Tema 67: Seguridad en Redes – Ataques, Prevención y Criptografía

TEMA 67

Seguridad en Redes

Ataques, Prevención, Cortafuegos, Criptografía y Seguridad en Comunicaciones Móviles

📌 Introducción

La seguridad en redes constituye uno de los pilares fundamentales de la ciberseguridad moderna. En un mundo hiperconectado donde las organizaciones dependen críticamente de sus infraestructuras digitales, proteger las redes frente a amenazas cada vez más sofisticadas no es opcional sino imprescindible. Los ciberataques evolucionan constantemente, aprovechando vulnerabilidades técnicas, errores humanos y nuevas tecnologías como la inteligencia artificial. Este tema aborda de forma integral los diferentes tipos de ataques a redes, las herramientas y técnicas de prevención y detección (cortafuegos, IDS/IPS, control de accesos), los fundamentos de criptografía aplicada a comunicaciones, y las medidas específicas necesarias para proteger las comunicaciones móviles en la era 5G e IoT, todo ello desde la perspectiva de las mejores prácticas actuales y las tendencias emergentes como Zero Trust y SASE.

1. Fundamentos de Seguridad en Redes

1.1. Conceptos Básicos

La seguridad en redes busca proteger la integridad, confidencialidad y disponibilidad de la información transmitida y almacenada en redes de computadoras. Estos tres principios, conocidos como la tríada CIA (Confidentiality, Integrity, Availability), constituyen los objetivos fundamentales de cualquier estrategia de seguridad:

Confidencialidad: Garantizar que la información solo sea accesible por personas o sistemas autorizados. Se implementa mediante cifrado, control de accesos y clasificación de datos.
Integridad: Asegurar que los datos no sean modificados, eliminados o alterados de forma no autorizada. Se logra mediante funciones hash, firmas digitales y control de versiones.
Disponibilidad: Garantizar que los sistemas y datos estén accesibles cuando se necesiten. Requiere redundancia, balanceo de carga, protección DDoS y planes de continuidad.

A estos tres principios tradicionales, la seguridad moderna añade frecuentemente:

Autenticación: Verificación de la identidad de usuarios y sistemas
Autorización: Control de qué puede hacer cada entidad autenticada
No repudio: Garantía de que una parte no puede negar haber realizado una acción
Auditoría: Registro y análisis de actividades para detección y forense

1.2. Perímetro de Seguridad Tradicional vs. Moderno

Aspecto	Modelo Tradicional (Castillo-Foso)	Modelo Moderno (Zero Trust)
Filosofía	Confianza dentro del perímetro, desconfianza fuera	No confiar nunca, verificar siempre
Perímetro	Definido físicamente (firewall corporativo)	Distribuido, definido por software
Acceso	Acceso amplio una vez dentro	Acceso granular por recurso específico
Verificación	Inicial al atravesar perímetro	Continua durante toda la sesión
Ubicación	Importante (dentro/fuera de oficina)	Irrelevante (verificación por identidad/contexto)
Usuarios	Principalmente empleados en oficinas	Empleados, remotos, partners, dispositivos, APIs
Aplicaciones	Principalmente on-premise	Híbridas (on-premise, cloud, SaaS)

1.3. Defensa en Profundidad (Defense in Depth)

La estrategia de defensa en profundidad implementa múltiples capas de seguridad, de modo que si una capa es comprometida, las siguientes continúan protegiendo los activos:

ℹ️ Capas de Defensa en Profundidad

Física: Control de acceso a instalaciones, CCTV, vigilancia
Perímetro: Firewalls externos, filtrado de tráfico Internet
Red: Segmentación VLANs, IDS/IPS, NAC
Host: Antivirus, firewall personal, hardening, EDR
Aplicación: WAF, validación de entrada, autenticación robusta
Datos: Cifrado, DLP, clasificación, backup
Usuarios: Formación, concienciación, políticas de uso aceptable

2. Tipos de Ataques a Redes

2.1. Clasificación General de Ataques

Según el Objetivo

Ataques a la confidencialidad: Sniffing, man-in-the-middle, intercepción de comunicaciones
Ataques a la integridad: Modificación de paquetes, inyección SQL, manipulación de datos
Ataques a la disponibilidad: DoS/DDoS, flooding, consumo de recursos
Ataques a la autenticación: Robo de credenciales, replay, fuerza bruta

Según la Técnica

Ataques activos: Modifican datos o interrumpen servicios (DoS, inyección, spoofing)
Ataques pasivos: Observan sin modificar (sniffing, análisis de tráfico)
Ataques internos: Originados desde dentro del perímetro por usuarios legítimos
Ataques externos: Desde Internet u otras redes externas

2.2. Ataques de Reconocimiento (Reconnaissance)

Fase inicial donde el atacante recopila información sobre el objetivo antes del ataque real:

Footprinting: Recopilación de información pública (registros DNS, WHOIS, redes sociales, LinkedIn)
Escaneo de puertos: Identificación de servicios activos mediante herramientas como Nmap
Enumeración: Obtención de nombres de usuario, recursos compartidos, versiones de software
OSINT (Open Source Intelligence): Recopilación masiva de información de fuentes abiertas
Ingeniería social: Manipulación psicológica para obtener información o accesos

2.3. Ataques de Acceso

Ataques de Contraseña

Fuerza bruta: Probar sistemáticamente todas las combinaciones posibles
Diccionario: Probar palabras comunes y variaciones
Rainbow tables: Tablas precalculadas de hashes para ataques offline
Credential stuffing: Uso de credenciales filtradas de otras brechas
Password spraying: Probar contraseñas comunes contra muchos usuarios

Explotación de Vulnerabilidades

Buffer overflow: Desbordamiento de memoria para ejecutar código arbitrario
Inyección SQL: Inserción de código SQL malicioso en entradas de aplicaciones web
Cross-Site Scripting (XSS): Inyección de scripts en páginas web vistas por otros usuarios
Remote Code Execution (RCE): Ejecución remota de código en servidor vulnerable
Zero-day exploits: Explotación de vulnerabilidades desconocidas sin parche disponible

2.4. Ataques Man-in-the-Middle (MITM)

El atacante se posiciona entre dos partes que se comunican, interceptando y potencialmente modificando el tráfico:

ARP Spoofing: Envenenamiento de caché ARP para redirigir tráfico en LAN
DNS Spoofing: Falsificación de respuestas DNS para redirigir a sitios maliciosos
SSL Stripping: Degradación de conexiones HTTPS a HTTP para intercepción
Session Hijacking: Robo de cookies de sesión para suplantar usuario autenticado
Evil Twin: Punto de acceso Wi-Fi falso que imita uno legítimo

2.5. Ataques de Denegación de Servicio (DoS/DDoS)

⛔ Tipos de Ataques DDoS

Ataques Volumétricos:

UDP Flood: Saturación con paquetes UDP aleatorios
ICMP Flood (Ping Flood): Inundación con peticiones ICMP Echo Request
DNS Amplification: Uso de servidores DNS para amplificar tráfico (factor 50-100x)
NTP Amplification: Explotación de servidores NTP para amplificación masiva

Ataques de Protocolo:

SYN Flood: Agotamiento de tabla de conexiones TCP mediante SYN sin completar handshake
ACK Flood: Saturación con paquetes ACK malformados
Ping of Death: Paquetes ICMP fragmentados que causan desbordamiento al reensamblarse

Ataques de Capa de Aplicación:

HTTP Flood: Inundación con peticiones HTTP legítimas aparentemente
Slowloris: Conexiones HTTP incompletas mantenidas abiertas para agotar recursos
SQL Query Flood: Consultas SQL complejas que saturan bases de datos

2.6. Ataques de Malware

Tipo	Descripción	Propagación	Objetivo
Virus	Código malicioso que se replica insertándose en otros archivos	Requiere ejecución por usuario	Destrucción, robo de datos
Gusano (Worm)	Malware autorreplicante que se propaga sin intervención	Automática por red	Propagación masiva, DDoS
Troyano	Programa aparentemente legítimo que oculta funcionalidad maliciosa	Ingeniería social	Backdoor, robo información
Ransomware	Cifra archivos y exige rescate para descifrarlos	Phishing, RDP, vulnerabilidades	Extorsión económica
Spyware	Recopila información sin conocimiento del usuario	Bundled con software legítimo	Espionaje, robo credenciales
Rootkit	Oculta presencia de malware modificando sistema operativo	Explotación privilegios	Persistencia oculta
Botnet	Red de dispositivos infectados controlados centralmente	Múltiples vectores	DDoS, spam, minería cripto

2.7. Ataques Avanzados y Emergentes (2024-2025)

Ataques Impulsados por Inteligencia Artificial

La IA está siendo utilizada tanto por atacantes como defensores, creando una carrera arm amentística digital:

Phishing con IA: Generación automática de correos altamente personalizados y convincentes
Deepfakes: Vídeos y audios sintéticos para suplantación de identidad (CEO fraud, vishing)
Malware polimórfico inteligente: Código que muta automáticamente para evadir detección
Reconocimiento automatizado: Escaneo inteligente que adapta técnicas según respuestas del objetivo
Ataques adversariales a ML: Manipulación de sistemas de machine learning con entradas diseñadas

Ransomware as a Service (RaaS)

Modelo de negocio criminal donde desarrolladores de ransomware alquilan su malware a «afiliados» que ejecutan ataques, compartiendo beneficios:

Democratización del cibercrimen: no requiere conocimientos técnicos profundos
Industrialización con soporte 24/7, documentación, actualizaciones
Double extortion: cifrado + exfiltración de datos con amenaza de publicación
Triple extortion: añade DDoS o contacto con clientes/partners de la víctima

