04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.

10 Ciberseguridad
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

Dada la situación actual, incluso en el momento de emergencia sanitaria por COVID-19, se ha

demostrado que los ciberdelincuentes no van a cesar en su empeño de atacar a las organizaciones
públicas y privadas; al contrario, es exponencial el incremento de los ciberataques a nivel mundial.
Por esta razón, ha llegado el momento de que la ciberseguridad se convierta en una prioridad para
todo tipo de organismos, especialmente para las administraciones públicas, por la cantidad de in-
formación que afecta a la ciudadanía de cualquier estado.

Dentro del marco de la ciberseguridad, existen una gran cantidad de herramientas que tienen
como objetivo convertirse en la principal barrera entre el cibercrimen y los sistemas de cualquier
organización. A continuación se describen algunas de las más relevantes.

DETECCIÓN Y PREVENCIÓN DE INTRUSIONES

Esta herramienta realiza una monitorización proactiva de la infraestructura, buscando signos de in-
trusiones y otras actividades anómalas. Incluye técnicas de detección y prevención tales como IDS, IPS,
firewall, antivirus, etc. Además, genera eventos de seguridad que se envían a monitorización, y revisa
y aprueba los cambios de configuración de seguridad en elementos de seguridad como los firewalls.

› IDS: son dispositivos hardware o aplicaciones software que utilizan firmas de intrusión conoci-
das para detectar y analizar el tráfico de red entrante y saliente en busca de actividades anor-
males. Se encargan de monitorizar el tráfico entrante mediante un exhaustivo análisis de red y
un barrido de puertos. Este tipo de tecnologías permiten detectar distintos tipos de ataques
cuyo vector de explotación se basa en el uso de troyanos, puertas traseras o rootkits, así como
detectar ataques de ingeniería social como “man in the middle”, que manipulan a los usuarios
para el robo de credenciales e información confidencial.

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 622

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.10 Ciberseguridad
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

› IPS: estos dispositivos permiten hacer una gestión proactiva de la seguridad mediante la inspec-
ción del tráfico entrante de un sistema para eliminar las solicitudes maliciosas. Una configuración
típica de IPS utiliza firewalls de aplicaciones web y soluciones de filtrado de tráfico para bloquear
ataques preventivos de aplicaciones. Esto comprende inclusiones en archivos remotos que facilitan
las inyecciones de malware e inyecciones de SQL, utilizadas para acceder a las bases de datos.

› Firewall o cortafuegos: es un dispositivo de hardware o un software que permite realizar la

gestión del tráfico entrante y saliente de una red. La función de un firewall es proteger toda
la infraestructura -servidores, sistemas, equipos individuales y equipos de red- contra accesos
no deseados de intrusos.

› Antivirus: es una herramienta software que se utiliza para proteger, buscar, detectar y eliminar
código malicioso insertado de forma ilícita. Existen múltiples proveedores a nivel mundial que
ofrecen distintos niveles de protección y análisis de código malicioso.

ANÁLISIS Y COMUNICACIÓN DE AMENAZAS

Con esta herramienta es posible investigar y monitorizar de forma proactiva la información de

seguridad para identificar amenazas. Actualmente, las amenazas de seguridad han dejado de ser
estáticas; hay que hace frente a amenazas persistentes avanzadas (APT) capaces de cambiar cons-
tantemente su comportamiento para evadir la detección.

La detección de APT está muy ligada a las tecnologías descritas en el punto anterior y a cómo se
realiza el control de red y acceso remoto. La actividad de red asociada con el control remoto se puede
identificar, contener e interrumpir a través del análisis del tráfico de red entre zonas. Las técnicas
para la detección de APT, en particular, se pueden implementar a través de herramientas de software
propietarias o de código abierto, tales como: IDS/IPS, programas de gestión y monitorización de
paquetes de red (NSM) para monitorizar los flujos de red (NetFlow), con elementos de registro que
dan visibilidad a lo que está ocurriendo en la red y habilitan la captura de paquetes bajo demanda.

