B4-T5: SEGURIDAD EN SISTEMAS DE INFORMACIÓN Y CENTROS DE PROCESO DE DATOS
Tema de máxima densidad en datos que memorizar. Las herramientas del CCN son el dato más preguntado del Bloque IV: saber qué hace PILAR vs CLARA vs LUCÍA vs GLORIA puede resolver 1-2 preguntas directas. Los Tiers del TIA 942 son otra pregunta casi segura. Los ataques se preguntan como definiciones: "¿qué es un ataque de tipo X?"
1. DIMENSIONES DE LA SEGURIDAD DE LA INFORMACIÓN
1.1 Las 5 dimensiones (DICAT)
El ENS (RD 311/2022) y los estándares internacionales definen 5 dimensiones de seguridad, conocidas por el acrónimo DICAT (o ACIDT en inglés: Availability, Confidentiality, Integrity, non-repudiation, Traceability):
| Dimensión | Definición | Amenaza si se pierde |
|---|
| Disponibilidad (D) | Los servicios están accesibles y operativos cuando se necesitan | Denegación de servicio (DoS/DDoS), caída de sistemas |
| Integridad (I) | La información no ha sido alterada de forma no autorizada | Manipulación de datos, inyección, man-in-the-middle |
| Confidencialidad (C) | La información solo es accesible para quienes están autorizados | Filtración, espionaje, acceso no autorizado |
| Autenticidad (A) | La identidad del emisor/receptor es verificable | Suplantación (spoofing), phishing |
| Trazabilidad (T) | Se puede rastrear quién hizo qué y cuándo (no repudio) | Borrado de logs, negación de acciones |
OJO examen: En el contexto del ENS se usan 5 dimensiones (DICAT). La tríada clásica de seguridad es solo 3: CIA (Confidentiality, Integrity, Availability).
1.2 Conceptos fundamentales de seguridad
| Concepto | Definición |
|---|
| Amenaza | Evento potencial que puede causar daño a un activo (ej. ataque, desastre natural, error humano) |
| Vulnerabilidad | Debilidad de un activo que puede ser explotada por una amenaza (ej. software sin parchear, contraseña débil) |
| Riesgo | Probabilidad de que una amenaza explote una vulnerabilidad × impacto resultante. Riesgo = Amenaza × Vulnerabilidad × Impacto |
| Salvaguarda / Control | Medida para reducir el riesgo (preventiva, detectiva, correctiva, disuasoria) |
| Activo | Recurso del sistema de información con valor para la organización (datos, servicios, equipos, personas) |
| Impacto | Consecuencia de la materialización de una amenaza sobre un activo |
| Riesgo residual | Riesgo que permanece después de aplicar las salvaguardas |
1.3 Tratamiento del riesgo
| Estrategia | Descripción |
|---|
| Mitigar | Aplicar controles para reducir la probabilidad o el impacto del riesgo |
| Transferir | Trasladar el riesgo a un tercero (ej. seguro, subcontratación, cloud) |
| Aceptar | Asumir el riesgo cuando el coste de mitigarlo supera el beneficio |
| Evitar | Eliminar la actividad o activo que genera el riesgo |
2. HERRAMIENTAS CCN-CERT
CLAVE EXAMEN: Las herramientas del CCN-CERT se preguntan en TODOS los exámenes TAI. Memorizar: qué hace cada herramienta. PILAR = análisis de riesgos. CLARA = auditoría de configuración. LUCÍA = gestión de incidentes. GLORIA = SIEM.