Ataques a la Cadena de Suministro

Comprometer proveedores de software o hardware para infectar a múltiples organizaciones:

SolarWinds (2020): Paradigmático ataque que comprometió actualizaciones de software
Kaseya (2021): Explotación de herramienta RMM para ransomware masivo
Log4Shell (2021): Vulnerabilidad crítica en librería Java ampliamente usada
Componentes de código abierto: Dependencias con vulnerabilidades o malware inyectado

3. Cortafuegos (Firewalls)

3.1. Concepto y Funciones

Un cortafuegos o firewall es un sistema (hardware, software o combinación) que controla el tráfico de red entrante y saliente basándose en reglas de seguridad predefinidas, actuando como barrera entre una red confiable y una no confiable (típicamente Internet). Sus funciones principales son:

Filtrado de paquetes según origen, destino, protocolo y puerto
Inspección de estado de conexiones (stateful inspection)
Traducción de direcciones de red (NAT/PAT)
Logging y auditoría de tráfico
Protección contra ataques conocidos
Segmentación de red mediante zonas de seguridad (DMZ)

3.2. Tipos de Cortafuegos

Filtrado de Paquetes (Packet Filtering)

Primera generación de firewalls, opera en capa 3-4 del modelo OSI:

Ventajas: Rápido, bajo consumo de recursos, transparente
Desventajas: No inspecciona contenido, vulnerable a ataques de fragmentación, no mantiene estado
Decisiones basadas en: IP origen/destino, puerto origen/destino, protocolo (TCP/UDP/ICMP)
Ejemplo: iptables en Linux, ACLs en routers Cisco

Cortafuegos con Estado (Stateful Firewall)

Mantiene tabla de estado de conexiones, conociendo el contexto de cada paquete:

Ventajas: Mayor seguridad, permite reglas dinámicas, previene ataques de sesión
Funcionamiento: Valida que paquetes pertenezcan a sesiones legítimas establecidas
Protección: SYN flood, paquetes huérfanos, secuestro de sesión
Ejemplo: Cisco ASA, pfSense, FortiGate

Cortafuegos de Aplicación (Application Layer / Proxy)

Opera en capa 7, inspeccionando contenido completo de aplicaciones:

Ventajas: Inspección profunda, filtrado por contenido, ocultación de topología interna
Desventajas: Mayor latencia, consume más recursos, puede romper algunas aplicaciones
Capacidades: Antivirus, anti-spam, filtrado URL, prevención de fuga de datos
Ejemplo: Squid (HTTP), Microsoft TMG

Next Generation Firewall (NGFW)

Firewalls de última generación que integran múltiples funciones de seguridad:

✅ Características de NGFW

Inspección profunda de paquetes (DPI): Análisis completo del payload
Identificación de aplicaciones: Reconocimiento independiente de puerto (ej: Skype en puerto 80)
IPS integrado: Prevención de intrusiones en línea
Control de aplicaciones: Políticas granulares por aplicación (permitir Dropbox pero no upload)
Awareness de identidad: Políticas basadas en usuario/grupo, no solo IP
Inteligencia de amenazas: Integración con feeds de reputación de IPs, dominios, hashes
Descifrado SSL/TLS: Inspección de tráfico cifrado
Sandboxing: Análisis de archivos sospechosos en entorno aislado

Fabricantes líderes: Palo Alto Networks, Fortinet, Check Point, Cisco Firepower

Firewall as a Service (FWaaS) / Cloud Firewall

Cortafuegos entregado como servicio cloud, componente clave de SASE:

Protección perimetral desde cloud para sucursales y usuarios remotos
Escalabilidad elástica sin inversión en hardware
Gestión centralizada de políticas global
Integración nativa con otros servicios cloud (SWG, CASB, ZTNA)
Proveedores: Zscaler, Cloudflare, Palo Alto Prisma, Fortinet FortiSASE

3.3. Arquitecturas de Cortafuegos

Arquitectura	Descripción	Ventajas	Uso Típico
Screened Host	Router con filtrado + bastion host en DMZ	Simple, bajo coste	Pequeñas empresas
Dual-Homed Host	Host con 2 NICs, una a cada red, sin routing	Aislamiento físico completo	Seguridad muy alta, baja conectividad
Screened Subnet (DMZ)	Dos firewalls creando zona desmilitarizada	Defensa en profundidad, protege servicios públicos	Empresas con servicios Internet
Múltiples DMZ	Varias DMZ para diferentes niveles de confianza	Segmentación granular	Grandes corporaciones, administraciones
Clúster HA	Múltiples firewalls en activo-activo o activo-pasivo	Alta disponibilidad, balanceo	Entornos críticos 24/7

3.4. Mejores Prácticas en Configuración de Firewalls

            ⚠️ Reglas de Oro para Firewalls
            Deny by default: Denegar todo tráfico por defecto, permitir explícitamente solo lo necesario
Principio de mínimo privilegio: Abrir solo puertos/protocolos/fuentes estrictamente necesarios
Orden de reglas: Más específicas primero, más genéricas después, deny-all al final
Documentación: Cada regla debe tener descripción del propósito y solicitante
Revisión periódica: Auditoría trimestral de reglas, eliminar obsoletas (rule creep)
Logging: Registrar todo el tráfico denegado y conexiones permitidas críticas
Separación de ambientes: DMZ para servicios públicos, segmentación interna por departamentos
Gestión de cambios: Proceso formal para modificación de reglas con aprobación
Backup de configuración: Respaldo automático antes de cada cambio
Monitorización: Alertas sobre cambios de estado, utilización alta, patrones anómalos

        

4. Sistemas de Detección y Prevención de Intrusiones

4.1. IDS vs. IPS

Característica	IDS (Intrusion Detection System)	IPS (Intrusion Prevention System)
Función	Detecta y alerta sobre intrusiones	Detecta, alerta y bloquea automáticamente
Modo	Pasivo (copia de tráfico via SPAN/TAP)	Activo (inline, todo el tráfico lo atraviesa)
Impacto en red	Sin impacto, no afecta flujo	Posible latencia, puede romper conectividad si falla
Respuesta	Notifica a administradores, requiere acción manual	Bloqueo automático (drop packets, reset conexión, block IP)
Falsos positivos	Molestos pero no críticos	Pueden causar interrupciones de servicio legítimo
Uso típico	Monitorización, forense, cumplimiento	Protección activa en producción

4.2. Tipos de IDS/IPS

NIDS/NIPS (Network-Based)

Monitoriza tráfico de red en puntos estratégicos:

Ubicación: Perímetro Internet, entre segmentos críticos, dentro de DMZ
Visibilidad: Todo el tráfico que pasa por el sensor
Ventajas: Protege múltiples hosts, difícil de evadir para atacante, no impacta rendimiento de hosts
Desventajas: No ve tráfico cifrado (sin descifrado), difícil en redes switched/segmentadas
Productos: Snort, Suricata, Cisco Firepower, Palo Alto Threat Prevention

HIDS/HIPS (Host-Based)

Software instalado en hosts individuales monitorizando actividad local:

Monitoriza: Llamadas al sistema, cambios en archivos, logs locales, conexiones de red
Ventajas: Ve tráfico antes de cifrar/después de descifrar, detecta ataques locales, trabaja en switched networks
Desventajas: Consume recursos del host, requiere instalación en cada sistema, gestión más compleja
Productos: OSSEC, Wazuh, Trend Micro Deep Security, CrowdStrike Falcon

4.3. Métodos de Detección

Detección Basada en Firmas (Signature-Based)

Busca patrones conocidos de ataques en el tráfico:

Funcionamiento: Compara tráfico contra base de datos de firmas de ataques conocidos
Ventajas: Muy preciso para ataques conocidos, bajos falsos positivos, rápido
Desventajas: No detecta ataques nuevos (zero-day), requiere actualizaciones constantes de firmas
Ejemplo de firma: «alert tcp any any -> any 80 (content:’/etc/passwd’; msg:’Intento de acceso a passwd’;)»

Detección Basada en Anomalías (Anomaly-Based)

Aprende comportamiento normal y alerta sobre desviaciones:

Funcionamiento: Establece baseline de tráfico/comportamiento normal, detecta desviaciones estadísticas
Ventajas: Detecta ataques nuevos/desconocidos, no requiere firmas actualizadas
Desventajas: Altos falsos positivos inicialmente, requiere periodo de aprendizaje, difícil tuning
Técnicas: Análisis estadístico, machine learning, behavioral analysis

Detección Basada en Políticas (Policy-Based)

Valida cumplimiento de políticas de seguridad:

Uso de protocolos no autorizados
Acceso a recursos prohibidos
Violaciones de horarios de acceso
Configuraciones inseguras detectadas

4.4. Arquitectura de Despliegue IDS/IPS

ℹ️ Ubicaciones Estratégicas para Sensores

Perímetro externo: Entre firewall e Internet para detectar ataques desde fuera
Perímetro interno: Detrás del firewall para detectar ataques que lo atravesaron
Fronteras de DMZ: Protegiendo servidores públicos (web, mail, DNS)
Entre segmentos internos: Detectar movimiento lateral de atacantes internos
Delante de servidores críticos: Protección adicional para activos de alto valor
Redes inalámbricas: Monitorizar accesos Wi-Fi potencialmente no confiables

5. Control de Accesos

5.1. Modelos de Control de Acceso

DAC (Discretionary Access Control)

El propietario del recurso decide quién tiene acceso:

Implementación: Permisos de archivos Unix/Windows (rwx, ACLs)
Ventajas: Flexible, intuitivo para usuarios
Desventajas: Usuarios pueden debilitar seguridad, difícil control centralizado, vulnerable a troyanos

MAC (Mandatory Access Control)

Acceso controlado centralmente según clasificación de seguridad:

