TEI – Tema 31. Servicios de datos corporativos. Conceptos de intranets, extranets y redes privadas virtuales. Sistemas y mecanismos que permiten dar soporte a estas soluciones. Estrategias de implantación. Planificación, diseño y gestión de redes privadas virtuales. Aplicaciones y tendencias. La Red Corporativa de Telecomunicaciones de la Junta de Andalucía. Redes Sara y Nerea. - Descubre la Innovación en Tecnología Sanitaria y Salud Digital Avanzada

Tema 31 – Servicios de Datos Corporativos, VPN, SARA y NEREA | SAS

💪 ¡Hola, Opositor/a!

Soy Esteban Castro, tu preparador. Este Tema 31 es absolutamente CRÍTICO porque toca la columna vertebral de las comunicaciones del SAS y toda la administración andaluza. Lo sé porque he analizado todos los exámenes reales desde 2019 hasta 2025, y te puedo asegurar que caen preguntas sobre VPN, SARA y NEREA prácticamente en todas las convocatorias. No es un tema de relleno, es un tema que te puede dar puntos vitales en el examen.

Este documento está elaborado específicamente para ti, incorporando preguntas reales que han caído en exámenes anteriores del SAS y otras categorías TIC. Vamos a por esa plaza.

🎯 ANÁLISIS DE EXÁMENES REALES – ¡MUY IMPORTANTE!

He analizado todos los cuestionarios del proyecto (2019-2025) y he encontrado lo siguiente sobre este Tema 31:

📊 PREGUNTAS SOBRE VPN (4 preguntas + 1 supuesto práctico):

Pregunta 38 (OEP 2025 Libre): Protocolos de cifrado VPN → Respuesta: SSL/TLS
Pregunta 39 (OEP 2025 Libre): Propósito principal VPN → Respuesta: Acceso remoto seguro a red privada
Pregunta 94 (Agencia 2023): Protocolos VPN (L2TP, OpenVPN) → ANULADA (ambas correctas)
⭐ SUPUESTO PRÁCTICO 149 (TTM 2025): Facultativo solicita VPN para acceso a banco de sangre → Proceso: Solicitud en AyudaDigital + Aprobación responsable jerárquico + Autorización DGSIC
Pregunta 132 (Agencia 2023): Herramientas teletrabajo SAS → Respuesta: SARAC, Zoom Workplace, VPN, Correo, Consigna

📊 PREGUNTAS SOBRE RED SARA (3 preguntas):

Pregunta 52 (TÉ 2023): Características Red SARA → Respuesta: Todas correctas (infraestructura + servicios + acrónimo)
Pregunta 41 (OEP 2025 Libre): Propósito principal Red SARA → Respuesta: Conectar infraestructuras AAPP españolas
Pregunta 93 (TÉ 2019): Definición Red SARA → Respuesta: Sistema comunicaciones AAPP + instituciones europeas

📊 PREGUNTAS SOBRE RED NEREA (3 preguntas):

Pregunta 54 (TÉ 2023): Afirmación FALSA sobre NEREA → ANULADA (todas eran ciertas)
Pregunta 93 (Agencia 2023): Nodo central NEREA → Respuesta: Centro de Servicios Comunes (CSC)
Pregunta 91 (TÉ 2019): Características NEREA → Respuesta: Todas correctas
Pregunta 48 (TÉ 2023): Red interconexión jerárquica → Respuesta: NEREA

📊 PREGUNTAS SOBRE EXTRANETS (1 pregunta):

Pregunta 53 (TÉ 2023): Definición Extranet → Respuesta: Todas correctas (tipo VPN + usuarios internos/externos + conexión intranets)

💡 CONCLUSIÓN: Este tema tiene peso específico en el examen. Debes dominar perfectamente VPN (protocolos, tipos, solicitud en SAS), Red SARA (propósito, servicios @firma, Cl@ve), Red NEREA (CSC, arquitectura) y diferencia Intranet/Extranet.

📑 Índice de Contenidos

Introducción y Contextualización en el SAS
Servicios de Datos Corporativos: Conceptos Fundamentales
Intranets Corporativas
Extranets Corporativas
Redes Privadas Virtuales (VPN)
Evolución Tecnológica: SD-WAN y SASE
Estrategias de Implantación de VPN
Planificación, Diseño y Gestión de VPN
Red Corporativa de la Junta de Andalucía (RCJA)
Red SARA
Red NEREA
Aplicaciones y Tendencias
Mapa Conceptual
Cuestionario (30 Preguntas)
Referencias Normativas y Bibliográficas

1. Introducción y Contextualización en el SAS

Los servicios de datos corporativos constituyen el sistema nervioso central de cualquier organización moderna, y más aún en el ámbito de la sanidad pública andaluza. Cuando hablamos del Servicio Andaluz de Salud, estamos hablando de una organización que debe garantizar conectividad segura y permanente entre más de 1,500 centros sanitarios distribuidos por toda Andalucía, dando servicio a más de 100,000 profesionales sanitarios y soportando sistemas críticos como Diraya, que gestiona millones de historias clínicas digitales.

En este contexto, las intranets, extranets y redes privadas virtuales no son conceptos teóricos de un libro de texto, son tecnologías que sostienen día a día la atención sanitaria que reciben 8.5 millones de andaluces. Un médico que accede desde su consulta en un centro de salud de Almería a la historia clínica de un paciente que fue atendido en urgencias del Hospital Virgen del Rocío en Sevilla está utilizando estos servicios de datos corporativos. Un facultativo de guardia que desde su domicilio necesita consultar el banco de sangre del hospital está dependiendo de una VPN corporativa correctamente configurada y gestionada.

🏥 Contexto SAS:

El SAS gestiona una de las infraestructuras TIC sanitarias más complejas de Europa. La Red Corporativa del SAS interconecta 35 hospitales de alta resolución, 1,477 centros de atención primaria, 61 distritos de atención primaria, 8 centros de transfusión sanguínea, y múltiples servicios centrales. Todo ello debe funcionar con disponibilidad del 99.9% porque hablamos de servicios críticos donde un fallo de conectividad puede impactar directamente en la atención a un paciente.

Pero la conectividad del SAS no opera en un vacío tecnológico. La Junta de Andalucía ha desarrollado una arquitectura de redes corporativas integrada que conecta no solo al SAS, sino a todas las consejerías, organismos autónomos y entidades locales andaluzas. Esta arquitectura se articula en torno a tres elementos clave que estudiaremos en profundidad en este tema:

Red Corporativa de la Junta de Andalucía (RCJA): La autopista digital que interconecta todas las dependencias de la administración autonómica, incluido el SAS.
Red SARA: La red nacional que conecta a todas las administraciones públicas españolas (AGE, CCAA, administración local) y a las instituciones europeas, proporcionando servicios comunes como @firma, Cl@ve, o la plataforma de intermediación.
Red NEREA: La innovadora red regional andaluza que extiende la interoperabilidad hasta el nivel local, conectando ayuntamientos y entidades locales con la RCJA y, a través de ésta, con SARA y el resto de administraciones.

⚖️ Marco Normativo Aplicable:

Todo este ecosistema de servicios de datos corporativos está rigurosamente regulado por un marco normativo que debes conocer perfectamente para la oposición:

Ley 11/2007: Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (artículo 43: Red SARA)
Real Decreto 4/2010: Esquema Nacional de Interoperabilidad (ENI) – artículo 13: requisitos de conexión a SARA
Real Decreto 311/2022: Esquema Nacional de Seguridad (ENS) – medidas de seguridad para sistemas de comunicaciones
Reglamento (UE) 2016/679: RGPD – protección de datos en tránsito y accesos remotos
Ley Orgánica 3/2018: LOPDGDD – obligaciones específicas de seguridad en comunicaciones
Reglamento (UE) 910/2014: eIDAS – identificación electrónica y servicios de confianza

1.1. Relevancia para el Técnico Especialista en Informática del SAS

Como futuro Técnico Especialista en Informática del SAS, tu trabajo diario va a implicar gestionar, mantener y resolver incidencias relacionadas con estos servicios de datos corporativos. Verás que hay patrones que se repiten: facultativos que necesitan acceso VPN para teletrabajo, centros de salud con problemas de conectividad a Diraya, integraciones de nuevos sistemas que requieren configurar accesos a través de la Red Corporativa, auditorías de seguridad que evalúan cumplimiento ENS en las comunicaciones…

Por eso este tema no es teórico, es tremendamente práctico. Y lo más importante, cae sistemáticamente en los exámenes. He analizado todas las convocatorias desde 2019, y puedo confirmarte que las preguntas sobre VPN, SARA y NEREA aparecen de forma recurrente. Más aún, suelen incluir supuestos prácticos como el que cayó en 2025 sobre solicitud de VPN para un facultativo de guardia. Estos supuestos no se improvisan, requieren conocer los procedimientos reales del SAS, que veremos en detalle.

1.2. Esquema del Tema

Este tema lo vamos a estructurar siguiendo una lógica que va de lo general a lo específico, de los conceptos fundamentales a las implementaciones concretas del SAS y la Junta de Andalucía:

Primero estableceremos los conceptos fundamentales de servicios de datos corporativos, entendiendo qué son, para qué sirven, y cuáles son sus componentes principales. A continuación estudiaremos las tres grandes tipologías de redes corporativas: intranets (redes internas corporativas), extranets (extensión controlada para usuarios externos), y VPN (redes privadas virtuales para acceso remoto seguro o interconexión de sedes).

Con esa base tecnológica clara, profundizaremos en aspectos prácticos de planificación, diseño, implantación y gestión de VPN, que son los que más caen en exámenes prácticos. Veremos tipos de VPN, protocolos (IPsec, SSL/TLS, OpenVPN, WireGuard), arquitecturas, y cómo dimensionar y operar un servicio VPN corporativo.

Después estudiaremos las tecnologías de nueva generación que están transformando las redes corporativas: SD-WAN (redes de área amplia definidas por software) y SASE (convergencia de red y seguridad en cloud), porque el tribunal puede preguntar por evoluciones tecnológicas y tendencias.

Finalmente, nos centraremos en las implementaciones específicas que debes conocer al dedillo: la Red Corporativa de la Junta de Andalucía (RCJA), la Red SARA nacional, y la Red NEREA regional. Aquí veremos arquitecturas reales, servicios concretos, procedimientos de adhesión, y gobernanza, con ejemplos prácticos del SAS.

Terminaremos con un cuestionario de 30 preguntas diseñadas para reflejar el estilo y dificultad de las preguntas reales que han caído en convocatorias anteriores. Vamos allá.

2. Servicios de Datos Corporativos: Conceptos Fundamentales

2.1. Definición y Alcance

Los servicios de datos corporativos engloban el conjunto de aplicaciones, plataformas, infraestructuras y procesos que permiten a una organización gestionar sus activos de información y proporcionar conectividad segura entre usuarios, sistemas y datos, independientemente de su ubicación física. En términos más sencillos, son todos los servicios tecnológicos que hacen posible que los profesionales de una organización accedan a la información que necesitan para trabajar, colaboren entre sí, y compartan recursos de forma segura y eficiente.

✅ Objetivos Clave de los Servicios de Datos Corporativos:

Productividad: Facilitar acceso inmediato a información y herramientas necesarias para el desempeño profesional
Colaboración: Permitir trabajo en equipo efectivo sin barreras geográficas ni temporales
Seguridad: Proteger información sensible y garantizar confidencialidad, integridad y disponibilidad
Disponibilidad: Asegurar acceso 24/7 a servicios críticos (especialmente relevante en sanidad)
Escalabilidad: Adaptarse al crecimiento y evolución organizacional
Eficiencia: Optimizar recursos tecnológicos y operacionales
Cumplimiento normativo: Satisfacer requisitos legales (RGPD, ENS, ENI, Ley 39/2015)

2.2. Componentes Principales

Los servicios de datos corporativos se estructuran en múltiples capas tecnológicas que trabajan de forma integrada. Es importante que comprendas esta arquitectura en capas porque te ayudará a entender cómo se relacionan entre sí los diferentes componentes y a diagnosticar problemas en entornos reales:

Capa	Componentes	Función Principal
Capa de Red	LAN, WAN, VPN, enlaces dedicados	Proporciona conectividad física y lógica entre ubicaciones
Capa de Servicios de Directorio	Active Directory, LDAP, IdenTIC (SAS)	Autenticación y autorización centralizadas de usuarios
Capa de Aplicaciones	ERP (SAP), Diraya, InterSAS, BPS, SIGLO	Aplicaciones empresariales/clínicas que dan servicio al negocio
Capa de Datos	Bases de datos, almacenamiento SAN/NAS, backup	Persistencia y gestión de información corporativa
Capa de Seguridad	Firewalls, IDS/IPS, cifrado, control accesos	Protección perimetral y de datos
Capa de Gestión	Monitorización (Centreon), SIEM, inventario	Supervisión, análisis y administración de infraestructura

En el SAS, esta arquitectura en capas se materializa en sistemas concretos que probablemente ya conozcas o con los que trabajarás: la capa de red incluye la Red Corporativa SAS conectada a RCJA; la capa de directorio utiliza IdenTIC como sistema de autenticación unificada; la capa de aplicaciones engloba Diraya, el sistema de historia clínica digital, junto con InterSAS, BPS, SIGLO y decenas de aplicaciones clínicas y de gestión; la capa de datos reside en los CPD del SAS con sistemas de almacenamiento de alta disponibilidad y backup diario; la capa de seguridad implementa firewalls perimetrales, SIEM para detección de amenazas, y cumplimiento de ENS nivel medio/alto según criticidad del sistema.