| Herramienta | Función | Detalle |
|---|
| PILAR | Análisis y gestión de riesgos | Implementa la metodología MAGERIT. Evalúa activos, amenazas, salvaguardas y calcula riesgo residual según dimensiones DICAT. Versión ligera: μPILAR (micro-PILAR). Genera informes ENS |
| CLARA | Auditoría de configuración | Verifica el cumplimiento de guías de configuración segura (CCN-STIC) en sistemas Windows, Linux, etc. Compara la configuración real vs la recomendada |
| LUCÍA | Gestión de ciberincidentes | Listado Unificado de Coordinación de Incidentes y Amenazas. Sistema de ticketing para gestionar incidentes de seguridad. Clasificación, seguimiento, métricas |
| GLORIA | SIEM (Security Information and Event Management) | Gestión y correlación de eventos de seguridad en tiempo real. Recopila logs de múltiples fuentes, detecta patrones de ataque, genera alertas |
| CARMEN | Detección de APTs | Centro de Análisis de Registros y Minería de Eventos de Red. Analiza tráfico de red para detectar amenazas persistentes avanzadas (APT) |
| REYES | Ciberinteligencia | Plataforma de intercambio de indicadores de compromiso (IoC) y amenazas. Basada en MISP |
| INES | Informe ENS | Informe Nacional del Estado de Seguridad. Herramienta web para reportar el nivel de adecuación al ENS de cada organismo |
| EMMA | Visibilidad y control | Endpoint Monitoring and Management Agent. Inventario y monitorización de endpoints conectados a la red |
| CLAUDIA | Detección en endpoints | Herramienta de detección de amenazas avanzadas en el endpoint (EDR). Complementa a CARMEN (que opera en red) |
| VANESA | Grabación de sesiones | Graba y audita sesiones de administración de sistemas. Trazabilidad de acciones privilegiadas |
| MARTA | Análisis de malware | Plataforma de análisis automatizado de muestras de malware (sandbox) |
| ROCÍO | Inspección de tráfico | Análisis de tráfico cifrado y detección de anomalías en la red |
| ANA | Automatización de auditorías | Auditoría y Normalización de Activos. Automatiza auditorías de cumplimiento |
2.1 MAGERIT
MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) es la metodología oficial de análisis de riesgos de la AGE, desarrollada por el Consejo Superior de Administración Electrónica (CSAE). Se implementa con la herramienta PILAR.
| Fase | Descripción |
|---|
| 1. Identificación de activos | Inventario de activos: datos, servicios, aplicaciones, equipos, instalaciones, personas |
| 2. Valoración de activos | Valorar cada activo en las dimensiones DICAT (escala de 0-10 o cualitativa) |
| 3. Identificación de amenazas | Catálogo de amenazas que pueden afectar a cada activo |
| 4. Estimación del impacto | Degradación que sufriría cada activo si se materializa la amenaza |
| 5. Estimación del riesgo | Riesgo = frecuencia de amenaza × impacto |
| 6. Salvaguardas | Identificar controles existentes y adicionales para reducir el riesgo |
| 7. Riesgo residual | Riesgo que queda tras aplicar las salvaguardas |
3. TIPOS DE ATAQUES
3.1 Ataques de red
| Ataque | Descripción | Dimensión afectada |
|---|
| DoS (Denegación de Servicio) | Saturar un servidor/servicio con tráfico o peticiones para que no pueda atender usuarios legítimos | Disponibilidad |
| DDoS | DoS distribuido desde múltiples orígenes (botnet). Tipos: volumétrico (UDP flood), protocolo (SYN flood), aplicación (HTTP flood) | Disponibilidad |
| Man-in-the-Middle (MitM) | El atacante se interpone en la comunicación entre dos partes, interceptando y posiblemente modificando el tráfico | Confidencialidad, Integridad |
| ARP Spoofing | Envía respuestas ARP falsas para asociar la MAC del atacante con la IP de la víctima (gateway). Permite MitM en LAN | Confidencialidad, Integridad |
| DNS Spoofing / Poisoning | Inyecta respuestas DNS falsas para redirigir tráfico a servidores maliciosos | Autenticidad |
| IP Spoofing | Falsifica la dirección IP de origen de los paquetes para suplantar identidad | Autenticidad |