Funcionamiento: Etiquetas de sensibilidad en sujetos y objetos (Top Secret, Secret, Confidential, Unclassified)
Reglas: No read up, No write down (Bell-LaPadula model)
Ventajas: Muy seguro, cumple requisitos militares/gubernamentales
Desventajas: Rígido, complejo de administrar, poca flexibilidad
Implementación: SELinux, Windows MIC (Mandatory Integrity Control)

RBAC (Role-Based Access Control)

Acceso basado en roles o funciones en la organización:

Funcionamiento: Usuarios asignados a roles, permisos asignados a roles
Ventajas: Simplifica administración, alineado con estructura organizacional, facilita onboarding/offboarding
Principio de mínimo privilegio: Cada rol tiene solo permisos necesarios
Ejemplo: Rol «Contador» puede leer facturas, crear pagos, pero no modificar nóminas

ABAC (Attribute-Based Access Control)

Acceso basado en atributos de sujeto, objeto, acción y contexto:

Atributos sujeto: Departamento, clearance, ubicación, hora
Atributos objeto: Clasificación, propietario, fecha creación
Contexto: Hora del día, día de semana, nivel de amenaza actual
Ventajas: Muy granular, flexible, políticas complejas expresables
Desventajas: Complejo de configurar inicialmente, requiere infraestructura sofisticada
Estándar: XACML (eXtensible Access Control Markup Language)

5.2. Autenticación y Autorización

Factores de Autenticación

Factor	Descripción	Ejemplos	Vulnerabilidades
Algo que SABES	Información memorizada	Contraseña, PIN, pregunta secreta	Phishing, keyloggers, reutilización, adivinación
Algo que TIENES	Dispositivo físico o digital	Token hardware, smartphone, smart card, certificado digital	Robo, clonación (si no protegido), pérdida
Algo que ERES	Característica biométrica	Huella dactilar, iris, facial, voz, comportamiento (typing)	No revocable si comprometido, falsos positivos/negativos
Algo que HACES	Patrón de comportamiento	Firma manuscrita, patrón de desbloqueo, gestos	Reproducible por observación, inconsistencia usuario
Dónde ESTÁS	Ubicación física/lógica	Geolocalización, dirección IP, red específica	Spoofing de ubicación, VPN, proxy

Autenticación Multifactor (MFA)

Combina dos o más factores de diferentes categorías para mayor seguridad:

2FA/MFA basado en SMS: Código enviado a teléfono móvil (vulnerable a SIM swapping)
Aplicaciones autenticadoras: Google Authenticator, Microsoft Authenticator, Authy (TOTP/HOTP)
Push notifications: Aprobación desde app móvil (Duo, Okta Verify)
Tokens hardware: YubiKey, dispositivos RSA SecurID (más seguro, no hackeable remotamente)
Biometría + PIN: Común en smartphones modernos
FIDO2/WebAuthn: Estándar moderno phishing-resistant basado en criptografía de clave pública

5.3. NAC (Network Access Control)

Control de acceso a la red basado en postura de seguridad del dispositivo:

✅ Funciones de NAC

Evaluación de postura (Health Check): Verifica antivirus actualizado, parches OS, firewall activo, software autorizado
Autenticación 802.1X: Credenciales válidas antes de permitir acceso a red
Autorización dinámica: VLAN assignment según rol/departamento/postura
Cuarentena: Dispositivos no conformes aislados en VLAN de remediación con acceso limitado
Guest management: Registro de invitados con acceso restringido temporal
BYOD: Gestión de dispositivos personales con perfiles diferenciados
Visibilidad: Inventario automático de todos los dispositivos en la red
Monitorización continua: Re-evaluación periódica, revocación si postura degrada

Productos: Cisco ISE, Aruba ClearPass, FortiNAC, PacketFence

6. Técnicas Criptográficas

6.1. Fundamentos de Criptografía

La criptografía es la ciencia de proteger información mediante transformación matemática. En seguridad de redes proporciona:

Confidencialidad: Solo partes autorizadas pueden leer el mensaje (cifrado)
Integridad: Detección de modificaciones no autorizadas (hash, MAC)
Autenticación: Verificación de identidad del emisor (firma digital, certificados)
No repudio: El emisor no puede negar haber enviado el mensaje (firma digital)

6.2. Criptografía Simétrica

Utiliza la misma clave para cifrar y descifrar. Rápida pero requiere distribución segura de claves.

Algoritmo	Tamaño Clave	Características	Estado
DES	56 bits	Data Encryption Standard, basado en Feistel	❌ Obsoleto, inseguro
3DES (Triple DES)	112/168 bits	DES aplicado 3 veces consecutivas	⚠️ Deprecado, reemplazar
AES	128/192/256 bits	Advanced Encryption Standard, basado en Rijndael	✅ Recomendado actual
ChaCha20	256 bits	Stream cipher moderno, alternativa rápida a AES	✅ Recomendado (móviles)
Blowfish	32-448 bits	Diseñado por Bruce Schneier	⚠️ Usar Twofish en su lugar

Modos de Operación de Cifrado en Bloques

ECB (Electronic Codebook): Cada bloque cifrado independientemente – ❌ NO USAR, inseguro
CBC (Cipher Block Chaining): Cada bloque XOR con anterior antes de cifrar – ⚠️ Vulnerable a padding oracle si mal implementado
CTR (Counter): Convierte cipher de bloque en stream cipher – ✅ Paralelizable, buen rendimiento
GCM (Galois/Counter Mode): CTR + autenticación integrada – ✅ Recomendado, rápido, autenticado

6.3. Criptografía Asimétrica (Clave Pública)

Utiliza par de claves matemáticamente relacionadas: clave pública (compartible) y clave privada (secreta). Más lenta que simétrica pero resuelve distribución de claves.

Algoritmo	Tamaño Clave	Fundamento Matemático	Usos	Estado
RSA	2048/3072/4096 bits	Factorización de números primos	Cifrado, firma, intercambio claves	✅ 2048+ bits
DSA	1024-3072 bits	Logaritmo discreto	Solo firma digital	⚠️ Deprecado
ECDSA	256/384/521 bits	Curvas elípticas	Firma digital	✅ Recomendado
Curve25519	256 bits	Curva elíptica Montgomery	Intercambio claves (ECDH)	✅ Muy recomendado
Ed25519	256 bits	Curva elíptica Edwards	Firma digital (EdDSA)	✅ Muy recomendado

6.4. Funciones Hash Criptográficas

Transforman entrada de longitud arbitraria en salida de longitud fija (digest). Propiedades: unidireccional, resistencia a colisiones, efecto avalancha.

MD5: 128 bits – ❌ Roto, colisiones fáciles, NO USAR para seguridad
SHA-1: 160 bits – ❌ Roto, Google demostró colisión práctica en 2017
SHA-2 (SHA-256, SHA-384, SHA-512): 256/384/512 bits – ✅ Seguro actual, recomendado
SHA-3: Longitud variable – ✅ Estándar actual alternativo a SHA-2
BLAKE2: Hasta 512 bits – ✅ Muy rápido, alternativa moderna

Aplicaciones de Hash

Integridad de archivos: Verificar descarga sin manipulación
Almacenamiento de contraseñas: Hash+salt en lugar de plaintext
Firma digital: Firmar hash del documento en lugar del documento completo
Proof of work: Bitcoin mining busca hash con propiedades específicas
HMAC: Hash-based Message Authentication Code para autenticación

6.5. Infraestructura de Clave Pública (PKI)

Sistema de gestión de certificados digitales para autenticación y cifrado:

ℹ️ Componentes de PKI

Autoridad de Certificación (CA): Entidad confiable que emite certificados (DigiCert, Let’s Encrypt, CA interna)
Autoridad de Registro (RA): Verifica identidad de solicitantes antes de emisión
Certificado Digital: Documento electrónico que vincula clave pública con identidad (X.509 standard)
CRL (Certificate Revocation List): Lista de certificados revocados antes de expiración
OCSP (Online Certificate Status Protocol): Verificación en tiempo real de estado de certificado
Repositorio de Certificados: Directorio público de certificados emitidos

Proceso de Emisión de Certificado

Usuario/servidor genera par de claves (pública/privada)
Crea CSR (Certificate Signing Request) incluyendo clave pública e información de identidad
Envía CSR a CA después de verificación de identidad
CA valida identidad del solicitante (dominio, organización, identidad personal)
CA firma certificado con su clave privada
Certificado emitido es publicado en repositorio
Usuario/servidor instala certificado en su sistema

6.6. Protocolos Criptográficos para Redes

TLS (Transport Layer Security)

Sucesor de SSL, protocolo para comunicaciones seguras en Internet:

TLS 1.0/1.1: ❌ Deprecados, múltiples vulnerabilidades (BEAST, POODLE)
TLS 1.2: ✅ Seguro con cipher suites correctos (desactivar RC4, CBC con SHA-1)
TLS 1.3: ✅ Versión actual (2018), eliminó algoritmos débiles, handshake más rápido (1-RTT), Perfect Forward Secrecy obligatorio

Mejores prácticas TLS:

Usar solo TLS 1.2+ (deshabilitar TLS 1.0/1.1, SSL 2.0/3.0)
Cipher suites recomendados: AES-GCM, ChaCha20-Poly1305
Claves RSA 2048+ bits o ECDSA con curvas seguras (P-256, P-384)
Perfect Forward Secrecy (PFS) mediante ECDHE o DHE
Certificate pinning en aplicaciones móviles críticas
HSTS (HTTP Strict Transport Security) para forzar HTTPS

IPsec (IP Security)

Suite de protocolos para asegurar comunicaciones IP mediante autenticación y cifrado:

AH (Authentication Header): Autenticación e integridad, sin cifrado
ESP (Encapsulating Security Payload): Cifrado + autenticación + integridad
IKE (Internet Key Exchange): Protocolo para negociación e intercambio de claves (IKEv1, IKEv2)
Modo túnel: Cifra paquete IP completo (VPNs sitio-a-sitio)
Modo transporte: Cifra solo payload IP (comunicación host-to-host)

SSH (Secure Shell)

Protocolo para administración remota segura:

Cifrado de sesión mediante AES, ChaCha20
Autenticación mediante contraseña o clave pública (más seguro)
Integridad mediante HMAC
Port forwarding para túneles seguros
Hardening: Deshabilitar SSH v1, autenticación root, cambiar puerto, fail2ban

7. Arquitectura Zero Trust

7.1. Principios de Zero Trust

Zero Trust es un modelo de seguridad que parte de la premisa «nunca confíes, siempre verifica». En lugar de asumir que todo dentro del perímetro corporativo es confiable, Zero Trust trata cada solicitud de acceso como si viniera de una red no confiable.

