Tema 84 – Internet: Estado Actual y Tendencias | TFA-STI SAS

TEMA 84

Internet: Estado Actual y Tendencias

Servicios Tradicionales, Lenguajes, Herramientas, Protocolos, Intranets, Extranets, Accesibilidad y Usabilidad

📚 Oposición TFA-STI · Servicio Andaluz de Salud

🎯Contexto y Relevancia para el SAS

Internet no es solo «la red de redes»… es el sistema nervioso digital del Sistema Sanitario Público de Andalucía. Cada vez que un profesional sanitario accede a Diraya, cada receta electrónica tramitada, cada cita programada en ClicSalud+, cada resultado de laboratorio consultado… todo eso viaja por protocolos de Internet que tú, como TFA-STI, vas a gestionar, mantener y asegurar.

Este tema es fundamental porque conecta con prácticamente todos los demás del temario: redes (Tema 60-61), seguridad (ENS, RGPD), desarrollo web (Tema 47), interoperabilidad sanitaria (HL7/FHIR), y accesibilidad (fundamental en la Administración Pública).

💪Por Qué Este Tema Te Va a Ayudar a Conseguir Tu Plaza

Mira, voy a serte sincero: este tema cae SIEMPRE en el examen. En la OPE 2025 hubo preguntas específicas sobre SFTP, HTTP/2, protocolos de red y accesibilidad web (Pregunta 32 sobre SFTP, Pregunta 57 sobre HTTP/2, Pregunta 124 sobre normativa TIC del SAS para accesibilidad).

Pero hay más… Este tema te da las bases para entender cómo funcionan los sistemas corporativos del SAS que usarás cada día:

¿Cómo se comunica Diraya con los servidores del CPD? → HTTP/HTTPS, APIs REST
¿Cómo se transfieren los backups de forma segura? → SFTP/FTPS
¿Por qué el Portal del Profesional debe cumplir WCAG 2.1? → Accesibilidad obligatoria
¿Cómo funciona la Intranet del SAS? → Arquitectura cliente-servidor, VPN, protocolos seguros

📋 Índice del Tema

Internet: Estado Actual y Evolución Tecnológica
- 1.1. Definición y Arquitectura de Internet
- 1.2. Estado Actual: IPv6, 5G, Edge Computing, IoT
- 1.3. Tendencias Emergentes: Web3, IA Generativa, Quantum-Safe
Servicios Tradicionales de Internet
- 2.1. Correo Electrónico: SMTP, POP3, IMAP4
- 2.2. Transferencia de Ficheros: FTP, FTPS, SFTP
- 2.3. Otros Servicios Clásicos: DNS, DHCP, NTP
Lenguajes para Utilización en Internet
- 3.1. Lenguajes de Marcado: HTML5, XML, JSON
- 3.2. Lenguajes de Estilo: CSS3, Preprocesadores SASS/LESS
- 3.3. Lenguajes de Programación Cliente: JavaScript, TypeScript
- 3.4. Lenguajes de Programación Servidor: PHP, Python, Node.js, Java
Herramientas para Desarrollo y Gestión Web
- 4.1. Frameworks Frontend: React, Angular, Vue.js
- 4.2. Frameworks Backend: Spring Boot, Django, Express.js
- 4.3. Herramientas de Desarrollo: Git, Docker, Kubernetes
- 4.4. Herramientas de Testing y Monitorización
Protocolos para Utilización en Internet
- 5.1. HTTP/HTTPS y Evolución: HTTP/1.1, HTTP/2, HTTP/3
- 5.2. Protocolos de Seguridad: TLS/SSL, SSH
- 5.3. Protocolos Modernos: WebSocket, gRPC, MQTT
- 5.4. APIs: REST, GraphQL, SOAP
Intranets y Extranets
- 6.1. Definición y Diferencias
- 6.2. Arquitectura y Componentes
- 6.3. Casos en el SAS: Red Corporativa SSPA
- 6.4. Seguridad: VPN, Firewall, DMZ
Accesibilidad Web
- 7.1. Normativa: WCAG 2.1, EN 301 549, RD 1112/2018
- 7.2. Principios POUR: Perceptible, Operable, Comprensible, Robusto
- 7.3. Niveles de Conformidad: A, AA, AAA
- 7.4. Herramientas de Evaluación: WAVE, AXE, Lighthouse
Usabilidad Web
- 8.1. Principios de Diseño UX/UI
- 8.2. Patrones de Diseño Web
- 8.3. Responsive Design y Mobile First
- 8.4. Métricas de Usabilidad y Testing
Aplicación en el SAS: Casos Prácticos
Conclusiones y Retos Futuros

🌐1. Internet: Estado Actual y Evolución Tecnológica

1.1. Definición y Arquitectura de Internet

Internet es una red global de redes interconectadas que utilizan el conjunto de protocolos TCP/IP para comunicarse. No es una entidad única, sino un sistema descentralizado de redes públicas y privadas que abarcan desde pequeñas redes locales hasta grandes redes de proveedores de servicios (ISP).

Arquitectura Jerárquica de Internet

Nivel	Descripción	Ejemplos
Tier 1	Redes troncales globales que no pagan tránsito. Se interconectan mediante peering gratuito	AT&T, Verizon, NTT, Lumen (antes Level 3)
Tier 2	ISPs regionales que compran tránsito a Tier 1 y hacen peering entre sí	Telefónica España, Vodafone, Orange
Tier 3	ISPs locales que compran tránsito y dan servicio al usuario final	ISPs locales, empresas, instituciones

⚠️Importante para el Examen: La Red Corporativa del SSPA (Sistema Sanitario Público de Andalucía) es una red privada que se conecta a Internet mediante puntos de acceso controlados y VPNs. Comprende la Red de Voz y Datos del SAS, que interconecta todos los centros sanitarios (hospitales, centros de salud, consultorios) y las sedes administrativas.

1.2. Estado Actual de Internet (2025)

IPv6: La Transición Definitiva

Aunque IPv4 sigue siendo dominante en muchas redes corporativas, IPv6 es ya una realidad ineludible. El agotamiento de direcciones IPv4 y la explosión del IoT han acelerado la adopción.

Característica	IPv4	IPv6
Tamaño dirección	32 bits (4.300 millones)	128 bits (340 undecillones)
Formato	Decimal: 192.168.1.1	Hexadecimal: 2001:db8::1
Configuración	Manual o DHCP	SLAAC (autoconfiguración) o DHCPv6
Seguridad	IPsec opcional	IPsec obligatorio (en teoría)
Fragmentación	Router puede fragmentar	Solo el origen fragmenta

💼Caso SAS: La Red Corporativa del SAS está en proceso de migración a dual-stack IPv4/IPv6. Sistemas críticos como Diraya deben ser accesibles en ambos protocolos para garantizar la continuidad del servicio durante la transición.

5G y Conectividad Ubicua

La tecnología 5G no es solo «más rápida»… Es un cambio de paradigma en conectividad:

Latencia ultra-baja: <10 ms (crítico para telemedicina y cirugía remota)
Ancho de banda masivo: Hasta 10 Gbps (streaming de imágenes médicas en tiempo real)
Densidad de dispositivos: 1 millón/km² (IoT médico: sensores, wearables)
Network slicing: Redes virtuales dedicadas (una para emergencias, otra para datos administrativos)

Edge Computing: Procesamiento en el Borde

El Edge Computing acerca el procesamiento de datos al punto de generación, reduciendo latencia y mejorando la privacidad. En sanidad, esto es crítico:

Análisis de ECG en tiempo real en ambulancias
Procesamiento de imágenes médicas en el propio hospital sin enviarlas al cloud
IA local para diagnóstico asistido que cumple con RGPD (datos no salen del centro)

IoT (Internet of Things) en Sanidad

El IoMT (Internet of Medical Things) es una realidad en el SAS:

Wearables: Monitorización continua de constantes vitales
Sensores ambientales: Control de temperatura/humedad en quirófanos y almacenes farmacéuticos
Dispositivos médicos conectados: Bombas de infusión, monitores cardíacos, ventiladores
Gestión de activos: RFID para seguimiento de equipamiento médico

🔒Seguridad IoT en el SAS: Todos los dispositivos IoT deben cumplir con el ENS (Esquema Nacional de Seguridad) categoría MEDIO. Esto implica:

Segregación en VLANs específicas
Autenticación 802.1X para acceso a red
Cifrado TLS 1.3 en comunicaciones
Actualización regular de firmware
Monitorización con SIEM (ej: Splunk, ELK)

1.3. Tendencias Emergentes en Internet

Web3 y Blockchain

Aunque aún en fase experimental en sanidad, Web3 promete descentralización y control del usuario sobre sus datos:

Historia clínica descentralizada: Paciente controla acceso mediante smart contracts
Trazabilidad farmacéutica: Blockchain para evitar falsificaciones
Investigación médica: Compartir datos anonimizados de forma segura

Nota: En 2025, estas tecnologías están en fase de piloto, pero debes conocer los conceptos para el examen.

Inteligencia Artificial Generativa

La IA generativa (tipo ChatGPT, Claude, Gemini) está transformando la interacción web:

Chatbots médicos: Atención 24/7 para consultas no urgentes
Generación de informes: Asistencia en documentación clínica
Traducción médica: Acceso a pacientes de cualquier idioma

Limitaciones y Consideraciones:

NO sustituye al profesional sanitario
Requiere validación humana (human-in-the-loop)
Problemas de alucinaciones y sesgos
Cumplimiento RGPD: datos de salud son categoría especial (Art. 9.2 RGPD)

Criptografía Post-Cuántica (Quantum-Safe)

Los ordenadores cuánticos romperán el cifrado actual (RSA, ECC). El NIST ya ha estandarizado algoritmos resistentes a ataques cuánticos:

CRYSTALS-Kyber: Para intercambio de claves
CRYSTALS-Dilithium: Para firmas digitales
Falcon y SPHINCS+: Alternativas para firmas

Aunque los ordenadores cuánticos útiles están a años de distancia, el SAS debe prepararse ahora porque los datos de salud cifrados hoy podrían ser descifrados en el futuro (ataque «harvest now, decrypt later»).

Zero Trust Network Architecture

El modelo tradicional de «confianza dentro del perímetro» está obsoleto. Zero Trust se basa en «nunca confiar, siempre verificar»:

Microsegmentación: Cada aplicación/servicio en su propio segmento
Autenticación continua: MFA en cada acceso, no solo al login
Least privilege: Mínimos privilegios necesarios
Monitorización exhaustiva: Logs de todo, análisis con IA

📧2. Servicios Tradicionales de Internet

2.1. Correo Electrónico: SMTP, POP3, IMAP4

El correo electrónico es el servicio más antiguo y aún esencial de Internet. En el SAS, el correo corporativo (@juntadeandalucia.es) es canal oficial de comunicación.