LAS APT SUELEN MOSTRAR PATRONES RECONOCIBLES QUE PUEDEN SER

MONITORIZADOS POR HERRAMIENTAS. MONITORIZAR DATOS DE INTEGRIDAD DE
ARCHIVOS DE LOS SISTEMAS JUNTO CON LOS DATOS DE FLUJO DE RED PUEDE SER
CLAVE PARA DETECTAR APT.

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 623

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.10 Ciberseguridad
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

DETECCIÓN DE VULNERABILIDADES

Realiza escaneos periódicos y puntuales de la infraestructura para identificar las vulnerabilidades

de los sistemas, y alimenta la base de datos de vulnerabilidades para facilitar su uso a las herra-
mientas de monitorización. El escaneo de vulnerabilidades se puede realizar mediante herramientas
open source o propietarias, que permiten escanear tanto aplicaciones web como infraestructuras.
Estas herramientas suelen incluir múltiples configuraciones de escáneres predefinidas que permiten
escanear rangos de IP o el escaneo específico de vulnerabilidades asociadas con aplicaciones web.

MONITORIZACIÓN DE EVENTOS DE SEGURIDAD

Es el equipo de primer nivel para la resolución de alertas de seguridad. Para ello monitoriza la consola
de la herramienta SIM/SEM (Security Information Management/Security Event Management) en tiempo
real y gestiona la infraestructura SIM/SEM y correlación de eventos. El SIEM recopila datos y registros de
una variedad de fuentes para garantizar que no se pierda ningún evento de seguridad importante. Una
vez los eventos han sido recopilados, estas herramientas permiten su correlación mediante algoritmos
que buscan tendencias y atributos comunes para poder derivar información significativa y útil.

El análisis automático de eventos relacionados crea alarmas y alertas de seguridad que permiten
notificar a los operadores de cualquier problema potencial. Los SIEM suelen incluir paneles de visua-
lización y agregación de alertas de seguridad (dashboards) para facilitar el tratamiento de eventos
de seguridad a través de la visualización de gráficos. De esta forma, es posible acceder a los eventos
provenientes de diferentes activos durante diferentes periodos de tiempo, a través de un conjunto
específico de criterios definido en los procedimientos de operación del SOC.

Existen múltiples proveedores de herramientas SIEM a nivel mundial. Si bien las primeras ver-
siones de estas solo permitían la integración estandarizada de unas pocas fuentes de datos, como
firewalls y sistemas de detección de intrusos (IDS/IPS), la generación actual de sistemas SIEM ha
evolucionado para procesar grandes volúmenes y variedad de datos.

Los SIEM actuales permiten:

› Gestión de usuarios, control y uso de cuentas: el SIEM puede correlacionar los registros de
acceso y control de usuarios con privilegios administrativos para detectar usos inadecuados y
generar alertas. También monitoriza la actividad de los usuarios con base en sus derechos de
acceso y los roles del usuario para detectar violaciones en el acceso a aplicaciones y datos.

› Configuración de protocolos, servicios de red y malware: a través del SIEM es posible realizar la
correlación de la configuración de los dispositivos de red con los datos de registro, para detectar
el tráfico a través de puertos, servicios y protocolos restringidos. Estos controles y alertas se

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 624

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.10 Ciberseguridad
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

pueden utilizar para determinar qué puertos y servicios son útiles para el ejercicio de la actividad
y qué tipos de tráfico y puertos se pueden limitar. Las posibilidades de correlación de eventos
que ofrecen los SIEM actuales permiten también recopilar las alertas provenientes de las herra-
mientas antivirus y antimalware y centralizar sus hallazgos en el SIEM, que correlacionará con
los datos del sistema y las vulnerabilidades para determinar qué sistemas presentan un mayor
riesgo debido al malware descubierto.

HACKING ÉTICO

Es el conjunto de las medidas de seguridad ofensivas que analizan los riesgos para evitar el
acceso ilícito a los datos o a la comunicación, así como el acceso no autorizado a estos por parte
de los ciberatacantes. Normalmente, los hackers éticos son individuos que utilizan habilidades, co-
nocimientos y técnicas de hacking dentro de una práctica legítima autorizada por la organización.

Dentro de las actuaciones que comprende la labor del hacking ético se encuentran:

› Realización de auditorías tales como:

• Caja negra.

• Caja gris.

• Caja blanca.