✅ Principios Fundamentales de Zero Trust

Verificar explícitamente: Autenticar y autorizar basándose en todos los datos disponibles: identidad de usuario, ubicación, salud del dispositivo, servicio/carga de trabajo, clasificación de datos, anomalías
Mínimo privilegio (Least Privilege Access): Limitar acceso de usuarios con Just-In-Time y Just-Enough-Access (JIT/JEA), políticas adaptativas basadas en riesgo, protección de datos
Asumir la brecha (Assume Breach): Minimizar radio de explosión y prevenir movimiento lateral mediante: microsegmentación, cifrado end-to-end, análisis para visibilidad, detección de amenazas y mejora de defensas

7.2. Componentes de una Arquitectura Zero Trust

Verificación de identidad fuerte: MFA obligatorio, autenticación continua, behavioral analytics
Validación de dispositivos: Evaluación de postura de seguridad (compliance), gestión de dispositivos (MDM/UEM)
Micros egmentación: Segmentación granular de red a nivel de workload, políticas por aplicación/servicio
Acceso condicional: Políticas dinámicas basadas en contexto (ubicación, hora, riesgo de sesión)
Monitorización continua: Análisis de comportamiento de usuarios y entidades (UEBA), correlación de eventos
Automatización de respuesta: Orquestación de seguridad (SOAR), remediación automática

7.3. SASE y Zero Trust Network Access (ZTNA)

SASE (Secure Access Service Edge) converge Zero Trust con servicios de red cloud-native:

ZTNA reemplaza VPN tradicional: Acceso application-aware en lugar de network-level
Invisible al atacante: Aplicaciones no expuestas públicamente, solo accesibles post-autenticación
Granularidad extrema: Control por aplicación, no red completa
Context-aware: Decisiones basadas en identidad + dispositivo + ubicación + riesgo
Cloud-delivered: Sin necesidad de appliances on-premise

8. Seguridad en Comunicaciones Móviles

8.1. Amenazas Específicas en Movilidad

⛔ Riesgos de Seguridad Móvil

Pérdida/robo de dispositivos: Acceso físico a datos corporativos si no hay cifrado/autenticación fuerte
Malware móvil: Troyanos bancarios, spyware, ransomware adaptado a Android/iOS
Apps maliciosas: Aplicaciones aparentemente legítimas con funcionalidad maliciosa oculta
Redes Wi-Fi inseguras: Conexión a hotspots públicos sin protección expone tráfico
Evil Twin attacks: Puntos de acceso falsos imitando redes legítimas
SS7 exploits: Vulnerabilidades en protocolo de señalización para interceptación
IMSI catchers (Stingrays): Dispositivos que imitan torres celulares para interceptar comunicaciones
Jailbreak/Root: Dispositivos comprometidos pierden protecciones del OS
Side-loading de apps: Instalación de aplicaciones fuera de stores oficiales

8.2. Seguridad en Redes Móviles: Evolución 3G → 4G → 5G

Aspecto	3G (UMTS)	4G (LTE)	5G (NR)
Autenticación	Unilateral (red → usuario)	Mutua (red ↔ usuario)	Mutua mejorada + SUPI protection
Cifrado	KASUMI (A5/3)	AES, SNOW 3G	AES-256, SNOW 3G, ZUC (algoritmo chino)
Integridad	Solo señalización	Señalización + user plane opcional	Señalización + user plane obligatorio
Identificador usuario	IMSI transmitido en claro	IMSI ocasionalmente en claro	SUPI siempre cifrado con clave pública
Arquitectura	Circuit-switched core	Packet-switched (EPC)	Service-Based (SBA), virtualizada (NFV)
Home routing	Sí (vulnerable)	Sí (vulnerable)	Eliminado, comunicación directa

8.3. Desafíos de Seguridad Específicos de 5G

Mayor Superficie de Ataque

5G multiplica exponencialmente los dispositivos conectados (IoT masivo):

Miles de millones de dispositivos IoT con seguridad heterogénea
Edge computing distribuido aumenta puntos de vulnerabilidad
Network slicing: compromiso de un slice puede afectar otros
Virtualización (NFV): vulnerabilidades de hypervisors y contenedores

Dependencia de Software

5G es fundamentalmente software-defined:

Vulnerabilidades de código afectan millones de dispositivos simultáneamente
Patching complejo en infraestructura crítica operando 24/7
Supply chain attacks: código malicioso en librerías/componentes

Amenazas a Privacidad

Tracking de ubicación con precisión centimétrica
Perfilado comportamental mediante análisis de tráfico masivo
Correlación de identidades a través de múltiples servicios/slices

8.4. Medidas de Protección para Dispositivos Móviles

✅ Estrategia de Seguridad Móvil Corporativa

Gestión de Dispositivos:

MDM (Mobile Device Management): Control centralizado de dispositivos corporativos (configuración, apps permitidas, políticas)
MAM (Mobile Application Management): Gestión de aplicaciones específicas sin control total del dispositivo
UEM (Unified Endpoint Management): Gestión unificada de móviles, tablets, laptops, IoT
Containerización: Separación de datos/apps corporativas y personales en mismo dispositivo

Protección de Datos:

Cifrado de dispositivo: Full disk encryption (FileVault iOS, Android encryption)
VPN corporativa: Túnel seguro para acceso a recursos internos
DLP móvil: Prevención de copy/paste, screenshots, forwarding de datos sensibles
Remote wipe: Borrado remoto en caso de pérdida/robo

Protección de Aplicaciones:

App wrapping: Inyección de políticas de seguridad en aplicaciones existentes
MAM SDK: Desarrollo con SDK de seguridad integrado
App vetting: Análisis de seguridad antes de permitir instalación
Blacklist/Whitelist: Control de aplicaciones instalables

Protección de Red:

Certificate pinning: Validación estricta de certificados SSL
Per-app VPN: Túnel VPN solo para apps corporativas específicas
Detección de redes inseguras: Alertar/bloquear conexión a Wi-Fi no confiable

Detección de Amenazas:

MTD (Mobile Threat Defense): Antimalware específico móvil (Lookout, Zimperium, Check Point Harmony Mobile)
Detección de jailbreak/root: Bloquear dispositivos comprometidos
Behavioral analytics: Detectar comportamiento anómalo de apps/usuarios

8.5. BYOD (Bring Your Own Device)

Políticas para permitir dispositivos personales en entorno corporativo:

Política clara de uso aceptable: Documento firmado estableciendo responsabilidades
Onboarding automatizado: Proceso simple de registro y configuración
Separación trabajo/personal: Containerización o perfiles de trabajo (Android Enterprise, Apple DEP)
Acceso condicional: Requisitos mínimos (OS actualizado, screenlock, cifrado)
Offboarding: Eliminación solo de datos corporativos al cesar empleo
Consideraciones legales: Privacidad del empleado vs. protección de datos corporativos

9. Mapa Conceptual

Mapa Conceptual: Seguridad en Redes

SEGURIDAD EN REDES

1. TIPOS DE ATAQUES

Amenazas a confidencialidad, integridad y disponibilidad

1.1 Reconocimiento

Footprinting, Escaneo, Enumeración
OSINT, Ingeniería Social

1.2 Acceso

Fuerza bruta, Credential Stuffing
Explotación: Buffer Overflow, SQL Injection, XSS
Zero-day exploits

1.3 Man-in-the-Middle

ARP Spoofing, DNS Spoofing
SSL Stripping, Session Hijacking
Evil Twin (Wi-Fi)

1.4 DoS/DDoS

Volumétricos: UDP/ICMP Flood, Amplification
Protocolo: SYN Flood, ACK Flood
Aplicación: HTTP Flood, Slowloris

1.5 Malware

Virus, Gusano, Troyano
Ransomware, Spyware, Rootkit
Botnet

1.6 Ataques Avanzados 2024-2025

IA: Phishing inteligente, Deepfakes
RaaS (Ransomware as a Service)
Supply Chain attacks

2. CORTAFUEGOS (FIREWALLS)

Control y filtrado de tráfico de red

2.1 Tipos

Packet Filtering (Capa 3-4)
Stateful (mantiene estado conexiones)
Application/Proxy (Capa 7)
NGFW: DPI, IPS, App control, Identity-aware
FWaaS: Cloud-delivered (SASE)

2.2 Arquitecturas

Screened Host, Dual-Homed
DMZ (Screened Subnet)
Múltiples DMZ segmentadas
Clúster HA (Alta Disponibilidad)

3. IDS/IPS (DETECCIÓN/PREVENCIÓN INTRUSIONES)

Monitorización y bloqueo de ataques

3.1 Tipos

NIDS/NIPS: Network-based (tráfico red)
HIDS/HIPS: Host-based (actividad local)

