🛡️ Preguntas Frecuentes — Seguridad IT

La seguridad informática (o ciberseguridad) es el conjunto de prácticas, tecnologías y procesos diseñados para proteger sistemas, redes, programas y datos frente a ataques, accesos no autorizados o daños. Su objetivo es garantizar tres principios fundamentales conocidos como la tríada CIA:

• Confidencialidad: solo las personas autorizadas acceden a la información.
• Integridad: los datos no se alteran sin autorización.
• Disponibilidad: los sistemas y datos están accesibles cuando se necesitan.

Aunque se usan como sinónimos, hay un matiz: la seguridad informática abarca la protección de cualquier sistema de información (incluidos los físicos), mientras que la ciberseguridad se centra específicamente en amenazas que se originan o se propagan a través del ciberespacio (internet, redes, dispositivos conectados).

Es el conjunto total de puntos por los que un atacante podría intentar acceder a un sistema. Incluye puertos abiertos, servicios expuestos, APIs, aplicaciones web, dispositivos IoT, e incluso empleados susceptibles a ingeniería social. Reducir la superficie de ataque es una de las estrategias defensivas más eficaces.

Zero Trust ("confianza cero") es un modelo de seguridad que parte del principio de "nunca confíes, siempre verifica". En lugar de asumir que todo lo que está dentro de la red corporativa es seguro, exige autenticación y autorización continua para cada usuario, dispositivo y flujo de datos, sin importar su ubicación.

• Verificación de identidad en cada acceso.
• Segmentación micro de la red.
• Principio de mínimo privilegio.
• Monitorización continua del comportamiento.

Consiste en otorgar a cada usuario, aplicación o proceso únicamente los permisos estrictamente necesarios para realizar su función. Si un analista de marketing no necesita acceso a los servidores de base de datos, no debería tenerlo. Esto limita el daño potencial en caso de que una cuenta sea comprometida.

El phishing es un ataque de ingeniería social en el que un atacante suplanta la identidad de una entidad legítima (banco, proveedor, compañero de trabajo) para engañarte y que reveles contraseñas, datos bancarios u otra información sensible. Señales de alerta:

• Remitente sospechoso o ligeramente diferente al oficial (ej. soporte@bancoo.com en vez de soporte@banco.com).
• Urgencia artificial: "Tu cuenta será suspendida en 24 horas".
• Enlaces que, al pasar el cursor, muestran una URL diferente a la esperada.
• Errores ortográficos o de formato inusuales.
• Solicitud de información confidencial (contraseñas, códigos, datos bancarios).

Regla de oro: ante la duda, no hagas clic. Contacta directamente a la entidad por un canal oficial.

El ransomware es un tipo de malware que cifra los archivos de la víctima y exige un pago (generalmente en criptomonedas) a cambio de la clave de descifrado. Variantes modernas también roban datos antes de cifrarlos y amenazan con publicarlos (doble extorsión). Para protegerte:

• Mantén copias de seguridad offline y verificadas.
• Actualiza sistemas y software regularmente.
• Segmenta la red para limitar la propagación.
• Forma a los empleados para detectar correos maliciosos.

Consiste en probar combinaciones de contraseñas de forma sistemática hasta dar con la correcta. Los atacantes usan herramientas automatizadas capaces de probar millones de combinaciones por segundo. Defensas clave: contraseñas largas y complejas, bloqueo de cuenta tras intentos fallidos, CAPTCHA y autenticación multifactor (MFA).

Un ataque de Denegación de Servicio Distribuido (DDoS) inunda un servidor, servicio o red con un volumen masivo de tráfico desde múltiples fuentes (generalmente una botnet), con el objetivo de dejarlo inaccesible para los usuarios legítimos. Mitigaciones habituales:

• Servicios de protección DDoS (Cloudflare, AWS Shield, etc.).
• Balanceo de carga y escalado automático.
• Rate limiting y filtrado de tráfico anómalo.

Es el arte de manipular a las personas para que revelen información confidencial o realicen acciones que comprometan la seguridad. No se basa en explotar vulnerabilidades técnicas, sino humanas. Técnicas comunes: phishing, pretexting (crear una historia falsa), baiting (dejar un USB infectado) y tailgating (seguir a alguien para entrar a una zona restringida).