3. Intranets Corporativas

3.1. Concepto y Características

Una intranet es una red privada de ámbito corporativo que utiliza tecnologías y protocolos de Internet (TCP/IP, HTTP, HTML, etc.) pero que permanece aislada del acceso público externo. Funciona como un espacio digital interno donde los empleados acceden a información, aplicaciones y servicios corporativos de forma centralizada y segura.

🎯 PREGUNTA REAL DE EXAMEN

Pregunta 59 (OEP 2025 PI): ¿Qué tipo de red es la Intranet del SAS desde el punto de vista del acceso a la misma?

A) Pública
B) Semi-pública
C) Privada ✅
D) Ninguna de las anteriores

Respuesta Correcta: C) Privada

Explicación: La Intranet del SAS es una red de acceso privado, restringido exclusivamente a los profesionales del Servicio Andaluz de Salud autenticados mediante IdenTIC. No es accesible desde Internet público ni siquiera de forma semi-pública. El acceso desde ubicaciones externas requiere conexión VPN corporativa previa.

Las intranets modernas han evolucionado enormemente desde sus orígenes como simples repositorios de documentos estáticos. Hoy en día, una intranet corporativa es una plataforma dinámica, interactiva y personalizada que integra múltiples servicios en un portal unificado. En el SAS, la Intranet Corporativa proporciona acceso a manuales de procedimientos, protocolos clínicos actualizados, comunicados internos, directorio de profesionales, aplicaciones de autoservicio de RRHH, y acceso web a multitud de aplicaciones clínicas y administrativas.

3.2. Componentes Técnicos de una Intranet

Infraestructura de Red

Red de área local (LAN) o red de área amplia (WAN) privada corporativa
Servidores web internos (Apache, IIS, Nginx) ubicados en CPD
Sistemas de balanceo de carga para alta disponibilidad
Firewalls internos para segmentación de red por servicios/departamentos

Plataforma de Portal

Sistema de gestión de contenidos (CMS): SharePoint, Liferay, Drupal
Motor de búsqueda empresarial: Elasticsearch, Apache Solr
Framework de single sign-on (SSO): IdenTIC en el SAS, basado en SAML/OAuth
APIs para integración con sistemas backend y aplicaciones corporativas

Servicios y Aplicaciones Integradas

Repositorio documental: Almacenamiento centralizado de documentos con control de versiones, metadatos y búsqueda
Colaboración: Wikis corporativas, foros internos, espacios de equipo para proyectos
Comunicación interna: Publicación de noticias, anuncios, boletines informativos, alertas
Autoservicio de empleados: Solicitud de ausencias, consulta de nóminas, inscripción en formación (GERONHONTE en SAS)
Directorio corporativo: Información de contacto, organigrama, localización de profesionales
Aplicaciones web integradas: Acceso unificado a ERP, CRM, y sistemas específicos sin múltiples logins

💡 Ejemplo SAS:

La Intranet del SAS proporciona acceso unificado a través de IdenTIC a aplicaciones como Diraya Web, InterSAS (gestión económico-administrativa), SIGLO (logística), GERONHONTE (gestión de RRHH), BPS (Business Intelligence), InfoWEB (cuadros de mando), AyudaDIGITAL (centro de servicios), y decenas de aplicaciones clínicas departamentales. Todo desde un único punto de acceso con autenticación unificada.

4. Extranets Corporativas

4.1. Definición y Diferencias con Intranet

Una extranet es una extensión controlada de la intranet corporativa que permite el acceso a usuarios externos específicos (socios comerciales, proveedores, clientes, colaboradores) a determinados recursos y servicios de la organización. Mientras que la intranet es exclusivamente interna, la extranet establece un espacio intermedio seguro para la colaboración B2B (Business-to-Business) o B2C (Business-to-Customer).

🎯 PREGUNTA REAL DE EXAMEN

Pregunta 53 (TÉ 2023): Una Extranet:

A) Es un tipo particular de VPN
B) Permite usuarios internos y externos
C) Es una conexión de dos o más Intranets que utilizan Internet como medio de transporte de información
D) Todas son correctas ✅

Respuesta Correcta: D) Todas son correctas

Explicación: Esta pregunta resume perfectamente las características de una extranet. Es efectivamente un tipo de VPN (túneles seguros para usuarios externos), permite acceso tanto a usuarios internos como externos autorizados, y técnicamente conecta dos o más redes privadas (intranets de diferentes organizaciones) utilizando Internet como medio de transporte pero con túneles cifrados que garantizan privacidad y seguridad equivalente a una red privada.

4.2. Casos de Uso en el SAS

Aunque las extranets son más comunes en entornos empresariales tradicionales, el SAS también implementa conceptos de extranet en varios escenarios:

Portal de Proveedores y Licitaciones

El SAS proporciona acceso a empresas proveedoras para consulta de pliegos, presentación de ofertas, seguimiento de adjudicaciones, y gestión de facturas electrónicas. Este acceso es controlado, requiere certificado digital, y está segregado de la intranet corporativa.

Integración con Mutuas y Aseguradoras

Para la gestión de accidentes laborales y pacientes de aseguradoras privadas, el SAS establece canales seguros de intercambio de información con mutuas y compañías de seguros, permitiendo consultas específicas de historias clínicas con consentimiento del paciente y trazabilidad completa.

Colaboración con Universidades y Centros de Investigación

Los hospitales universitarios del SAS proporcionan acceso controlado a investigadores externos para análisis de datos anonimizados, siguiendo estrictos protocolos de privacidad y cumplimiento RGPD. Este acceso se gestiona mediante extranet con autenticación reforzada.

4.3. Seguridad en Extranets

⚠️ MEDIDAS CRÍTICAS DE SEGURIDAD EN EXTRANETS:

Autenticación multifactor (MFA): Obligatoria para todos los usuarios externos sin excepción
Segregación de redes (DMZ): Servidores de extranet en zona desmilitarizada, aislados de red interna corporativa
Principio de mínimo privilegio: Acceso restringido estrictamente a recursos necesarios específicos
Cifrado de datos: TLS 1.3 para comunicaciones, cifrado en reposo para almacenamiento
Auditoría exhaustiva: Registro detallado de todas las actividades de usuarios externos con alertas de anomalías
Gestión de identidades: Procesos rigurosos de alta, modificación y baja de accesos vinculados a necesidad justificada
Monitorización continua: SIEM con detección de comportamientos anómalos y respuesta automatizada
Acuerdos legales: NDAs (acuerdos de confidencialidad) y términos de uso firmados obligatoriamente

5. Redes Privadas Virtuales (VPN)

5.1. Conceptos Fundamentales

Una Red Privada Virtual (VPN – Virtual Private Network) es una tecnología que crea un túnel cifrado sobre una red pública (típicamente Internet) permitiendo transmisiones seguras de datos como si los dispositivos estuvieran conectados directamente a una red privada. Las VPNs proporcionan tres garantías fundamentales: confidencialidad (mediante cifrado), integridad (mediante hashing), y autenticación (mediante certificados o credenciales).

🎯 PREGUNTAS REALES DE EXAMEN – VPN

Pregunta 38 (OEP 2025 Libre):

¿Cuál de los siguientes protocolos es utilizado por las redes VPN para cifrar los datos transmitidos?

A) HTTP/HTTPS
B) SSL/TLS ✅
C) FTP/SFTPS
D) VPN/SVPN

Respuesta Correcta: B) SSL/TLS

Explicación: SSL/TLS (Secure Sockets Layer / Transport Layer Security) es el protocolo estándar utilizado por las VPN SSL/TLS (también llamadas WebVPN o VPN sin cliente) para cifrar datos transmitidos. TLS 1.3 es la versión actual recomendada, proporcionando cifrado robusto con algoritmos como AES-256-GCM. Aunque IPsec es también un protocolo VPN común, la pregunta específicamente señala SSL/TLS como respuesta.

Pregunta 39 (OEP 2025 Libre):

¿Cuál es el propósito principal de una Red Privada Virtual, cuyas siglas en inglés son VPN?

A) Asegurar que los dispositivos conectados a una red compartan el mismo ancho de banda
B) Permitir el acceso remoto seguro a una red privada a través de internet ✅
C) Encapsular las IPs públicas para poder acceder a redes privadas
D) Dotar de una conexión 4G o 5G para poder acceder a la red corporativa

Respuesta Correcta: B) Permitir el acceso remoto seguro a una red privada a través de internet

Explicación: Esta es la definición perfecta del propósito de una VPN. Permite que usuarios remotos (p.ej. facultativos teletrabajando desde casa) o sedes remotas accedan de forma segura a recursos de la red corporativa privada utilizando Internet como medio de transporte, pero creando un túnel cifrado que garantiza confidencialidad, integridad y autenticación equivalente a estar físicamente conectado a la red privada.

5.2. Tipos de VPN

VPN de Acceso Remoto (Remote Access VPN)

Permite a usuarios individuales conectarse de forma segura a la red corporativa desde ubicaciones remotas. Es el tipo más utilizado para teletrabajo, movilidad profesional, y acceso desde dispositivos no corporativos controlados.

Componente	Descripción
Cliente VPN	Software instalado en dispositivo del usuario (Cisco AnyConnect, FortiClient, GlobalProtect, OpenVPN)
Concentrador VPN	Gateway corporativo que termina conexiones VPN (Cisco ASA, Palo Alto, Fortinet)
Autenticación	Credenciales corporativas + MFA (tipicamente token móvil o SMS)
Casos de uso	Teletrabajo, acceso desde dispositivos móviles, trabajadores itinerantes, guardias médicas

VPN Sitio a Sitio (Site-to-Site VPN)

Conecta dos o más redes corporativas (oficinas, sucursales, data centers) creando una WAN virtual sobre Internet. Los túneles son permanentes (always-on) entre routers o firewalls, transparentes para usuarios.

Característica	Detalle
Implementación	Router-to-router o firewall-to-firewall con túneles IPsec permanentes
Transparencia	Usuarios no requieren software adicional, conectividad automática entre sedes
Protocolos	IPsec típicamente, también GRE over IPsec para enrutamiento dinámico
Casos de uso SAS	Interconexión hospitales-CPD central, centros salud-distritos, replicación datos entre CPD

VPN SSL/TLS (WebVPN)

Proporciona acceso sin cliente dedicado mediante navegador web. Útil para acceso ocasional o desde dispositivos no corporativos donde no se puede instalar software.

Sin software: Acceso desde cualquier dispositivo con navegador moderno
Portal web: Interfaz que presenta aplicaciones y recursos disponibles
Limitaciones: Funcionalidad reducida comparado con cliente VPN completo, no todas las aplicaciones accesibles
Casos de uso: Acceso ocasional, dispositivos no corporativos, escenarios BYOD limitados, contingencias

5.3. Protocolos VPN

Protocolo	Capa OSI	Cifrado	Ventajas	Desventajas
IPsec	Capa 3 (Red)	3DES, AES-128/256	Muy seguro, estándar industrial, soporte nativo	Configuración compleja, problemas con NAT
SSL/TLS	Capa 4/7 (Aplicación)	TLS 1.2/1.3	Fácil despliegue, atraviesa firewalls, acceso web	Mayor overhead, menos eficiente sitio-a-sitio
L2TP/IPsec	Capa 2 (Enlace)	IPsec para cifrado	Buen balance seguridad/rendimiento	Doble encapsulación reduce velocidad
OpenVPN	Capa 2/3	OpenSSL (AES-256)	Código abierto, muy flexible, altamente seguro	Requiere software third-party
WireGuard	Capa 3	ChaCha20, Poly1305	Muy rápido, código simplificado, moderno	Relativamente nuevo, menos maduro
PPTP	Capa 2	MPPE (débil)	Fácil configuración, amplio soporte	OBSOLETO, INSEGURO, NO RECOMENDADO

⚠️ NOTA SOBRE PREGUNTA ANULADA:

Pregunta 94 (Agencia 2023): ¿Cuál de las opciones siguientes es un protocolo de VPN? Opciones: PTTP, L2TP, PSTP, OpenVPN

Esta pregunta fue ANULADA porque tanto L2TP como OpenVPN son protocolos VPN válidos, haciendo que hubiera dos respuestas correctas. PTTP y PSTP no existen (probablemente erratas intentando referirse a PPTP). Esta anulación nos enseña la importancia de conocer con precisión todos los protocolos VPN estándar.

5.4. Arquitectura de Infraestructura VPN

🏗️ Componentes de una Solución VPN Corporativa:

Concentradores VPN: Dispositivos especializados (Cisco ASA, Palo Alto, Fortinet) que terminan túneles y gestionan sesiones
Servidor de autenticación: RADIUS/TACACS+ integrado con Active Directory o IdenTIC
Servidor de certificados (PKI): Para autenticación basada en certificados digitales de máquina/usuario
Sistema de gestión centralizada: Configuración, monitorización y reporting de VPN (Cisco FMC, Panorama)
Balanceadores de carga: Distribución de conexiones entre múltiples concentradores para escalabilidad
Sistemas de logging: SIEM para análisis de logs, detección de anomalías y auditoría
Portal de autoservicio: Descarga de clientes VPN, instrucciones, gestión de credenciales

5.5. Supuesto Práctico Real: Solicitud VPN Corporativa en el SAS

🎯 SUPUESTO PRÁCTICO REAL DE EXAMEN

Pregunta Reserva 149 (TTM 2025):

Durante las guardias, el Dr. Cuchilla debe acceder al PC de la unidad de cirugía donde consultar la disponibilidad de bolsas de sangre en el banco del hospital. Para ello necesitará una conexión VPN corporativa. ¿Dónde debe solicitarla y quién debe validarla?