3.2 Métodos Detección

Firmas: Patrones conocidos
Anomalías: Desviación de baseline
Políticas: Violaciones de reglas

4. CONTROL DE ACCESOS

Gestión de identidades y permisos

4.1 Modelos

DAC: Discrecional (propietario decide)
MAC: Obligatorio (etiquetas sensibilidad)
RBAC: Basado en roles
ABAC: Basado en atributos

4.2 Autenticación

Factores: Conocimiento, Posesión, Inherencia
MFA obligatorio: SMS, App, Push, Tokens, FIDO2

4.3 NAC (Network Access Control)

802.1X authentication
Posture assessment
VLAN dinámica, Cuarentena
Guest/BYOD management

5. CRIPTOGRAFÍA

Protección mediante cifrado

5.1 Simétrica

AES (128/192/256 bits) – Recomendado
ChaCha20 (móviles)
Modos: GCM (autenticado), CTR, CBC

5.2 Asimétrica

RSA (2048+ bits)
ECDSA, Curve25519, Ed25519
Usos: Cifrado, Firma, Intercambio claves

5.3 Hash

SHA-2 (SHA-256, SHA-512)
SHA-3, BLAKE2
Usos: Integridad, Passwords, Firmas

5.4 Protocolos

TLS 1.3: HTTPS, cifrado web
IPsec: VPN, AH+ESP
SSH: Administración remota
PKI: Certificados digitales X.509

6. ZERO TRUST

Nunca confíes, siempre verifica

6.1 Principios

Verificar explícitamente: Identidad+Dispositivo+Contexto
Mínimo privilegio: JIT/JEA
Asumir brecha: Microsegmentación

6.2 ZTNA (Zero Trust Network Access)

Reemplaza VPN tradicional
Acceso granular por aplicación
Context-aware, invisible externamente
Componente clave de SASE

7. SEGURIDAD MÓVIL

Protección dispositivos y comunicaciones móviles

7.1 Amenazas

Pérdida/robo, Malware móvil
Apps maliciosas, Wi-Fi inseguro
Evil Twin, SS7 exploits, IMSI catchers
Jailbreak/Root, Side-loading

7.2 Protección

MDM/MAM/UEM: Gestión dispositivos
Containerización: Separación personal/corporativo
MTD: Mobile Threat Defense
VPN móvil, Remote wipe, DLP

7.3 Seguridad 5G

Autenticación mutua mejorada
AES-256, integridad obligatoria
SUPI cifrado (vs IMSI en claro)
Arquitectura virtualizada (NFV)
Desafíos: IoT masivo, Edge computing, Slicing

Leyenda del Mapa Conceptual:

Nivel 1: Concepto principal Nivel 2: Áreas principales Nivel 3: Componentes y detalles

10. Preguntas de Evaluación

Pregunta 1

¿Cuál de los siguientes NO es uno de los principios fundamentales de la tríada CIA en seguridad de la información?

A) Confidencialidad

B) Integridad

C) Autenticación

D) Disponibilidad

✓ Respuesta correcta: C) Autenticación

Explicación: La tríada CIA (Confidentiality, Integrity, Availability) representa los tres principios fundamentales de la seguridad de la información: Confidencialidad (garantizar que la información solo sea accesible por entidades autorizadas), Integridad (asegurar que los datos no sean modificados sin autorización), y Disponibilidad (garantizar acceso a sistemas y datos cuando se necesiten). Aunque la Autenticación es un concepto de seguridad muy importante que verifica la identidad de usuarios y sistemas, no forma parte de la tríada CIA tradicional. La autenticación es más bien un mecanismo o control que ayuda a implementar los principios de la tríada CIA, junto con la autorización, el no repudio y la auditoría.

Pregunta 2

¿Qué tipo de ataque DDoS utiliza servidores DNS mal configurados para amplificar el tráfico enviado a la víctima?

A) SYN Flood

B) DNS Amplification

C) Slowloris

D) Ping of Death

✓ Respuesta correcta: B) DNS Amplification

Explicación: DNS Amplification es un ataque DDoS volumétrico que explota servidores DNS recursivos mal configurados (open resolvers) para amplificar masivamente el tráfico dirigido a una víctima. El atacante envía consultas DNS con dirección IP origen falsificada (spoofed) de la víctima a múltiples servidores DNS, solicitando respuestas grandes (por ejemplo, registro ANY). Los servidores DNS responden a la víctima con paquetes de respuesta mucho más grandes que la consulta original, logrando factores de amplificación de 50-100x. Esto permite que un atacante con ancho de banda limitado genere tráfico masivo que satura la conexión de la víctima. SYN Flood es ataque de protocolo TCP, Slowloris es ataque de aplicación HTTP, y Ping of Death explota fragmentación ICMP, ninguno involucra amplificación DNS.

Pregunta 3

¿Cuál es la principal diferencia entre un IDS y un IPS?

A) El IDS es más rápido que el IPS

B) El IDS solo detecta y alerta, mientras que el IPS puede bloquear automáticamente

C) El IPS solo funciona en redes inalámbricas

D) El IDS utiliza firmas y el IPS utiliza anomalías

✓ Respuesta correcta: B) El IDS solo detecta y alerta, mientras que el IPS puede bloquear automáticamente

Explicación: La diferencia fundamental entre IDS (Intrusion Detection System) e IPS (Intrusion Prevention System) radica en su modo de operación y capacidad de respuesta. Un IDS funciona en modo pasivo, monitorizando una copia del tráfico de red (vía SPAN port o TAP) y generando alertas cuando detecta actividad sospechosa, requiriendo intervención manual del administrador para tomar acciones. Un IPS, en cambio, se despliega inline (todo el tráfico lo atraviesa) y tiene capacidad de bloqueo automático: puede descartar paquetes maliciosos, resetear conexiones, o bloquear IPs atacantes en tiempo real. El IPS es más proactivo pero introduce riesgo de falsos positivos que pueden interrumpir tráfico legítimo. Ambos pueden usar tanto detección por firmas como por anomalías, y funcionan en cualquier tipo de red, no solo inalámbricas.

Pregunta 4

¿Qué tipo de firewall opera en la capa 7 del modelo OSI e inspecciona el contenido completo de las aplicaciones?

A) Packet Filtering Firewall

B) Stateful Firewall

C) Application Layer Firewall (Proxy)

D) Circuit-level Gateway

✓ Respuesta correcta: C) Application Layer Firewall (Proxy)

Explicación: Un Application Layer Firewall o Proxy Firewall opera en la capa 7 (aplicación) del modelo OSI, inspeccionando el contenido completo del tráfico de aplicaciones. Este tipo de firewall actúa como intermediario entre cliente y servidor, terminando completamente las conexiones en ambos lados y analizando el contenido específico del protocolo de aplicación (HTTP, FTP, SMTP, etc.). Puede filtrar basándose en contenido (URLs, palabras clave, tipos MIME), ejecutar antivirus/antimalware, prevenir fuga de datos, y ocultar la topología de red interna. Los Packet Filtering Firewalls operan en capas 3-4 tomando decisiones basadas solo en cabeceras IP/TCP/UDP, sin inspeccionar payload. Los Stateful Firewalls mantienen estado de conexiones pero típicamente no inspeccionan contenido de aplicación profundamente. Los Circuit-level Gateways validan handshakes TCP pero no examinan datos de aplicación.

Pregunta 5

En el contexto de Next Generation Firewall (NGFW), ¿qué significa DPI?

A) Data Protection Interface

B) Deep Packet Inspection

C) Dynamic Protocol Identification

D) Digital Perimeter Integration

✓ Respuesta correcta: B) Deep Packet Inspection

Explicación: DPI (Deep Packet Inspection) es una capacidad fundamental de los Next Generation Firewalls que implica inspección profunda y completa del contenido de los paquetes de red, no solo las cabeceras. DPI analiza el payload completo de los paquetes buscando malware, intrusiones, violaciones de políticas, contenido específico, y comportamiento anómalo de aplicaciones. Esto permite a los NGFW identificar aplicaciones independientemente del puerto utilizado (por ejemplo, detectar Skype aunque use puerto 80), aplicar políticas granulares por aplicación (permitir navegación web pero bloquear streaming de vídeo), detectar amenazas avanzadas ocultas en tráfico aparentemente legítimo, y descifrar/inspeccionar tráfico SSL/TLS. DPI es más intensivo en recursos que inspección superficial pero proporciona visibilidad y control muy superiores, siendo característica definitoria de NGFW versus firewalls tradicionales stateful.

Pregunta 6

¿Qué modelo de control de acceso asigna permisos basándose en roles organizacionales?

A) DAC (Discretionary Access Control)

B) MAC (Mandatory Access Control)

C) RBAC (Role-Based Access Control)

D) TBAC (Task-Based Access Control)

✓ Respuesta correcta: C) RBAC (Role-Based Access Control)

Explicación: RBAC (Role-Based Access Control) es el modelo de control de acceso que asigna permisos basándose en los roles o funciones que los usuarios desempeñan en la organización. En RBAC, los permisos se asignan a roles (como «Contador», «Gerente de Ventas», «Técnico de Soporte») y los usuarios se asignan a roles según su posición. Esto simplifica enormemente la administración de permisos: en lugar de gestionar permisos individuales para cada usuario, se definen una vez por rol y se mantienen centralizadamente. RBAC facilita onboarding (nuevo empleado obtiene automáticamente permisos de su rol), offboarding (revocación completa al cambiar rol), y cumplimiento del principio de mínimo privilegio. DAC permite a propietarios de recursos decidir permisos, MAC usa etiquetas de clasificación de seguridad jerárquicas, y TBAC (menos común) asigna permisos por tareas específicas temporales.

