Ahora sí, la parte más soicitada. ¿Cómo llegar a ser un devops o devsecops en 2025? ¿Qué tecnologías aprender? ¿Qué camino seguir?

Recuerda que esta es la parte 2 y en este primer capítulo te contaba mi historia personal de como llegué yo a este punto. Entrada del blog

Por último, matizar que esta es una opinión personal. Cada uno podría tener su propio camino y su propia forma de aprender.

Vamos a ver, una breve introducción a lo que es DevOps, luego veremos las tecnologías básicas para empezar y, por útlimo, hablaremos de los métodos de aprendizaje, certificaciones y demás.

Este es el diagrama que he creado para resumir las tecnologías y conceptos básicos que deberías conocer para empezar en DevSecOps. Lo puedes descargar y utilizar como guía de estudio.

¿Qué es DevOps?​

DevOps es una metodología que busca mejorar la colaboración entre los equipos de desarrollo (Dev) y operaciones (Ops) para acelerar la entrega de software y mejorar la calidad del mismo. Se basa en la automatización, la integración continua y la entrega continua (CI/CD), así como en la monitorización y el feedback constante.

Esto permite a las organizaciones responder más rápidamente a las necesidades del mercado y a los cambios en los requisitos de los clientes.

¿Qué es DevSecOps?​

DevSecOps es una metodología que integra la seguridad en el ciclo de vida del desarrollo de software (SDLC). Su objetivo es garantizar que la seguridad sea una parte integral del proceso de desarrollo, en lugar de ser un añadido posterior. Esto implica la colaboración entre equipos de desarrollo, operaciones y seguridad para identificar y abordar vulnerabilidades desde las primeras etapas del desarrollo.

Tecnologías y conceptos básicas para empezar​

De la parte más personal extraido los siguientes perfiles, más o menos, por los que he ido pivotando:

-> Desarrollador web y aprendiz de seguridad -> Pentester -> SSDLC -> DevOps -> DevSecOps

En base a mi experiencia actual, creo que la forma más rápida para llegar a este tipo de perfil sería ir directo a un rol DevOps y, con un poco de experiencia, añadir la parte de seguridad. También en función de las empresas que trabajes, igual esperan de ti un rol que vaya más a la parte de infraestructura cloud y apoyar la parte de IaC (Infrastructure as Code) o como SRE (Site Reliability Engineer) si tienes un perfil más de sysadmin.

En cualquier caso, si te interesa también la seguridad (desde la perspectiva DevSecOps) verás que a corto, es tan simple como aprender a integrar herramientas de seguridad en los pipelines aunque, a largo plazo, si te toca gestionar las vulnerabilidades, planes de remediación, etc. tendrás que tener un conocimiento de seguridad más profundo.

Vamos a comenzar por el desglose del rol de DevOps.

DevOps​

El rol de DevOps es un perfil que ha ido evolucionando en los últimos años y que, en la actualidad, se ha convertido en uno de los más demandados en el sector tecnológico. Estos serían los conocimientos básicos que deberías tener para empezar:

• Lenguajes de programación
• Git
• CI/CD
• Contenedores
• Monitorización

DevSecOps y SSDLC​

El rol de DevSecOps es una evolución del rol de DevOps, que integra la seguridad en el ciclo de vida del desarrollo de software. Para este rol, además de los conocimientos básicos de DevOps, deberías tener conocimientos en Seguridad en el Desarrollo de Software (SSDLC), que incluye:

• Threat Modeling
• SAST
• SCA
• DAST
• RASP

También es importante tener conocimientos de seguridad en áreas específicas como:

• Seguridad en la nube
• IAM (Identity and Access Management)
• Seguridad en contenedores
• Seguridad en APIs y microservicios

Certificaciones​

Haré otro capítulo específico para hablar de certificaciones y entorno académico, ¡no olvides suscribirte!

Sin duda Ollama es la herramienta más popular para ejecutar modelos de IA en local, pero Docker ha lanzado una nueva funcionalidad que permite ejecutar modelos de IA de forma sencilla e integrada en Docker Desktop.

En este artículo, exploraremos cómo ejecutar modelos de IA como Llama o deepseek en Docker Desktop, gracias a la nueva funcionalidad de docker model. ¿Estará a la altura?