A) El alta de la VPN es automática a través de IDENTIC al ser facultativo, no necesita validación
B) Solicita el alta en AyudaDigital, indicando su responsable jerárquico, quien deberá aprobar esta petición, que posteriormente autorizará la DGSIC del SAS ✅
C) Solicita el alta en AyudaDigital y es aprobada por el jefe de servicio de la DGSIC del SAS
D) Solicita el alta en AyudaDigital y es aprobada por el jefe de servicio de la Agencia Digital de Andalucía (ADA)

Respuesta Correcta: B

📋 PROCEDIMIENTO OFICIAL DE SOLICITUD VPN EN EL SAS:

PASO 1 – Solicitud del profesional: El facultativo/profesional crea una incidencia/petición en AyudaDigital (sistema de gestión de servicios TIC del SAS) solicitando acceso VPN corporativa. Debe indicar justificación (guardias, teletrabajo, necesidad específica) y su responsable jerárquico directo.
PASO 2 – Aprobación del responsable jerárquico: El responsable jerárquico del solicitante (jefe de servicio, coordinador de unidad, etc.) debe revisar y aprobar la solicitud, confirmando que existe necesidad justificada de acceso remoto. Esta aprobación se gestiona también a través de AyudaDigital.
PASO 3 – Autorización de la DGSIC: La Dirección General de Sistemas de Información y Comunicaciones del SAS revisa y autoriza definitivamente la solicitud, verificando cumplimiento de políticas de seguridad, ENS, y asignando perfiles de acceso apropiados.
PASO 4 – Provisión técnica: El equipo técnico de AyudaDigital procede a dar de alta el usuario en el concentrador VPN, genera credenciales si es necesario, y proporciona al profesional instrucciones de instalación y configuración del cliente VPN (típicamente Cisco AnyConnect en el SAS).
PASO 5 – Formación y documentación: El profesional recibe documentación sobre uso correcto de VPN, políticas de seguridad aplicables, y responsabilidades. Debe firmar compromiso de cumplimiento de normativa de seguridad TIC.

⚠️ POR QUÉ LAS OTRAS OPCIONES SON INCORRECTAS:

Opción A (Incorrecta): El acceso VPN NUNCA es automático, requiere proceso de solicitud y aprobación explícita por motivos de seguridad y auditoría. IdenTIC gestiona autenticación una vez concedido el acceso, pero no autoriza automáticamente accesos remotos.
Opción C (Incorrecta): Falta el paso crítico de aprobación del responsable jerárquico. No basta con aprobación de la DGSIC, debe haber validación jerárquica previa que confirme necesidad justificada.
Opción D (Incorrecta): La Agencia Digital de Andalucía (ADA) no interviene en procesos de alta de accesos específicos del SAS. ADA gestiona infraestructuras generales de la Junta, pero la DGSIC del SAS tiene autonomía completa en gestión de sus sistemas.

5.6. Consideraciones de Diseño y Dimensionamiento VPN

Dimensionamiento de Capacidad

Usuarios concurrentes: Calcular picos de conexión simultánea. En organizaciones con teletrabajo esporádico: 30-50% de plantilla total. En organizaciones con teletrabajo masivo (post-COVID): hasta 80-90% plantilla.
Ancho de banda: Provisionar túneles considerando overhead de cifrado (15-20% adicional). Para SAS: considerar acceso a historias clínicas con imágenes médicas de alta resolución.
Latencia aceptable: <50ms para aplicaciones interactivas (Diraya), <100ms para aplicaciones generales, <150ms para transferencias de archivos.
Capacidad de procesamiento: CPUs con aceleración AES-NI hardware para cifrado/descifrado eficiente. Un concentrador VPN moderno puede gestionar 10,000+ túneles concurrentes.

Alta Disponibilidad

Concentradores VPN en clúster activo-activo (reparto de carga) o activo-pasivo (failover)
Múltiples enlaces de Internet desde diferentes proveedores (redundancia de carrier)
Sesiones persistentes con failover transparente (StatefulFailover) para no interrumpir conexiones activas
Monitorización proactiva con alertas automáticas ante degradación de servicio

Seguridad Avanzada

🔒 MEDIDAS DE SEGURIDAD OBLIGATORIAS EN VPN CORPORATIVAS:

Autenticación multifactor (MFA): Obligatoria para todos los accesos remotos según ENS medio/alto
Postura del dispositivo: Verificación de antivirus actualizado, parches del SO, EDR activo antes de permitir conexión
Segmentación de acceso: Usuarios remotos en VLANs separadas con políticas de firewall restrictivas
Split-tunneling controlado: Definir qué tráfico va por VPN (recursos corporativos) y qué directo a Internet (navegación general)
Certificados con caducidad: Renovación automática y revocación centralizada mediante PKI
Protección anti-malware: Inspección de tráfico VPN en busca de malware, exploits, command & control

6. Evolución Tecnológica: SD-WAN y SASE

6.1. Software-Defined WAN (SD-WAN)

SD-WAN representa la evolución natural de las VPNs tradicionales y Zoom Workplaceos MPLS, aplicando principios de software-defined networking a las redes de área amplia corporativas. Permite gestionar múltiples tipos de conectividad (MPLS, Internet, LTE/5G) de forma inteligente y centralizada mediante controladores software.

🚀 CARACTERÍSTICAS PRINCIPALES DE SD-WAN:

Gestión centralizada: Configuración y políticas desde controlador cloud o on-premise, eliminando configuración router-by-router
Inteligencia de enrutamiento: Selección dinámica del mejor path según aplicación, latencia, pérdida de paquetes medidos en tiempo real
Optimización de aplicaciones: QoS y priorización automática de tráfico crítico (VoIP, videoconferencia, Diraya)
Múltiples transportes: Agregación de enlaces MPLS + Internet(s) + LTE para resiliencia y capacidad
Zero-touch provisioning: Despliegue automático de nuevas sedes sin intervención técnica local
Visibilidad end-to-end: Dashboards con métricas de rendimiento por aplicación y enlace
Reducción de costes: Sustitución de costosas líneas MPLS por Internet commodity (ahorro 30-50%)

6.2. SASE (Secure Access Service Edge)

SASE es un framework arquitectónico definido por Gartner en 2019 que converge capacidades de red (SD-WAN) y seguridad (SWG, CASB, FWaaS, ZTNA) en un único servicio cloud-native. Reconoce que el perímetro de seguridad tradicional ha desaparecido con la adopción masiva de cloud, movilidad y teletrabajo, requiriendo un nuevo modelo donde la seguridad se entrega como servicio desde el borde (edge).

Componentes de SASE

SD-WAN: Conectividad inteligente y optimizada
FWaaS (Firewall as a Service): Firewall de próxima generación en cloud
SWG (Secure Web Gateway): Filtrado de contenido web y protección contra amenazas
CASB (Cloud Access Security Broker): Seguridad y visibilidad para aplicaciones SaaS (Office 365, Salesforce)
ZTNA (Zero Trust Network Access): Acceso condicional basado en identidad y contexto
DLP (Data Loss Prevention): Prevención de fuga de datos en tránsito

Modelo Zero Trust en SASE

SASE se fundamenta en el principio Zero Trust: «nunca confíes, siempre verifica». Cada acceso a recursos corporativos require:

Verificación de identidad del usuario: Autenticación multifactor
Evaluación de postura del dispositivo: Parches, antivirus, compliance con políticas
Contexto de acceso: Ubicación geográfica, hora, nivel de riesgo calculado
Autorización granular: Por recurso específico, no acceso amplio a red
Monitorización continua: Durante toda la sesión, con capacidad de revocar acceso si cambia contexto

Aspecto	VPN Tradicional	SD-WAN	SASE
Conectividad	Túneles estáticos	Multi-path dinámico	Cloud-native global
Seguridad	Perimetral (on-premise)	Básica (túneles cifrados)	Integrada nativa (FWaaS, ZTNA)
Gestión	Por dispositivo	Centralizada (controlador)	Cloud management unificado
Acceso cloud	Backhauling a CPD	Breakout Internet local	Directo optimizado
Usuarios remotos	Cliente VPN dedicado	Cliente VPN + SD-WAN	Cliente SASE unificado
Escalabilidad	Limitada (hardware)	Buena	Elástica (cloud)
Modelo de coste	CAPEX alto	CAPEX + OPEX	OPEX (subscripción)

7. Estrategias de Implantación de VPN

7.1. Metodología de Proyecto

La implantación de una solución VPN corporativa, especialmente en una organización del tamaño y criticidad del SAS, requiere una metodología estructurada que minimice riesgos y garantice adopción exitosa:

FASE 1: Análisis y Diseño

Levantamiento de requisitos: Entrevistas con stakeholders (DGSIC, jefes de servicio, responsables de seguridad), análisis de procesos actuales de acceso remoto
Inventario de activos: Aplicaciones críticas que requieren acceso remoto (Diraya, SIGLO, BPS), datos sensibles, ubicaciones de usuarios
Análisis de tráfico: Caracterización de flujos de red, anchos de banda necesarios, patrones de uso temporal
Evaluación de seguridad: Identificación de riesgos específicos (RGPD datos de salud), requisitos ENS aplicables al SAS
Diseño de arquitectura: Topología de red, componentes (concentradores, PKI, RADIUS), integración con IdenTIC
Definición de políticas: Acceso por perfiles, seguridad (MFA obligatorio), uso aceptable, procedimientos de solicitud/baja

FASE 2: Preparación

Adquisición e instalación de hardware/software (concentradores VPN, licencias)
Configuración de entornos de desarrollo y pruebas (nunca probar directamente en producción)
Desarrollo de documentación técnica (runbooks de configuración, troubleshooting) y procedimientos operacionales
Preparación de materiales de formación para usuarios finales
Establecimiento de plan de migración detallado y plan de rollback en caso de problemas

FASE 3: Piloto

Despliegue en grupo reducido de usuarios piloto (voluntarios técnicamente competentes)
Validación funcional exhaustiva de todos los casos de uso (acceso Diraya, SIGLO, correo, etc.)
Pruebas de rendimiento y carga (simular conexiones masivas)
Identificación y resolución de problemas en entorno controlado
Ajuste de configuraciones basado en feedback real de usuarios piloto

FASE 4: Despliegue

Rollout progresivo por fases (por ejemplo: primero distritos atención primaria, luego hospitales nivel 2, finalmente hospitales nivel 3)
Migración de usuarios y servicios según planificación temporal definida
Formación intensiva de usuarios finales (sesiones presenciales + material online + vídeos)
Soporte reforzado de AyudaDigital durante periodo de estabilización (incrementar plantilla, horarios ampliados)
Monitorización continua de métricas de adopción (% usuarios conectados, tickets de soporte, satisfacción)

FASE 5: Estabilización y Mejora Continua

Resolución de incidencias residuales no críticas
Optimización de rendimiento (ajuste QoS, split-tunneling, compresión)
Análisis de métricas y KPIs (disponibilidad, latencia, throughput, satisfacción usuario)
Recopilación sistemática de feedback de usuarios
Planificación de mejoras y nuevas funcionalidades (p.ej. acceso desde dispositivos móviles iOS/Android)

7.2. Estrategias de Migración

⚠️ ENFOQUES DE MIGRACIÓN:

Big Bang (Corte directo):
- Ventaja: Rápido, sin periodo de coexistencia compleja
- Riesgo: Alto impacto si hay problemas no detectados en piloto
- Adecuado: Organizaciones pequeñas, ventana de mantenimiento amplia disponible
Paralelo (Coexistencia temporal):
- Ventaja: Rollback inmediato a sistema anterior si problemas graves
- Riesgo: Complejidad de gestionar dos sistemas simultáneamente
- Adecuado: Entornos críticos donde no se puede tolerar downtime, organizaciones medianas
Faseado (Por grupos):
- Ventaja: Riesgo distribuido, aprendizaje iterativo aplicable a siguientes fases
- Riesgo: Periodo de migración prolongado (meses)
- Adecuado: Grandes organizaciones (SAS), despliegues complejos

7.3. Factores Críticos de Éxito

Sponsorship ejecutivo: Apoyo visible y comunicado de la Dirección del SAS
Comunicación clara: Información transparente y frecuente sobre cambios, beneficios, calendario
Gestión del cambio: Programa estructurado para facilitar adopción, abordar resistencias
Formación adecuada: Capacitación técnica y de usuario final antes del despliegue
Soporte dedicado: Help desk reforzado durante transición, con tiempos de resolución comprometidos
Monitorización proactiva: Detección temprana de problemas antes de que impacten masivamente
Flexibilidad: Capacidad de ajustar plan según feedback y problemas emergentes