Pregunta 7

¿Cuál de los siguientes algoritmos de cifrado simétrico es el estándar actual recomendado?

A) DES

B) 3DES

C) AES

D) RC4

✓ Respuesta correcta: C) AES

Explicación: AES (Advanced Encryption Standard) es el algoritmo de cifrado simétrico estándar actual recomendado por organismos internacionales como NIST, adoptado en 2001 para reemplazar a DES. AES, basado en el algoritmo Rijndael, soporta claves de 128, 192 o 256 bits y opera en bloques de 128 bits. Es extremadamente eficiente tanto en hardware como software, y hasta la fecha no existen ataques prácticos conocidos contra AES implementado correctamente. Se utiliza universalmente en VPNs, Wi-Fi (WPA2/WPA3), discos cifrados, TLS, y aplicaciones que requieren cifrado robusto. DES (56 bits) está completamente obsoleto e inseguro, vulnerable a ataques de fuerza bruta. 3DES (Triple DES) está oficialmente deprecado desde 2023 y debe reemplazarse por AES. RC4 es un stream cipher con múltiples vulnerabilidades conocidas, prohibido en TLS desde 2015. Solo AES ofrece seguridad adecuada para uso actual.

Pregunta 8

¿Qué función hash criptográfica está considerada actualmente segura y recomendada?

A) MD5

B) SHA-1

C) SHA-256

D) CRC32

✓ Respuesta correcta: C) SHA-256

Explicación: SHA-256 (parte de la familia SHA-2) es la función hash criptográfica considerada actualmente segura y ampliamente recomendada para aplicaciones de seguridad. Genera un digest de 256 bits y hasta la fecha no existen ataques prácticos de colisión conocidos. SHA-256 se utiliza en certificados digitales, blockchain (Bitcoin), verificación de integridad de archivos, HMAC para autenticación de mensajes, y almacenamiento seguro de contraseñas (combinado con salt y stretching). MD5 (128 bits) está completamente roto con colisiones demostrables, no debe usarse para seguridad. SHA-1 (160 bits) fue oficialmente deprecado tras la demostración de colisión práctica por Google en 2017. CRC32 no es una función hash criptográfica sino checksum para detección de errores, no diseñado para seguridad y fácilmente reversible. Solo SHA-256 (o superiores: SHA-384, SHA-512, SHA-3) proporcionan seguridad adecuada actualmente.

Pregunta 9

En criptografía de clave pública, ¿qué tamaño mínimo de clave RSA se considera seguro actualmente?

A) 512 bits

B) 1024 bits

C) 2048 bits

D) 4096 bits

✓ Respuesta correcta: C) 2048 bits

Explicación: El tamaño mínimo de clave RSA considerado seguro actualmente por estándares internacionales (NIST, ENISA, BSI) es 2048 bits, recomendándose su uso hasta aproximadamente 2030. RSA de 1024 bits está oficialmente deprecado desde hace varios años, siendo vulnerable a factorización mediante recursos computacionales significativos pero accesibles para organizaciones bien financiadas. RSA de 512 bits es trivialmente rompible en minutos con hardware modesto. Para aplicaciones que requieran seguridad a muy largo plazo (>2030) o protección de información clasificada, se recomienda RSA 3072 o 4096 bits. Sin embargo, 4096 bits no es el «mínimo» requerido actualmente, sino una medida de seguridad reforzada que tiene coste computacional significativamente mayor. La recomendación estándar actual es 2048 bits como mínimo aceptable, con migración progresiva a 3072 bits para nuevos despliegues que requieran longevidad de claves.

Pregunta 10

¿Qué protocolo proporciona comunicaciones seguras en Internet mediante cifrado en la capa de transporte?

A) HTTP

B) FTP

C) TLS

D) SMTP

✓ Respuesta correcta: C) TLS

Explicación: TLS (Transport Layer Security) es el protocolo estándar que proporciona comunicaciones seguras en Internet mediante cifrado, autenticación e integridad en la capa de transporte (entre capas 4 y 7 del modelo OSI). TLS es el sucesor de SSL y se utiliza para proteger múltiples protocolos de aplicación: HTTPS (HTTP sobre TLS), SMTPS (SMTP sobre TLS), IMAPS, FTPS, etc. TLS establece un canal cifrado mediante handshake que negocia versión de protocolo, cipher suite, autentica servidor (y opcionalmente cliente) mediante certificados digitales, e intercambia claves simétricas para cifrado de sesión. La versión actual TLS 1.3 (2018) ofrece seguridad mejorada, handshake más rápido (1-RTT), y Perfect Forward Secrecy obligatorio. HTTP, FTP y SMTP son protocolos de aplicación que transmiten en texto claro por defecto, requiriendo TLS para seguridad (HTTPS, FTPS, SMTPS respectivamente).

Pregunta 11

¿Qué componente de PKI (Infraestructura de Clave Pública) es responsable de emitir y firmar certificados digitales?

A) Autoridad de Registro (RA)

B) Autoridad de Certificación (CA)

C) Repositorio de Certificados

D) CRL (Certificate Revocation List)

✓ Respuesta correcta: B) Autoridad de Certificación (CA)

Explicación: La Autoridad de Certificación (CA – Certificate Authority) es el componente central de una PKI responsable de emitir y firmar digitalmente certificados X.509 que vinculan claves públicas con identidades. La CA firma certificados con su clave privada, permitiendo que cualquiera pueda verificar la autenticidad del certificado usando la clave pública de la CA (incluida en navegadores/sistemas operativos). Las CAs pueden ser públicas comerciales (DigiCert, Let’s Encrypt, GlobalSign) o internas corporativas. La Autoridad de Registro (RA) verifica la identidad de solicitantes antes de que la CA emita certificados pero no firma certificados ella misma. El Repositorio de Certificados es el directorio donde se publican certificados emitidos para acceso público. La CRL es una lista de certificados revocados publicada por la CA. Solo la CA tiene la autoridad criptográfica para firmar certificados, estableciendo la cadena de confianza fundamental de PKI.

Pregunta 12

En el modelo Zero Trust, ¿cuál es el principio fundamental?

A) Confiar en todos los usuarios internos

B) Nunca confíes, siempre verifica

C) Confiar solo en dispositivos corporativos

D) Verificar solo en el perímetro de la red

✓ Respuesta correcta: B) Nunca confíes, siempre verifica

Explicación: El principio fundamental de Zero Trust es «nunca confíes, siempre verifica» (Never Trust, Always Verify), que rompe radicalmente con el modelo tradicional de seguridad perimetral (castillo-foso). Zero Trust asume que ninguna entidad (usuario, dispositivo, aplicación) es inherentemente confiable, independientemente de su ubicación (dentro o fuera de la red corporativa). Cada solicitud de acceso debe ser explícitamente verificada considerando múltiples factores: identidad del usuario (MFA), postura del dispositivo (parches, compliance), contexto (ubicación, hora, comportamiento), servicio/dato solicitado, y nivel de riesgo calculado. La verificación es continua durante toda la sesión, no solo inicial al atravesar perímetro. Este enfoque es esencial en la era de cloud, movilidad y teletrabajo donde el perímetro tradicional ha desaparecido. Zero Trust implementa microsegmentación, acceso de mínimo privilegio, y monitorización exhaustiva, asumiendo que brechas son inevitables y minimizando su impacto.

Pregunta 13

¿Qué tecnología reemplaza las VPNs tradicionales en una arquitectura Zero Trust proporcionando acceso granular por aplicación?

A) SD-WAN

B) MPLS

C) ZTNA (Zero Trust Network Access)

D) IPsec

✓ Respuesta correcta: C) ZTNA (Zero Trust Network Access)

Explicación: ZTNA (Zero Trust Network Access) es la tecnología que reemplaza VPNs tradicionales en arquitecturas Zero Trust, proporcionando acceso seguro basado en aplicaciones específicas en lugar de acceso a nivel de red. Mientras que una VPN tradicional concede acceso amplio a la red corporativa completa una vez autenticado el usuario (modelo «castillo-foso»), ZTNA implementa acceso de mínimo privilegio otorgando conectividad exclusivamente a aplicaciones/recursos específicos autorizados para cada usuario/contexto. ZTNA hace las aplicaciones «invisibles» externamente (no son descubribles mediante escaneo), autentica continuamente basándose en identidad+dispositivo+contexto, y aplica microsegmentación automática. Es componente clave de SASE, eliminando superficie de ataque y previniendo movimiento lateral de atacantes. SD-WAN optimiza conectividad WAN pero no es solución de acceso remoto. MPLS es tecnología de enrutamiento. IPsec es protocolo usado por VPNs tradicionales que ZTNA reemplaza conceptualmente.

Pregunta 14

¿Qué método de detección de IDS/IPS busca patrones conocidos de ataques en el tráfico de red?

A) Detección basada en anomalías

B) Detección basada en firmas

C) Detección basada en heurística

D) Detección basada en comportamiento

✓ Respuesta correcta: B) Detección basada en firmas

Explicación: La detección basada en firmas (Signature-Based Detection) es el método que busca patrones conocidos de ataques comparando el tráfico de red contra una base de datos de firmas o signatures de amenazas previamente identificadas. Cada firma describe características específicas de un ataque conocido (secuencia de bytes, patrón de payload, comportamiento de protocolo). Cuando el tráfico coincide con una firma, el IDS/IPS genera alerta o bloquea. Las ventajas incluyen alta precisión para amenazas conocidas, bajos falsos positivos, y rapidez de detección. Las desventajas son incapacidad de detectar ataques nuevos/zero-day y requerimiento de actualización constante de base de firmas. La detección basada en anomalías aprende comportamiento normal y detecta desviaciones, pudiendo identificar amenazas desconocidas pero con más falsos positivos. Heurística y comportamiento son enfoques relacionados que analizan patrones de actividad sospechosa sin requerir coincidencia exacta con firmas conocidas.