Es una vulnerabilidad en software o hardware que el fabricante aún no conoce (o no ha publicado parche). Los atacantes la explotan antes de que exista una solución, lo que la hace especialmente peligrosa. La defensa pasa por la detección basada en comportamiento, segmentación de red y aplicar parches de emergencia en cuanto estén disponibles.

En un ataque MitM, el atacante se interpone entre dos partes que se comunican (por ejemplo, tú y tu banco online), pudiendo leer, modificar o inyectar datos. Es frecuente en redes Wi-Fi públicas sin cifrar. Para prevenirlo: usa siempre HTTPS, evita Wi-Fi públicas sin VPN y verifica los certificados SSL.

Es un ataque en el que un atacante inserta código SQL malicioso en formularios o parámetros de URL de una aplicación web que no sanitiza las entradas. Esto puede permitir leer, modificar o borrar la base de datos completa. Prevención: consultas parametrizadas (prepared statements), validación de entradas y uso de WAF (Web Application Firewall).

Una contraseña segura debe ser:

• Larga: mínimo 14 caracteres (idealmente 16+).
• Compleja: combinación de mayúsculas, minúsculas, números y símbolos.
• Única: no reutilizar la misma contraseña en varios servicios.
• Impredecible: evitar datos personales (nombre, fecha de nacimiento, equipo de fútbol).

Consejo práctico: usa una frase de contraseña memorable pero larga, como "MiGato*Come3Sardinas!EnAbril", y apóyate en un gestor de contraseñas.

La MFA exige dos o más factores de categorías distintas para verificar la identidad:

• Algo que sabes: contraseña o PIN.
• Algo que tienes: móvil, llave de seguridad (YubiKey), tarjeta inteligente.
• Algo que eres: huella dactilar, reconocimiento facial, iris.

MFA reduce drásticamente el riesgo de acceso no autorizado, incluso si la contraseña se filtra.

Sí, los gestores de contraseñas de buena reputación (Bitwarden, 1Password, KeePass, etc.) son mucho más seguros que reutilizar contraseñas o guardarlas en notas adhesivas. Cifran tu bóveda con cifrado fuerte (AES-256) y solo tú conoces la contraseña maestra. Recomendaciones:

• Elige una contraseña maestra muy robusta.
• Activa MFA en el propio gestor.
• Mantén el software del gestor actualizado.

Las passkeys son credenciales criptográficas que sustituyen a la contraseña tradicional. Se basan en el estándar FIDO2/WebAuthn: tu dispositivo genera un par de claves (pública y privada), la privada nunca sale del dispositivo y la autenticación se completa con biometría o PIN local. Son resistentes al phishing porque están vinculadas al dominio legítimo del servicio.

Un firewall es un sistema de seguridad que monitorea y controla el tráfico de red entrante y saliente según reglas predefinidas. Actúa como una barrera entre una red de confianza (tu red interna) y una no confiable (Internet). Tipos principales:

• Firewall de red: filtra tráfico a nivel de paquete (IP, puerto, protocolo).
• Firewall de aplicación (WAF): protege aplicaciones web contra ataques específicos (SQL injection, XSS).
• NGFW (Next-Generation Firewall): integra inspección profunda de paquetes, prevención de intrusiones y filtrado de aplicaciones.

Una VPN (Red Privada Virtual) cifra el tráfico entre tu dispositivo y un servidor remoto, creando un túnel seguro. Casos de uso:

• Conexión desde redes Wi-Fi públicas (aeropuertos, cafeterías).
• Teletrabajo: acceso seguro a recursos de la empresa.
• Protección de privacidad frente a tu proveedor de internet.

Importante: una VPN no te hace anónimo ni invulnerable; protege el tránsito de datos, no el comportamiento del usuario.

Las redes Wi-Fi públicas son inherentemente menos seguras. Un atacante en la misma red puede intentar interceptar tu tráfico. Si necesitas usarlas:

• Conéctate siempre a través de una VPN.
• Verifica que los sitios web usen HTTPS.
• Desactiva el uso compartido de archivos y AirDrop.
• Evita acceder a banca online o introducir datos sensibles.
• Olvida la red después de usarla.

Consiste en dividir una red en subredes o segmentos más pequeños, cada uno con sus propias políticas de acceso. Si un atacante compromete un segmento (por ejemplo, la red de invitados), no puede moverse lateralmente al segmento de servidores críticos. Es un pilar del modelo Zero Trust.