Ya estuve hablando de esta funcionalidad durante su fase beta en este vídeo: https://youtu.be/RPrZXQiIy_k

Su mayor limitación era una ausencia de interfaz práctica para modelos y que solo funcionaba en Mac. Tras solventar esto, ahora podemos ejecutar modelos de IA en Docker Desktop de forma sencilla y rápida.

Requisitos​

• Docker Desktop 4.41 o superior
• 8 Gb de RAM

Descargar un modelo en Docker Desktop​

Para descargar un modelo, simplemente ejecutamos el siguiente comando:

docker model pull <nombre del modelo>

Otra novedad es que ahora tenemos una sección de modelos en el Docker Hub, donde podemos ver los modelos disponibles y su documentación.

Puedes acceder a esta sección en el siguiente enlace: https://hub.docker.com/catalogs/models

Tras descargar el modelo, podemos utilizar la sección de docker desktop para ver los modelos que tenemos disponibles.

Ejecutar un modelo​

Para ejecutar un modelo, simplemente ejecutamos el siguiente comando:

docker model run <nombre del modelo>

En este caso, el modelo se ejecutará en modo interactivo y nos permitirá interactuar con él a través de la terminal.

También podríamos ejecutar el modelo con un prompt de entrada, por ejemplo:

docker model run <nombre del modelo> --prompt "¿Cuál es la capital de España?"

Esto nos permitirá obtener una respuesta del modelo sin necesidad de interactuar con él a través de la terminal.

Ejemplos de aplicaciones utilizando modelos​

Para esta parte, docker ha creado tres ejemplos de chats sencillos que interactúan con los modelos de IA proporcionados por docker.

Los tenemos en el siguiente repositorio: https://github.com/docker/hello-genai

Podemos ejecutar los ejemplos de la siguiente manera:

chmod +x run.sh
./run.sh

Este script realiza un pull del modelo necesario y ejecuta las diferentes aplicaciones de chat. Puedes acceder a ellas a través de la siguiente URL: http://localhost:8080, http://localhost:8081 y http://localhost:8082

También puedes editar el modelo a utilizar cambiando los valores del fichero .env que por defecto son los siguientes:

# Configuration for the LLM service
LLM_BASE_URL=http://model-runner.docker.internal/engines/llama.cpp/v1

# Configuration for the model to use
LLM_MODEL_NAME=ai/llama3.2:1B-Q8_0

Conclusiones​

Docker ha lanzado esta nueva funcionalidad que sin duda facilitará la vida a muchos desarrolladores que quieran experimentar con modelos de IA sin necesidad de tener un entorno complejo o complicado.

Si que echo en falta poder utilizarlo en Docker Engine sobre servidores linux, pero no dudo en que lo veremos muy pronto.

Espero que este artículo te haya sido útil y que te animes a probar esta nueva funcionalidad de Docker Desktop.

Un abrazo y nos vemos en el siguiente.

Hola comunidad, me lo habéis pedido varias personas, ya sea porque os interese como he llegado a donde estoy o que ruta seguir para llegar a ser DevSecOps. Este es mi vídeo (o blog, según donde estes consumiendo esto) más personal hasta la fecha, en el que espero que mi experiencia os pueda servir de ayuda para tomar unas decisiones u otras.

Primero os quería compartir lo que ha sido mi trayectoria personal y profesional, por si os sirve de experiencia, porque tampoco es la mejor ruta ni la más rápida, pero fue la que por circunstancias de la vida fue eligiendo dentro las opciones que tuve.

En la segunda parte, te hablaré de toda la tecnología que aprendí por el camino y como empezaría yo en 2025.

Parte 1: Mi trayectoria personal y profesional​

Primeros pasos hasta llegar a la informática​

He de confesar que fuí un pésimo estudiante, me faltaba motivación, disciplina y el sistema educativo me generaba mucha frustración. Ya en bachiller no me servía de nada ir a los exámenes sin estudiar, empecé a suspender muchas asignaturas y lo saqué a marchas forzadas con unas notas pésimas.

Mi etapa universitaria fue breve, empecé la carrera de historia (si, poco que ver con lo que hago ahora. La culpa la tienen las películas de Indiana Jones supongo). Tras otros dos años perdidos y totalmente desmotivado al saber lo que me esperaría al terminar la carrera (dado el paro que había en ese momento y actualmente creo que también es una de las carreras con más paro), decidí dejarlo como un hobby y dedicarme a algo que me gustaba y que además tenía salida laboral, la informática.