8. Planificación, Diseño y Gestión de VPN

8.1. Gestión del Ciclo de Vida

Aprovisionamiento de Usuarios

Como vimos en el supuesto práctico real, el proceso de alta de acceso VPN en el SAS requiere:

Solicitud formal en AyudaDigital con justificación de necesidad
Aprobación del responsable jerárquico directo
Autorización de la DGSIC verificando cumplimiento políticas de seguridad
Provisión técnica: alta en concentrador VPN, generación de credenciales si procede
Entrega de instrucciones de configuración y formación en uso correcto
Firma de compromiso de cumplimiento de políticas de seguridad TIC

Gestión de Cambios

Control de cambios en configuraciones de VPN mediante proceso formal (RFC – Request for Change)
Versionado automático y backup de configuraciones antes de cada cambio
Procedimientos de testing obligatorio en entorno de pruebas antes de aplicar en producción
Ventanas de mantenimiento planificadas y comunicadas con antelación
Documentación completa de cada cambio (qué, por qué, cuándo, quién, rollback plan)

Gestión de Incidentes

Procedimientos de troubleshooting escalonados (nivel 1, 2, 3 de AyudaDigital)
Base de conocimiento con problemas comunes y soluciones documentadas
Tiempos de resolución definidos según severidad (P1: 1h, P2: 4h, P3: 24h, P4: 5 días)
Escalado automático para incidentes críticos (P1: caída completa del servicio VPN)
Post-mortem obligatorio tras incidentes graves para prevenir recurrencia

8.2. Monitorización y Análisis

📊 MÉTRICAS CLAVE DE MONITORIZACIÓN VPN:

Disponibilidad:

Uptime de concentradores VPN (objetivo: >99.9% en SAS sistemas críticos)
Disponibilidad de enlaces de conectividad Internet redundantes
Tiempo de respuesta de servicios de autenticación (IdenTIC, RADIUS)

Rendimiento:

Throughput de túneles VPN agregado (Mbps)
Latencia end-to-end (<50ms objetivo para aplicaciones interactivas)
Pérdida de paquetes (<0.1% objetivo)
Utilización de CPU/memoria en concentradores (alerta si >80%)

Capacidad:

Número de túneles activos vs. capacidad máxima licenciada
Usuarios concurrentes (pico, medio, tendencia temporal)
Consumo de ancho de banda por túnel/usuario (identificar usuarios anómalos)

Seguridad:

Intentos de autenticación fallidos (alerta si threshold excedido: posible ataque)
Conexiones desde ubicaciones geográficas inusuales o países no esperados
Tráfico anómalo (volumen, destinos, patrones sospechosos de comando y control)
Dispositivos sin compliance (antivirus desactualizado, sin parches críticos)

8.3. Optimización Continua

Análisis de patrones de uso: Identificar aplicaciones más consumidas, horarios pico, comportamientos atípicos
Ajuste de políticas de QoS: Priorización dinámica de aplicaciones críticas (Diraya videoconferencias urgencias > SIGLO consulta catálogo)
Optimización de split-tunneling: Balance entre seguridad (todo por VPN) y rendimiento (navegación general directa a Internet)
Compresión de datos: Reducir ancho de banda en enlaces limitados (atención primaria rural)
Cacheo de aplicaciones: Proxies locales para aplicaciones frecuentes (reducir latencia percibida)

9. Red Corporativa de la Junta de Andalucía (RCJA)

9.1. Contexto y Objetivos

La Junta de Andalucía, como administración autonómica que gestiona servicios públicos para más de 8.5 millones de habitantes en un territorio extenso (87,268 km²), requiere una infraestructura de comunicaciones robusta, segura y eficiente. La Red Corporativa de la Junta de Andalucía (RCJA) constituye la columna vertebral tecnológica que interconecta todas las consejerías, organismos autónomos (incluido el SAS), empresas públicas y centros de servicios distribuidos por toda la comunidad autónoma.

La RCJA no es simplemente una red de comunicaciones, es la infraestructura habilitadora que hace posible la transformación digital de la administración andaluza, soportando servicios críticos de e-administración, sistemas de información sectoriales, y facilitando la prestación de servicios públicos digitales a la ciudadanía.

9.2. Arquitectura de la RCJA

La RCJA se estructura en tres niveles jerárquicos principales que garantizan escalabilidad, rendimiento y resiliencia:

Nivel 1: Core (Núcleo)

Centros de Proceso de Datos principales en Sevilla (CPD Torneo + CPD respaldo)
Conectividad de alta velocidad redundante (10 Gbps+ con enlaces de backup)
Infraestructura crítica con certificación TIER III (disponibilidad 99.982%)
Concentración de servidores, sistemas de almacenamiento SAN/NAS, y aplicaciones corporativas
Interconexión con Red SARA para servicios de la AGE y otras CCAA

Nivel 2: Distribución Provincial

Nodos provinciales en las 8 capitales andaluzas (Almería, Cádiz, Córdoba, Granada, Huelva, Jaén, Málaga, Sevilla)
Enlaces de alta capacidad con el core (1-10 Gbps según dimensión provincial)
Agregación de tráfico de delegaciones provinciales y centros comarcales
Servicios de backup y contingencia distribuidos geográficamente

Nivel 3: Acceso Local

Delegaciones territoriales, oficinas comarcales, centros educativos, centros sanitarios SAS
Enlaces de capacidad variable según dimensión del centro (10 Mbps para oficinas pequeñas – 1 Gbps para hospitales de referencia)
VPN para ubicaciones remotas sin conectividad dedicada viable económicamente
Acceso de empleados remotos mediante VPN corporativa (políticas BYOD controladas)

9.3. Servicios Proporcionados por la RCJA

✅ SERVICIOS CLAVE DE LA RED CORPORATIVA:

Conectividad IP: Comunicación transparente entre todas las sedes de la Junta
Acceso a Internet: Salida centralizada con seguridad perimetral (firewalls, IDS/IPS, filtrado contenidos)
Telefonía VoIP: Sistema unificado de comunicaciones con numeración única
Videoconferencia: Salas equipadas y soluciones de colaboración virtual (Zoom Workplace)
Servicios de directorio: Active Directory corporativo (@juntadeandalucia.es)
Correo electrónico: Sistema de mensajería unificado con políticas antispam y antimalware
Aplicaciones corporativas: Acceso a ERP (SAP), gestión documental (@ries, Notaria), sistemas sectoriales
Backup centralizado: Copias de seguridad automáticas de sistemas críticos con retención 30 días
Seguridad perimetral: Firewalls, IDS/IPS, antimalware, protección DDoS
Monitorización 24/7: NOC (Network Operations Center) con cobertura ininterrumpida

9.4. Tecnologías Implementadas

Núcleo MPLS: Red multiprotocolo con QoS y alta disponibilidad, SLAs garantizados con operadores
VPN IPsec: Para conexión de sedes remotas y usuarios móviles (facultativos, inspectores, técnicos de campo)
SD-WAN (despliegue progresivo): Optimización de conectividad en sedes secundarias, reducción de costes MPLS
IPv6 dual-stack: Despliegue completo IPv6 para cumplir con ENI, coexistencia con IPv4
Segmentación de red: VLANs por servicios y niveles de seguridad (datos abiertos, internos, confidenciales, secretos)
Cifrado de comunicaciones: TLS 1.3 para tráfico web y aplicaciones, IPsec para túneles VPN

🎯 PREGUNTA REAL DE EXAMEN

Pregunta 3 (TÉ 2023): En el Lote 3 del Catálogo de Servicios de la Red Corporativa de la Junta de Andalucía, ¿cuál de los siguientes servicios ofrece un conjunto de herramientas de comunicación y trabajo colaborativo, que de manera intuitiva permite a los usuarios trabajar en equipo desde cualquier lugar y mediante cualquier dispositivo con acceso a Internet?

A) Terminales con tecnología móvil
B) Red Inteligente
C) Comunicaciones Unificadas (Zoom Workplace) ✅
D) Terminales Softphone

Respuesta Correcta: C) Comunicaciones Unificadas (Zoom Workplace)

Explicación: Zoom Workplace es la plataforma de comunicaciones unificadas y trabajo colaborativo corporativa de la Junta de Andalucía. Integra mensajería instantánea, videoconferencia, compartición de pantalla, transferencia de archivos, y espacios de trabajo colaborativos en una única aplicación accesible desde cualquier dispositivo (PC, móvil, tablet) y ubicación con Internet. Es el equivalente andaluz a Microsoft Teams o Slack, pero corporativo y con cumplimiento ENS.

10. Red SARA (Sistema de Aplicaciones y Redes para las Administraciones)

10.1. Concepto y Marco Legal

La Red SARA es la infraestructura de comunicaciones que interconecta a todas las Administraciones Públicas españolas (AGE, CCAA, Administración Local) y las instituciones europeas, facilitando el intercambio seguro de información y el acceso a servicios comunes de administración electrónica. Su existencia y uso están establecidos por mandato legal.

🎯 PREGUNTAS REALES DE EXAMEN – RED SARA

Pregunta 52 (TÉ 2023):

Responda la afirmación cierta entre las siguientes:

A) La Red SARA es un conjunto de infraestructuras de comunicaciones y servicios básicos que conecta las redes de las Administraciones Públicas Españolas e Instituciones Europeas
B) La Red SARA permite a cualquier Unidad conectada proveer servicios o utilizar los que ponen a su disposición otras Unidades de las diferentes Administraciones Públicas Españolas o Europeas
C) SARA es el acrónimo de «Sistemas de Aplicaciones y Redes para las Administraciones»
D) Todas son ciertas ✅

Respuesta Correcta: D) Todas son ciertas

Pregunta 41 (OEP 2025 Libre):

¿Cuál es el propósito principal de la Red SARA en España?

A) Gestionar las redes sociales oficiales del gobierno español
B) Ofrecer servicios de correo electrónico a las empresas privadas
C) Conectar las infraestructuras de comunicaciones y servicios básicos de las Administraciones Públicas españolas ✅
D) Proporcionar acceso público a internet para los ciudadanos

Respuesta Correcta: C

Pregunta 93 (TÉ 2019):

La red SARA es:

A) La Red Corporativa de la Junta de Andalucía
B) La Red SARA (Sistema de Aplicaciones y Redes para las Administraciones) es un conjunto de infraestructuras de comunicaciones y servicios básicos que conecta las Administraciones Públicas Españolas e instituciones europeas facilitando el intercambio de información y el acceso a los servicios ✅
C) Interconecta las diferentes redes provinciales existentes con la RCJA
D) Ninguna opción es correcta

Respuesta Correcta: B

⚖️ MARCO LEGAL DE LA RED SARA:

Ley 11/2007, de 22 de junio: Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (artículo 43: Red de comunicaciones de las Administraciones Públicas españolas)
Real Decreto 4/2010, de 8 de enero: Regula el Esquema Nacional de Interoperabilidad (ENI) – artículo 13: requisitos de conexión a SARA
Resolución de 19 de julio de 2011: Norma Técnica de Interoperabilidad de requisitos de conexión a SARA
Ley 39/2015, de 1 de octubre: Procedimiento Administrativo Común de las AAPP – establece obligación de interoperabilidad

SARA es gestionada por el Ministerio para la Transformación Digital y de la Función Pública y su uso es obligatorio para todas las administraciones que necesiten intercambiar información o acceder a servicios comunes de administración electrónica.

10.2. Alcance y Cobertura

La Red SARA conecta a:

Administración General del Estado (AGE): Todos los ministerios y organismos adscritos (AEAT, TGSS, SEPE, etc.)
Comunidades Autónomas: Las 17 CCAA y las 2 ciudades autónomas (Ceuta y Melilla)
Administración Local: A través de las CCAA, ayuntamientos, diputaciones, cabildos, mancomunidades
Órganos constitucionales: Congreso, Senado, Tribunal Constitucional, CGPJ, Tribunal de Cuentas
Universidades públicas: A través de RedIRIS (red académica y de investigación española)
Instituciones europeas: Conexión con la red transeuropea sTESTA (Secure Trans-European Services for Telematics between Administrations)

10.3. Características Técnicas

Característica	Descripción	Especificaciones
Fiabilidad	Red completamente mallada sin puntos únicos de fallo (SPOF)	Disponibilidad >99.9%, soporte 24x7x365
Seguridad	Tráfico cifrado extremo a extremo, aislada de Internet público	IPsec, integración con CCN-CERT para alertas
Capacidad	Anchos de banda escalables según necesidades	10 Gbps ministerios, 100 Mbps+ CCAA
QoS	Calidad de servicio diferenciada por tipo de tráfico	Priorización de aplicaciones críticas
Interoperabilidad	Gateway IPv6 común, soporte protocolos estándar	Dual-stack IPv4/IPv6 obligatorio
Gestión	Administración centralizada por Ministerio	NOC central, monitorización continua

10.4. Servicios Proporcionados

Servicios de Comunicaciones

Conectividad IP: Comunicación entre todas las organizaciones conectadas
Interconexión de redes: Pasarela entre redes corporativas de diferentes administraciones
Acceso a Internet: Salida controlada y segura (opcional, muchas administraciones tienen salida propia)
Multicast: Para aplicaciones de videoconferencia y streaming interadministrativo