| Sniffing | Captura pasiva de tráfico de red (ej. con Wireshark). Especialmente peligroso en redes no cifradas | Confidencialidad |
| SYN Flood | Envía masivamente paquetes SYN sin completar el handshake TCP, agotando la tabla de conexiones del servidor | Disponibilidad |
| Replay Attack | Captura y retransmite mensajes legítimos para ejecutar acciones no autorizadas | Autenticidad |
3.2 Ataques de aplicación / ingeniería social
| Ataque | Descripción |
|---|
| Phishing | Suplantación de identidad (email, web) para engañar al usuario y obtener credenciales. Variantes: spear phishing (dirigido a persona), whaling (dirigido a directivos), vishing (por voz), smishing (por SMS) |
| SQL Injection | Insertar código SQL malicioso en campos de entrada para manipular la base de datos. Prevención: consultas parametrizadas |
| XSS (Cross-Site Scripting) | Inyectar scripts maliciosos en páginas web que se ejecutan en el navegador de otros usuarios. Tipos: Stored (persistente), Reflected (no persistente), DOM-based |
| CSRF (Cross-Site Request Forgery) | Forzar al navegador de un usuario autenticado a realizar acciones no deseadas en una web. Prevención: tokens anti-CSRF |
| Brute Force | Probar todas las combinaciones posibles de contraseña. Variante: dictionary attack (usa lista de contraseñas comunes) |
| Credential Stuffing | Usar credenciales filtradas de otros sitios para acceder a cuentas (aprovechando reutilización de contraseñas) |
| Social Engineering | Manipulación psicológica para que la víctima revele información o realice acciones. Variantes: pretexting, baiting, tailgating, quid pro quo |
| Zero-Day | Explotación de una vulnerabilidad desconocida para la cual no existe parche disponible |
| Supply Chain Attack | Comprometer un proveedor/dependencia para atacar indirectamente a los usuarios finales (ej. SolarWinds, Log4Shell) |
3.3 Malware — Tipos
| Tipo | Descripción | Diferencia clave |
|---|
| Virus | Se replica insertándose en otros programas. Necesita que el usuario ejecute el archivo infectado | Requiere host (archivo) + acción del usuario |
| Gusano (Worm) | Se propaga automáticamente por la red sin intervención del usuario | No necesita host ni acción del usuario |
| Troyano | Se disfraza de software legítimo pero ejecuta acciones maliciosas en segundo plano | Engaño — parece útil pero es malicioso |
| Ransomware | Cifra los archivos de la víctima y exige un rescate (generalmente en criptomonedas) para descifrarlos | Cifrado + extorsión económica |
| Spyware | Recopila información del usuario sin su conocimiento (keylogger, capturas de pantalla) | Espionaje silencioso |
| Adware | Muestra publicidad no deseada, redirige búsquedas | Publicidad intrusiva |
| Rootkit | Se oculta en el sistema (kernel, MBR) proporcionando acceso persistente al atacante | Ocultación profunda, difícil de detectar |
| Botnet | Red de dispositivos infectados (bots/zombis) controlados remotamente por un atacante (C&C server) | Control remoto masivo (para DDoS, spam) |
| APT (Advanced Persistent Threat) | Ataque sofisticado y prolongado, generalmente patrocinado por estados, dirigido a organizaciones específicas | Persistente, sigiloso, objetivo específico |
4. CRIPTOGRAFÍA
4.1 Cifrado simétrico vs asimétrico
| Característica | Cifrado simétrico | Cifrado asimétrico |
|---|
| Claves | Una sola clave compartida (secreta) | Par de claves: pública + privada |
| Velocidad | Rápido (~1000x más que asimétrico) | Lento (operaciones matemáticas complejas) |
| Uso principal | Cifrado de datos en volumen (archivos, comunicaciones) | Intercambio de claves, firma digital, cifrado de datos pequeños |
| Problema | Distribución segura de la clave compartida | Rendimiento (no práctico para grandes volúmenes) |
| Algoritmos | AES (128/192/256 bits), 3DES, ChaCha20 | RSA (2048/4096 bits), ECC (Elliptic Curve), Diffie-Hellman, DSA |
En la práctica: Se usa criptografía híbrida — asimétrica para intercambiar la clave simétrica, y simétrica para cifrar los datos. Ejemplo: TLS usa RSA/ECDHE para el handshake y AES para los datos.