Esta pasión la arrastraba desde pequeño, sobretodo por los videojuegos y querer entender como se creaban y funcionaban. Aunque muchas empezamos en esto con la misma idea, la realidad es que no es tan fácil como parece. La informática es un mundo muy basto y complejo, y muchos no superan la frustración de no entender la programación o todo la basta capas de abstracción que hay en la informática.

Bueno, una vez enfocado, creo que con unos 21 años y un poco más centrado en la vida, empecé el grado superior de desarrollo de aplicaciones web o DAW, y luego, en año más el grado de desarrollo de aplicaciones multiplataforma o DAM. En este punto ya estaba completamente enamorado de la programación y me daba siempre más pereza la parte de infrastructura y redes.

Salida al mundo laboral​

2016, ya tenía unos meses de experiencia en las prácticas de DAW y aunque la programación web me gustaba, prefería la parte de programación backend. Sali de DAM y, casualidades de la vida, un profesor nos convenció a mi y a un compañero para hacer realidad un proyecto de ciberseguridad. Jóvenes y sin absolutamente nada que perder ni ningún ápice de experiencia en seguridad nos sumamos a la aventura.

Tras aproximadamente un año de trabajo, empezamos a ver los primeros ingresos y la empresa fue creciendo. Actualmente rondamos los 20 trabajadores y tenemos varios proyectos muy interesantes. La empresa es SSHTeam y damos una completa gama de servicios de seguridad a nivel nacional e internacional. Os dejo el link de la web.

En cualquier caso, desde que empezamos a ver temas de seguridad, lo primero que vimos en aquella época es que no había estudios reglados y que todo eran certificaciones. Tras decantarnos por la OSCP, muy enfocada en el pentesting, tuve que meterme una maratón de aprendizaje de linux, redes, servicios.. en fin, aunque la parte de programación web me ayudó mucho para explotar vulnerabilidades en aplicaciones y conseguir obtenerla.

Esto nos situa en 2018, ya tenía un par de años de experiencia, una certificación potente y se abrian nuevas oportunidades.

El auge de la seguridad en desarrollo​

A finales de ese mismo año, y estando muy especializado en servicios de seguridad (principalmente pentesting), se me abrió la oportunidad de entrar como externo a trabaja en Mediapro para empujar la pata de SSDLC. Fué un año duro, de mucho aprendizaje, me mudé a Barcelona, me dieron palos (metafóricamente) hasta en el carnet de identidad, me di cuenta que no sabía todo lo que yo pensaba, mi inglés no estaba a la altura. Esto me generó mucha ansiedad y malos momentos.

Tras terminar el proyecto, con más sombras que luces, me había llevado una masterclass del mundo corporativo, de la gestión de la ansiedad y de como funciona la seguridad en el mundo del desarrollo.

A finales de ese año, de vuelta en mi querida La Rioja y retomando mis funciones habituales en mi empresa, me enamoré también de los contenedores, la metodología DevOps y la orquestación de servicios.

Creando unos buenos cimientos​

Los siguientes 2-3 años los combiné haciendo una funcion de DevOps para mi expresa y como consultoría externa de seguridad y DevSecOps para otras empresas. Sin duda, con cuantos más clientes o empresas trabajes más experiencia y visión global obtendras. Como siempre digo, ninguna solución es perfecta y siempre hay que adaptarse al entorno en el que estás trabajando.

Aquí transformamos nuestros procesos de desarrollo, tuve la libertar de probar nuevas tecnologías, crear desde cero la estrategia, automatizar todo lo que se podía, transformar ideas en productos.

La parte de una startup trae cosas muy positivas, se es muy ágil para aplicar cambios, se puede ser muy innovador pero también tienes que hacer de todo. Desde facturas, trato con el cliente, gestión de proyectos... y todo sin descuidar la parte técnica. De todas formas, creo que es la etapa que más me ha curtido de mi vida, abarcando muchas disciplinas y aprendiendo algo de cada una de ellas.

Se que en este punto, no he hablado apenas de la tecnología, no te preocupes que al final sacaré las conclusiones y unas recomendaciones de tecnologías a aprender pero necesitaba explicar mi proceso de aprendizaje y como he llegado a donde estoy.