Pregunta 15

¿Qué ataque Man-in-the-Middle falsifica respuestas DNS para redirigir tráfico a sitios maliciosos?

A) ARP Spoofing

B) DNS Spoofing

C) SSL Stripping

D) Session Hijacking

✓ Respuesta correcta: B) DNS Spoofing

Explicación: DNS Spoofing (también llamado DNS Cache Poisoning) es el ataque Man-in-the-Middle donde el atacante falsifica respuestas DNS para redirigir víctimas a sitios maliciosos controlados por el atacante. Cuando un usuario intenta acceder a un sitio legítimo (ej: banco.com), el atacante intercepta la consulta DNS y responde con dirección IP de un servidor malicioso que imita el sitio real, facilitando phishing, robo de credenciales, o distribución de malware. El ataque puede envenenar cachés DNS de servidores recursivos afectando múltiples usuarios, o dirigirse a dispositivos individuales. Protecciones incluyen DNSSEC (validación criptográfica de respuestas DNS), configurar servidores DNS confiables, y validación de certificados HTTPS del sitio destino. ARP Spoofing manipula tablas ARP en LAN. SSL Stripping degrada conexiones HTTPS a HTTP. Session Hijacking roba cookies de sesión. Solo DNS Spoofing específicamente falsifica respuestas DNS.

Pregunta 16

¿Cuál de las siguientes NO es una característica de un Next Generation Firewall (NGFW)?

A) Inspección profunda de paquetes (DPI)

B) Identificación de aplicaciones independiente del puerto

C) IPS integrado

D) Requiere configuración manual de todas las reglas por IP

✓ Respuesta correcta: D) Requiere configuración manual de todas las reglas por IP

Explicación: Los Next Generation Firewalls (NGFW) se caracterizan precisamente por superar las limitaciones de los firewalls tradicionales que requerían configuración manual extensa regla por regla basada en IPs y puertos. Los NGFW incorporan inteligencia automatizada y capacidades avanzadas: inspección profunda de paquetes (DPI) que analiza contenido completo del payload, identificación de aplicaciones mediante técnicas avanzadas independientes del puerto utilizado (detecta Skype aunque use puerto 80), IPS integrado que previene intrusiones en línea, control de aplicaciones con políticas granulares (permitir Dropbox pero no upload), awareness de identidad de usuario (políticas por usuario/grupo no solo IP), inteligencia de amenazas con feeds de reputación actualizados, descifrado SSL/TLS para inspeccionar tráfico cifrado, y sandboxing para análisis de archivos sospechosos. La automatización, inteligencia integrada, y políticas context-aware son rasgos definitorios de NGFW, no la configuración manual tradicional por IP.

Pregunta 17

¿Qué sistema de gestión de dispositivos móviles proporciona control centralizado de configuración, aplicaciones y políticas en dispositivos corporativos?

A) VPN

B) MDM (Mobile Device Management)

C) SIEM

D) WAF

✓ Respuesta correcta: B) MDM (Mobile Device Management)

Explicación: MDM (Mobile Device Management) es el sistema que proporciona gestión centralizada y control de dispositivos móviles corporativos (smartphones, tablets), permitiendo a organizaciones configurar, monitorizar, actualizar y asegurar dispositivos remotamente. Las capacidades MDM incluyen: configuración automática de correo/VPN/Wi-Fi corporativos, instalación/actualización/desinstalación remota de aplicaciones, enforcement de políticas de seguridad (contraseña fuerte, cifrado obligatorio, tiempo de bloqueo), geolocalización de dispositivos, remote wipe (borrado remoto) en caso de pérdida/robo, detección de jailbreak/root, restricción de funcionalidades (cámara, Bluetooth, USB), monitorización de compliance, y reporting de inventario. MDM es fundamental para BYOD (Bring Your Own Device) y gestión de flotas móviles corporativas. VPN proporciona conectividad segura pero no gestión de dispositivos. SIEM es gestión de eventos de seguridad. WAF protege aplicaciones web. Solo MDM proporciona gestión integral centralizada de dispositivos móviles.

Pregunta 18

En redes 5G, ¿qué mejora de seguridad protege la identidad permanente del usuario (SUPI) evitando su transmisión en claro?

A) Cifrado del SUPI con clave pública de la red

B) Uso de contraseñas más largas

C) Autenticación por SMS

D) Eliminación completa de identificadores

✓ Respuesta correcta: A) Cifrado del SUPI con clave pública de la red

Explicación: Una mejora fundamental de seguridad en 5G es la protección del SUPI (Subscription Permanent Identifier, equivalente al IMSI en generaciones anteriores) mediante cifrado con clave pública de la red doméstica del usuario. En 3G/4G, el IMSI (identificador permanente) ocasionalmente se transmitía en claro durante procedimientos de autenticación, permitiendo tracking de usuarios mediante IMSI catchers (Stingrays). En 5G, el SUPI nunca se transmite en texto claro; el dispositivo obtiene la clave pública de la red doméstica y cifra el SUPI generando un SUCI (Subscription Concealed Identifier) que se transmite. Solo la red doméstica con la clave privada correspondiente puede descifrar el SUCI y obtener el SUPI real. Esto protege significativamente la privacidad de usuarios contra rastreo y ataques de suplantación de red. No involucra contraseñas más largas ni autenticación SMS (que son vulnerables), ni elimina identificadores (que son necesarios para routing). El cifrado asimétrico del identificador permanente es la protección específica implementada.

Pregunta 19

¿Qué tipo de malware cifra los archivos de la víctima y exige pago de rescate para descifrarlos?

A) Virus

B) Troyano

C) Ransomware

D) Spyware

✓ Respuesta correcta: C) Ransomware

Explicación: Ransomware es el tipo de malware que cifra archivos del sistema víctima utilizando criptografía fuerte (típicamente AES + RSA) y exige pago de rescate (usualmente en criptomonedas como Bitcoin) para proporcionar la clave de descifrado. El ransomware moderno ha evolucionado hacia modelos de «double extortion» (doble extorsión): además de cifrar, exfiltra datos sensibles amenazando con publicarlos si no se paga, y «triple extortion» añadiendo ataques DDoS o contacto con clientes/partners de la víctima. Ransomware as a Service (RaaS) ha industrializado este crimen, con desarrolladores alquilando malware a «afiliados» compartiendo beneficios. Ejemplos notorios incluyen WannaCry, Ryuk, REvil, LockBit. Virus se replica insertándose en archivos, Troyano oculta funcionalidad maliciosa en programa aparentemente legítimo, Spyware roba información silenciosamente. Solo Ransomware específicamente cifra datos para extorsión económica directa mediante rescate.

Pregunta 20

¿Qué protocolo de intercambio de claves es utilizado por IPsec para negociar parámetros de seguridad?

A) TLS

B) IKE (Internet Key Exchange)

C) SSH

D) HTTPS

✓ Respuesta correcta: B) IKE (Internet Key Exchange)

Explicación: IKE (Internet Key Exchange) es el protocolo utilizado por IPsec para negociar y establecer asociaciones de seguridad (SAs – Security Associations), intercambiar claves criptográficas, y acordar parámetros de seguridad entre peers IPsec. IKE opera en dos fases: Fase 1 establece un canal seguro autenticado (ISAKMP SA) mediante autenticación mutua (pre-shared keys, certificados digitales o firma RSA) y acuerdo Diffie-Hellman para claves de sesión; Fase 2 negocia las SAs IPsec específicas (parámetros como algoritmos de cifrado AES, autenticación HMAC, lifetime de claves) que protegerán el tráfico de datos. IKEv2 (versión 2, RFC 7296) es la versión actual recomendada, más eficiente y robusta que IKEv1. TLS protege tráfico de aplicaciones web/correo pero no negocia IPsec. SSH es para administración remota. HTTPS es HTTP sobre TLS. Solo IKE es el protocolo específico de intercambio de claves e negociación de seguridad para IPsec.

Pregunta 21

¿Qué sistema de control de acceso a red (NAC) verifica que los dispositivos cumplan políticas de seguridad antes de permitir acceso?

A) Autenticación 802.1X con evaluación de postura

B) Filtrado MAC simple

C) Contraseña de red Wi-Fi

D) Bloqueo de puertos no utilizados

✓ Respuesta correcta: A) Autenticación 802.1X con evaluación de postura

Explicación: La autenticación 802.1X combinada con evaluación de postura (health check o posture assessment) es el método NAC que verifica compliance de dispositivos con políticas de seguridad antes de permitir acceso a la red. 802.1X es el estándar IEEE de autenticación port-based que requiere credenciales válidas antes de habilitar el puerto de red. La evaluación de postura añade verificación del estado de seguridad del dispositivo: antivirus actualizado y activo, parches de sistema operativo aplicados, firewall personal habilitado, software autorizado, ausencia de jailbreak/root. Si el dispositivo es non-compliant, NAC puede: denegar acceso completamente, asignar a VLAN de cuarentena con acceso limitado solo a recursos de remediación, o notificar a administradores. El filtrado MAC es fácilmente spoofeable y no verifica postura. Contraseña Wi-Fi solo autentica conocimiento de clave compartida. Bloqueo de puertos es medida física básica. Solo 802.1X+posture assessment proporciona verificación integral de compliance antes de otorgar acceso.

Pregunta 22

¿Qué ataque explota vulnerabilidades de software para ejecutar código arbitrario en un sistema objetivo?