4.2 Algoritmos de cifrado principales
| Algoritmo | Tipo | Detalle |
|---|
| AES (Advanced Encryption Standard) | Simétrico (bloque) | Estándar NIST (FIPS 197). Tamaños de clave: 128, 192, 256 bits. Bloque: 128 bits. Modos: CBC, CTR, GCM (autenticado). El más usado hoy |
| 3DES (Triple DES) | Simétrico (bloque) | Aplica DES tres veces con 2 o 3 claves. Bloque: 64 bits. En desuso (lento, tamaño bloque pequeño) |
| ChaCha20 | Simétrico (flujo) | Alternativa moderna a AES, eficiente en software (sin instrucciones HW especiales). Usado en TLS 1.3 con Poly1305 |
| RSA | Asimétrico | Basado en factorización de números primos. Claves: 2048-4096 bits. Cifrado + firma digital. Estándar de facto |
| ECC (Elliptic Curve Cryptography) | Asimétrico | Curvas elípticas. Misma seguridad que RSA con claves mucho menores (256-bit ECC ≈ 3072-bit RSA). Más eficiente |
| Diffie-Hellman (DH / ECDHE) | Intercambio de claves | Permite a dos partes acordar una clave secreta compartida sobre un canal inseguro. ECDHE: variante con curvas elípticas y perfect forward secrecy |
4.3 Funciones hash
| Algoritmo | Tamaño hash | Estado |
|---|
| MD5 | 128 bits | Roto — colisiones demostradas. NO usar para seguridad |
| SHA-1 | 160 bits | Roto — colisiones demostradas (Google 2017). Deprecado |
| SHA-256 (SHA-2 familia) | 256 bits | Seguro — estándar actual. Familia SHA-2: SHA-224, SHA-256, SHA-384, SHA-512 |
| SHA-3 (Keccak) | 224-512 bits | Seguro — alternativa a SHA-2 con diseño completamente diferente (sponge construction) |
| HMAC | Variable | Hash con clave secreta (ej. HMAC-SHA256). Garantiza integridad + autenticación |
| bcrypt / scrypt / Argon2 | Variable | Funciones de hashing para contraseñas (lentas a propósito). Argon2: ganador PHC (Password Hashing Competition) |
4.4 Firma digital
| Paso | Proceso |
|---|
| Firmar | 1) Calcular hash del documento. 2) Cifrar el hash con la clave privada del emisor → firma digital |
| Verificar | 1) Descifrar la firma con la clave pública del emisor → hash original. 2) Calcular hash del documento recibido. 3) Comparar ambos hashes |
| Garantiza | Integridad (hash), autenticidad (clave privada del emisor), no repudio (solo el emisor tiene la clave privada) |
4.5 Certificados digitales y PKI
| Concepto | Descripción |
|---|
| Certificado X.509 | Vincula una clave pública con una identidad. Contiene: emisor (CA), sujeto, clave pública, validez, firma de la CA, extensiones |
| CA (Certification Authority) | Entidad de confianza que emite y firma certificados digitales |
| RA (Registration Authority) | Verifica la identidad del solicitante antes de que la CA emita el certificado |
| CRL (Certificate Revocation List) | Lista de certificados revocados publicada periódicamente por la CA |
| OCSP (Online Certificate Status Protocol) | Protocolo para consultar en tiempo real si un certificado está revocado. Puerto 80/443 |
| PKI (Public Key Infrastructure) | Infraestructura completa: CAs, RAs, repositorios de certificados, CRLs, políticas de certificación |
5. AUTENTICACIÓN
5.1 Factores de autenticación
| Factor | Descripción | Ejemplo |
|---|
| Algo que sabes | Conocimiento | Contraseña, PIN, pregunta de seguridad |
| Algo que tienes | Posesión | Tarjeta inteligente, token OTP, teléfono móvil, DNIe |
| Algo que eres | Biometría | Huella dactilar, reconocimiento facial, iris, voz |
| MFA (Multi-Factor Authentication) | Combinación de 2+ factores diferentes | Contraseña + código SMS, contraseña + token + huella |
5.2 Protocolos de autenticación
| Protocolo | Tipo | Descripción |
|---|