› Escaneo de seguridad a través de herramientas especializadas que analizan los puertos de

comunicaciones TCP/IP de código abierto, realizando un rastreo de todos los puertos de co-
municaciones, en los diversos protocolos IP, y detectando su estado.

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 625

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.10 Ciberseguridad
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

EQUIPO DE RESPUESTA A EMERGENCIAS CIBERNÉTICAS

Los Estados, las administraciones públicas y los organismos privados deben estar preparados
para incidentes de seguridad que puedan producirse por diversos motivos, incluidos los ataques
maliciosamente planificados o de personas de confianza, así como los actos no maliciosos de per-
sonas internas que pueden resultar en daños. En consecuencia, la gestión de estos incidentes es
un componente central de la estrategia de una organización para poder asegurar su viabilidad y
resiliencia, así como para dar soporte a los procesos críticos del negocio regulados por procesos
normativos tanto a nivel nacional como internacional.

De esta manera, la respuesta a incidentes de seguridad TI se ha convertido en un componente

fundamental dentro de los programas de tecnologías de la información. Ahora bien, cuando se iden-
tifica un incidente, a menudo las víctimas no tienen la capacidad de afrontarlo:

› A veces, la ocurrencia de un incidente puede sugerir que el propio equipo de ciberseguridad

no tiene la capacidad suficiente para prevenir -y posiblemente tampoco manejar- este tipo de
situaciones, lo cual deja al descubierto la necesidad de contar con especialistas que pueden no
existir a nivel interno.

› A menudo, cuando una organización sufre un incidente, su propio equipo de ciberseguridad no

tiene suficiente personal para atender una emergencia de gran escala, lo que puede requerir
que numerosas acciones altamente profesionales se lleven a cabo rápidamente.

› Más a menudo todavía, cuando una organización sufre un incidente, no dispone de la información
suficiente para analizar qué vulnerabilidades se han explotado, qué exploits se han utilizado,
cuáles son las causas raíz, qué herramientas y elementos de remediación son los más eficaces,
etc. para poder dar una respuesta en tiempo y forma.

UNA RESPUESTA A INCIDENTES EFECTIVA PUEDE CONSEGUIRSE MEDIANTE EL DESARROLLO

Y LA INSTITUCIONALIZACIÓN DE SUBPROCESOS Y PROCEDIMIENTOS EFECTIVOS.

De tal forma, la respuesta a incidentes de ciberseguridad se ha convertido en una profesión/cua-

lificación altamente especializada. El equipo o servicio encargado de la operación de estos proce-
dimientos se conoce como equipo de respuesta a emergencias cibernéticas (Computer Emergency
Response Team: CERT) o equipo de respuesta a incidentes de seguridad informática (Computer
Security Incident Response Team: CSIRT).

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 626

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.10 Ciberseguridad
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

EL EQUIPO O SERVICIO OPERATIVO DEBE PROPORCIONAR LOS RECURSOS HUMANOS,

LOS PROCEDIMIENTOS Y LAS HERRAMIENTAS PARA REACCIONAR RÁPIDA Y
EFICIENTEMENTE ANTE CUALQUIER POTENCIAL INCIDENTE DE SEGURIDAD.

Dada la criticidad de este tipo de incidentes y el potencial impacto que pueden tener en una
organización si no se contienen en un tiempo adecuado, la operación de estos equipos suele carac-
terizarse por tener:

› Disponibilidad 24/7 (24 horas, 7 días a la semana).

› Múltiples canales de comunicación para que los incidentes de seguridad puedan ser reportados
en cuanto se tiene conocimiento de ellos: buzones de e-mail internos/externos, social media,
teléfonos de alerta temprana, foros de comunicación con otros CERT, proveedores, etc.

La gestión de incidentes de seguridad incluye distintas fases, que contemplan actividades tanto
proactivas como reactivas:

› Servicios proactivos:

• Alertas y advertencias.

• Observatorio de tecnología.

• Evaluaciones o auditorías de la seguridad.

• Configuración y mantenimiento de la seguridad.

• Desarrollo de herramientas de seguridad.

• Servicios de detección de intrusos.

• Difusión de información relacionada con la seguridad.

• Monitorización y detección de eventos (SIEM).