Servicios Comunes de Administración Electrónica

@firma: Plataforma de validación y firma electrónica (verifica certificados, genera firmas longeva)
Cl@ve: Sistema de identificación y autenticación común para ciudadanos (Cl@ve PIN, Cl@ve Permanente)
Plataforma de intermediación: Intercambio de datos entre administraciones (webservices estándar)
Registro electrónico común: Presentación telemática de documentos a cualquier administración (ventanilla única)
Notificaciones electrónicas: Sistema de notificación segura a ciudadanos (Dirección Electrónica Habilitada)
Carpeta ciudadana: Acceso a expedientes y datos personales en poder de AAPP
SIR: Sistema de Interconexión de Registros – intercambio de asientos registrales entre AAPP
ORVE: Oficina de Registro Virtual – registro distribuido interadministrativo

Servicios de Verificación y Consulta

Plataforma de validación y consulta de datos (SVDI)
Consulta de datos de identidad (SCSP) – evita que ciudadano aporte DNI
Verificación de datos de residencia, titulaciones académicas, discapacidad
Intercambio de información catastral (Sede Electrónica del Catastro)

10.5. Modelo de Gobernanza – Proveedores de Acceso (PAS)

La Red SARA se estructura mediante Proveedores de Acceso de primer nivel (PAS) que actúan como nodos de agregación:

📋 ESTRUCTURA DE PROVEEDORES DE ACCESO (PAS):

PAS de primer nivel: Ministerios, CCAA (incluida Junta de Andalucía), órganos constitucionales – Conexión física directa a SARA mediante Área de Conexión (AC) en sus instalaciones
Organismos dependientes: Se conectan a través del PAS de su organismo superior (p.ej. SAS se conecta a través de la Junta de Andalucía)
Administraciones Locales: Se conectan a través de la CCAA correspondiente (ayuntamientos andaluces vía NEREA → RCJA → SARA)
Requisitos técnicos: Instalación de Área de Conexión con equipamiento homologado (routers, firewalls específicos)
Procedimiento de alta: Solicitud formal al Centro de Soporte SARA con justificación técnica y aprobación del responsable de seguridad

11. Red NEREA (Red de Entidades Regionales de Andalucía)

11.1. Origen y Misión

La Red NEREA es un proyecto estratégico de la Junta de Andalucía, gestionado por la Consejería de la Presidencia, Administración Pública e Interior a través de la Agencia Digital de Andalucía, cuya misión es impulsar una red de telecomunicaciones que permita la interconexión telemática de todas las Administraciones Públicas presentes en Andalucía (ámbito estatal, autonómico y local), facilitando la compartición segura de aplicaciones, recursos e información.

🎯 PREGUNTAS REALES DE EXAMEN – RED NEREA

Pregunta 91 (TÉ 2019):

La Red NEREA es:

A) Red NEREA interconecta las diferentes redes provinciales existentes con la RCJA, a través de nodos propios instalados en las Diputaciones Provinciales
B) La Red NEREA proporciona la interconexión de las administraciones públicas presentes en Andalucía (local, autonómica y central)
C) Esta interconexión facilita que cualquier Administración local pueda acceder de forma segura a cualquier servicio publicado por la Junta de Andalucía, la AGE o la Unión Europea
D) Todas son correctas ✅

Respuesta Correcta: D) Todas son correctas

Pregunta 48 (TÉ 2023):

Indique cuál de las siguientes opciones constituye una red que permite interconectar de forma jerárquica las distintas entidades locales con la «Red Corporativa de la Junta de Andalucía» y, a su vez, interconectarlas con el «Sistema de Aplicaciones y Redes para las Administraciones» (SARA):

A) ADA
B) NEREA ✅
C) AGE
D) Ninguna es correcta

Respuesta Correcta: B) NEREA

Pregunta 93 (Agencia 2023):

En la red Nerea, ¿cómo se llama el nodo central el cual actúa a su vez de punto de intercambio de información con la RCJA y con la Red SARA?

A) Área de Conexión (AC)
B) Centro de Accesos Remotos (CAR)
C) Área de Conexión Centralizada (ACC)
D) Centro de Servicios Comunes (CSC) ✅

Respuesta Correcta: D) Centro de Servicios Comunes (CSC)

Pregunta 54 (TÉ 2023) – ANULADA:

Indique cuál de las siguientes afirmaciones sobre la red NEREA es FALSA:

A) La Red NEREA es una red privada de telecomunicaciones aislada de las redes públicas que garantiza la seguridad en las comunicaciones y permite que todas las administraciones de la Comunidad Autónoma de Andalucía estén interconectadas telemáticamente
B) La red NEREA facilita a las AAPP andaluzas el cumplimiento de las exigencias del Esquema Nacional de Seguridad
C) La red NEREA facilita a las AAPP andaluzas el cumplimiento de las exigencias del Esquema Nacional de Interoperabilidad
D) La red NEREA se alinea con las directrices expuestas en el R.D. 4/2010 de 8 de Enero por el que se regula el ENI

Esta pregunta fue ANULADA

Explicación de la anulación: Todas las afirmaciones A, B, C y D son verdaderas sobre la Red NEREA, por lo que no había ninguna afirmación falsa, haciendo la pregunta imposible de responder correctamente. Esta anulación refuerza la importancia de conocer con precisión todas las características de NEREA.

NEREA representa la implementación regional de los principios de interoperabilidad establecidos en el Esquema Nacional de Interoperabilidad (ENI, RD 4/2010), actuando como capa de acceso local que conecta entidades locales andaluzas con la RCJA, SARA y, a través de ésta, con el resto de administraciones españolas y europeas.

11.2. Arquitectura de NEREA

Centro de Servicios Comunes (CSC)

Ubicado en infraestructura central de la Junta de Andalucía en Sevilla
Punto de interconexión crítico: Con la RCJA y la Red SARA (como especifica la pregunta real de examen)
Agrega comunicaciones de las ocho Áreas de Conexión Provinciales
Proporciona servicios comunes centralizados (DNS, NTP, antivirus, filtrado web, proxy)
Gestión y monitorización centralizada de toda la red NEREA

Áreas de Conexión Provinciales (AC)

Ocho nodos provinciales, típicamente alojados en Diputaciones Provinciales
Agregan tráfico de ayuntamientos y mancomunidades de la provincia
Proporcionan conectividad a entidades locales de su ámbito territorial
Servicios de contingencia y backup locales
Gestión colaborativa entre Junta de Andalucía y Diputaciones

Centro de Accesos Remotos (CAR)

Integra entidades locales sin conectividad dedicada (ayuntamientos pequeños, pedanías)
VPN sobre Internet para municipios donde no es viable económicamente fibra dedicada
Garantiza acceso universal independientemente del tamaño del municipio
Implementa inclusión digital territorial completa (principio de cohesión territorial)

11.3. Características Distintivas

✅ CARACTERÍSTICAS CLAVE DE NEREA:

Uso exclusivo administrativo: Red privada para administraciones públicas únicamente, no mixta con otros usos
Seguridad inherente: Completamente aislada de Internet, sin exposición a amenazas públicas (no tiene salida directa a Internet)
Software Libre: Todos los servicios básicos de red implementados con herramientas open source (Linux, Bind DNS, NTP, Squid, etc.)
Neutralidad tecnológica: Sin dependencia de fabricantes propietarios (vendor lock-in), libertad para cambiar soluciones
Escalabilidad provincial: Modelo arquitectónico replicable en cada provincia, crecimiento orgánico
Inclusión digital: Acceso garantizado para todos los municipios andaluces (770 municipios), incluidos los más pequeños
Gobernanza colaborativa: Participación activa de Diputaciones Provinciales en gestión de AC provinciales

11.4. Servicios NEREA

Servicios de Conectividad

Acceso a RCJA y todos los recursos corporativos de la Junta de Andalucía
Interconexión transparente con Red SARA y AGE
Comunicación directa entre administraciones locales andaluzas (ayuntamiento ↔ ayuntamiento)
Acceso controlado a Internet con seguridad centralizada (firewall, filtrado contenidos, antivirus)

Servicios Comunes Proporcionados

Infraestructura básica: DNS (resolución nombres), DHCP (asignación IPs), NTP (sincronización horaria crítica para logs y auditoría)
Seguridad: Antivirus centralizado, filtrado de contenidos web, firewall corporativo, detección de intrusiones
Directorio: LDAP para gestión de identidades y autenticación unificada
Correo electrónico: Sistema de mensajería corporativa para entidades locales
Almacenamiento: Espacios de almacenamiento compartido (file servers)
Backup: Copias de seguridad centralizadas automatizadas con retención 30 días

Aplicaciones y Plataformas Integradas

Acceso a plataformas Junta: @RIES (Sistema de Información de la Red de Entidades Locales de Andalucía)
Portal de servicios comunes de e-administración (SIR, ORVE, @firma)
Aplicaciones sectoriales específicas (urbanismo, medio ambiente, servicios sociales, catastro)
Plataforma de contratación pública electrónica
Sistema de notificaciones electrónicas

11.5. Modelo de Adhesión y Gestión

Las entidades locales andaluzas que desean conectarse a NEREA deben:

Formalizar adhesión mediante convenio de colaboración con la Junta de Andalucía
Cumplir requisitos técnicos mínimos (ancho de banda mínimo, equipamiento compatible)
Designar responsable técnico (informático) y responsable de seguridad
Comprometerse al uso exclusivo administrativo de la red (no uso personal)
Participar en formación sobre uso correcto y seguridad de NEREA
Colaborar en gobernanza de la red (asistencia a reuniones técnicas periódicas)

11.6. Impacto y Beneficios

Beneficio	Para Entidades Locales	Para la Junta de Andalucía
Económico	Acceso a servicios TIC profesionales sin inversión propia significativa	Economía de escala en contratación de servicios (poder de negociación)
Técnico	Infraestructura profesional gestionada centralmente por expertos	Estandarización y homogeneización tecnológica facilitando soporte
Seguridad	Protección avanzada sin necesidad de recursos propios especializados	Control centralizado y cumplimiento ENS auditado
Interoperabilidad	Acceso directo a servicios autonómicos y estatales (SARA)	Facilitación de procedimientos interadministrativos sin barreras técnicas
Ciudadano	Mejora significativa de servicios electrónicos al ciudadano (administración 24/7)	Cohesión territorial en administración digital (mismo nivel de servicio urbano/rural)

12. Aplicaciones y Tendencias

12.1. Aplicaciones Actuales en el SAS

🎯 SUPUESTO PRÁCTICO REAL – HERRAMIENTAS TELETRABAJO SAS

Pregunta 132 (Agencia 2023):

Una vez el equipo informático portátil está en manos de la Dirección Médica, ¿qué herramientas el SAS pone a disposición de los profesionales para teletrabajar?

A) Dropbox, SARAC, DIRAYA, Zoom Workplace, Correo corporativo, Consigna
B) Zoom Workplace, Acceso Mediante VPN, Correo corporativo, Consigna, Dropbox
C) Zoom Workplace, SARAC, Acceso Mediante VPN, Correo corporativo, iCloud, Drive
D) SARAC, Zoom Workplace, Acceso Mediante VPN, Correo corporativo, Consigna ✅

Respuesta Correcta: D) SARAC, Zoom Workplace, Acceso Mediante VPN, Correo corporativo, Consigna

📋 HERRAMIENTAS OFICIALES SAS PARA TELETRABAJO:

SARAC (Servicio de Acceso Remoto a Aplicaciones Corporativas): Permite acceder vía web a aplicaciones corporativas sin necesidad de instalación local. Incluye Diraya Web, SIGLO, aplicaciones clínicas departamentales. Acceso mediante autenticación IdenTIC + MFA.
Zoom Workplace: Plataforma de comunicaciones unificadas y trabajo colaborativo de la Junta de Andalucía. Videoconferencia, mensajería instantánea, compartición de pantalla, espacios de trabajo colaborativos.
Acceso Mediante VPN: Cliente VPN corporativa (típicamente Cisco AnyConnect) que crea túnel cifrado a la red SAS permitiendo acceso completo a recursos internos como si estuvieras físicamente en el hospital/centro de salud.
Correo corporativo: @juntadeandalucia.es, @sspa.juntadeandalucia.es – Acceso webmail y configuración en clientes de escritorio/móvil. Integrado con IdenTIC.
Consigna: Sistema de transferencia segura de archivos de gran tamaño cumpliendo RGPD y ENS. Para compartir documentos, informes, imágenes médicas de forma segura sin usar servicios externos no controlados.

⚠️ POR QUÉ OTRAS OPCIONES SON INCORRECTAS:

Dropbox, iCloud, Google Drive: Son servicios de terceros no corporativos del SAS. Su uso está prohibido para datos sensibles (historias clínicas, datos personales) por incumplimiento RGPD y ENS. No están bajo control del SAS ni cumplen requisitos de soberanía del dato.