| Kerberos | Autenticación | Protocolo de tickets. Componentes: KDC (AS + TGS). Flujo: AS emite TGT → TGS emite ticket de servicio. Puerto 88. Usa cifrado simétrico. Estándar en Active Directory |
| RADIUS | AAA | Autenticación centralizada para acceso a red. Puerto 1812 (auth). Cifra solo la contraseña. UDP |
| TACACS+ | AAA | Cisco. Puerto 49/TCP. Cifra todo el payload. Separa autenticación, autorización y accounting |
| OAuth 2.0 | Autorización | Framework de autorización delegada (no autenticación). Permite a apps acceder a recursos en nombre del usuario sin compartir credenciales. Grants: authorization code, client credentials, etc. |
| OpenID Connect (OIDC) | Autenticación | Capa de identidad sobre OAuth 2.0. Añade ID token (JWT) con datos del usuario. Usado para "Login con Google/GitHub" |
| SAML 2.0 | Federación | Security Assertion Markup Language. SSO federado basado en XML. Componentes: IdP (Identity Provider), SP (Service Provider). Assertions: autenticación, atributos, autorización |
6. EQUIPOS Y HERRAMIENTAS DE SEGURIDAD
| Equipo/Herramienta | Función |
|---|
| Firewall | Filtra tráfico de red según reglas (IP, puerto, protocolo). Tipos: packet filter, stateful, proxy, NGFW (Next-Gen) |
| IDS (Intrusion Detection System) | Detecta intrusiones analizando tráfico/logs. No bloquea, solo alerta. Tipos: NIDS (red), HIDS (host). Ejemplo: Snort (reglas), Suricata |
| IPS (Intrusion Prevention System) | Como IDS pero sí bloquea el tráfico malicioso (inline). A menudo integrado en NGFW |
| WAF (Web Application Firewall) | Firewall especializado en tráfico HTTP/HTTPS. Protege contra OWASP Top 10 (SQLi, XSS, CSRF). Ej: ModSecurity, AWS WAF, Cloudflare |
| SIEM | Security Information and Event Management. Correlaciona logs y eventos de múltiples fuentes para detectar amenazas. Ej: GLORIA (CCN), Splunk, QRadar, Elastic SIEM |
| SOAR | Security Orchestration, Automation and Response. Automatiza la respuesta a incidentes (playbooks). Complementa al SIEM |
| EDR (Endpoint Detection and Response) | Monitorización y respuesta en endpoints. Detecta comportamiento malicioso más allá del antivirus. Ej: CLAUDIA (CCN), CrowdStrike, SentinelOne |
| XDR (Extended Detection and Response) | Integra EDR + NDR + SIEM en una plataforma unificada de detección y respuesta |
| DLP (Data Loss Prevention) | Previene la fuga de datos sensibles. Monitoriza email, web, USB, impresoras |
| NAC (Network Access Control) | Controla qué dispositivos pueden conectarse a la red según políticas (antivirus actualizado, SO parcheado). Ej: 802.1X + RADIUS |
| Honeypot | Sistema señuelo que simula ser vulnerable para atraer atacantes y estudiar sus técnicas |
| Sandbox | Entorno aislado para ejecutar y analizar malware de forma segura. Ej: MARTA (CCN) |
6.1 OWASP Top 10 (2021)
| Posición | Categoría |
|---|
| A01 | Broken Access Control (control de acceso roto) |
| A02 | Cryptographic Failures (fallos criptográficos) |
| A03 | Injection (inyección: SQL, OS, LDAP) |
| A04 | Insecure Design (diseño inseguro) |
| A05 | Security Misconfiguration (configuración insegura) |
| A06 | Vulnerable and Outdated Components |
| A07 | Identification and Authentication Failures |
| A08 | Software and Data Integrity Failures |
| A09 | Security Logging and Monitoring Failures |
| A10 | Server-Side Request Forgery (SSRF) |
7. CENTROS DE PROCESO DE DATOS (CPD)
CLAVE EXAMEN: Los Tiers del TIA 942 se preguntan en casi todos los exámenes (2015, 2016, 2019, 2022, 2024). Memorizar: disponibilidad de cada Tier y qué lo caracteriza (redundancia, mantenimiento concurrente, tolerancia a fallos).
