es que es muy de agradecer, pero es cierto que no todas las aplicaciones están a nuestro alcance.
En relación con lo que decía Víctor, yo he ido picoteando entre diferentes salas y quería destacar que me ha sorprendido muy gratamente que, además de charlas muy técnicas, también hubiera otras más orientadas a la parte de negocio. Creo que, sobre todo para posiciones como las nuestras, ayudan mucho a definir los próximos pasos que tenemos que dar en el ámbito de la ciberseguridad.
Y respecto a lo que has dicho de los aragoneses, ver a Antonio Sanz para nosotros siempre es un placer. Es un aragonés muy referente para nosotros. Su charla ha sido exquisita.
R. V. — Siguiendo con Aragón, ¿qué podemos hacer? Ahí detrás está también el profesor Ricardo Rodríguez, de la Universidad de Zaragoza. ¿Qué podemos hacer para llevar más ciberseguridad, una RootedCON o algo similar a Aragón? Hace poco tuvimos CiberIDIA. ¿Se puede llegar a más?
A. B. — Yo formo parte de la junta directiva de CiberIDIA y creo que fue un éxito, tanto de asistencia y participación como por el nivel de las charlas. Desde luego, nuestro espíritu es fijarlo ya como una cita en nuestros calendarios.
De hecho, vamos a empezar a trabajar ya para el próximo año. Lo que nos gustaría es ampliarlo más, tanto en duración como incorporando algunas sesiones más prácticas, que es algo que nos habían trasladado tanto patrocinadores como asistentes a la jornada.
V. P. — La Universidad de Zaragoza también participa en el clúster. Es verdad que no estamos tan cerca como pueda estar Adelaida, pero me parece una iniciativa muy interesante.
Si al final se juntaron casi 300 personas, o 300 y pico, desde luego para Aragón y para un ámbito tan de nicho entre comillas como es la ciberseguridad —que no es tecnología en general, sino específicamente ciberseguridad—, es un éxito.
Creo que es interesante. No sé si el formato debe ser estrictamente empresarial, porque toda la parte formativa también es muy relevante. La USJ sí tiene grados específicos en ciberseguridad, mientras que la Universidad de Zaragoza tiene grados más generalistas. Me parece que hay mucho ámbito en el que se puede trabajar.
Por ejemplo, los chavales que están estudiando los grados superiores, el curso o el máster de ciberseguridad que hacen cuando terminan el grado superior, también forman parte de iniciativas muy interesantes. Todo eso va creando cultura. Las organizaciones y las empresas aragonesas necesitan ese personal y ese movimiento. En torno a eso, necesariamente, se va a crear más cultura, mayores capacidades y, ojalá, más Antonios Sanz o más Ricardos dentro del panorama.
R. V. — Como estudiante egresado de la Universidad de Zaragoza, soy consciente de las iniciativas que se han hecho en ciberseguridad a través de microcredenciales y eventos. ¿Cómo podemos llevar esto un nivel más allá? Sobre todo en el ámbito del hacking. ¿Cómo podemos reunirnos en torno a una cultura más técnica que no dependa tanto de las instituciones, sino de una comunidad propia de ciberseguridad?
A. B. — Es una pregunta difícil, porque en el momento en que no tienes una institución o una empresa detrás, ya depende de iniciativas personales. Ahí creo que habría que acudir a redes sociales, canales de difusión o comunidades de egresados de ambas universidades. También podrían tener un papel los estudios de posgrado. Pero creo que depende más del interés y de la iniciativa personal.
V. P. — Habitualmente, para este tipo de cosas siempre hace falta algo que lo dinamice. Alguien que se lo eche a la espalda: una organización, una visión. No necesariamente tiene que ser algo que requiera mucho dinero. Detrás de esa organización puede haber personas que presten su tiempo voluntariamente para que algo así salga adelante, pero tiene que haber algo que lo haga posible.
Pueden ser las universidades, pueden ser centros de estudios, sobre todo pensando en esa parte formativa. Las empresas lo tienen más complicado, porque al final tienen que optimizar su tiempo, sus capacidades y, en último término, ganar dinero.