Arquitectura del Correo Electrónico

Cliente (Outlook/Thunderbird) –[SMTP]–> Servidor SMTP (envío)
–[SMTP]–> Servidor SMTP destino –[IMAP/POP3]–>
Servidor almacenamiento –[IMAP/POP3]–> Cliente destino

Protocolo SMTP (Simple Mail Transfer Protocol)

Característica	Detalle
Puerto estándar	25 (sin cifrar), 465 (SMTP sobre SSL), 587 (SMTP con STARTTLS)
Función	Envío de correo (MTA: Mail Transfer Agent)
Comandos principales	HELO, MAIL FROM, RCPT TO, DATA, QUIT
Seguridad	STARTTLS (cifrado oportunista), SMTP AUTH (autenticación)
Extensiones	SPF, DKIM, DMARC (anti-spoofing)

Protocolo POP3 (Post Office Protocol v3)

POP3 es el protocolo más simple para recibir correo:

Puerto: 110 (sin cifrar), 995 (POP3S con SSL/TLS)
Funcionamiento: Descarga mensajes del servidor y los borra (modo por defecto)
Ventajas: Simple, rápido, consume poco ancho de banda
Desventajas: No sincroniza entre dispositivos, acceso offline limitado

Protocolo IMAP4 (Internet Message Access Protocol v4)

IMAP4 es el estándar moderno para correo corporativo:

Puerto: 143 (sin cifrar), 993 (IMAPS con SSL/TLS)
Funcionamiento: Los mensajes permanecen en el servidor, el cliente los sincroniza
Ventajas:
- Acceso desde múltiples dispositivos con sincronización
- Gestión de carpetas en servidor
- Búsquedas en servidor (menos carga en cliente)
- Flags de estado (leído/no leído) sincronizados
Desventajas: Más complejo, requiere más recursos del servidor

💼Caso SAS: El correo corporativo del SAS utiliza Microsoft Exchange Server con acceso mediante:

Outlook Web Access (OWA): HTTPS sobre puerto 443
Clientes de escritorio: Outlook con protocolo MAPI sobre HTTP
Dispositivos móviles: Exchange ActiveSync (EAS)
IMAP4/SMTP: Solo para aplicaciones legacy

Seguridad aplicada:

TLS 1.3 obligatorio en todas las comunicaciones
MFA (Multi-Factor Authentication) con certificado digital o app Microsoft Authenticator
SPF, DKIM, DMARC configurados para evitar suplantación
ATP (Advanced Threat Protection) para detectar malware y phishing

2.2. Transferencia de Ficheros: FTP, FTPS, SFTP

La transferencia de ficheros es crítica en el SAS: backups, imágenes médicas DICOM, ficheros HL7, logs del sistema…

FTP (File Transfer Protocol)

Característica	Detalle
Puerto	21 (control), 20 (datos en modo activo)
Arquitectura	Dos canales: control (comandos) y datos (transferencia)
Modos	Activo: Servidor inicia conexión datos al cliente Pasivo: Cliente inicia ambas conexiones (mejor con firewalls)
Seguridad	❌ NINGUNA – Credenciales y datos en claro
Estado actual	OBSOLETO y PROHIBIDO en entornos que cumplan ENS

⚠️Crítico para el Examen: El FTP tradicional está PROHIBIDO en el SAS por el ENS (medida mp.com.4: protección de la autenticidad y confidencialidad). Solo se permiten FTPS o SFTP.

FTPS (FTP Secure / FTP over SSL/TLS)

FTPS es FTP con una capa de cifrado SSL/TLS añadida:

Puerto: 990 (implicit SSL) o 21 (explicit SSL con STARTTLS)
Ventajas:
- Compatibilidad con FTP (mismos comandos)
- Cifrado fuerte (TLS 1.2/1.3)
- Autenticación mediante certificados X.509
Desventajas:
- Complejidad en configuración de firewall (múltiples puertos)
- Dos canales separados (control y datos) dificultan NAT

SFTP (SSH File Transfer Protocol)

A pesar del nombre similar, SFTP NO es FTP cifrado. Es un protocolo completamente distinto que forma parte de SSH.

Característica	Detalle
Puerto	22 (mismo que SSH)
Arquitectura	Un solo canal cifrado para comandos y datos
Autenticación	Usuario/contraseña o clave pública (más segura)
Ventajas sobre FTPS	• Configuración de firewall sencilla (1 puerto) • Funciona bien con NAT • Reanudación de transferencias • Gestión de permisos Unix/Linux integrada
Desventajas	• Algo más lento que FTPS (sobrecarga SSH) • No estándar en entornos Windows legacy

💼Pregunta del Examen OPE 2025 – Pregunta 32:

«En el contexto de los protocolos de transferencia de ficheros en Internet, ¿qué ventaja aporta el protocolo SFTP (SSH File Transfer Protocol) frente a FTP y FTPS?»

Respuesta correcta (B): SFTP cifra tanto el canal de control como el de datos mediante una única conexión segura.

Explicación: Esta es la ventaja clave de SFTP. Mientras que FTP es completamente inseguro y FTPS usa dos canales separados (lo que complica firewalls), SFTP usa una sola conexión SSH que cifra TODO: autenticación, comandos y datos.

Comparativa Rápida: FTPS vs SFTP

Aspecto	FTPS	SFTP
Base	FTP + SSL/TLS	SSH subsystem
Puertos	990 o 21 + rango datos	22 (solo uno)
Cifrado	SSL/TLS	SSH
Canales	2 (control + datos)	1 (multiplexado)
Firewall	Complejo	Simple
Rendimiento	Más rápido	Ligeramente más lento
Recomendación SAS	✓ Aceptable	✓✓ Preferido

2.3. Otros Servicios Clásicos de Internet

DNS (Domain Name System)

El DNS es el «directorio telefónico» de Internet. Traduce nombres de dominio legibles (diraya.sas.junta-andalucia.es) a direcciones IP.

Puerto: 53 (UDP para consultas, TCP para transferencias de zona)
Jerarquía: Root → TLD (.es, .com) → SLD (junta-andalucia.es) → subdominios
Tipos de registros:
- A: IPv4 address
- AAAA: IPv6 address
- CNAME: Alias
- MX: Mail exchange
- TXT: Texto (usado para SPF, DKIM)
- NS: Name server
Seguridad: DNSSEC (firma criptográfica de registros DNS)

DNS en el SAS: La Red Corporativa SAS utiliza servidores DNS internos para resolución de nombres de los sistemas corporativos (Diraya, InterSAS, BPS). Estos servidores están replicados en múltiples CPDs para alta disponibilidad.

DHCP (Dynamic Host Configuration Protocol)

DHCP asigna automáticamente configuración IP a dispositivos de red:

Puerto: 67 (servidor), 68 (cliente)
Proceso DORA:
1. Discover: Cliente busca servidor DHCP
2. Offer: Servidor ofrece configuración
3. Request: Cliente solicita esa configuración
4. Acknowledge: Servidor confirma asignación
Concede: Dirección IP, máscara, gateway, DNS, tiempo de concesión (lease time)

NTP (Network Time Protocol)

La sincronización horaria es CRÍTICA en entornos sanitarios:

Puerto: 123 (UDP)
Importancia:
- Marcas temporales en historias clínicas (obligatorio por Ley 41/2002)
- Correlación de eventos de seguridad en logs
- Validación de certificados digitales
- Autenticación Kerberos (±5 min de tolerancia)
Jerarquía de estratos: Stratum 0 (reloj atómico) → Stratum 1 → … → Stratum 16 (no sincronizado)

💼Caso Real SAS: Los servidores críticos del SAS se sincronizan con servidores NTP stratum 1 externos (p.ej., pool.ntp.org) y tienen servidores NTP internos stratum 2 como respaldo. Un desfase de más de 5 minutos puede causar:

Rechazo de autenticación Kerberos
Invalidación de certificados SSL/TLS
Inconsistencias en registros de historia clínica (problema legal grave)

💻3. Lenguajes para Utilización en Internet

3.1. Lenguajes de Marcado

HTML5 (HyperText Markup Language 5)

HTML5 es el estándar actual para estructurar contenido web. Publicado en 2014, introduce mejoras cruciales:

Novedades de HTML5:

Semántica mejorada: <header>, <nav>, <article>, <section>, <footer>
Multimedia nativa: <audio> y <video> sin plugins (adiós Flash)
Canvas y SVG: Gráficos 2D/3D en el navegador
APIs JavaScript: Geolocalización, drag & drop, almacenamiento local, workers
Formularios mejorados: Validación nativa, nuevos tipos de input (email, date, number)
Accesibilidad: Roles ARIA integrados

XML (eXtensible Markup Language)

XML sigue siendo fundamental en interoperabilidad sanitaria:

HL7 v2/v3: Mensajes de intercambio clínico en XML
CDA (Clinical Document Architecture): Documentos clínicos estructurados
SOAP: Web services legacy (aún en uso en algunos sistemas SAS)
Configuración: Muchas aplicaciones Java usan XML para config

JSON (JavaScript Object Notation)

JSON ha desplazado a XML como formato preferido para APIs modernas:

Ventajas:
- Más ligero y legible que XML
- Parsing nativo en JavaScript
- Amplio soporte en todos los lenguajes
Uso en SAS:
- APIs REST: Diraya expone APIs en JSON
- HL7 FHIR: Puede usar JSON (además de XML)
- Configuración: Aplicaciones modernas prefieren JSON

// Ejemplo: Paciente en JSON (FHIR)
{
  "resourceType": "Patient",
  "id": "12345",
  "name": [{
    "family": "García",
    "given": ["María", "Carmen"]
  }],
  "birthDate": "1985-03-15",
  "gender": "female",
  "identifier": [{
    "system": "urn:oid:1.3.6.1.4.1.19126.3",
    "value": "12345678A"
  }]
}

3.2. Lenguajes de Estilo: CSS3

CSS3 (Cascading Style Sheets 3) separa presentación de contenido. Novedades clave:

Flexbox: Layout flexible en 1D (filas o columnas)
Grid: Layout en 2D (filas Y columnas simultáneamente)
Media Queries: Responsive design (adaptar a móvil/tablet/desktop)
Animaciones y transiciones: Sin JavaScript
Custom properties: Variables CSS (--color-primary: #667eea;)
Preprocesadores: SASS, LESS, Stylus (añaden variables, funciones, mixins)

CSS y Accesibilidad: El CSS debe usarse correctamente para NO romper accesibilidad:

NO usar display: none; para contenido importante (lectores de pantalla lo ignoran)
Contraste mínimo 4.5:1 para texto normal, 3:1 para texto grande (WCAG 2.1 nivel AA)
NO depender solo del color para transmitir información
Respetar preferencias de usuario (prefers-reduced-motion, prefers-color-scheme)

3.3. Lenguajes de Programación Cliente: JavaScript

JavaScript (ES6/ES2015+) es el lenguaje del navegador. Evolución constante:

Características Modernas (ES6+)

Let/const: Sustituto de var con scope de bloque
Arrow functions: Sintaxis concisa para funciones
Promesas y async/await: Gestión de asincronía sin callback hell
Módulos: import/export nativos
Destructuring: Extracción elegante de propiedades
Template literals: Strings multilínea con interpolación
Classes: Sintaxis POO más clara (azúcar sintáctico sobre prototipos)

TypeScript

TypeScript es un superset de JavaScript con tipado estático:

Ventajas:
- Detecta errores en tiempo de desarrollo
- Mejor autocompletado en IDEs
- Refactoring más seguro
- Documentación implícita (tipos)
Adopción: Angular usa TypeScript por defecto, React/Vue lo soportan nativamente

// TypeScript: definición de tipo para paciente
interface Paciente {
  id: string;
  nombre: string;
  apellidos: string;
  fechaNacimiento: Date;
  nss: string;
  historiasClinicas: HistoriaClinica[];
}

function obtenerPaciente(id: string): Promise<Paciente> {
  return fetch(`/api/pacientes/${id}`)
    .then(response => response.json());
}

3.4. Lenguajes de Programación Servidor

PHP

Aunque ha perdido popularidad, PHP sigue siendo relevante:

Uso actual: WordPress, Drupal, Laravel
PHP 8+: JIT compiler, tipos union, atributos, match expressions
En el SAS: Algunas aplicaciones legacy usan PHP