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 627

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.10 Ciberseguridad
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

› Servicios reactivos:

• Recopilación de datos relacionados con el potencial incidente.

• Análisis y tratamiento de incidentes.

• Apoyo y coordinación a la respuesta a incidentes.

• Respuesta a incidentes in situ.

• Análisis, respuesta y tratamiento de vulnerabilidades.

Los CERT habitualmente se organizan en torno a un proceso principal de respuesta a incidentes

conocido como triage, donde se clasifica el incidente según su gravedad. Así, la mayoría se organi-
zan en tres niveles:

› Los analistas nivel 1 reciben los primeros reportes, reúnen los datos iniciales y efectúan la clasifica-
ción inicial del incidente para determinar las acciones que se deben seguir en los próximos pasos.

› Los analistas nivel 2 suelen ser líderes de equipo, con amplia experiencia y mayores habilidades,
y dirigen el manejo de los incidentes más complejos a medida que llegan.

› Los analistas nivel 3 analizan en profundidad incidentes altamente complejos, utilizando herra-
mientas especializadas a fin de determinar cómo ocurrió el incidente, quién podría estar detrás,
qué daño ha causado y cómo se podrían prevenir incidentes similares en el futuro.

Estas unidades pueden existir en el interior de la organización a la que brindan soporte o esta-
blecerse como proveedores externos del servicio, apoyando a diferentes organizaciones. Pueden ser
comerciales (en cuyo caso sirven a una única compañía o proveen un servicio pago), académicas
(trabajan con universidades) o gubernamentales (sirven a unidades del gobierno o a un país). Al
respecto, cabe anotar que existen beneficios para los equipos enfocados en gestionar incidentes
en organizaciones diferentes pero similares; pues, una mayor frecuencia de incidentes (la inciden-
cia combinada de múltiples organizaciones) contribuye a generar conocimiento dentro de estos
equipos, que luego se vuelca a muchos beneficiarios.

Un CERT nacional se enfrenta a una amplia variedad de incidentes cibernéticos en el país, que
podrían ser de gran impacto e interés nacional. Por otra parte, los CERT sectoriales, habitualmen-
te promovidos por el sector privado, prestan servicios a organizaciones de sectores específicos,

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 628

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.10 Ciberseguridad
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

utilizando conocimientos contextualizados sobre los procesos, las prioridades y las tecnologías
sectoriales, y capitalizando los mecanismos específicos de confianza y cooperación dentro de las
comunidades sectoriales.

Asimismo, los CERT suelen cumplir otras funciones organizacionales, como:

› Inteligencia de amenazas.

› Publicación de advertencias.

› Capacitación.

› Coordinación de relaciones externas o internacionales.

› Tareas técnicas para sus propios sistemas TI.

› Funciones administrativas y gerenciales.

CENTRO DE OPERACIONES DE CIBERSEGURIDAD

Los ataques de ciberseguridad pueden ser difíciles de detectar sin las herramientas adecuadas
para automatizar los procesos de detección y respuesta ni los conocimientos especializados para
el debido tratamiento de los incidentes y vulnerabilidades, ya que muchos de ellos están diseñados
para no ser detectados (especialmente en sus etapas iniciales). A esta complejidad se suma el hecho
de que el número de incidentes, así como el de los tipos de amenazas, crecen continuamente, año
tras año. A raíz de la pandemia, en especial, se ha detectado un claro aumento no solo en el número
de ciberataques, sino en la gravedad de estos.

En cifras, durante el 2019, en un buen número de organismos públicos de países se detectaron

cerca de 3172 ciberincidentes de peligrosidad muy alta, concretamente en la región del sur de Europa,
mientras que en el año 2020 se duplicaron hasta alcanzar los 6690. Por su parte, durante el 2020
se detectó un total de 73184 ciberamenazas totales en la región del sur de Europa, lo cual supone
un aumento del 70% respecto al año anterior.

Desgraciadamente, es imposible cubrir y resistir todos los tipos de amenazas de ciberseguridad exis-
tentes, ya que los recursos son restringidos. Así pues, ha surgido la necesidad de reforzar la capacidad de
prevención, monitorización, vigilancia y respuesta a incidentes, sobre todo en el ámbito de las adminis-
traciones públicas, donde esta clase de ataques suponen riesgos a la posición estratégica, económica y
social de los países. Es por esto que cada vez son más los países que deciden apostar por una colabora-
ción entre organismos públicos y terceras entidades privadas que les permitan reforzarse en ese sentido.