R. V. — Después de esta batería de preguntas, ¿por qué recomendaríais a vuestros alumnos y al resto de profesionales de la ciberseguridad en Aragón venir a RootedCON?
A. B. — Yo aquí tengo que decir que gracias al que es mi gerente, que siempre dice que hay que salir de los despachos para ver realmente lo que están haciendo otras organizaciones.
Venir aquí puede parecer una pérdida de tiempo, porque dejas de hacer tus tareas del día a día, pero yo considero que es una inversión. No solo por las personas que conoces, que es algo maravilloso, sino porque ese intercambio permite poner el foco en las cosas que ahora mismo son tendencia y que realmente son necesarias.
Creo que compartir experiencias es muy importante, especialmente en el ámbito de la ciberseguridad, que es un mundo tecnológico que se mueve a una velocidad vertiginosa.
V. P. — Totalmente de acuerdo. Al final, lo que estamos viendo hoy en día es que la defensa de las organizaciones tiene que venir por la vía de la colaboración. Tú solo no vas a poder hacer nada. Necesitas partners que te apoyen.
En nuestro caso, por ejemplo, tiene mucho valor la colaboración con otras instituciones y otras universidades, tanto a nivel de iniciativas tecnológicas como de conocimiento y de ciberinteligencia. Poder poner cara y voz a esas personas aporta muchísimo.
De hecho, mi objetivo fundamental hoy era poder venir y estar con otros compañeros de las universidades. Con eso ya me doy bastante por satisfecho.
R. V. — Y ahora la pregunta bonus: ¿os va a reemplazar una IA?
A. B. — No. Además, sin ningún tipo de duda. Creo que la IA va a reemplazar algunas funciones y nos va a ayudar a hacer algunas cosas, pero la parte de análisis, la parte de estrategia y demás va a depender de las personas.
Y luego, sin duda, cuando hablamos de ciberseguridad, la responsabilidad es de todos: desde quienes están en la parte técnica hasta el propio usuario, que es la primera línea de defensa y también el eslabón más débil. Eso no nos lo va a sustituir una inteligencia artificial.
V. P. — Ha venido a cambiar el paradigma con el que funcionábamos en muchos aspectos y ha venido a mejorar el rendimiento, pero esto es una escalada.
Como puedes imaginar, hoy ha salido muchas veces el tema de las capacidades que tienen actualmente los ciberdelincuentes para utilizar estas herramientas, que lógicamente también están a su alcance, e impactar en una organización, en cualquier organización. Son capacidades superiores a las que probablemente tenían hace cinco años.
No podemos quedarnos atrás. Tenemos que ser capaces de utilizar esa tecnología que está a nuestro alcance e implementarla de la mejor manera. Coincido con Adelaida en que probablemente podremos hacer más cosas y más rápido. Pero también es probable que la demanda sea superior, porque la complejidad de lo que nos vamos a encontrar va a aumentar.
Así que vamos a tener que seguir en la carrera. Reemplazar, reemplazar… cuando le lancemos un prompt diciéndole arréglame toda la ciberseguridad de la universidad y la IA se quede trabajando sola, bien. Pero hasta ese momento, que no es viable, seguiremos trabajando.
La pregunta bonus: ¿os reemplazará la IA?
La respuesta de Buisán fue tajante: «No, además sin ningún tipo de duda». Aunque reconoció que la IA sustituirá algunas funciones, defendió que «la parte de análisis, la parte de estrategia y demás va a depender de las personas», y recordó que en ciberseguridad el usuario sigue siendo «la primera línea de defensa y también el eslabón más débil», algo que ninguna inteligencia artificial puede asumir por completo.
Pérez Roche ofreció una visión más matizada pero igualmente optimista respecto al rol humano: «podremos hacer más cosas y más rápido, pero la complejidad de las cosas con las que nos vamos a encontrar va a aumentar». Y lo ilustró con ironía: «cuando le lancemos un prompt diciéndole arréglame toda la ciberseguridad de la universidad y ya se quede trabajando la IA, bien. Pero hasta ese momento, que no es viable, pues seguiremos trabajando».