Python

Python es el rey en IA, data science y automatización:

Frameworks web: Django (full-stack), Flask (micro), FastAPI (moderno, async)
Uso en SAS:
- Scripts de automatización (tareas cron, ETL)
- Data Science: análisis de datos de salud, modelos predictivos
- IA: NLP para análisis de textos clínicos, computer vision para radiología
- APIs: FastAPI para microservicios

Node.js (JavaScript en servidor)

Node.js permite usar JavaScript en backend:

Ventajas:
- Mismo lenguaje frontend/backend (fullstack JS)
- Event-driven, non-blocking I/O (excelente para alta concurrencia)
- NPM: mayor ecosistema de paquetes del mundo
Frameworks: Express.js (minimalista), NestJS (enterprise, TypeScript)

Java

Java sigue siendo pilar en enterprise y en el SAS:

Framework principal: Spring Boot (microservicios, APIs REST)
Uso en SAS:
- Backend de Diraya (Java EE / Spring)
- Integración con sistemas legacy (SOAP, JMS)
- Batch jobs (procesamiento nocturno de datos)
- Gestores documentales (Alfresco)
Ventajas: Maduro, robusto, gran ecosistema, fuertemente tipado

🛠️4. Herramientas para Desarrollo y Gestión Web

4.1. Frameworks Frontend

React (Meta/Facebook)

Paradigma: Componentes funcionales con hooks
Ventajas: Virtual DOM (rendimiento), gran ecosistema, flexibilidad
Curva de aprendizaje: Media (JSX confunde al principio)
Uso SAS: Algunos portales modernos (ej: versiones recientes de ClicSalud+)

Angular (Google)

Paradigma: Framework completo (opinionated)
Ventajas: Todo incluido (routing, HTTP, forms), TypeScript obligatorio, arquitectura clara
Curva de aprendizaje: Alta (complejo para empezar)
Uso SAS: Aplicaciones enterprise (gestión interna, backoffice)

Vue.js

Paradigma: Progressive framework (escalable desde pequeño a grande)
Ventajas: Fácil de aprender, documentación excelente, rendimiento
Curva de aprendizaje: Baja (más amigable que React/Angular)
Uso SAS: Proyectos nuevos que priorizan rapidez de desarrollo

4.2. Frameworks Backend

Framework	Lenguaje	Características	Uso SAS
Spring Boot	Java	Microservicios, inyección dependencias, seguridad robusta	✓✓✓ Principal
Django	Python	Full-stack, ORM potente, admin auto-generado	✓ Data science apps
FastAPI	Python	Async, validación automática (Pydantic), OpenAPI	✓ APIs modernas
Express.js	Node.js	Minimalista, flexible, middleware pattern	✓ Microservicios ligeros
NestJS	Node.js + TS	Arquitectura Angular-like, decoradores, DI	✓ Enterprise Node.js

4.3. Herramientas de Desarrollo

Git (Control de Versiones)

Git es el estándar de facto para control de versiones:

Conceptos clave:
- Repositorio: Almacén de código con historial completo
- Commit: Snapshot de cambios con mensaje descriptivo
- Branch: Línea de desarrollo paralela
- Merge: Fusión de branches
- Pull Request: Propuesta de cambios para revisión
Flujos de trabajo:
- Git Flow: master, develop, feature/*, release/*, hotfix/*
- GitHub Flow: main + feature branches (más simple)
- Trunk-based: Todos en main, integración continua

💼Git en el SAS: El SAS utiliza GitLab (on-premise) para gestionar el código fuente de aplicaciones corporativas:

Repositorio privado por proyecto
CI/CD integrado (pipelines automáticos)
Revisión de código obligatoria (merge requests aprobados por 2+ revisores)
Integración con Jira (issues linkados a commits)

Docker (Contenedores)

Docker revolucionó el despliegue de aplicaciones:

Concepto: Empaqueta aplicación + dependencias en un contenedor aislado
Ventajas:
- Portabilidad: «Funciona en mi máquina» → Funciona en cualquier lado
- Consistencia: Mismo entorno dev/test/prod
- Ligereza: Mucho más liviano que VMs
- Escalabilidad: Fácil replicar contenedores
Componentes:
- Dockerfile: Receta para construir imagen
- Imagen: Template inmutable
- Contenedor: Instancia en ejecución de una imagen
- Docker Compose: Orquestación multi-contenedor (dev/test)

Kubernetes (Orquestación de Contenedores)

Kubernetes (K8s) gestiona contenedores a escala de producción:

Funcionalidades:
- Self-healing: Reinicia contenedores fallidos
- Scaling automático: Horizontal (más pods) y vertical (más recursos)
- Load balancing: Distribuye tráfico entre pods
- Rolling updates: Despliega sin downtime
- Service discovery: DNS interno para servicios
Componentes:
- Pod: Unidad mínima (1+ contenedores)
- Deployment: Gestiona replicación de pods
- Service: Endpoint estable para pods
- Ingress: Routing HTTP/HTTPS

💼Kubernetes en el SAS: El SAS está migrando aplicaciones a una plataforma basada en Red Hat OpenShift (Kubernetes enterprise):

Cluster on-premise en CPD principal + DR
Namespaces por aplicación (aislamiento)
Ingress controller con TLS termination
Persistent volumes para datos (Ceph storage)
Monitorización con Prometheus + Grafana

4.4. Herramientas de Testing y Monitorización

Testing

Tipo	Herramientas	Propósito
Unit Testing	JUnit (Java), pytest (Python), Jest (JS)	Pruebas de funciones/métodos aislados
Integration Testing	Postman, REST Assured, TestContainers	Pruebas de APIs, integración entre componentes
E2E Testing	Selenium, Cypress, Playwright	Pruebas de flujos completos de usuario en navegador
Performance	JMeter, Gatling, k6	Pruebas de carga y stress
Security	OWASP ZAP, Burp Suite, SonarQube	Análisis de vulnerabilidades

Monitorización

APM (Application Performance Monitoring):
- Dynatrace: Observabilidad completa (usado en SAS para apps críticas)
- New Relic: APM cloud-native
- Datadog: Monitorización infra + apps
Logs:
- ELK Stack (Elasticsearch + Logstash + Kibana): Análisis de logs
- Splunk: SIEM corporativo (usado en SAS para seguridad)
- Graylog: Alternativa open source
Métricas:
- Prometheus: Scraping de métricas time-series
- Grafana: Dashboards visuales
- Zabbix: Monitorización infra (usado en SAS)

🔌5. Protocolos para Utilización en Internet

5.1. HTTP/HTTPS: Protocolo de Transferencia de Hipertexto

HTTP/1.1 (RFC 7230-7235)

HTTP/1.1 ha sido el estándar durante décadas, pero tiene limitaciones:

Características:
- Protocolo texto (legible por humanos)
- Stateless (sin estado entre peticiones)
- Conexiones persistentes (keep-alive)
- Pipelining (envío múltiple sin esperar respuestas)
Métodos principales:
- GET: Obtener recurso (idempotente, cacheable)
- POST: Crear recurso / enviar datos
- PUT: Actualizar recurso completo (idempotente)
- PATCH: Actualización parcial
- DELETE: Eliminar recurso (idempotente)
- HEAD: GET sin body (solo headers)
- OPTIONS: Consultar métodos permitidos (CORS)
Códigos de estado:
- 1xx: Informativo (100 Continue, 101 Switching Protocols)
- 2xx: Éxito (200 OK, 201 Created, 204 No Content)
- 3xx: Redirección (301 Moved, 302 Found, 304 Not Modified)
- 4xx: Error cliente (400 Bad Request, 401 Unauthorized, 403 Forbidden, 404 Not Found)
- 5xx: Error servidor (500 Internal, 502 Bad Gateway, 503 Service Unavailable)

HTTPS (HTTP over TLS/SSL)

HTTPS es HTTP cifrado mediante TLS (Transport Layer Security):

Puerto: 443 (en lugar de 80 de HTTP)
Handshake TLS:
1. Cliente envía «Client Hello» (versiones TLS, cipher suites)
2. Servidor responde «Server Hello» + certificado X.509
3. Cliente valida certificado (cadena de confianza CA)
4. Intercambio de claves (Diffie-Hellman, ECDHE)
5. Derivación de session keys simétricas
6. Comunicación cifrada con AES-GCM o ChaCha20-Poly1305
Versiones TLS:
- ❌ SSL 2.0/3.0: Obsoleto, vulnerable (POODLE)
- ❌ TLS 1.0/1.1: Obsoleto desde 2020
- ✓ TLS 1.2: Aceptable, ampliamente usado
- ✓✓ TLS 1.3: Recomendado (más rápido, más seguro)

🔒ENS y HTTPS: El Esquema Nacional de Seguridad (ENS) en categoría MEDIO (aplicable al SAS) exige:

TLS 1.2 como mínimo (preferiblemente 1.3)
Cipher suites seguros (sin RC4, 3DES, MD5)
Certificados emitidos por CA de confianza
Validación de certificados del lado cliente (mutual TLS en servicios críticos)
HSTS (HTTP Strict Transport Security) activado

HTTP/2 (RFC 7540)

HTTP/2 resuelve limitaciones de HTTP/1.1:

Característica	HTTP/1.1	HTTP/2
Formato	Texto plano	Binario (frames)
Multiplexing	❌ 1 petición por conexión (head-of-line blocking)	✓ Múltiples streams simultáneos en 1 conexión
Compresión headers	❌ No	✓ HPACK (reduce overhead)
Server Push	❌ No	✓ Servidor puede enviar recursos sin petición
Priorización	❌ No	✓ Streams con prioridad
Performance	Buena	Excelente (30-50% más rápido)

💼Pregunta del Examen OPE 2025 – Pregunta 57:

«¿Cuál es la mejora principal de HTTP/2 sobre HTTP/1.1?»

Respuesta correcta: Permite enviar múltiples solicitudes y recibir múltiples respuestas de forma simultánea sobre una única conexión TCP (multiplexing), eliminando el problema de «bloqueo de cabecera de línea» de HTTP/1.1 y mejorando drásticamente el rendimiento.

HTTP/3 (RFC 9114)

HTTP/3 es la última evolución, basada en QUIC (protocolo de Google):

Cambio radical: Usa UDP en lugar de TCP
Ventajas:
- Elimina head-of-line blocking a nivel de transporte
- Conexión más rápida (0-RTT resumption)
- Mejor en redes móviles (cambio de IP sin cortar conexión)
- Cifrado obligatorio (TLS 1.3 integrado)
Adopción: Creciente (Google, Facebook, Cloudflare ya lo usan)
SAS: En evaluación para servicios públicos (ClicSalud+)

5.2. Protocolos de Seguridad: TLS/SSL y SSH

Ya cubiertos en apartados anteriores (HTTPS usa TLS, SFTP usa SSH).