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 629

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.10 Ciberseguridad
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

Los análisis del ecosistema de ciberseguridad llevados a cabo por cada gobierno permiten identificar
cuáles son los activos que hay que proteger, el riesgo al cual estos se encuentran expuestos y los re-
cursos disponibles o requeridos para gestionar las amenazas que enfrentan los activos y los actores/
entidades involucrados en estas actividades.

El control de estas actuaciones solo puede llevarse a cabo mediante un centro de operaciones de
ciberseguridad (Security Operations Center: SOC). Este concepto engloba un conjunto de personas,
procesos, tecnologías e instalaciones que se centra en la identificación (detección) y la respuesta
a los incidentes que surgen como resultado de la materialización de amenazas de ciberseguridad.
El SOC es, en definitiva, una unidad operativa que tiene por finalidad prestar servicios horizontales
de ciberseguridad.

Ahora, si bien una detección temprana de incidentes o de anomalías que pueda indicar que se está
produciendo un ataque aportará más valor, también es cierto que en esa misma medida se requeri-
rá mayor especialización, automatización y empleo de tecnologías disruptivas como la inteligencia
artificial, el machine learning, la analítica avanzada, la visualización de datos, etc. Por ende, diseñar
y gestionar SOC es una cualificación altamente especializada.

Entre las actuaciones de un SOC se destacan:

› Monitorear los activos digitales (que pertenecen a una o más organizaciones).

› Vigilar y analizar cualquier anomalía que pueda constituir un incidente de ciberseguridad y

deba ser investigado.

› Llevar a cabo una detección de amenazas en la operación diaria de los sistemas de información
y comunicaciones de los diferentes órganos y administraciones.

› Procurar la mejora de la capacidad de respuesta de los diferentes órganos y administraciones

ante cualquier ataque.

Los SOC pueden formar parte de un CERT o pueden trabajar de forma autónoma; incluso pueden
tener internamente una unidad de respuesta a incidentes propia. El SOC también podría ser consi-
derado como la “primera línea” de un CERT.

UNA VEZ QUE SE DETECTA UN INCIDENTE, ESTE DEBE SER TRANSFERIDO A UNA UNIDAD DE
RESPUESTA A INCIDENTES.

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 630

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.10 Ciberseguridad
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

El ámbito de servicio de los SOC serán las administraciones que se determinen por los diferentes
países y sus organismos públicos. Ahora bien, para poder participar de los servicios de un SOC, se
requerirá que la entidad esté adscrita a la salida centralizada a internet de la administración pública
de cada Estado.

Para articular un SOC en el marco de las administraciones públicas, será necesario contar con un
órgano dedicado a la ciberseguridad nacional que guarde estrecha relación con los órganos más
representativos de la administración pública de cada país, con el objetivo de llevar a cabo un plan
de implementación, operación y detección de incidentes que se encuentre en plena coordinación
con un seguimiento del servicio por parte de la administración pública encargada. En este sentido,
el SOC debe albergar la infraestructura y la inteligencia en el ámbito de la ciberseguridad con la que
debe contar un país para la protección y defensa de sus administraciones públicas.

Se recomienda, entonces, que la implementación de un SOC interno o la contratación de servi-

cios de SOC a terceros formen parte una estrategia de gestión de la seguridad de la información
donde se incluya un plan director de seguridad, así como programas específicos de respuesta a
incidentes de ciberseguridad. Esta estrategia incluirá los objetivos específicos de los que el SOC
debe ser responsable, como la capacidad de supervisar continuamente las amenazas y establecer
procedimientos claros de:

› Análisis, comunicación y evaluación de impacto actual y potencial de las amenazas y vulnerabilidades.

› Métodos eficaces de recogida, análisis y comunicación de datos.

› Monitorización continua de la seguridad en las infraestructuras TI.

› Detección y prevención de intrusiones.