El cifrado transforma datos legibles en un formato ilegible (texto cifrado) mediante un algoritmo y una clave. Solo quien posee la clave correcta puede descifrar la información. Se aplica en dos estados:

• En tránsito: protege datos que viajan por la red (HTTPS, TLS, VPN).
• En reposo: protege datos almacenados (cifrado de disco, bases de datos cifradas).

Algoritmos recomendados actualmente: AES-256 para cifrado simétrico y RSA-2048+ / ECC para asimétrico.

Sigue la regla 3-2-1:

• 3 copias de tus datos (la original + 2 backups).
• 2 tipos diferentes de almacenamiento (disco local + nube, por ejemplo).
• 1 copia fuera del sitio (offsite o en otra ubicación geográfica).

Además: automatiza los backups, cifra las copias, y prueba la restauración periódicamente. Un backup que no se puede restaurar no es un backup.

DLP (Data Loss Prevention) es un conjunto de herramientas y políticas que detectan y previenen la salida no autorizada de datos sensibles fuera de la organización. Pueden monitorizar el correo electrónico, la nube, los dispositivos USB y los endpoints. Clasifican los datos por nivel de sensibilidad y aplican reglas: bloquear, alertar o cifrar automáticamente.

• 1. Contener: aisla los sistemas afectados, revoca accesos comprometidos.
• 2. Evaluar: determina qué datos se filtraron, su volumen y sensibilidad.
• 3. Notificar: en la UE, el RGPD exige notificar a la autoridad de protección de datos en un máximo de 72 horas si hay riesgo para los derechos de los afectados.
• 4. Remediar: parchea la vulnerabilidad, cambia credenciales y refuerza controles.
• 5. Documentar: elabora un informe post-incidente con lecciones aprendidas.

Las actualizaciones corrigen vulnerabilidades conocidas que los atacantes explotan activamente. Retrasar un parche es dejar una puerta abierta. Activa las actualizaciones automáticas siempre que sea posible y prioriza los parches de seguridad críticos. Esto aplica al sistema operativo, navegadores, plugins y cualquier software de terceros.

Sí, pero el enfoque ha evolucionado. Las soluciones modernas se denominan EDR (Endpoint Detection and Response) o XDR, y van mucho más allá del antivirus tradicional:

• Detección basada en comportamiento (no solo firmas).
• Respuesta automatizada ante incidentes.
• Visibilidad centralizada de todos los endpoints.

Windows Defender, integrado en Windows, ofrece protección sólida para uso doméstico. En entornos corporativos, una solución EDR/XDR gestionada es recomendable.

• Conéctate a la red corporativa mediante VPN.
• Usa el equipo proporcionado por la empresa, no dispositivos personales para datos sensibles.
• Bloquea tu sesión al levantarte (Win+L o Ctrl+Cmd+Q).
• No trabajes desde redes Wi-Fi públicas sin VPN.
• Mantén el cifrado de disco activo (BitLocker / FileVault).
• Separa el uso personal del profesional.

El shadow IT se refiere al uso de aplicaciones, servicios en la nube o dispositivos no aprobados por el departamento de TI. Ejemplos: usar un Dropbox personal para compartir archivos corporativos, o instalar un plugin no autorizado. El riesgo es que esos servicios no cumplen las políticas de seguridad, escapan al control y pueden exponer datos sensibles.

El Reglamento General de Protección de Datos (RGPD) es la normativa europea que regula el tratamiento de datos personales. Aplica a cualquier organización que trate datos de residentes de la UE, sin importar dónde esté ubicada. Obligaciones clave:

• Obtener consentimiento claro e informado para recopilar datos.
• Informar a los usuarios de qué datos se recogen y para qué.
• Garantizar los derechos de acceso, rectificación, supresión y portabilidad.
• Notificar brechas de seguridad en un máximo de 72 horas.
• Nombrar un Delegado de Protección de Datos (DPO) en ciertos casos.

Las sanciones pueden alcanzar los 20 millones de euros o el 4% de la facturación global.

ISO/IEC 27001 es un estándar internacional que especifica los requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Certificarse en ISO 27001 demuestra a clientes y socios que la organización gestiona la seguridad de forma sistemática y auditada.

El ENS es el marco regulatorio español que establece los principios y requisitos de seguridad para el sector público y los proveedores que le prestan servicios tecnológicos. Define categorías de seguridad (básica, media, alta) y exige medidas proporcionales al nivel de riesgo. Su última actualización (Real Decreto 311/2022) lo alineó con amenazas modernas y el RGPD.