5.3. Protocolos Modernos

WebSocket (RFC 6455)

WebSocket permite comunicación bidireccional full-duplex sobre HTTP:

Uso: Chat en tiempo real, notificaciones push, dashboards live
Ventaja vs HTTP: Sin polling, conexión persistente
Handshake: HTTP Upgrade a WebSocket
Caso SAS:
- Notificaciones de citas en ClicSalud+
- Alertas de urgencias en sistemas hospitalarios
- Monitorización de constantes en UCI (tiempo real)

gRPC (Google Remote Procedure Call)

gRPC es un framework RPC moderno de alto rendimiento:

Base: HTTP/2 + Protocol Buffers (binario)
Ventajas:
- Muy rápido (serialización binaria)
- Streaming bidireccional
- Fuertemente tipado (contract-first)
- Multi-lenguaje (generación automática de clientes)
Uso: Comunicación entre microservicios

MQTT (Message Queuing Telemetry Transport)

MQTT es protocolo ligero para IoT:

Patrón: Publish/Subscribe (broker central)
Ventajas: Muy ligero, funciona en redes con latencia/pérdidas, bajo consumo batería
Uso SAS: Sensores IoMT, wearables, monitorización ambiental

5.4. APIs: REST, GraphQL, SOAP

REST (Representational State Transfer)

REST es un estilo arquitectónico para APIs:

Principios:
- Stateless: Cada petición es independiente
- Cacheable: Respuestas cacheables si se especifica
- Uniform interface: URIs para recursos, métodos HTTP estándar
- Layered system: Cliente no sabe si habla con servidor final o intermediario

Diseño de URIs:

GET    /api/v1/pacientes           # Listar pacientes
GET    /api/v1/pacientes/12345    # Obtener paciente específico
POST   /api/v1/pacientes           # Crear paciente
PUT    /api/v1/pacientes/12345    # Actualizar paciente completo
PATCH  /api/v1/pacientes/12345    # Actualización parcial
DELETE /api/v1/pacientes/12345    # Eliminar paciente

Versionado: En URL (/api/v1/) o en header (Accept: application/vnd.sas.v1+json)

GraphQL

GraphQL es una alternativa a REST creada por Facebook:

Ventaja principal: Cliente pide exactamente lo que necesita (evita over-fetching/under-fetching)
Query language: Similar a JSON
Single endpoint: 1 URL para todas las operaciones
Uso: Frontend complejo con necesidades variables de datos

SOAP (Simple Object Access Protocol)

SOAP es el veterano, aún presente en sistemas legacy:

Base: XML + HTTP/HTTPS
WSDL: Descripción del servicio (contract-first)
Ventajas: Fuertemente tipado, transacciones (WS-*), seguridad robusta (WS-Security)
Desventajas: Pesado, verboso, complejo
SAS: Integración con sistemas legacy (ej: prescripción electrónica antigua)

🏢6. Intranets y Extranets

6.1. Definiciones y Diferencias

Aspecto	Intranet	Extranet	Internet
Definición	Red privada de una organización	Extensión de intranet a usuarios externos autorizados	Red pública global
Acceso	Solo empleados internos	Empleados + partners/proveedores específicos	Público general
Autenticación	Usuario corporativo (Active Directory)	Credenciales específicas + MFA	Opcional o pública
Seguridad	Alta (firewall perimetral)	Muy alta (VPN, DMZ, autenticación fuerte)	Variable
Ejemplos SAS	Portal del Empleado, aplicaciones internas	Portal de farmacias, proveedores	ClicSalud+, web pública SAS

6.2. Arquitectura y Componentes

Componentes de una Intranet Corporativa

Portal corporativo: Punto de acceso único (SharePoint, Liferay)
Directorio activo: Gestión centralizada de usuarios (Active Directory, LDAP)
Servidores de aplicaciones: Backend de apps internas
Bases de datos: Repositorio de información corporativa
Almacenamiento compartido: File servers (SMB/CIFS, NFS)
Correo interno: Exchange, Zimbra
Colaboración: Microsoft Teams, Confluence, Jira

Arquitectura de Red

                        INTERNET
                           |
                      [FIREWALL]
                           |
                       [DMZ Zone]
                    (Servidores públicos)
                           |
                  [Firewall Interno]
                           |
                   [Red Corporativa]
              /                    \
         [VLAN Usuarios]       [VLAN Servidores]
      /        |        \          /         \
 [PC]     [Portátil]  [Móvil]  [App]    [Database]

6.3. Caso Específico: Red Corporativa del SSPA

💼Infraestructura de Red del SAS:

La Red Corporativa del Sistema Sanitario Público de Andalucía (SSPA) es una de las mayores redes privadas de Europa en el ámbito sanitario:

Alcance:
- 34 hospitales (incluyendo complejos hospitalarios)
- 1.500+ centros de salud
- 3.000+ consultorios locales
- Sedes administrativas y centros de gestión
- ~100.000 usuarios conectados simultáneamente en pico
Topología:
- Core: 2 CPD principales (Sevilla + DR en Granada)
- Distribución: Routers en hospitales de referencia
- Acceso: Switches en cada centro
- WAN: MPLS + VPN sobre Internet como backup
Ancho de banda:
- Hospitales grandes: 1-10 Gbps
- Centros de salud: 100 Mbps – 1 Gbps
- Consultorios: 10-100 Mbps (ADSL/fibra/4G)
Servicios internos clave:
- Diraya: Historia de Salud Digital
- InterSAS: Interconsulta electrónica
- BPS: Base de Población del SSPA
- BI Corporativo: Business Intelligence
- INFOWEB: Portal interno de información
- Nódulo: Sistema de información laboratorios
- Gestión económica: SAP, Giro

6.4. Seguridad en Intranets/Extranets

VPN (Virtual Private Network)

VPN permite acceso seguro a la intranet desde fuera:

Tipos:
- Site-to-Site: Conecta redes completas (ej: sede Madrid – CPD Sevilla)
- Remote Access: Usuarios individuales (ej: médico desde casa accediendo a Diraya)
Protocolos:
- ❌ PPTP: Obsoleto, inseguro
- ✓ L2TP/IPsec: Bueno, compatible
- ✓✓ OpenVPN: Excelente, flexible
- ✓✓✓ WireGuard: Moderno, rápido, seguro
- ✓✓✓ IPsec IKEv2: Enterprise, muy seguro
SAS: Usa VPN SSL (Cisco AnyConnect) para acceso remoto + IPsec para site-to-site

Firewall

El firewall es la primera línea de defensa:

Tipos:
- Stateless: Filtra por reglas fijas (IP/puerto)
- Stateful: Sigue el estado de conexiones TCP
- Next-Gen (NGFW): Inspección profunda (DPI), IPS, antimalware, control apps
Política por defecto: Deny all, permit by exception
SAS: Palo Alto Networks (NGFW) en perímetro + firewalls internos (segmentación)

DMZ (Demilitarized Zone)

La DMZ es una zona intermedia entre Internet y la red interna:

Propósito: Alojar servicios públicos sin exponer red interna
Contenido típico: Web servers, mail gateway, proxy reverso, WAF
Reglas firewall:
- Internet → DMZ: Permitido (puertos específicos: 80, 443)
- DMZ → Internet: Permitido (con restricciones)
- DMZ → Red interna: MUY restringido (solo lo imprescindible)
- Red interna → DMZ: Permitido
SAS: ClicSalud+, web pública SAS, Portal Salud Responde en DMZ

Autenticación y Control de Acceso

Single Sign-On (SSO): Autenticación única para múltiples aplicaciones
- Protocolo: SAML 2.0 o OpenID Connect (OIDC)
- SAS: IdP basado en Active Directory Federation Services (ADFS)
Multi-Factor Authentication (MFA):
- Algo que sabes (contraseña)
- Algo que tienes (certificado digital, token, móvil)
- Algo que eres (biometría)
- SAS: Certificado digital (empleados) + OTP móvil (externos)
Control de acceso basado en roles (RBAC):
- Permisos asignados a roles, no a usuarios individuales
- Ejemplo SAS: Médico, Enfermera, Administrativo, Gestor

♿7. Accesibilidad Web

La accesibilidad web es la práctica de hacer que los sitios web sean utilizables por todas las personas, incluidas aquellas con discapacidades. En la Administración Pública española, es OBLIGATORIA por ley.

7.1. Normativa de Accesibilidad

WCAG 2.1 (Web Content Accessibility Guidelines)

Las WCAG 2.1 son el estándar internacional del W3C (World Wide Web Consortium):

Evolución: WCAG 1.0 (1999) → 2.0 (2008) → 2.1 (2018) → 2.2 (2023)
Niveles de conformidad:
- A: Nivel básico (requisitos mínimos)
- AA: Nivel intermedio (exigido por ley en España)
- AAA: Nivel avanzado (aspiracional, no siempre alcanzable)

Norma EN 301 549

Norma europea sobre accesibilidad de productos y servicios TIC:

Incluye WCAG 2.1 nivel AA para contenido web
Extiende requisitos a software no web, documentos, hardware
Obligatoria en contratación pública UE desde 2019

Real Decreto 1112/2018

Normativa española sobre accesibilidad de sitios web y apps móviles del sector público:

Ámbito: Toda la Administración Pública (incluido SAS)
Requisitos:
- Conformidad WCAG 2.1 nivel AA
- Declaración de accesibilidad publicada (obligatoria)
- Mecanismo de feedback para reportar problemas
- Auditorías periódicas de accesibilidad
Plazos:
- Webs nuevas: 20 sept 2018
- Webs existentes: 20 sept 2020
- Apps móviles: 23 junio 2021
Sanciones: Infracciones leves (1.000-10.000€), graves (10.001-100.000€), muy graves (>100.000€)

⚖️Implicación para el SAS: TODOS los sistemas con interfaz web del SAS (Diraya interfaz clínica, ClicSalud+, Portal del Profesional, web pública) DEBEN cumplir WCAG 2.1 AA. Esto incluye:

Auditorías anuales de accesibilidad
Declaración de accesibilidad publicada y actualizada
Formación continua de desarrolladores en accesibilidad
Testing con tecnologías asistivas (lectores de pantalla, magnificadores)

7.2. Principios POUR

Las WCAG se estructuran en 4 principios fundamentales (acrónimo POUR):

1. Perceptible (Perceivable)

La información debe poder ser percibida por todos los usuarios:

Alternativas de texto (1.1):
- Toda imagen debe tener atributo alt descriptivo
- Imágenes decorativas: alt="" (vacío)
- Imágenes complejas (gráficos): descripción larga
Medios tempodependientes (1.2):
- Subtítulos para vídeos
- Audiodescripción para contenido visual
- Transcripciones para audio
Adaptable (1.3):
- HTML semántico (no <div> para todo)
- Orden lógico de lectura
- No depender solo del aspecto visual (color, forma, posición)
Distinguible (1.4):
- Contraste suficiente: 4.5:1 texto normal, 3:1 texto grande (AA)
- Texto redimensionable hasta 200% sin pérdida de funcionalidad
- Audio de fondo controlable o ausente

2. Operable

Los componentes de interfaz deben ser operables:

Accesible por teclado (2.1):
- TODO debe ser usable solo con teclado
- No «trampas de teclado» (poder salir de cualquier componente con teclado)
- Orden de tabulación lógico
Tiempo suficiente (2.2):
- Sesiones sin límite de tiempo O advertencia/extensión
- Pausar animaciones/carruseles automáticos
Convulsiones (2.3):
- NO destello más de 3 veces por segundo
Navegable (2.4):
- Skip links («Saltar al contenido»)
- Títulos de página descriptivos
- Focus visible en elemento activo
- Enlaces con texto descriptivo (no «clic aquí»)
Métodos de entrada (2.5 – WCAG 2.1):
- Gestos complejos tienen alternativa simple
- Cancelación de eventos pointer (no activar en down, sino en up)
- Etiquetas visibles coinciden con nombres accesibles

3. Comprensible (Understandable)

La información y operación de la interfaz deben ser comprensibles:

Legible (3.1):
- Idioma de página especificado: <html lang="es">
- Cambios de idioma marcados: <span lang="en">email</span>
Predecible (3.2):
- No cambios de contexto inesperados (al recibir foco, al escribir)
- Navegación consistente en todo el sitio
Asistencia a la entrada (3.3):
- Identificar errores de forma clara
- Etiquetas e instrucciones para formularios
- Prevención de errores (confirmación antes de enviar)

4. Robusto

El contenido debe ser robusto para funcionar con tecnologías actuales y futuras:

Compatible (4.1):
- HTML válido (sin errores de parsing)
- ARIA (Accessible Rich Internet Applications):
  - Roles: role="navigation", role="button"
  - Propiedades: aria-label, aria-labelledby
  - Estados: aria-expanded="true", aria-hidden="true"
- Estado, propiedades y valores correctamente comunicados a tecnologías asistivas

7.3. Casos Prácticos de Accesibilidad en el SAS

💼Ejemplo 1: ClicSalud+ (Cita Previa)

Requisito: Paciente ciego debe poder pedir cita con lector de pantalla (NVDA, JAWS).