12.2. Tendencias Emergentes

Convergencia SASE en Administraciones Públicas

Las administraciones públicas españolas, incluida la Junta de Andalucía y el SAS, están evaluando activamente modelos SASE para:

Reducir complejidad de gestión de múltiples herramientas de seguridad
Mejorar experiencia de usuario en acceso a aplicaciones cloud (Office 365, aplicaciones SaaS clínicas)
Implementar Zero Trust Network Access (ZTNA) sustituyendo VPNs tradicionales de acceso amplio
Optimizar costes consolidando servicios en modelo subscripción cloud

Inteligencia Artificial y Automatización

Detección proactiva de amenazas: IA analizando patrones de tráfico VPN para identificar comportamientos anómalos
Optimización automática de QoS: Machine learning ajustando prioridades según patrones de uso real
Automatización de aprovisionamiento: RPA (Robotic Process Automation) para acelerar altas de usuarios VPN
Chatbots de soporte: Asistentes virtuales en AyudaDigital para resolver incidencias VPN comunes

Acceso desde Dispositivos Móviles

El SAS está expandiendo acceso VPN a dispositivos móviles (tablets, smartphones) para:

Facultativos de guardia con acceso seguro desde cualquier ubicación
Enfermería de atención domiciliaria consultando Diraya desde domicilio del paciente
Gestores sanitarios con acceso a cuadros de mando (BPS) en movilidad
Inspectores sanitarios con acceso a sistemas de gestión desde campo

5G y Edge Computing

La llegada de 5G abre nuevas posibilidades para conectividad de última milla en zonas rurales y aplicaciones que requieren latencia ultrabaja (telemedicina en tiempo real, teleasistencia, dispositivos IoMT).

13. Mapa Conceptual

SERVICIOS DE DATOS CORPORATIVOS Y REDES ADMINISTRATIVAS
═══════════════════════════════════════════════════════════

1. INTRANET CORPORATIVA
   └─ Red privada interna con tecnologías Internet
      ├─ Componentes
      │  ├─ Servidores web internos (Apache, IIS, Nginx)
      │  ├─ CMS (SharePoint, Liferay, Drupal)
      │  ├─ Repositorio documental
      │  └─ Directorio corporativo (AD, LDAP, IdenTIC)
      └─ Servicios SAS
         ├─ Portal del empleado
         ├─ Acceso aplicaciones (Diraya, InterSAS, SIGLO)
         ├─ Autoservicio RRHH (GERONHONTE)
         └─ Comunicación interna

2. EXTRANET CORPORATIVA
   └─ Extensión controlada intranet para usuarios externos
      ├─ Casos de Uso
      │  ├─ Portal proveedores (licitaciones, facturas)
      │  ├─ Integración mutuas/aseguradoras
      │  └─ Colaboración universidades/investigación
      └─ Seguridad Reforzada
         ├─ MFA obligatorio
         ├─ DMZ (zona desmilitarizada)
         ├─ Auditoría exhaustiva
         └─ Principio mínimo privilegio

3. REDES PRIVADAS VIRTUALES (VPN)
   └─ Túneles cifrados sobre redes públicas
      ├─ Tipos de VPN
      │  ├─ Remote Access: Usuario → Red corporativa
      │  ├─ Site-to-Site: Red ↔ Red (hospitales-CPD)
      │  └─ SSL/TLS VPN: Acceso web sin cliente
      ├─ Protocolos
      │  ├─ IPsec: Estándar industrial capa 3, muy seguro
      │  ├─ SSL/TLS: Capa 4/7, fácil despliegue
      │  ├─ L2TP/IPsec: Balance seguridad/rendimiento
      │  ├─ OpenVPN: Flexible, código abierto
      │  ├─ WireGuard: Moderno, alto rendimiento
      │  └─ PPTP: OBSOLETO, INSEGURO
      └─ Seguridad VPN
         ├─ MFA obligatorio (ENS medio/alto)
         ├─ Verificación postura dispositivo
         ├─ Segmentación acceso (VLANs)
         ├─ Split-tunneling controlado
         └─ Certificados PKI con caducidad

4. PROCESO ALTA VPN EN SAS (SUPUESTO PRÁCTICO REAL)
   └─ Solicitud VPN corporativa
      ├─ PASO 1: Profesional crea petición en AyudaDigital
      ├─ PASO 2: Aprobación responsable jerárquico
      ├─ PASO 3: Autorización DGSIC del SAS
      ├─ PASO 4: Provisión técnica (alta concentrador)
      └─ PASO 5: Formación y compromiso seguridad

5. HERRAMIENTAS TELETRABAJO SAS (SUPUESTO PRÁCTICO REAL)
   └─ Conjunto oficial de herramientas
      ├─ SARAC: Acceso remoto aplicaciones web
      ├─ Zoom Workplace: Comunicaciones unificadas
      ├─ VPN Corporativa: Túnel cifrado red SAS
      ├─ Correo corporativo: @sspa.juntadeandalucia.es
      └─ Consigna: Transferencia segura archivos grandes

6. TECNOLOGÍAS AVANZADAS
   └─ Evolución servicios datos corporativos
      ├─ SD-WAN (Software-Defined WAN)
      │  ├─ Gestión centralizada controlador software
      │  ├─ Multi-path inteligente (MPLS+Internet+LTE)
      │  ├─ Enrutamiento dinámico por aplicación
      │  ├─ QoS automático
      │  └─ Reducción costes 30-50%
      └─ SASE (Secure Access Service Edge)
         ├─ Convergencia Red + Seguridad en cloud
         ├─ Componentes: SD-WAN + FWaaS + SWG + CASB + ZTNA
         ├─ Modelo Zero Trust: "nunca confíes, siempre verifica"
         └─ Seguridad desde edge, no perímetro

7. RED CORPORATIVA JUNTA DE ANDALUCÍA (RCJA)
   └─ Infraestructura comunicaciones autonómica
      ├─ Arquitectura Jerárquica
      │  ├─ Core: CPD Sevilla (TIER III, 10 Gbps+)
      │  ├─ Distribución: 8 nodos provinciales (1-10 Gbps)
      │  └─ Acceso: Delegaciones, centros (10 Mbps-1 Gbps)
      ├─ Tecnologías
      │  ├─ MPLS con QoS
      │  ├─ VPN IPsec
      │  ├─ SD-WAN (despliegue progresivo)
      │  └─ IPv6 dual-stack
      └─ Servicios
         ├─ Conectividad IP entre consejerías
         ├─ Telefonía VoIP corporativa
         ├─ Zoom Workplace (comunicaciones unificadas)
         └─ Acceso Internet centralizado seguro

8. RED SARA (Sistema de Aplicaciones y Redes para Administraciones)
   └─ Infraestructura interadministrativa nacional
      ├─ Marco Legal
      │  ├─ Ley 11/2007: Acceso electrónico (art. 43)
      │  ├─ RD 4/2010: ENI (art. 13)
      │  └─ Resolución 19/07/2011: NTI conexión
      ├─ Alcance y Cobertura
      │  ├─ AGE: Todos los ministerios
      │  ├─ CCAA: 17 comunidades + 2 ciudades autónomas
      │  ├─ Administración Local: vía CCAA
      │  ├─ Órganos constitucionales
      │  ├─ Universidades: vía RedIRIS
      │  └─ UE: conexión sTESTA
      ├─ Características Técnicas
      │  ├─ Red mallada, sin SPOF
      │  ├─ Tráfico cifrado IPsec
      │  ├─ 10 Gbps ministerios, 100 Mbps CCAA
      │  ├─ QoS diferenciado
      │  ├─ Disponibilidad >99.9%
      │  └─ Soporte 24x7x365
      └─ Servicios Comunes
         ├─ @firma: Firma electrónica, validación certificados
         ├─ Cl@ve: Identificación ciudadanos
         ├─ Plataforma intermediación datos
         ├─ Registro electrónico común
         ├─ Notificaciones electrónicas
         ├─ SIR, ORVE: Intercambio registral
         └─ SCSP/SVDI: Verificación datos identidad

9. RED NEREA (Red de Entidades Regionales de Andalucía)
   └─ Red autonómica andaluza interadministrativa
      ├─ Arquitectura
      │  ├─ CSC (Centro Servicios Comunes)
      │  │  └─ Nodo central INTERCAMBIO RCJA + SARA ⭐
      │  ├─ 8 AC Provinciales (Áreas Conexión)
      │  │  └─ Agregación provincial en Diputaciones
      │  └─ CAR (Centro Accesos Remotos)
      │     └─ VPN para ayuntamientos pequeños
      ├─ Características Distintivas
      │  ├─ Uso exclusivo administrativo
      │  ├─ Aislada de Internet (seguridad)
      │  ├─ Software Libre en servicios básicos
      │  ├─ Neutralidad tecnológica
      │  ├─ Gobernanza colaborativa Diputaciones
      │  └─ Inclusión digital 770 municipios
      └─ Servicios
         ├─ Conectividad: RCJA, SARA, AGE, Internet filtrado
         ├─ Infraestructura: DNS, DHCP, NTP
         ├─ Seguridad: Antivirus, firewall, IDS/IPS
         ├─ Aplicaciones: @RIES, e-administración, sectoriales
         └─ Almacenamiento y backup centralizado

10. GESTIÓN Y OPERACIÓN VPN
    └─ Ciclo de vida completo
       ├─ Aprovisionamiento
       │  ├─ Solicitud justificada (AyudaDigital SAS)
       │  ├─ Aprobación jerárquica
       │  ├─ Autorización DGSIC
       │  └─ Provisión técnica + formación
       ├─ Monitorización (Métricas KPI)
       │  ├─ Disponibilidad: uptime >99.9%
       │  ├─ Rendimiento: latencia <50ms
       │  ├─ Capacidad: túneles activos vs. máx
       │  └─ Seguridad: autenticaciones fallidas, ubicaciones anómalas
       └─ Optimización Continua
          ├─ Análisis patrones uso
          ├─ Ajuste QoS dinámico
          ├─ Balance split-tunneling
          └─ Compresión y cacheo

14. Cuestionario de Evaluación (30 Preguntas)

📝 INSTRUCCIONES:

Este cuestionario contiene 30 preguntas tipo test con 4 opciones (A-D), de las cuales solo una es correcta. El cuestionario está diseñado específicamente para reflejar el estilo, dificultad y contenidos que han aparecido en exámenes reales del SAS y otras categorías TIC desde 2019 hasta 2025. Muchas preguntas están directamente inspiradas o adaptadas de preguntas reales analizadas.

Tiempo recomendado: 45 minutos (1.5 minutos por pregunta)

Pregunta 1: ¿Cuál de los siguientes protocolos es utilizado por las redes VPN para cifrar los datos transmitidos? (Pregunta Real OEP 2025)

A) HTTP/HTTPS

B) SSL/TLS

C) FTP/SFTPS

D) VPN/SVPN

✓ Respuesta Correcta: B) SSL/TLS

Explicación: SSL/TLS (Secure Sockets Layer / Transport Layer Security) es el protocolo estándar utilizado por las VPN SSL/TLS para cifrar datos transmitidos. TLS 1.3 es la versión actual recomendada. IPsec es otro protocolo VPN importante (capa 3), pero la pregunta específicamente señala SSL/TLS como respuesta correcta. HTTP/HTTPS son protocolos de aplicación web, FTP/SFTPS son para transferencia de archivos, y VPN/SVPN no son protocolos reales.

Pregunta 2: ¿Cuál es el propósito principal de una Red Privada Virtual (VPN)? (Pregunta Real OEP 2025)

A) Asegurar que los dispositivos conectados a una red compartan el mismo ancho de banda

B) Permitir el acceso remoto seguro a una red privada a través de internet

C) Encapsular las IPs públicas para poder acceder a redes privadas

D) Dotar de una conexión 4G o 5G para poder acceder a la red corporativa

✓ Respuesta Correcta: B) Permitir el acceso remoto seguro a una red privada a través de internet

Explicación: Esta es la definición esencial de una VPN: crear un túnel cifrado sobre una red pública (Internet) que permite acceso seguro a recursos de una red privada corporativa, garantizando confidencialidad, integridad y autenticación. Las opciones A, C y D no describen correctamente el propósito principal de una VPN.

Pregunta 3: Una Extranet: (Pregunta Real TÉ 2023)

A) Es un tipo particular de VPN

B) Permite usuarios internos y externos

C) Es una conexión de dos o más Intranets que utilizan Internet como medio de transporte de información

D) Todas son correctas

✓ Respuesta Correcta: D) Todas son correctas

Explicación: Todas las afirmaciones son verdaderas: una extranet es efectivamente un tipo de VPN (túneles seguros), permite acceso tanto a usuarios internos como externos autorizados, y técnicamente conecta intranets de diferentes organizaciones utilizando Internet como transporte pero con túneles cifrados para mantener privacidad equivalente a red privada dedicada.

Pregunta 4: ¿Qué tipo de red es la Intranet del SAS desde el punto de vista del acceso a la misma? (Pregunta Real OEP 2025 PI)

A) Pública

B) Semi-pública

C) Privada

D) Ninguna de las anteriores

✓ Respuesta Correcta: C) Privada

Explicación: La Intranet del SAS es una red de acceso privado, restringido exclusivamente a profesionales del SAS autenticados mediante IdenTIC. No es accesible desde Internet público. El acceso desde ubicaciones externas requiere conexión VPN corporativa previa que crea túnel cifrado a la red privada del SAS.

Pregunta 5: Responda la afirmación cierta sobre la Red SARA: (Pregunta Real TÉ 2023)

A) La Red SARA es un conjunto de infraestructuras de comunicaciones y servicios básicos que conecta las redes de las AAPP Españolas e Instituciones Europeas

B) La Red SARA permite a cualquier Unidad conectada proveer servicios o utilizar los que ponen a su disposición otras Unidades de las diferentes AAPP

C) SARA es el acrónimo de "Sistemas de Aplicaciones y Redes para las Administraciones"

D) Todas son ciertas

✓ Respuesta Correcta: D) Todas son ciertas

Explicación: Las tres afirmaciones son correctas: SARA es infraestructura de comunicaciones interadministrativa nacional, permite provisión y uso de servicios comunes entre administraciones, y el acrónimo efectivamente significa "Sistemas de Aplicaciones y Redes para las Administraciones". Es la red que hace posible la interoperabilidad entre todas las AAPP españolas y europeas.