La Directiva NIS2 (Network and Information Security) es la normativa de la UE que amplía las obligaciones de ciberseguridad a más sectores (energía, transporte, sanidad, servicios digitales, administración pública, etc.). Exige a las entidades esenciales e importantes implementar medidas de gestión de riesgos, notificar incidentes significativos y responsabilizar a la alta dirección del cumplimiento.

Es un documento que define los procedimientos, roles y herramientas que la organización seguirá ante un incidente de seguridad. Un buen plan incluye estas fases:

• Preparación: formación, herramientas, equipo de respuesta (CSIRT).
• Identificación: detectar y confirmar el incidente.
• Contención: aislar sistemas afectados para evitar propagación.
• Erradicación: eliminar la causa raíz (malware, acceso no autorizado).
• Recuperación: restaurar sistemas y verificar su integridad.
• Lecciones aprendidas: analizar qué falló y mejorar procesos.

• Desconéctate de la red (cable y Wi-Fi) para evitar la propagación.
• No apagues el equipo salvo que te lo indique el equipo de TI (la memoria RAM puede contener evidencias).
• Notifica inmediatamente al departamento de TI o al CSIRT de tu empresa.
• No intentes solucionar el problema por tu cuenta si no tienes formación específica.
• Documenta qué observaste: mensajes, comportamiento extraño, hora aproximada.

Un SIEM (Security Information and Event Management) es una plataforma que recopila, correlaciona y analiza logs y eventos de toda la infraestructura IT en tiempo real. Permite detectar patrones anómalos, generar alertas y facilitar la investigación forense. Herramientas populares: Splunk, Microsoft Sentinel, Elastic SIEM, IBM QRadar.

Un SOC es un equipo (interno o externalizado) que monitoriza, detecta y responde a incidentes de seguridad 24/7. Utiliza herramientas como SIEM, EDR y plataformas SOAR para automatizar la respuesta. Es la primera línea de defensa activa de una organización.

La nube puede ser tan segura o más que la infraestructura on-premise, pero depende de cómo se configure. Los grandes proveedores (AWS, Azure, GCP) invierten enormemente en seguridad física, cifrado y cumplimiento normativo. Sin embargo, la responsabilidad se comparte:

• El proveedor protege la infraestructura subyacente.
• El cliente es responsable de la configuración, gestión de accesos, cifrado de datos y políticas de seguridad.

La mayoría de incidentes en la nube se deben a errores de configuración del cliente, no a fallos del proveedor.

Es el principio que define quién protege qué en un entorno cloud:

• IaaS: el proveedor protege hardware y red; el cliente protege SO, aplicaciones y datos.
• PaaS: el proveedor también gestiona el SO y runtime; el cliente protege aplicaciones y datos.
• SaaS: el proveedor gestiona casi todo; el cliente es responsable de la gestión de accesos y la configuración de seguridad.

• Usa herramientas CSPM (Cloud Security Posture Management) que escanean automáticamente malas configuraciones.
• Aplica Infrastructure as Code (IaC) con plantillas revisadas y versionadas.
• Desactiva accesos públicos por defecto en buckets y bases de datos.
• Revisa periódicamente los permisos IAM y elimina los excesivos.
• Habilita registros de auditoría (CloudTrail, Azure Monitor, etc.).

El factor humano es el eslabón más débil de la cadena de seguridad. Más del 80% de las brechas involucran algún tipo de error humano o ataque de ingeniería social. Formar a todos los empleados —no solo al equipo de TI— reduce drásticamente el riesgo de caer en phishing, usar contraseñas débiles o gestionar datos de forma insegura.

Son campañas controladas en las que se envían correos de phishing simulados a los empleados para medir su nivel de alerta y detectar quién necesita formación adicional. No buscan castigar, sino educar de forma práctica. Se recomienda realizarlas de forma periódica y variar los escenarios.

• CompTIA Security+: nivel de entrada, ideal para empezar en ciberseguridad.
• CEH (Certified Ethical Hacker): enfocada en hacking ético y pentesting.
• CISSP: referencia para puestos de gestión y estrategia de seguridad.
• CISM: orientada a gestión de seguridad de la información.
• OSCP: práctica e intensa, valorada en pentesting.
• CC (Certified in Cybersecurity) de ISC²: gratuita y de nivel inicial.