Implementación:

Formulario con <label> asociado a cada <input>
Mensajes de error identificados con aria-describedby
Calendario accesible por teclado (no solo mouse)
Confirmación leída por lector antes de enviar

💼Ejemplo 2: Diraya (Visualización de Historia Clínica)

Problema identificado: Contraste insuficiente en texto secundario (gris claro sobre blanco).

Solución:

Auditoría automática con axe DevTools
Corrección: cambio a gris más oscuro (#767676 → ratio 4.6:1, cumple AA)
Validación con herramienta de contraste (WebAIM Contrast Checker)

7.4. Herramientas de Evaluación de Accesibilidad

Herramienta	Tipo	Descripción
WAVE	Extensión navegador	Evalúa accesibilidad visualmente en la página
axe DevTools	Extensión navegador	Análisis detallado, integrable en CI/CD
Lighthouse	Chrome DevTools	Auditoría completa (performance, SEO, accesibilidad)
pa11y	CLI / CI	Automatización de tests de accesibilidad
NVDA / JAWS	Lector de pantalla	Testing manual con tecnología asistiva
TAW	Online	Test de Accesibilidad Web (español)
Validador HTML	W3C	Valida código HTML (base para robustez)

🎯Para el Examen: Memoriza la estructura POUR y al menos 2-3 criterios de éxito por principio. Las preguntas suelen ser sobre:

Qué nivel es obligatorio en Admin Pública (AA)
Ratios de contraste (4.5:1 normal, 3:1 grande)
Uso correcto de ARIA
RD 1112/2018 y plazos

🎨8. Usabilidad Web

La usabilidad es la facilidad con la que los usuarios pueden usar un sistema para lograr sus objetivos. Mientras accesibilidad se centra en «poder usar», usabilidad se centra en «usar eficientemente y con satisfacción».

8.1. Definición y Principios (ISO 9241-11)

Según ISO 9241-11, usabilidad es el grado en que un producto puede ser usado por usuarios específicos para lograr objetivos específicos con efectividad, eficiencia y satisfacción en un contexto específico.

Efectividad: El usuario completa la tarea correctamente
Eficiencia: Lo hace en tiempo razonable con esfuerzo razonable
Satisfacción: La experiencia es positiva (UX)

8.2. Principios de Diseño UX/UI

Ley de Fitts

El tiempo para alcanzar un objetivo depende de la distancia y tamaño del objetivo:

Implicación: Botones importantes deben ser grandes y cerca del usuario
Ejemplo: Botón «Confirmar cita» grande y en posición cómoda

Ley de Hick

El tiempo de decisión aumenta logarítmicamente con el número de opciones:

Implicación: Reducir opciones en cada paso
Ejemplo: Wizard de cita previa en pasos (especialidad → centro → fecha → hora)

Principio de Jakob (Jakob’s Law)

Los usuarios pasan la mayor parte del tiempo en otros sitios:

Implicación: Seguir convenciones (logo arriba izquierda, menú arriba o izquierda, buscador arriba derecha)
No reinventes patrones sin muy buena razón

Regla de los 3 Clics

Usuario debería encontrar cualquier información en ≤ 3 clics:

Más importante que el número: claridad del camino
Jerarquía de información clara

8.3. Patrones de Diseño Web

Estructura de Página Típica

┌─────────────────────────────────────────────────┐
│  HEADER (Logo, Navegación, Búsqueda, Login)    │
├─────────────────────────────────────────────────┤
│  BREADCRUMBS (Inicio > Sección > Subsección)   │
├───────────────┬─────────────────────────────────┤
│               │                                 │
│  SIDEBAR      │   CONTENIDO PRINCIPAL           │
│  (Menú        │   (Texto, imágenes, forms)      │
│   secundario, │                                 │
│   filtros)    │                                 │
│               │                                 │
├───────────────┴─────────────────────────────────┤
│  FOOTER (Enlaces legales, Contacto, Redes)     │
└─────────────────────────────────────────────────┘

Patrones de Navegación

Barra de navegación horizontal: Para sitios con pocas secciones principales
Menú lateral: Para sitios con mucho contenido jerárquico
Hamburger menu: Para móviles (3 líneas horizontales)
Mega menú: Dropdown grande con subsecciones (para sites complejos)
Breadcrumbs: Migas de pan (mostrar ubicación en jerarquía)

Patrones de Formulario

Validación inline: Feedback inmediato al salir del campo
Labels sobre inputs: Mejor que a la izquierda (móvil)
Inputs agrupados: Fieldsets para secciones relacionadas
Indicador de progreso: En formularios multi-paso
Mensajes de error claros: Qué está mal + cómo corregirlo

8.4. Responsive Design y Mobile First

Responsive Web Design (RWD)

Diseño que se adapta al tamaño de pantalla:

Técnicas:
- Fluid grids: Layouts basados en % en lugar de px fijos
- Imágenes flexibles: max-width: 100%;
- Media queries: CSS diferente según viewport

/* Mobile first: estilos base para móvil */
.container {
  width: 100%;
  padding: 15px;
}

/* Tablet */
@media (min-width: 768px) {
  .container {
    max-width: 720px;
    margin: 0 auto;
  }
}

/* Desktop */
@media (min-width: 1024px) {
  .container {
    max-width: 960px;
  }
}

Mobile First

Filosofía de diseñar primero para móvil, luego expandir a desktop:

Ventajas:
- Obliga a priorizar contenido (en móvil no cabe todo)
- Mejor performance (CSS básico primero, enhancements después)
- Alineado con uso real (más del 60% de tráfico web es móvil)
En sanidad: Profesionales acceden a Diraya desde tablets en planta, pacientes a ClicSalud+ desde móviles

8.5. Métricas de Usabilidad

Métrica	Descripción	Cómo Medirla
Tasa de éxito	% usuarios que completan tarea	Test con usuarios reales
Tiempo en tarea	Tiempo medio para completar	Cronómetro durante testing
Errores	Número de errores por usuario	Observación + logs
SUS (System Usability Scale)	Cuestionario 10 preguntas (0-100)	Encuesta post-uso
NPS (Net Promoter Score)	«¿Recomendarías X?» (-100 a +100)	Encuesta simple
Bounce rate	% usuarios que se van sin interactuar	Google Analytics
Conversión	% usuarios que completan objetivo	Analytics + funnels

Testing de Usabilidad

Test moderado: Observador guía al usuario, hace preguntas
Test no moderado: Usuario hace tareas solo, se graba pantalla + voz
Test A/B: Comparar dos variantes, ver cuál funciona mejor
Eye tracking: Seguimiento de mirada (qué miran primero)
Mapas de calor: Dónde hacen clic los usuarios (Hotjar, Crazy Egg)

💼Testing de Usabilidad en el SAS:

Antes de lanzar una nueva versión de ClicSalud+, el SAS realiza:

Tests de usabilidad con usuarios reales: 10-15 pacientes de diferentes perfiles (edad, nivel tecnológico)
Tareas típicas: Pedir cita, cambiar cita, consultar historial
Métricas:
- Tasa de éxito > 90%
- Tiempo medio < 2 min para pedir cita
- SUS > 70 (buena usabilidad)
Hallazgos: Se identifican problemas (ej: botón «Confirmar» poco visible) y se corrigen antes del lanzamiento

🏥9. Aplicación en el SAS: Casos Prácticos

Caso 1: Diraya – Historia de Salud Digital

Tecnologías web aplicadas:

Backend: Java EE (Spring Boot) + Oracle DB
Frontend: Evolución de JSF a componentes React/Angular modernos
APIs: REST para integración con otros sistemas (laboratorio, radiología)
Seguridad:
- HTTPS TLS 1.3
- Autenticación SSO con certificado digital (Cl@ve)
- Autorización RBAC (roles: médico, enfermera, admin)
- Audit logs de todos los accesos (RGPD Art. 30)
Accesibilidad: WCAG 2.1 AA (auditorías anuales)
Usabilidad: Interfaz optimizada para uso intensivo (médicos consultan 50+ pacientes/día)

Caso 2: ClicSalud+ (Cita Previa Online)

Requisitos específicos:

Responsive: >70% de acceso desde móvil
Performance: Carga < 3 seg (4G)
Accesibilidad: Nivel AA obligatorio (RD 1112/2018)
Disponibilidad: 24/7 (99.9% SLA)
Picos de carga: Lunes 8:00 AM (liberación citas) – hasta 50.000 usuarios simultáneos

Arquitectura:

Frontend: Vue.js (PWA – instalable en móvil)
Backend: Microservicios Spring Boot en Kubernetes
Cache: Redis para sesiones + CDN (Cloudflare) para estáticos
Load Balancer: HAProxy con health checks
Database: PostgreSQL cluster (master-slave replication)

Caso 3: Portal del Profesional (Intranet SAS)

Funcionalidades:

Acceso a aplicaciones corporativas (Diraya, Nómina, Formación)
Gestión de turnos y guardias
Comunicación interna (noticias, circulares)
Solicitudes administrativas (permisos, traslados)

Acceso:

Interno: Desde red corporativa (LAN)
Externo: VPN SSL (Cisco AnyConnect) + autenticación fuerte

Stack tecnológico:

Portal: Liferay (Java)
SSO: SAML 2.0 (Active Directory)
Integración: APIs REST + SOAP legacy

Caso 4: Transferencia Segura de Imágenes Médicas DICOM

Problema: Necesidad de transferir grandes volúmenes de imágenes DICOM entre hospitales para segundas opiniones.

Solución implementada:

Protocolo: SFTP sobre VPN site-to-site
Compresión: JPEG 2000 lossless (reduce 30-50% sin pérdida calidad)
Cifrado: AES-256 en reposo + TLS en tránsito
Verificación: Checksums SHA-256 para integridad
Automatización: Scripts Python que monitorizan carpetas + envían automáticamente

🎯10. Conclusiones y Retos Futuros

Ideas Clave del Tema

Internet es la columna vertebral del SAS: Desde Diraya hasta ClicSalud+, todo depende de protocolos y servicios de Internet funcionando 24/7.
Seguridad es NO negociable: ENS MEDIO obliga a TLS 1.2+, SFTP/FTPS (nada de FTP), autenticación fuerte, auditorías continuas.
Accesibilidad es OBLIGATORIA: WCAG 2.1 AA por RD 1112/2018. No es opcional. Auditorías + declaración publicada.
Usabilidad = Eficiencia asistencial: Una interfaz mal diseñada ralentiza la atención sanitaria. Diraya se usa miles de veces al día.
Tendencias que debes conocer: HTTP/2-3, IPv6, 5G, Edge Computing, IA generativa, Zero Trust. Aparecen en examen.