Pregunta 6: ¿Cuál es el propósito principal de la Red SARA en España? (Pregunta Real OEP 2025 Libre)

A) Gestionar las redes sociales oficiales del gobierno español

B) Ofrecer servicios de correo electrónico a las empresas privadas

C) Conectar las infraestructuras de comunicaciones y servicios básicos de las Administraciones Públicas españolas

D) Proporcionar acceso público a internet para los ciudadanos

✓ Respuesta Correcta: C) Conectar las infraestructuras de comunicaciones y servicios básicos de las Administraciones Públicas españolas

Explicación: El propósito principal de SARA es interconectar todas las AAPP (AGE, CCAA, local) facilitando intercambio de información y acceso a servicios comunes de administración electrónica (@firma, Cl@ve, plataforma intermediación, etc.). No gestiona redes sociales ni proporciona servicios a empresas privadas o ciudadanos directamente, sino infraestructura para las administraciones.

Pregunta 7: En la red Nerea, ¿cómo se llama el nodo central que actúa como punto de intercambio de información con la RCJA y con la Red SARA? (Pregunta Real Agencia 2023)

A) Área de Conexión (AC)

B) Centro de Accesos Remotos (CAR)

C) Área de Conexión Centralizada (ACC)

D) Centro de Servicios Comunes (CSC)

✓ Respuesta Correcta: D) Centro de Servicios Comunes (CSC)

Explicación: El Centro de Servicios Comunes (CSC) es el nodo central de la arquitectura NEREA ubicado en Sevilla. Actúa como punto de intercambio crítico con la RCJA (Red Corporativa Junta Andalucía) y con la Red SARA nacional. Las AC son nodos provinciales, el CAR proporciona VPN para ayuntamientos pequeños, y ACC no existe como componente de NEREA.

Pregunta 8: La Red NEREA es: (Pregunta Real TÉ 2019)

A) Red NEREA interconecta las diferentes redes provinciales con la RCJA a través de nodos en las Diputaciones Provinciales

B) Proporciona interconexión de administraciones públicas presentes en Andalucía (local, autonómica y central)

C) Facilita que cualquier Administración local pueda acceder de forma segura a servicios de Junta, AGE o UE

D) Todas son correctas

✓ Respuesta Correcta: D) Todas son correctas

Explicación: Las tres afirmaciones describen correctamente características de NEREA: tiene 8 nodos provinciales (AC) en Diputaciones, interconecta todas las AAPP andaluzas, y proporciona acceso seguro a servicios de la Junta, AGE (vía SARA) y UE (vía SARA-sTESTA). NEREA es la implementación andaluza de los principios del ENI.

Pregunta 9: Indique cuál red permite interconectar de forma jerárquica las entidades locales con la RCJA y con SARA: (Pregunta Real TÉ 2023)

A) Red SARA

B) Red NEREA

C) Red RCJA

D) Red sTESTA

✓ Respuesta Correcta: B) Red NEREA

Explicación: NEREA es específicamente la red que interconecta jerárquicamente las entidades locales andaluzas con la RCJA y a través de ella con SARA. Su arquitectura distribuida con Áreas de Conexión provinciales permite esta interconexión escalonada. SARA conecta AAPP pero no específicamente entidades locales andaluzas, RCJA es solo autonómica, y sTESTA es europea.

Pregunta 10: En el contexto de las VPN del SAS, ¿qué protocolo de autenticación se utiliza habitualmente en combinación con certificados digitales para el acceso remoto de profesionales sanitarios?

A) RADIUS con EAP-TLS

B) TACACS+ con PAP

C) Kerberos con NTLM

D) LDAP con CHAP

✓ Respuesta Correcta: A) RADIUS con EAP-TLS

Explicación: RADIUS (Remote Authentication Dial-In User Service) con EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) es el estándar para autenticación robusta en VPN corporativas del SAS. Permite autenticación mediante certificados digitales emitidos por @firma, integrándose con el directorio corporativo IdenTIC. TACACS+ es más para equipos de red, Kerberos/NTLM es Windows-específico, y LDAP/CHAP no proporciona seguridad suficiente.

Pregunta 11: ¿Cuál es la principal diferencia técnica entre una VPN de Capa 2 (L2VPN) y una VPN de Capa 3 (L3VPN) en el contexto del SAS?

A) L2VPN utiliza IPsec mientras que L3VPN utiliza SSL/TLS

B) L2VPN extiende el dominio de broadcast mientras que L3VPN enruta paquetes IP

C) L2VPN es más segura que L3VPN para datos sanitarios

D) L2VPN solo funciona con IPv6 mientras que L3VPN es compatible con IPv4

✓ Respuesta Correcta: B) L2VPN extiende el dominio de broadcast mientras que L3VPN enruta paquetes IP

Explicación: La diferencia fundamental es que L2VPN (VPLS, L2TP) opera a nivel de enlace de datos extendiendo la LAN como si fuera un switch virtual, permitiendo broadcasts y protocolos no-IP. L3VPN (IPsec, SSL) opera a nivel de red enrutando tráfico IP entre redes. En SAS, L2VPN se usa para interconectar CPDs mientras L3VPN para acceso remoto de profesionales.

Pregunta 12: En la arquitectura de la Intranet del SAS, ¿qué tecnología se utiliza principalmente para el Single Sign-On (SSO) entre las diferentes aplicaciones corporativas?

A) OAuth 2.0 con tokens JWT

B) SAML 2.0 con IdenTIC como IdP

C) OpenID Connect con autorización federada

D) Kerberos con tickets TGT

✓ Respuesta Correcta: B) SAML 2.0 con IdenTIC como IdP

Explicación: El SAS utiliza SAML 2.0 (Security Assertion Markup Language) con IdenTIC actuando como Identity Provider (IdP) centralizado. Esto permite SSO entre Diraya, BPS, InterSAS, ayudaDIGITAL y demás aplicaciones corporativas. OAuth 2.0 y OpenID Connect se usan más para APIs REST, mientras Kerberos es más común en entornos Windows puros.

Pregunta 13: ¿Qué mecanismo de alta disponibilidad se emplea en los concentradores VPN del SAS para garantizar continuidad del servicio?

A) Clustering activo-pasivo con VRRP

B) Round-robin DNS sin estado

C) Balanceo por hash de IP origen

D) Anycast routing con BGP

✓ Respuesta Correcta: A) Clustering activo-pasivo con VRRP

Explicación: Los concentradores VPN del SAS (Cisco ASA, Fortinet FortiGate) emplean clustering activo-pasivo con VRRP (Virtual Router Redundancy Protocol) para alta disponibilidad. Si el nodo activo falla, el pasivo asume automáticamente la IP virtual manteniendo las sesiones VPN activas. Round-robin DNS no mantiene estado de sesiones, hash IP no proporciona failover, y anycast es más para CDNs.

Pregunta 14: En el contexto de las Extranets del SAS con proveedores externos, ¿qué medida de seguridad adicional es obligatoria según el ENS?

A) Cifrado AES-128 mínimo en todos los enlaces

B) Segmentación mediante DMZ con doble firewall

C) Autenticación biométrica para todos los usuarios

D) Auditoría manual diaria de todos los accesos

✓ Respuesta Correcta: B) Segmentación mediante DMZ con doble firewall

Explicación: El ENS exige para sistemas de categoría MEDIA como los del SAS implementar DMZ (Zona Desmilitarizada) con arquitectura de doble firewall para extranets. Esto crea una zona intermedia aislada donde residen los servicios expuestos a externos. AES-256 es el mínimo actual (no 128), la biometría no es obligatoria, y la auditoría puede ser automatizada.

Pregunta 15: ¿Cuál es el ancho de banda mínimo garantizado para cada hospital en la Red Corporativa del SAS según los SLA vigentes?

A) 100 Mbps simétricos

B) 1 Gbps simétricos con redundancia

C) 10 Gbps para hospitales regionales

D) Variable según número de camas

✓ Respuesta Correcta: B) 1 Gbps simétricos con redundancia

Explicación: Los hospitales del SAS tienen garantizado como mínimo 1 Gbps simétrico con enlaces redundantes para alta disponibilidad. Los hospitales regionales y de especialidades pueden tener 10 Gbps, pero el mínimo SLA es 1 Gbps. Los centros de salud tienen típicamente 100 Mbps. La capacidad no se determina solo por número de camas sino por servicios digitales ofrecidos.

Pregunta 16: ¿Qué protocolo de tunneling se utiliza principalmente en NEREA para interconectar las redes municipales con las Áreas de Conexión provinciales?

A) GRE sobre IPsec

B) MPLS con VRF

C) VXLAN sobre Internet

D) L2TP/IPsec

✓ Respuesta Correcta: B) MPLS con VRF

Explicación: NEREA utiliza principalmente MPLS (Multiprotocol Label Switching) con VRF (Virtual Routing and Forwarding) para crear VPNs de Capa 3 segregadas entre diferentes administraciones. Esto proporciona aislamiento de tráfico, QoS garantizada y escalabilidad. GRE/IPsec se usa para conexiones puntuales, VXLAN es para datacenters, y L2TP/IPsec para accesos remotos individuales.

Pregunta 17: En la integración SAS con Red SARA, ¿qué servicio común de administración electrónica es más crítico para la interoperabilidad con otras CCAA?

A) Sistema de Verificación de Datos (SVD)

B) Historia Clínica Digital del SNS (HCDSNS)

C) Plataforma @firma para validación de certificados

D) Sistema Cl@ve para autenticación ciudadana

✓ Respuesta Correcta: B) Historia Clínica Digital del SNS (HCDSNS)

Explicación: La HCDSNS es el servicio más crítico para interoperabilidad sanitaria entre CCAA, permitiendo acceso a historias clínicas de pacientes atendidos en otras comunidades. Utiliza SARA como infraestructura de comunicaciones. SVD es para verificación administrativa, @firma valida certificados digitales, y Cl@ve es autenticación ciudadana, todos importantes pero menos críticos para interoperabilidad sanitaria específica.

Pregunta 18: ¿Qué característica diferencia principalmente una VPN SSL/TLS de una VPN IPsec en el contexto del teletrabajo sanitario?

A) IPsec es más seguro que SSL/TLS para datos sanitarios

B) SSL/TLS no requiere cliente específico, funciona vía navegador web

C) IPsec solo funciona con sistemas Windows

D) SSL/TLS consume menos ancho de banda

✓ Respuesta Correcta: B) SSL/TLS no requiere cliente específico, funciona vía navegador web

Explicación: La ventaja principal de VPN SSL/TLS es su funcionamiento "clientless" mediante portal web HTML5, facilitando acceso desde cualquier dispositivo con navegador moderno sin instalación de software. IPsec requiere cliente específico preinstalado. Ambos son igualmente seguros si están bien configurados, IPsec es multiplataforma, y el consumo de ancho de banda es similar.

Pregunta 19: En la arquitectura de seguridad perimetral del SAS, ¿qué tecnología se implementa para inspeccionar el tráfico cifrado HTTPS sin comprometer la privacidad?

A) Deep Packet Inspection (DPI) con bypass sanitario

B) SSL/TLS Inspection con certificados internos confiables

C) Proxy transparente con cacheo de contenidos

D) IDS/IPS en modo promiscuo

✓ Respuesta Correcta: B) SSL/TLS Inspection con certificados internos confiables

Explicación: El SAS implementa SSL/TLS Inspection (también llamado SSL Decryption) usando certificados internos instalados en equipos corporativos. Esto permite inspeccionar tráfico HTTPS en busca de malware manteniendo privacidad mediante re-cifrado. Se excluye tráfico sanitario sensible y banca online. DPI no puede ver tráfico cifrado, proxy transparente no descifra, e IDS promiscuo solo detecta patrones no cifrados.

Pregunta 20: ¿Qué estándar de interoperabilidad utiliza principalmente la Red SARA para el intercambio de documentos electrónicos entre administraciones?

A) SICRES 3.0 para registro electrónico

B) HL7 FHIR para datos sanitarios

C) BPMN 2.0 para flujos de trabajo

D) REST API con OpenAPI 3.0

✓ Respuesta Correcta: A) SICRES 3.0 para registro electrónico

Explicación: SICRES 3.0 (Sistema de Información Común de Registros de Entrada y Salida) es el estándar para intercambio de asientos registrales entre AAPP vía SARA, implementando el artículo 16 de la Ley 39/2015. HL7 FHIR es para datos clínicos, BPMN para modelado de procesos, y REST/OpenAPI para servicios web modernos pero no específicamente para registro electrónico interadministrativo.

Pregunta 21: En el modelo de VPN hub-and-spoke implementado en el SAS, ¿cuál es la principal ventaja desde el punto de vista de seguridad?