7.1 TIA 942 — Tiers de clasificación de CPD
El estándar ANSI/TIA-942 (Telecommunications Infrastructure Standard for Data Centers) define 4 niveles de fiabilidad. También Uptime Institute clasifica de forma similar:
| Tier | Nombre | Disponibilidad | Downtime/año | Características |
|---|
| Tier I | Básico | 99,671% | 28,8 horas | Sin redundancia. Una sola ruta de distribución. Susceptible a paradas por mantenimiento planificado o fallos |
| Tier II | Componentes redundantes | 99,741% | 22,7 horas | Componentes redundantes (N+1: UPS, climatización). Una sola ruta de distribución. Mantenimiento requiere parada |
| Tier III | Mantenimiento concurrente | 99,982% | 1,6 horas | Doble ruta de distribución (solo una activa). Componentes redundantes. Se puede hacer mantenimiento sin parar el servicio |
| Tier IV | Tolerante a fallos | 99,995% | 26,3 minutos | Doble ruta de distribución (ambas activas). Redundancia 2N. Soporta cualquier fallo sin afectar al servicio |
Regla mnemotécnica: Tier I = nada. Tier II = componentes redundantes (N+1). Tier III = mantenimiento concurrente (se puede tocar sin apagar). Tier IV = tolerante a fallos (aguanta un fallo completo sin caer).
7.2 Infraestructura del CPD
| Sistema | Descripción |
|---|
| SAI/UPS | Sistema de Alimentación Ininterrumpida. Baterías que mantienen el suministro ante cortes eléctricos (minutos). Tipos: offline (standby), line-interactive, online (doble conversión) — el más fiable |
| Grupo electrógeno | Generador diésel para suministro prolongado ante corte eléctrico. Arranca automáticamente tras fallo de red |
| Climatización (HVAC) | Control de temperatura (18-27°C recomendado ASHRAE) y humedad (40-60%). Pasillo frío / pasillo caliente: contención del aire para optimizar la refrigeración |
| Suelo técnico (raised floor) | Suelo elevado para distribución de cableado y aire frío bajo los racks. Altura típica: 30-60 cm |
| Detección y extinción de incendios | Sistemas de detección temprana (VESDA/aspiración). Agentes de extinción limpios: FM-200 (HFC-227ea), Novec 1230, gases inertes (Argón, N₂). NO agua ni CO₂ en sala de servidores |
| Control de acceso físico | Biometría, tarjetas, PIN, mantraps (esclusas), CCTV, vigilancia 24/7 |
| Cableado estructurado | Separación de cableado eléctrico y de datos. Fibra óptica para backbone, cobre Cat6a/Cat8 para distribución |
7.3 Métricas de eficiencia del CPD
| Métrica | Fórmula | Valor ideal |
|---|
| PUE (Power Usage Effectiveness) | Energía total del CPD / Energía de los equipos IT | 1,0 (ideal). Promedio real: 1,5-1,8. Los mejores: <1,2 |
| DCiE (Data Center infrastructure Efficiency) | 1 / PUE × 100 | 100% (ideal) |
| DCIE | (Energía IT / Energía total) × 100 | Inversión de PUE en porcentaje |
PUE de 2,0 significa que por cada vatio que consume el IT, se gasta otro vatio en refrigeración, iluminación, UPS, etc. Un PUE de 1,0 significaría que toda la energía va directamente a IT (imposible en la práctica).
FUENTES PÚBLICAS
Este resumen ha sido elaborado íntegramente a partir de fuentes de dominio público. No se ha utilizado material con copyright de terceros ni material de preparadores.
| Fuente | Tipo | Referencia |
|---|
| ISO/IEC 27001/27002 — Seguridad de la información | Estándar | ISO |
| RD 311/2022 (ENS) | Legislación | BOE |
| NIST SP 800 series | Estándar | nist.gov |
| OWASP | Conocimiento público | owasp.org |
| TIA-942 — Data Centers (Tiers) | Estándar | TIA |