Retos Futuros para el TFA-STI en el SAS

Migración a Cloud Híbrido: Parte de sistemas a cloud público (Azure/AWS) manteniendo core on-premise. Reto de integración y seguridad.
Interoperabilidad Total: Adopción completa de HL7 FHIR para compartir datos con otras CCAA y nivel estatal (Historia Clínica Digital SNS).
Ciberseguridad Avanzada: Aumento de ataques ransomware a sanidad. Necesidad de SOC 24/7, EDR en endpoints, SIEM con IA.
IA Responsable: Implementar IA para diagnóstico asistido, predicción de riesgo, optimización de recursos… pero con ética y transparencia.
5G y Telemedicina: Consultas remotas en tiempo real, cirugía asistida por robot, ambulancias conectadas. Requiere red 5G y aplicaciones de baja latencia.
Accesibilidad Universal: No solo cumplir norma, sino diseñar pensando en todos: ancianos, discapacitados, extranjeros, nivel educativo bajo.

Consejos para el Examen

Lo que SÍ cae en examen:

✓ Diferencias SFTP vs FTPS (Pregunta 32 OPE 2025)
✓ Ventajas HTTP/2 (Pregunta 57 OPE 2025)
✓ Puertos estándar (DNS 53, SMTP 25/587, HTTPS 443, SSH 22)
✓ Niveles accesibilidad (AA obligatorio Admin Pública)
✓ Contraste mínimo WCAG (4.5:1 texto normal)
✓ Normativa accesibilidad (RD 1112/2018)
✓ Protocolos de seguridad (TLS 1.2+, IPsec)
✓ Diferencias IPv4/IPv6

Estrategia de estudio:

Memoriza puertos y protocolos (tabla de 1 página, repasar cada día)
Haz esquema SFTP vs FTPS vs FTP (sale seguro)
WCAG: estructura POUR + 2 criterios por principio
Casos SAS: Diraya, ClicSalud+, Red Corporativa (contexto en preguntas)
Practica con preguntas reales (como las 25+ que vienen a continuación)

📝11. Cuestionario de Autoevaluación (25+ Preguntas)

A continuación encontrarás 30 preguntas tipo test con el nivel y formato de la oposición. Cada pregunta incluye la respuesta correcta y explicación detallada.

Pregunta 1. En relación a la arquitectura de Internet, ¿cuál de las siguientes afirmaciones sobre los proveedores Tier 1 es CORRECTA?

A) Son ISPs regionales que compran tránsito a proveedores más grandes

B) Se interconectan entre sí mediante acuerdos de peering gratuito y no pagan tránsito a nadie

C) Dan servicio directo al usuario final (empresas y particulares)

D) Son los únicos que pueden asignar direcciones IP públicas

Respuesta correcta: B
Los proveedores Tier 1 son las redes troncales globales que forman el backbone de Internet. Su característica definitoria es que NO pagan tránsito a nadie: se interconectan entre sí mediante peering gratuito (settlement-free peering). Ejemplos: AT&T, Lumen (Level 3), NTT. Los Tier 2 son regionales y SÍ compran tránsito a Tier 1 (opción A incorrecta). El servicio al usuario final lo dan típicamente los Tier 3 (C incorrecta). Las IP las asignan los RIRs como RIPE NCC, no los Tier 1 (D incorrecta).

Pregunta 2. Respecto a IPv6, ¿cuál es la principal ventaja de SLAAC (Stateless Address Autoconfiguration) frente a DHCPv6?

A) Mayor seguridad mediante autenticación del servidor

B) Permite a los dispositivos configurarse automáticamente sin necesidad de un servidor DHCP centralizado

C) Proporciona configuración de servidores DNS, a diferencia de DHCPv6

D) Es compatible con IPv4 mediante dual-stack

Respuesta correcta: B
SLAAC (Stateless Address Autoconfiguration) permite que un dispositivo IPv6 genere su propia dirección IP usando el prefijo de red anunciado por el router (mediante Router Advertisement) + su dirección MAC (método EUI-64) o un identificador aleatorio. La principal ventaja es la descentralización: no requiere servidor DHCP. DHCPv6 SÍ existe y también puede proporcionar DNS (opción C incorrecta). La seguridad no es mayor en SLAAC (A incorrecta). Dual-stack es independiente de SLAAC/DHCP (D incorrecta).

Pregunta 3. En un entorno sanitario con dispositivos IoMT (Internet of Medical Things), ¿cuál es el protocolo MÁS adecuado para la comunicación de sensores de bajo consumo que transmiten datos de constantes vitales?

A) HTTP/2 con compresión gzip

B) SOAP sobre HTTPS

C) MQTT sobre TLS

D) FTP en modo pasivo

Respuesta correcta: C
MQTT (Message Queuing Telemetry Transport) es el protocolo ideal para IoT médico por: (1) Muy ligero: cabecera de solo 2 bytes, consume poca batería; (2) Patrón pub/sub: eficiente para múltiples sensores enviando a broker central; (3) QoS configurable: garantiza entrega en IoMT crítico; (4) Funciona bien en redes inestables (WiFi médico, 4G). MQTT sobre TLS añade la seguridad necesaria en sanidad. HTTP/2 es pesado para sensores (A incorrecta), SOAP es legacy y muy verboso (B incorrecta), FTP es para transferencia de archivos, no streams de datos (D incorrecta).

Pregunta 4. Según el ENS (Esquema Nacional de Seguridad) en categoría MEDIO aplicable al SAS, ¿cuál es la versión MÍNIMA de TLS permitida para servicios HTTPS?

A) TLS 1.0

B) TLS 1.1

C) TLS 1.2

D) TLS 1.3

Respuesta correcta: C
El ENS categoría MEDIO (aplicable al SAS por tratar datos de salud) exige como mínimo TLS 1.2. TLS 1.0 y 1.1 están obsoletos desde 2020 (vulnerables a ataques como BEAST, POODLE) y NO son aceptables en entornos que cumplan ENS (A y B incorrectas). TLS 1.3 es recomendable (más rápido y seguro) pero no obligatorio (D incorrecta, aunque es la versión deseable). Referencia: CCN-STIC-807 (Criptología de empleo en el ENS).

Pregunta 5. En el protocolo SMTP, ¿qué puerto se utiliza para el envío de correo con cifrado STARTTLS (TLS oportunista)?

A) Puerto 25

B) Puerto 465

C) Puerto 587

D) Puerto 993

Respuesta correcta: C
Puerto 587 es el estándar para SMTP submission (envío de correo por clientes) con STARTTLS, donde la conexión comienza sin cifrar y se actualiza a TLS mediante el comando STARTTLS. El puerto 25 es SMTP sin cifrar (relay entre servidores, no para clientes) (A incorrecta). El puerto 465 era SMTPS (SMTP sobre SSL implícito), obsoleto aunque algunos proveedores aún lo usan (B incorrecta). El puerto 993 es IMAPS (recepción con SSL), no SMTP (D incorrecta).

Pregunta 6. ¿Cuál es la diferencia fundamental entre POP3 e IMAP4 en cuanto al almacenamiento de mensajes?

A) POP3 solo permite acceso desde un único dispositivo, IMAP4 desde múltiples

B) POP3 descarga y elimina mensajes del servidor por defecto, IMAP4 los mantiene sincronizados en el servidor

C) POP3 usa cifrado SSL/TLS, IMAP4 no

D) POP3 es más rápido porque usa compresión, IMAP4 no

Respuesta correcta: B
La diferencia clave es el modelo de almacenamiento: POP3 está diseñado para descargar mensajes del servidor al cliente y eliminarlos del servidor (aunque puede configurarse para dejar copia), ideal para acceso offline desde un único dispositivo. IMAP4 mantiene los mensajes en el servidor y sincroniza el estado (leído/no leído, carpetas) entre múltiples dispositivos. POP3 SÍ puede accederse desde múltiples sitios (desaconsejado pero técnicamente posible) (A incorrecta). Ambos protocolos tienen versiones seguras (POP3S, IMAPS) (C incorrecta). La compresión no es característica definitoria de ninguno (D incorrecta).

Pregunta 7. (EXAMEN OPE 2025 – Pregunta 32) En el contexto de los protocolos de transferencia de ficheros en Internet, ¿qué ventaja aporta el protocolo SFTP (SSH File Transfer Protocol) frente a FTP y FTPS?

A) SFTP requiere menos recursos computacionales que FTP al utilizar cifrado parcial

B) SFTP cifra tanto el canal de control como el de datos mediante una única conexión segura

C) SFTP permite la autenticación mediante certificados X.509, a diferencia de FTPS

D) SFTP usa el mismo puerto y estructura de comandos que FTP, lo que facilita su compatibilidad

Respuesta correcta: B
Esta pregunta cayó en el examen OPE 2025. La ventaja clave de SFTP es que cifra TODO (autenticación, comandos y datos) en una única conexión SSH (puerto 22). En contraste, FTP es completamente inseguro, y FTPS usa dos canales separados (control en 21 + datos en puertos dinámicos), lo que complica la configuración de firewalls y puede tener problemas con NAT. SFTP requiere MÁS recursos que FTP (A incorrecta). FTPS también permite certificados X.509 (C incorrecta). SFTP usa puerto 22 y comandos diferentes a FTP (D incorrecta).

Pregunta 8. En DNS, cuando un servidor de nombres no puede resolver una consulta y la reenvía a otro servidor, se denomina:

A) Resolución iterativa

B) Resolución recursiva

C) Transferencia de zona

D) Reverse lookup

Respuesta correcta: B
En resolución recursiva, el servidor DNS asume la responsabilidad de resolver completamente la consulta, reenviándola a otros servidores si es necesario hasta obtener la respuesta final (o un error). En resolución iterativa, el servidor responde con la mejor información que tiene o una referencia a otro servidor, pero no continúa la búsqueda (A incorrecta). La transferencia de zona es la replicación de toda la base de datos DNS entre servidores maestro y esclavo (C incorrecta). El reverse lookup es resolver IP → nombre (registro PTR), no un tipo de resolución (D incorrecta).

Pregunta 9. ¿Qué protocolo utiliza DHCP para enviar descubrimientos (DHCPDISCOVER) en una red local cuando un cliente aún no tiene dirección IP?

A) TCP

B) UDP con broadcast a 255.255.255.255

C) ICMP

D) ARP

Respuesta correcta: B
DHCP usa UDP (no TCP) porque es más ligero y no requiere conexión establecida. En la fase de descubrimiento (DHCPDISCOVER), el cliente NO tiene IP asignada todavía, por lo que envía un broadcast a la dirección 255.255.255.255 (puerto 67 servidor, 68 cliente) para que todos los servidores DHCP en la LAN lo reciban. TCP requiere conexión previa (A incorrecta). ICMP es para mensajes de control/error (ping, traceroute) (C incorrecta). ARP resuelve IP→MAC, no distribuye configuración IP (D incorrecta).

Pregunta 10. En el contexto de sincronización horaria, ¿qué se considera un servidor NTP Stratum 1?

A) Cualquier servidor que sincronice directamente desde Internet

B) Un servidor conectado directamente a una fuente de tiempo de referencia (reloj atómico, GPS)

C) El servidor NTP más alejado del reloj de referencia

D) Un servidor que sincroniza desde otro servidor Stratum 1

Respuesta correcta: B
En la jerarquía de estratos de NTP: Stratum 0 es el reloj de referencia (atómico, GPS, receptor de radio); Stratum 1 es un servidor sincronizado DIRECTAMENTE con Stratum 0. Stratum 2 se sincroniza de Stratum 1, y así sucesivamente hasta Stratum 16 (no sincronizado). Internet NO es un stratum (A incorrecta). El más alejado sería Stratum 15 (C incorrecta). Un servidor que sincroniza de Stratum 1 sería Stratum 2 (D incorrecta).