A) Phishing

B) Buffer Overflow

C) Password Spraying

D) DNS Spoofing

✓ Respuesta correcta: B) Buffer Overflow

Explicación: Buffer Overflow es un ataque que explota vulnerabilidades de gestión de memoria en software para sobrescribir áreas de memoria adyacentes con datos maliciosos, permitiendo ejecutar código arbitrario con control del atacante sobre el sistema. Cuando un programa no valida correctamente el tamaño de entrada de datos, puede escribir más allá del límite del buffer asignado, sobrescribiendo memoria adyacente que puede contener instrucciones de retorno de funciones. El atacante manipula esta sobrescritura para que el programa ejecute código malicioso inyectado. Buffer Overflow es especialmente peligroso porque puede permitir escalada de privilegios, ejecución remota de código (RCE), y compromiso completo del sistema. Protecciones modernas incluyen: ASLR (Address Space Layout Randomization), DEP/NX (Data Execution Prevention/No-eXecute), Stack Canaries, y validación rigurosa de entradas en código. Phishing es ingeniería social, Password Spraying es ataque a contraseñas, DNS Spoofing falsifica respuestas DNS. Solo Buffer Overflow explota específicamente vulnerabilidades de gestión de memoria para ejecutar código arbitrario.

Pregunta 23

¿Cuál de las siguientes es una ventaja de la detección basada en anomalías en IDS/IPS?

A) No genera nunca falsos positivos

B) Puede detectar ataques nuevos o desconocidos (zero-day)

C) No requiere periodo de aprendizaje

D) Es más rápida que la detección por firmas

✓ Respuesta correcta: B) Puede detectar ataques nuevos o desconocidos (zero-day)

Explicación: La principal ventaja de la detección basada en anomalías es su capacidad de detectar ataques nuevos, desconocidos o zero-day que no tienen firma existente en bases de datos. La detección por anomalías funciona estableciendo un perfil de comportamiento «normal» del sistema o red mediante análisis estadístico y machine learning durante un periodo de aprendizaje. Cualquier desviación significativa de este baseline se considera anómala y genera alerta. Esto permite identificar amenazas que la detección por firmas no puede detectar porque no existen patrones conocidos. Sin embargo, la detección por anomalías tiene desventajas significativas: genera bastantes falsos positivos (opción A incorrecta), especialmente durante fase inicial o cuando comportamiento legítimo cambia; requiere obligatoriamente periodo de aprendizaje extenso para establecer baseline preciso (opción C incorrecta); y suele ser computacionalmente más intensiva que firmas (opción D incorrecta). La capacidad de detectar amenazas zero-day es su valor único que justifica estas limitaciones en sistemas de seguridad modernos.

Pregunta 24

¿Qué mejora de seguridad en 5G garantiza autenticación mutua entre dispositivo y red?

A) Solo el dispositivo autentica a la red

B) Solo la red autentica al dispositivo

C) Ambos se autentican mutuamente

D) No hay autenticación en 5G

✓ Respuesta correcta: C) Ambos se autentican mutuamente

Explicación: 5G implementa autenticación mutua mejorada donde tanto el dispositivo del usuario como la red se autentican recíprocamente antes de establecer comunicación. Esta es una mejora crítica respecto a 3G donde la autenticación era unilateral (solo red autenticaba dispositivo pero no viceversa), dejando vulnerable a ataques de estaciones base falsas (IMSI catchers/Stingrays). En 4G se introdujo autenticación mutua que 5G mantiene y refuerza. La autenticación mutua protege contra múltiples amenazas: previene que dispositivos se conecten a torres celulares falsas operadas por atacantes, evita man-in-the-middle attacks en comunicaciones móviles, y garantiza que ambas partes son legítimas. 5G utiliza autenticación basada en AKA (Authentication and Key Agreement) mejorado con protección adicional del identificador permanente SUPI mediante cifrado asimétrico. La autenticación mutua es requisito fundamental de seguridad en 5G que protege privacidad y confidencialidad de comunicaciones móviles frente a amenazas que comprometieron generaciones anteriores.

Pregunta 25

¿Cuál es el principio de seguridad que establece que cada usuario debe tener solo los permisos mínimos necesarios para realizar su trabajo?

A) Principio de máxima conectividad

B) Principio de mínimo privilegio

C) Principio de acceso universal

D) Principio de confianza total

✓ Respuesta correcta: B) Principio de mínimo privilegio

Explicación: El principio de mínimo privilegio (Principle of Least Privilege – PoLP) es un concepto fundamental de seguridad que establece que cada usuario, proceso, programa o sistema debe tener únicamente los permisos, accesos y recursos mínimos estrictamente necesarios para cumplir su función legítima, nada más. Este principio minimiza la superficie de ataque y el daño potencial si una cuenta es comprometida: si un atacante obtiene acceso a una cuenta con privilegios limitados, solo puede acceder a recursos específicos de esa cuenta, no a sistemas completos. La implementación del mínimo privilegio requiere: identificación clara de funciones y recursos necesarios por rol, asignación granular de permisos por recurso específico, revisiones periódicas de accesos (access reviews), revocación inmediata cuando ya no se necesitan (offboarding), y uso de cuentas con privilegios elevados solo cuando absolutamente necesario (Just-In-Time/Just-Enough-Access). Este principio es transversal a toda la seguridad: aplicable a usuarios humanos, cuentas de servicio, aplicaciones, contenedores, y cualquier entidad que acceda a recursos. Es piedra angular de Zero Trust y arquitecturas de seguridad modernas.

11. Referencias Bibliográficas y Documentación

Normativa y Estándares

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS). BOE núm. 25, de 29 de enero de 2010
ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection – Information security management systems – Requirements
ISO/IEC 27002:2022 – Information security, cybersecurity and privacy protection – Information security controls
ISO/IEC 27005:2022 – Information security, cybersecurity and privacy protection – Guidance on managing information security risks
NIST Cybersecurity Framework (CSF) 2.0 (2024) – Framework for Improving Critical Infrastructure Cybersecurity
NIST SP 800-53 Rev. 5 – Security and Privacy Controls for Information Systems and Organizations
CIS Controls v8 – Center for Internet Security Critical Security Controls

Guías Técnicas CCN-CERT

CCN-STIC 801 – Esquema Nacional de Seguridad – Responsabilidades y Funciones
CCN-STIC 811 – Interconexión en el Esquema Nacional de Seguridad
CCN-STIC 816 – Seguridad en Entornos y Aplicaciones Web
CCN-STIC 817 – Esquema Nacional de Seguridad – Gestión de Ciberincidentes
CCN-STIC 823 – Utilización de Algoritmos Criptográficos en el ENS

Bibliografía Fundamental

Stallings, William (2023). Cryptography and Network Security: Principles and Practice, 8th Edition. Pearson
Kaufman, Charlie; Perlman, Radia & Speciner, Mike (2002). Network Security: Private Communication in a Public World, 2nd Edition. Prentice Hall
Schneier, Bruce (2015). Applied Cryptography: Protocols, Algorithms and Source Code in C, 20th Anniversary Edition. Wiley
Anderson, Ross (2020). Security Engineering: A Guide to Building Dependable Distributed Systems, 3rd Edition. Wiley
Cheswick, William R.; Bellovin, Steven M. & Rubin, Aviel D. (2003). Firewalls and Internet Security: Repelling the Wily Hacker, 2nd Edition. Addison-Wesley
Rash, Michael (2007). Linux Firewalls: Attack Detection and Response with iptables, psad, and fwsnort. No Starch Press

Recursos de Investigación y Tendencias

OWASP (Open Web Application Security Project): https://owasp.org/ – Top 10, recursos de seguridad aplicaciones web
MITRE ATT&CK Framework: https://attack.mitre.org/ – Base de conocimiento de tácticas y técnicas de adversarios
CVE (Common Vulnerabilities and Exposures): https://cve.mitre.org/ – Base de datos de vulnerabilidades
NVD (National Vulnerability Database): https://nvd.nist.gov/ – Base de datos NIST con scoring CVSS
SANS Internet Storm Center: https://isc.sans.edu/ – Monitorización de amenazas global
Krebs on Security: https://krebsonsecurity.com/ – Investigación de cibercrimen
Schneier on Security: https://www.schneier.com/ – Blog de Bruce Schneier sobre criptografía y seguridad

Informes de Tendencias 2024-2025

Verizon Data Breach Investigations Report (DBIR) 2024 – Análisis anual de brechas de seguridad
Mandiant M-Trends 2024 – Tendencias en respuesta a incidentes y amenazas
Cisco Annual Cybersecurity Report 2024 – Estado global de ciberseguridad
Gartner Top Strategic Technology Trends 2025 – Predicciones tecnológicas incluyendo seguridad
ENISA Threat Landscape 2024 – Panorama de amenazas en Europa

Herramientas Open Source

Snort: https://www.snort.org/ – IDS/IPS de red open source
Suricata: https://suricata.io/ – Motor IDS/IPS/NSM de alto rendimiento
pfSense: https://www.pfsense.org/ – Firewall y router open source basado en FreeBSD
Wireshark: https://www.wireshark.org/ – Analizador de protocolos de red
Nmap: https://nmap.org/ – Scanner de puertos y auditoría de seguridad
Metasploit: https://www.metasploit.com/ – Framework de pentesting
OSSEC: https://www.ossec.net/ – HIDS open source
OpenVAS: https://www.openvas.org/ – Scanner de vulnerabilidades

Certificaciones Profesionales

CISSP (Certified Information Systems Security Professional): ISC² – Certificación avanzada seguridad
CEH (Certified Ethical Hacker): EC-Council – Hacking ético
OSCP (Offensive Security Certified Professional): Offensive Security – Pentesting avanzado
GIAC Security Essentials (GSEC): SANS – Fundamentos seguridad
CompTIA Security+: CompTIA – Certificación base seguridad TI
CCSP (Certified Cloud Security Professional): ISC² – Seguridad cloud