Si digo esto es principalmente porque, llegado a este punto, habiendo tenido que trabajar con clientes, gestionar equipo, definir estrategia técnica ir a eventos a vender productos... el mayor aprendizaje que me llevé es el de las "softskills" que llamamos o habilidades blandas. Damos siempre mucha importancia a el conocimiento técnico pero, si no sabes comunicar lo que sabes, de poco sirve. También hay que saber tratar con personas, gestionar conflictos y empatizar con las personas.

Nuevas oportunidades y ambiciones​

Para 2020 ya tenía una buena base de conocimientos, la pandemía nos sacudía a todos y la seguridad en un entorno remoto cogió más importancia que nunca. Nuestra empresa creció mucho, nuevas oficinas y nuevos proyectos. Fué a finales de ese año cuando me surgió la posibilidad de entrar como externo en el Banco Santander como SecDevOps en el equipo CISO de ciberseguridad.

Aunque una empresa tan grande tiene unos contras muy claros, como la burocracia, los tiempos y, sobretodo la banca, unos marcos normativos muy estrictos, también tiene sus ventajas. La posibilidad de trabajar con tecnologías punteras, un equipo muy senior me dió la oportunidad de aprender mucho y seguir creciendo.

Para 2022, empecé este pequeño proyecto que, además de potenciar mi marca personal, se comvirtió en muy mayor fuente de aprendizaje. Tengo esta cita de Richard Feynman en todas partes, "Si quieres dominar algo, enséñalo". Y es que, al final, la mejor forma de aprender es enseñar, en en ese momento cuando nos damos cuentas que sabemos las cosas pero nunca las terminamos de entender del todo.

Además, potencié mucho más mi currículum obteniendo varias certicicaciones como la ISO27001 enfocada a auditoría de seguridad y luego el CKA para la parte de Kubernetes.

Cambios personales y profesionales​

2023, un punto de inflexión en mi vida. Tras años de mucho trabajo, pasión y también estrés, se sumaron dos nuevas variables, el inminente nacimiento de mi hijo y la oportunidad de internalizarme en el Banco Santander. Aunque la decisión fue difícil, pude organizarme con mis socios para no dejar la empresa y seguir colaborando con ellos desde un punto de vista más estratégico, organicé mi vida familiar para mudarnos a Madrid, esto fué más duro aún y comenzar una nueva aventura.

También hay momentos en la vida en la que, es ahora o nunca, con un hijo más mayor asentado en una escuela no lo podría haber hecho.

Este último año también aproveché para asentar mejor mis conocimientos de kubernetes y obtuve la certificación CKS y CKAD.

Esto nos situa en el presente. Y tras haberte contado literalmente mi vida, toda esta chapa tenía un propósito, extraer varias moralejas y conclusiones que he extraido de mi experiencia y, aunque seguro que las has oido mil veces, igual desde mi experiencia te aportan algo nuevo.

Moralejas personales​

Después de todos estos años de experiencia en el mundo del desarrollo, la seguridad y DevOps, estas son mis lecciones de vida:

• No tengas miedo a equivocarte, cuanto antes lo hagas antes encontrarás tu camino o aprenderás de ello.
• De nada te sirve todo el conocimiento técnico del mundo si no sabes comunicarlo. Cuida tus softskills.
• No te metas en la tecnología por el dinero, se puede ganar mucho si eres bueno, pero si no lo haces por pasión llegarás completamente quemado a tu objetivo. Este sector puede ser estresante y puede quemarte fácilmente.
• De cara a clientes y gran empresa, deja todo por escrito, siempre. Puedes confiar en la buena voluntad de las personas cuando todo va bien pero cuando las cosas se complican empiezan los malentendidos y si eres el último mono te acabarás comiendo el marrón.
• No dejes pasar las oportunidades, la vida te dará pocas. Tampoco esperes a que te las den, sal a buscarlas.
• Empieza ya, no esperes a perfeccionar nada, morirás buscando la perfección sin encontrarla.
• Piensa a largo plazo, mientras eres joven puedes hacer muchas cosas, luego la vida se complica o no tienes todo el tiempo y las ganas de seguir aprendiendo. Aquí es mi lección más personal, no esperes a tener 31 años y un hijo para sacarte la ingeniería (estudio u objetivos que tengas en mente), te pasará factura a tu salud mental jaja.

Bueno, espero que mi experiencia personal os haya sido útil y haya cumplido las expectativas de todos los que me lo pedíais. Ahora vamos a la parte técnica, la puedes ver en el siguiente video/post: Ruta SecDevOps 2025.