Pregunta 11. HTML5 introduce el elemento `<canvas>` para:

A) Crear formularios con validación automática

B) Dibujar gráficos dinámicos mediante JavaScript en tiempo real

C) Reproducir vídeos sin necesidad de plugins

D) Definir secciones semánticas de la página

Respuesta correcta: B
El elemento <canvas> de HTML5 proporciona un lienzo donde JavaScript puede dibujar gráficos 2D/3D dinámicamente mediante la API Canvas. Se usa para juegos, visualizaciones de datos, editores gráficos, etc. Los formularios con validación se hacen con atributos como required, pattern (A incorrecta). Los vídeos se reproducen con <video> (C incorrecta). Las secciones semánticas se definen con <section>, <article> (D incorrecta).

Pregunta 12. En JSON, ¿cuál es la representación correcta de un array de objetos?

A) {"pacientes": "Juan, María, Pedro"}

B) [{"nombre": "Juan"}, {"nombre": "María"}]

C) <pacientes><nombre>Juan</nombre></pacientes>

D) {{nombre: Juan}, {nombre: María}}

Respuesta correcta: B
En JSON, un array se delimita con corchetes [] y contiene elementos separados por comas. Los objetos se delimitan con llaves {}. Por tanto, un array de objetos es: [{...}, {...}]. La opción A es un objeto con un string, no un array (incorrecta). La opción C es XML, no JSON (incorrecta). La opción D tiene sintaxis inválida (dobles llaves al inicio, falta comillas en valores) (incorrecta).

Pregunta 13. En CSS3, ¿qué propiedad se utiliza para crear un diseño de cuadrícula bidimensional (filas y columnas)?

A) display: flexbox;

B) display: grid;

C) display: table;

D) display: columns;

Respuesta correcta: B
CSS Grid (display: grid;) es el sistema de layout diseñado específicamente para crear cuadrículas bidimensionales (filas Y columnas simultáneamente). Flexbox (display: flex;) es unidimensional (A incorrecta, además la sintaxis correcta es flex no flexbox). display: table; simula tablas HTML pero no es recomendado para layouts modernos (C incorrecta). display: columns; no existe (D incorrecta; existe column-count para múltiples columnas de texto).

Pregunta 14. En TypeScript, ¿cuál es la principal ventaja sobre JavaScript estándar?

A) Mayor velocidad de ejecución en el navegador

B) Tipado estático que detecta errores en tiempo de desarrollo

C) No requiere compilación/transpilación

D) Es un lenguaje completamente diferente sin compatibilidad con JavaScript

Respuesta correcta: B
TypeScript añade tipado estático opcional sobre JavaScript, permitiendo declarar tipos de variables, parámetros y retorno de funciones. Esto permite detectar errores (tipos incompatibles, propiedades inexistentes) en tiempo de desarrollo, ANTES de ejecutar el código. TypeScript se transpila a JavaScript estándar, por lo que la velocidad de ejecución es la misma (A incorrecta). SÍ requiere compilación/transpilación con tsc (C incorrecta). Es un superset de JavaScript (todo JS válido es TS válido), no un lenguaje diferente (D incorrecta).

Pregunta 15. ¿Qué framework backend de Python es conocido por su enfoque «baterías incluidas» y generación automática de panel de administración?

A) Flask

B) Django

C) FastAPI

D) Tornado

Respuesta correcta: B
Django es un framework full-stack con filosofía «baterías incluidas»: incluye ORM, sistema de plantillas, autenticación, panel de administración auto-generado, migraciones de BD, todo listo para usar. Flask es minimalista, solo incluye lo básico (A incorrecta). FastAPI es moderno y rápido pero no incluye panel admin por defecto (C incorrecta). Tornado es para aplicaciones asíncronas/websockets, no full-stack (D incorrecta).

Pregunta 16. En el flujo de trabajo Git Flow, ¿cuál es la rama principal que contiene el código de producción estable?

A) develop

B) master (o main)

C) feature

D) hotfix

Respuesta correcta: B
En Git Flow, la rama master (ahora comúnmente renombrada a main) contiene el código de producción, siempre estable y desplegable. Cada commit en master es una versión de producción. La rama develop es la de integración para desarrollo (A incorrecta). feature/* son ramas temporales para nuevas funcionalidades (C incorrecta). hotfix/* son ramas temporales para arreglos urgentes en producción (D incorrecta).

Pregunta 17. Docker utiliza el concepto de «imágenes» y «contenedores». ¿Cuál es la relación correcta entre ambos?

A) Una imagen es una instancia en ejecución de un contenedor

B) Un contenedor es una instancia en ejecución de una imagen

C) Imágenes y contenedores son términos intercambiables

D) Los contenedores contienen múltiples imágenes

Respuesta correcta: B
Analogía: la imagen es como una clase en POO (plantilla inmutable), y el contenedor es como un objeto (instancia en ejecución). Puedes crear múltiples contenedores desde la misma imagen. Una imagen se construye con un Dockerfile y se almacena en un registry (Docker Hub, etc.). Cuando ejecutas docker run sobre una imagen, creas un contenedor. La opción A invierte la relación (incorrecta). No son intercambiables (C incorrecta). Un contenedor es instancia de UNA imagen (D incorrecta).

Pregunta 18. En Kubernetes, ¿qué componente proporciona un endpoint estable (IP/DNS) para acceder a un conjunto de pods?

A) Deployment

B) ReplicaSet

C) Service

D) ConfigMap

Respuesta correcta: C
Un Service en Kubernetes proporciona una abstracción estable (IP virtual y DNS) para acceder a un conjunto de pods, que pueden cambiar dinámicamente. El Service hace de load balancer interno entre los pods del selector. Un Deployment gestiona la replicación y actualización de pods (A incorrecta). Un ReplicaSet garantiza un número de réplicas de pods (B incorrecta). Un ConfigMap almacena configuración (D incorrecta).

Pregunta 19. (EXAMEN OPE 2025 – Pregunta 57) ¿Cuál es la mejora principal de HTTP/2 sobre HTTP/1.1?

A) HTTP/2 utiliza cabeceras en texto plano para facilitar la depuración

B) Permite enviar múltiples solicitudes y recibir múltiples respuestas de forma simultánea sobre una única conexión TCP (multiplexing)

C) HTTP/2 sustituye TCP por UDP como protocolo de transporte

D) HTTP/2 elimina el uso de TLS y utiliza en su lugar el protocolo TKIP

Respuesta correcta: B
Esta pregunta cayó en la OPE 2025. La mejora clave de HTTP/2 es el multiplexing: permite enviar múltiples peticiones y recibir múltiples respuestas simultáneamente sobre una única conexión TCP, eliminando el «head-of-line blocking» de HTTP/1.1 (donde una petición lenta bloqueaba las siguientes). Además, HTTP/2 usa cabeceras binarias comprimidas (HPACK), no texto plano (A incorrecta). Sigue usando TCP (C incorrecta). TLS se mantiene y se recomienda (D incorrecta; TKIP es un protocolo WiFi obsoleto, no tiene nada que ver con HTTP).

Pregunta 20. HTTP/3 se diferencia de HTTP/2 principalmente en que:

A) Usa XML en lugar de JSON

B) Elimina el cifrado TLS

C) Utiliza QUIC sobre UDP en lugar de TCP

D) Solo funciona en redes IPv6

Respuesta correcta: C
HTTP/3 representa un cambio radical: abandona TCP y usa QUIC (desarrollado por Google), que funciona sobre UDP. Esto elimina el head-of-line blocking a nivel de transporte (problema que HTTP/2 no resolvía completamente) y permite conexiones más rápidas (0-RTT resumption). HTTP no define formato de datos (A incorrecta). HTTP/3 tiene TLS 1.3 integrado obligatoriamente en QUIC (B incorrecta). Funciona tanto en IPv4 como IPv6 (D incorrecta).

Pregunta 21. WebSocket permite comunicación bidireccional full-duplex. ¿Qué método HTTP se usa para iniciar la conexión WebSocket?

A) POST

B) CONNECT

C) GET con cabecera «Upgrade: websocket»

D) OPTIONS

Respuesta correcta: C
El handshake de WebSocket comienza como una petición HTTP normal (método GET) con cabeceras especiales: Upgrade: websocket y Connection: Upgrade. Si el servidor acepta, responde con código 101 (Switching Protocols) y la conexión HTTP se «actualiza» a WebSocket. A partir de ese momento, la comunicación es bidireccional sin overhead HTTP. POST es para enviar datos (A incorrecta). CONNECT es para túneles (B incorrecta). OPTIONS es para consultar métodos permitidos (D incorrecta).

Pregunta 22. En REST, ¿qué método HTTP es idempotente, es decir, llamarlo múltiples veces tiene el mismo efecto que llamarlo una vez?

A) POST

B) PUT

C) Todos los métodos HTTP son idempotentes

D) Ningún método HTTP es idempotente

Respuesta correcta: B
Un método es idempotente si ejecutarlo N veces produce el mismo resultado que ejecutarlo 1 vez. PUT es idempotente: actualizar un recurso con los mismos datos 10 veces deja el recurso en el mismo estado que actualizarlo 1 vez. También son idempotentes: GET, HEAD, DELETE, OPTIONS. POST NO es idempotente: crear un recurso 10 veces genera 10 recursos (A incorrecta). No todos son idempotentes (C incorrecta). Varios SÍ lo son (D incorrecta).

Pregunta 23. En el contexto de intranets corporativas, ¿cuál es la función principal de una DMZ (Zona Desmilitarizada)?

A) Aumentar la velocidad de la red interna

B) Alojar servicios públicos sin exponer directamente la red interna

C) Sustituir al firewall como medida de seguridad

D) Proporcionar WiFi a visitantes

Respuesta correcta: B
La DMZ es una subred intermedia entre Internet y la red interna. Su función es alojar servidores que deben ser accesibles desde Internet (web, mail gateway, proxy reverso) sin exponerlos directamente a la red interna crítica. Si un servidor en DMZ es comprometido, el atacante no tiene acceso directo a la red interna (hay otro firewall intermedio). La DMZ no aumenta velocidad (A incorrecta). Complementa al firewall, no lo sustituye (C incorrecta). El WiFi para invitados suele ser una red separada, no necesariamente DMZ (D incorrecta).

Pregunta 24. ¿Qué protocolo VPN es considerado obsoleto e inseguro y NO debe usarse en entornos que cumplan ENS?

A) PPTP

B) L2TP/IPsec

C) OpenVPN

D) WireGuard

Respuesta correcta: A
PPTP (Point-to-Point Tunneling Protocol) está completamente obsoleto y es inseguro. Sus vulnerabilidades permiten romper el cifrado en minutos. El ENS prohíbe su uso. Opciones seguras: L2TP/IPsec (bueno, compatible) (B), OpenVPN (excelente, flexible, muy usado) (C), WireGuard (moderno, rápido, código simple y auditable) (D), IPsec IKEv2 (enterprise, muy seguro).

Pregunta 25. Según el Real Decreto 1112/2018, ¿qué nivel de conformidad WCAG es OBLIGATORIO para sitios web del sector público español?

A) Nivel A

B) Nivel AA

C) Nivel AAA

D) No hay nivel obligatorio, solo recomendaciones

Respuesta correcta: B
El RD 1112/2018 obliga a todas las webs y apps del sector público (incluido el SAS) a cumplir WCAG 2.1 nivel AA. Nivel A es insuficiente (mínimo básico) (A incorrecta). Nivel AAA es aspiracional, no exigible en todos los casos (C incorrecta). SÍ es obligatorio, no solo recomendación; hay sanciones por incumplimiento (D incorrecta). Plazo: webs existentes debían cumplir desde sept 2020, apps móviles desde junio 2021.