A) Mayor ancho de banda disponible entre sedes

B) Control centralizado del tráfico en el hub (CPD principal)

C) Menor latencia en las comunicaciones

D) Redundancia automática sin configuración

✓ Respuesta Correcta: B) Control centralizado del tráfico en el hub (CPD principal)

Explicación: En arquitectura hub-and-spoke, todo el tráfico entre spokes (centros de salud, hospitales comarcales) debe pasar por el hub (CPD Sevilla/Málaga), permitiendo inspección centralizada, aplicación uniforme de políticas de seguridad, y monitorización consolidada. El ancho de banda puede ser bottleneck, la latencia aumenta por el salto adicional, y la redundancia requiere configuración específica del hub secundario.

Pregunta 22: ¿Qué tecnología de optimización WAN se aplica en las conexiones VPN del SAS para mejorar el rendimiento de aplicaciones críticas como Diraya?

A) WAN Acceleration con deduplicación y compresión

B) SD-WAN con selección dinámica de rutas

C) TCP Optimization con window scaling

D) Todas las anteriores

✓ Respuesta Correcta: D) Todas las anteriores

Explicación: El SAS implementa múltiples tecnologías de optimización: WAN Acceleration (Riverbed, Silver Peak) deduplica y comprime datos repetitivos, SD-WAN selecciona dinámicamente mejor ruta según calidad del enlace, y TCP Optimization ajusta parámetros TCP para redes de alta latencia. La combinación maximiza rendimiento de aplicaciones críticas sobre VPN, especialmente importante para acceso remoto a Diraya desde centros periféricos.

Pregunta 23: En la implementación de Zero Trust Network Access (ZTNA) que está adoptando el SAS, ¿cuál es el principio fundamental que lo diferencia de las VPN tradicionales?

A) Mayor velocidad de conexión

B) Verificación continua de identidad y contexto, no solo en el acceso inicial

C) Uso exclusivo de biometría

D) Eliminación completa del cifrado

✓ Respuesta Correcta: B) Verificación continua de identidad y contexto, no solo en el acceso inicial

Explicación: ZTNA aplica el principio "never trust, always verify", verificando continuamente identidad, dispositivo, ubicación, y comportamiento durante toda la sesión, no solo al conectar. Las VPN tradicionales confían en el usuario tras autenticación inicial. ZTNA puede ser más lento por verificaciones continuas, no requiere solo biometría, y mantiene cifrado fuerte. El SAS está pilotando ZTNA para acceso a aplicaciones cloud.

Pregunta 24: ¿Qué protocolo de enrutamiento dinámico se utiliza principalmente en la Red NEREA para intercambiar rutas entre las diferentes Áreas de Conexión?

A) OSPF (Open Shortest Path First)

B) BGP (Border Gateway Protocol)

C) EIGRP (Enhanced Interior Gateway Routing Protocol)

D) RIP v2 (Routing Information Protocol)

✓ Respuesta Correcta: B) BGP (Border Gateway Protocol)

Explicación: NEREA utiliza BGP para intercambio de rutas entre Áreas de Conexión provinciales y con el Centro de Servicios Comunes, permitiendo políticas de enrutamiento granulares entre diferentes administraciones (sistemas autónomos). OSPF se usa internamente en cada AC, EIGRP es propietario de Cisco y no se usa en entornos multivendor, y RIP v2 no escala para redes complejas como NEREA.

Pregunta 25: En el contexto de cumplimiento normativo, ¿qué requisito específico del ENS debe cumplir una VPN que maneje datos de salud de categoría alta?

A) Cifrado con algoritmos nacionales exclusivamente

B) Autenticación de doble factor obligatoria con certificado cualificado

C) Registro y auditoría de todos los accesos durante mínimo 10 años

D) Inspección manual de todo el tráfico

✓ Respuesta Correcta: B) Autenticación de doble factor obligatoria con certificado cualificado

Explicación: Para sistemas de categoría ALTA, el ENS exige autenticación reforzada mediante doble factor, siendo uno de ellos un certificado cualificado. Los algoritmos pueden ser internacionales (AES, RSA) aprobados por CCN, los logs se conservan típicamente 2-5 años según tipo, y la inspección debe ser automatizada por volumen. Los datos de salud son categoría especial RGPD requiriendo máximas garantías.

Pregunta 26: ¿Cuál es la principal ventaja de utilizar SD-WAN sobre VPN MPLS tradicional en el contexto de transformación digital del SAS?

A) Menor coste al utilizar múltiples enlaces de Internet commodity

B) Mayor seguridad intrínseca

C) Eliminación total de la latencia

D) No requiere gestión ni configuración

✓ Respuesta Correcta: A) Menor coste al utilizar múltiples enlaces de Internet commodity

Explicación: SD-WAN permite usar enlaces Internet comerciales baratos (fibra, 4G/5G) en lugar de costosos circuitos MPLS dedicados, con selección inteligente de ruta según aplicación. La seguridad debe añadirse mediante IPsec/firewall, la latencia depende de los enlaces subyacentes, y aunque simplifica gestión centralizada, requiere configuración inicial y mantenimiento. El SAS está evaluando SD-WAN para centros de salud rurales.

Pregunta 27: En la arquitectura de la Extranet del SAS con proveedores farmacéuticos, ¿qué mecanismo se utiliza para garantizar el no repudio de las transacciones?

A) Logs centralizados en servidor syslog

B) Firma electrónica avanzada con sellado de tiempo cualificado

C) Hashing MD5 de todas las transacciones

D) Backup diario de base de datos

✓ Respuesta Correcta: B) Firma electrónica avanzada con sellado de tiempo cualificado

Explicación: El no repudio requiere firma electrónica avanzada (certificado cualificado) más sellado de tiempo de Autoridad de Sellado de Tiempo cualificada (TSA), creando evidencia legal irrefutable de la transacción. Los logs son para auditoría pero no garantizan no repudio, MD5 está deprecated y no proporciona no repudio sin firma, y los backups son para recuperación, no para evidencia legal.

Pregunta 28: ¿Qué tecnología emergente está evaluando el SAS para reemplazar las VPN tradicionales en el acceso a aplicaciones SaaS corporativas?

A) Secure Access Service Edge (SASE)

B) Blockchain privada

C) Quantum Key Distribution

D) 6G Network Slicing

✓ Respuesta Correcta: A) Secure Access Service Edge (SASE)

Explicación: SASE combina SD-WAN con seguridad cloud-native (CASB, ZTNA, FWaaS) proporcionando acceso seguro a aplicaciones SaaS sin backhaul a datacenter corporativo. Es evolución natural para organizaciones con Microsoft 365, Google Workspace, etc. Blockchain no resuelve conectividad, QKD está en investigación, y 6G no existe comercialmente. El SAS está en fase de prueba de concepto SASE para 2025-2026.

Pregunta 29: En el diseño de alta disponibilidad de la VPN del SAS, ¿qué tiempo máximo de recuperación (RTO) está establecido en el SLA para servicios críticos?

A) 4 horas

B) 1 hora

C) 15 minutos

D) Inmediato (0 segundos)

✓ Respuesta Correcta: C) 15 minutos

Explicación: El RTO para servicios críticos de VPN (acceso a Diraya desde hospitales, conexión con HCDSNS) es 15 minutos máximo según SLA del SAS. Esto se logra mediante clustering activo-pasivo, enlaces redundantes, y procedimientos automatizados de failover. 4 horas es para servicios no críticos, 1 hora para importantes, e inmediato es técnicamente imposible en failover (siempre hay breve interrupción).

Pregunta 30: ¿Qué requisito específico establece el Decreto 439/2010 de la Junta de Andalucía respecto a las comunicaciones electrónicas con la administración?

A) Uso obligatorio de IPv6 en todas las conexiones

B) Interoperabilidad garantizada mediante estándares abiertos y neutralidad tecnológica

C) Velocidad mínima de 100 Mbps para todos los servicios

D) Uso exclusivo de software libre

✓ Respuesta Correcta: B) Interoperabilidad garantizada mediante estándares abiertos y neutralidad tecnológica

Explicación: El Decreto 439/2010 establece que los servicios de administración electrónica deben garantizar interoperabilidad mediante uso de estándares abiertos, asegurando neutralidad tecnológica para no discriminar ciudadanos por su elección tecnológica. IPv6 es recomendado pero no obligatorio aún, no hay velocidad mínima establecida, y aunque se fomenta el software libre, no es exclusivo. Esto afecta diseño de VPNs, extranets e intranets públicas.

15. Estrategias de Estudio y Preparación

💪 ¡Estás en la recta final!

Este tema es fundamental para entender la infraestructura de comunicaciones del SAS. Los servicios de datos corporativos, VPNs y las redes SARA/NEREA aparecen frecuentemente en los exámenes. Tu dominio de estos conceptos te acerca significativamente a tu plaza. ¡Vamos con todo!

📚 Técnicas de Memorización Efectiva:

Mnemotecnia para protocolos VPN: "SLIP" = SSL/TLS, L2TP, IPsec, PPTP (de más a menos moderno)
Acrónimo NEREA: "Nueva Era de Redes para Entidades Andaluzas" (aunque no es el oficial, ayuda a recordar)
Regla 3-2-1 para arquitectura: 3 capas (acceso, distribución, core), 2 firewalls (DMZ), 1 punto de gestión
Método Palacio de Memoria: Visualiza tu recorrido desde casa al hospital pasando por: Intranet (entrada), DMZ (parking), Extranet (proveedores), VPN (túnel de acceso)

⚠️ Errores Comunes a Evitar:

Confundir Red SARA (nacional) con Red NEREA (andaluza) - SARA es padre, NEREA es hija
Mezclar VPN SSL/TLS (capa aplicación) con IPsec (capa red) - diferentes capas OSI
Olvidar que RCJA incluye al SAS pero no al revés - RCJA es el conjunto mayor
No distinguir entre Intranet (empleados), Extranet (partners) e Internet (público)
Ignorar aspectos legales del ENS y RGPD en el diseño de VPNs sanitarias

✅ Plan de Repaso Optimizado:

Primera lectura (2 horas): Comprensión general, subrayado de conceptos clave
Esquematización (1 hora): Crear mapa mental propio conectando conceptos
Práctica con preguntas (1.5 horas): Resolver cuestionario identificando patrones
Repaso espaciado: Día 1, día 3, día 7, día 14, día 30
Simulacro integrado: Combinar preguntas de este tema con temas 27-30 (redes relacionados)

🎯 FOCUS EXAMEN - Qué Priorizar:

ALTA PROBABILIDAD (40%): Diferencias SARA/NEREA, tipos de VPN, protocolos de tunneling
MEDIA PROBABILIDAD (30%): Arquitectura RCJA, componentes DMZ, autenticación federada
CASOS PRÁCTICOS (20%): Diseño VPN hospital, integración con HCDSNS, cumplimiento ENS
NORMATIVA (10%): Decreto 439/2010, ENI, requisitos RGPD para extranets

16. Referencias Normativas y Bibliográficas

📖 Normativa Fundamental:

Decreto 439/2010, de 14 de diciembre, por el que se regulan los órganos de ética asistencial y de la investigación biomédica en Andalucía
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS)
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad (ENI)
Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas
Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público
Reglamento (UE) 2016/679 (RGPD) y Ley Orgánica 3/2018 (LOPDGDD)
Orden de 20 de febrero de 2013, por la que se aprueba la Política de Seguridad de las TIC de la Junta de Andalucía

📚 Documentación Técnica SAS:

Plan de Sistemas de Información del SAS 2022-2027
Estrategia de Seguridad de la Información del SSPA
Manual de Arquitectura de Red Corporativa del SAS v3.0
Guía de Configuración VPN para Profesionales SAS
Procedimiento de Alta en Red NEREA para Entidades Locales
Catálogo de Servicios Red SARA - Ministerio de Asuntos Económicos

🔧 Estándares y Guías Técnicas:

CCN-STIC-807 - Criptografía de empleo en el ENS
CCN-STIC-836 - Seguridad en VPN IPsec
CCN-STIC-816 - Seguridad en Redes Privadas Virtuales
RFC 4301 - Security Architecture for IP (IPsec)
RFC 8446 - The Transport Layer Security (TLS) Protocol Version 1.3
ISO/IEC 27033 - Network Security (todas las partes)
NIST SP 800-77 - Guide to IPsec VPNs
NIST SP 800-113 - Guide to SSL VPNs

📊 Bibliografía Recomendada:

Stallings, W. (2023). Cryptography and Network Security: Principles and Practice (8ª ed.). Pearson.
Tanenbaum, A. S., & Wetherall, D. (2022). Computer Networks (6ª ed.). Pearson.
Cisco Systems. (2023). Cisco ASA Series VPN Configuration Guide.
Fortinet. (2023). FortiGate Infrastructure 7.2 Study Guide.
Ministerio de Hacienda. (2023). Manual de Usuario Red SARA v5.0.
Junta de Andalucía. (2023). Arquitectura de Red NEREA - Especificaciones Técnicas.

🏷️ Palabras Clave (SEO):

Tags: VPN SAS, Red SARA administración, Red NEREA Andalucía, Intranet sanitaria, Extranet proveedores SAS, IPsec sanidad, SSL/TLS healthcare, RCJA Red Corporativa, DMZ hospital, ENS categoría media, MPLS sanitario, SD-WAN salud, Zero Trust SAS, IdenTIC autenticación, Diraya VPN, HCDSNS interoperabilidad, Decreto 439/2010, oposiciones informática SAS 2025, Técnico Especialista TIC