Pregunta 26. En WCAG 2.1, ¿cuál es el ratio de contraste MÍNIMO exigido para texto normal (nivel AA)?

A) 3:1

B) 4.5:1

C) 7:1

D) No hay requisito mínimo de contraste

Respuesta correcta: B
WCAG 2.1 nivel AA exige contraste mínimo de 4.5:1 para texto normal (menor de 18pt o 14pt negrita). Para texto grande (18pt+ o 14pt+ negrita) el mínimo es 3:1. Nivel AAA exige 7:1 para texto normal y 4.5:1 para texto grande. El contraste se calcula con la fórmula de luminancia relativa del W3C. Herramientas útiles: WebAIM Contrast Checker, Lighthouse.

Pregunta 27. El principio de accesibilidad «POUR» incluye cuatro conceptos. ¿Cuál de los siguientes NO es uno de ellos?

A) Perceptible

B) Operable

C) Comprensible

D) Portable

Respuesta correcta: D
POUR es el acrónimo de los 4 principios WCAG:
Perceptible: La información debe poder ser percibida
Operable: Los componentes deben ser operables
Understandable (Comprensible): La información debe ser comprensible
Robust (Robusto): El contenido debe ser robusto para funcionar con tecnologías actuales y futuras
«Portable» no es uno de los principios (D correcta como respuesta a «cuál NO es»).

Pregunta 28. En usabilidad web, el «Mobile First» se refiere a:

A) Priorizar el desarrollo de apps nativas sobre web

B) Diseñar primero para dispositivos móviles y luego expandir a desktop

C) Usar solo frameworks JavaScript para móviles

D) Eliminar la versión desktop completamente

Respuesta correcta: B
Mobile First es una filosofía de diseño donde se empieza diseñando para la pantalla más pequeña (móvil), priorizando el contenido esencial, y luego se va expandiendo con más funcionalidades para tablets y desktop (progressive enhancement). Ventajas: obliga a priorizar, mejor performance, alineado con el uso real (>60% de tráfico web es móvil). Se hace con CSS media queries usando min-width. No es sobre apps nativas vs web (A incorrecta), ni sobre frameworks específicos (C incorrecta), ni eliminar desktop (D incorrecta).

Pregunta 29. ¿Qué herramienta de Chrome DevTools proporciona auditorías automáticas de rendimiento, accesibilidad, SEO y mejores prácticas?

A) Console

B) Network

C) Lighthouse

D) Elements

Respuesta correcta: C
Lighthouse es una herramienta de auditoría automática integrada en Chrome DevTools que analiza: (1) Performance (Core Web Vitals), (2) Accessibility (WCAG), (3) Best Practices, (4) SEO, (5) PWA. Genera un informe con puntuaciones 0-100 y recomendaciones específicas. Console es para logs/errores JavaScript (A incorrecta). Network analiza peticiones HTTP (B incorrecta). Elements inspecciona HTML/CSS (D incorrecta).

Pregunta 30. En el SAS, la Red Corporativa SSPA utiliza principalmente qué tecnología para interconectar los centros sanitarios con ancho de banda garantizado?

A) Internet público sin protección

B) MPLS (Multiprotocol Label Switching)

C) Redes 4G públicas

D) Dial-up

Respuesta correcta: B
La Red Corporativa del SSPA usa principalmente MPLS, una tecnología WAN que proporciona: (1) Ancho de banda garantizado (QoS), (2) Baja latencia, (3) Alta disponibilidad (SLAs estrictos), (4) Aislamiento de tráfico. Conecta los 34 hospitales, 1.500+ centros de salud y 3.000+ consultorios. Como backup, algunos centros tienen VPN sobre Internet. Internet público sin protección sería inseguro e inadecuado (A incorrecta). 4G se usa solo en consultorios muy remotos como backup (C incorrecta). Dial-up es tecnología obsoleta de los 90 (D incorrecta).

🗺️12. Mapa Conceptual del Tema

📡 INTERNET (Tema 84)

🌐 Estado Actual

Arquitectura (Tier 1-2-3)

IPv6 (128 bits, SLAAC)

5G + Edge Computing

IoT / IoMT

Tendencias: HTTP/3, IA, Zero Trust

📧 Servicios Tradicionales

Correo: SMTP, POP3, IMAP4

Transferencia: SFTP > FTPS > ❌FTP

DNS (puerto 53)

DHCP (DORA)

NTP (sincronización horaria)

💻 Lenguajes

Marcado: HTML5, XML, JSON

Estilo: CSS3 (Flexbox, Grid)

Cliente: JavaScript, TypeScript

Servidor: Java, Python, Node.js, PHP

🛠️ Herramientas

Frontend: React, Angular, Vue

Backend: Spring Boot, Django, FastAPI

DevOps: Git, Docker, Kubernetes

Testing: JUnit, Selenium, JMeter

Monitorización: Dynatrace, ELK, Grafana

🔌 Protocolos

HTTP/1.1 → HTTP/2 (multiplexing) → HTTP/3 (QUIC/UDP)

HTTPS (TLS 1.2+, ENS)

WebSocket (full-duplex)

gRPC (microservicios)

APIs: REST, GraphQL, SOAP

🏢 Intranets/Extranets

Intranet (red privada interna)

Extranet (socios/proveedores)

VPN: L2TP/IPsec, OpenVPN

Firewall + DMZ

SAS: Red Corporativa SSPA (MPLS)

♿ Accesibilidad

RD 1112/2018: WCAG 2.1 AA obligatorio

POUR: Perceptible, Operable, Comprensible, Robusto

Contraste: 4.5:1 (texto), 3:1 (grande)

ARIA roles/properties

Herramientas: WAVE, axe, Lighthouse

🎨 Usabilidad

Efectividad + Eficiencia + Satisfacción

Principios: Fitts, Hick, Jakob

Responsive Design (media queries)

Mobile First (min-width)

Métricas: SUS, NPS, Conversión

🏥 Aplicación en el SAS

Diraya (Historia Digital)

ClicSalud+ (Cita Previa)

Red Corporativa SSPA

VPN para acceso remoto

APIs HL7 FHIR

Transferencia DICOM (SFTP)

📚Referencias Normativas y Bibliográficas

Normativa y Estándares Técnicos

RFC 9110 – HTTP Semantics (2022) – https://www.rfc-editor.org/rfc/rfc9110.html
RFC 9114 – HTTP/3 (2022) – https://www.rfc-editor.org/rfc/rfc9114.html
RFC 6455 – The WebSocket Protocol (2011) – https://www.rfc-editor.org/rfc/rfc6455.html
RFC 4251-4254 – SSH Protocol Architecture – https://www.rfc-editor.org/rfc/rfc4251.html
RFC 5321 – Simple Mail Transfer Protocol (SMTP) – https://www.rfc-editor.org/rfc/rfc5321.html
RFC 3501 – IMAP4rev1 – https://www.rfc-editor.org/rfc/rfc3501.html
RFC 8200 – Internet Protocol, Version 6 (IPv6) – https://www.rfc-editor.org/rfc/rfc8200.html

Accesibilidad Web

WCAG 2.1 – Web Content Accessibility Guidelines (W3C, 2018) – https://www.w3.org/TR/WCAG21/
EN 301 549 V3.2.1 – Accessibility requirements for ICT products and services (ETSI, 2021)
Real Decreto 1112/2018 – Accesibilidad de sitios web y aplicaciones móviles del sector público – BOE
UNE 139803:2012 – Requisitos de accesibilidad para contenidos en la Web (AENOR)

Seguridad

Real Decreto 311/2022 – Esquema Nacional de Seguridad (ENS) – BOE
CCN-STIC-807 – Criptología de empleo en el ENS – CCN-CERT
ISO/IEC 27001:2022 – Information security management systems
ISO/IEC 27799:2016 – Health informatics — Information security management in health

Desarrollo Web y DevOps

HTML Living Standard – WHATWG – https://html.spec.whatwg.org/
ECMAScript 2024 – JavaScript Language Specification – https://tc39.es/ecma262/
Martin Fowler (2018). Refactoring: Improving the Design of Existing Code (2nd ed.). Addison-Wesley.
Gene Kim et al. (2016). The DevOps Handbook. IT Revolution Press.
Brendan Burns et al. (2019). Kubernetes: Up and Running (2nd ed.). O’Reilly Media.

Documentación SAS y Junta de Andalucía

Plan de Transformación Digital del SSPA 2022-2027 – Consejería de Salud y Familias
Política de Seguridad de las TI en el SSPA – Servicio Andaluz de Salud
Decreto 534/2021 – Gobernanza de administración electrónica del SAS
Diraya – Historia de Salud Digital – Documentación técnica (acceso restringido)
Portal ClicSalud+ – https://www.sspa.juntadeandalucia.es/

Recursos de Preparación

MDN Web Docs – Documentación web de Mozilla – https://developer.mozilla.org/
Web.dev – Guías de desarrollo web de Google – https://web.dev/
Can I Use – Compatibilidad de características web – https://caniuse.com/
WebAIM – Recursos de accesibilidad – https://webaim.org/
OWASP – Seguridad en aplicaciones web – https://owasp.org/

🏷️Keywords SEO

Internet arquitectura TFA-STI HTTP/2 HTTP/3 multiplexing SFTP vs FTPS seguridad SMTP IMAP POP3 correo IPv6 SLAAC DHCPv6 DNS resolución nombres HTML5 CSS3 JavaScript TypeScript frameworks React Angular Vue Docker Kubernetes DevOps REST API GraphQL WebSocket gRPC MQTT Intranet Extranet VPN DMZ Firewall seguridad WCAG 2.1 accesibilidad AA RD 1112/2018 sector público POUR principios accesibilidad Usabilidad Mobile First Responsive Design media queries ENS TLS 1.2 seguridad Diraya SAS sistemas corporativos ClicSalud+ cita previa Red Corporativa SSPA MPLS IoT IoMT sanitario 5G Edge Computing telemedicina Oposición TFA Informática SAS Examen OPE 2025 Andalucía Tema 84 Internet protocolos

🎓Mensaje Final del Preparador

Hemos llegado al final del Tema 84: Internet. Si has leído hasta aquí con atención, ya tienes una base sólida no solo para el examen, sino para tu futuro desempeño como TFA-STI en el SAS.

Este tema es transversal – conecta con prácticamente todos los demás: seguridad (ENS, TLS), redes (TCP/IP, enrutamiento), bases de datos (conexiones, APIs), desarrollo (lenguajes web), normativa (accesibilidad obligatoria), y los sistemas corporativos del SAS que usarás cada día.

Memoriza los básicos: puertos estándar, diferencias SFTP/FTPS, ventajas HTTP/2, niveles WCAG, ratios de contraste. Pero sobre todo, entiende los conceptos – el examen no busca papagayos, busca profesionales que sepan aplicar el conocimiento.

Practica con las 30 preguntas que hemos incluido. Léelas, respóndelas sin mirar, y luego estudia las explicaciones. Muchas están basadas en el examen OPE 2025 real.

Recuerda: cada hora que inviertes en prepararte bien es una hora que te acerca a tu plaza. La constancia vence al talento. Tú puedes con esto. 💪

— Esteban Castro
Preparador de Oposiciones TFA-STI SAS

Este documento tiene fines exclusivamente educativos y de preparación para oposiciones.