› Establecimiento de relaciones con los distintos equipos de gestión de incidentes de seguridad

y con las partes interesadas, internas y externas, para el escalado y la gestión de las crisis.

Los SOC utilizan una gran variedad de herramientas de propósito general y especializadas, entre
las que se incluyen:

› Sistemas de información de seguridad y gestión de eventos (SIEM).

› Sistemas de orquestación.

› Fuentes y catálogos de indicadores de ataques e indicadores de compromiso.

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 631

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.10 Ciberseguridad
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

› Sandboxes 40 para software potencialmente malicioso.

› Sistemas de tickets para manejar incidentes.

› Canales de comunicación con clientes.

› Sistemas de intercambio de información.

Naturalmente, estos centros necesitan una infraestructura TI de alta gama, tanto en lo que atañe
al hardware (almacenamiento y comunicaciones) como al software (virtualización, datos masivos
y aplicaciones de inteligencia empresarial). Además, estos centros deberían estar especialmente
bien protegidos, debido al manejo de códigos maliciosos que podrían ser infecciosos y que suelen
tener acceso a los sistemas monitoreados y a la información sensible en ellos, y porque los ata-
cantes pueden querer deshabilitar las defensas para sus acometidas.

Mantener la privacidad y la confidencialidad de la información dentro de los sistemas monito-

reados es un problema importante. Esto, junto con asuntos relacionados con la responsabilidad,
entre otros, plantea aspectos legales especiales. En principio, un SOC tiene la capacidad para mo-
nitorear varios sistemas, organizaciones y tipos de tecnologías, hasta todo el gobierno. Algunas
consideraciones para decidir sobre el alcance del monitoreo podrían ser:

› La estructura organizacional.

› Los tipos de tecnología utilizados.

› La necesidad de conocimiento especializado para ciertos sistemas (como la tecnología ope-

rativa de infraestructura crítica) o sectores.

› Tener un volumen de actividad cibernética por monitorear, procurando evitar una sobrecarga
de trabajo que lleve a un descuido de alguna parte de las obligaciones.

40. Se trata de un mecanismo para inspeccionar el software potencialmente malicioso en un entorno controlado, donde se monitorea
su comportamiento para evaluar sus características, mientras se lo contiene para que no afecte a otros sistemas.

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 632

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.10 Ciberseguridad
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

La creación de un SOC debe establecerse por fases:

1. Constitución del SOC: con una previsión de puesta en marcha en un plazo no inferior a 24 meses.
En esta fase se deberá abordar el desarrollo de tareas de diseño conceptual de las comunicaciones
del propio SOC.

2. Piloto: en esta fase se abordan tareas de definición de parámetros y niveles de servicio, instala-
ción y adquisición de infraestructura técnica, así como implementación de los servicios básicos
de ciberseguridad, para iniciar el proceso de anexión de las primeras entidades y organismos
de la administración pública.

3. Consolidación: con el objetivo de extender el servicio a todos los organismos y entidades públi-
cas que sean acordados por cada gobierno. En esta última fase será necesario valorar la inclu-
sión de nuevos servicios avanzados de ciberseguridad, así como el establecimiento de las tareas
destinadas a las actuaciones de mantenimiento y mejora del servicio.

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 633

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.10 Ciberseguridad
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

HISTORIAS

Anécdotas ficticias que aterrizan los conceptos de este artículo

desde la perspectiva de diferentes tipos de interesados

Viceministra de Salud
Sara

Cuando Sara priorizó la creación del equipo de seguridad de información de su ministerio, se dio
cuenta de lo complicado (y caro) que era conseguir especialistas en ciberseguridad. Por ello, el hecho
de tener acceso al centro de operaciones de ciberseguridad del gobierno, que trabaja en conjunto
con su equipo, le da ahora la tranquilidad necesaria para saber que su ministerio está protegido por
los mejores y más actualizados profesionales en ciberseguridad.

A Sara le interesan mucho los temas de ciberseguridad, por eso ha pedido que se le incluyan en
las comunicaciones que el CERT intercambia con su ministerio. Le sorprenden la cantidad de ataques
que sufren de manera continua sus sistemas de información, los agujeros de seguridad detectados
y por ahora protegidos antes de males mayores, y la importancia que tiene el equipo de seguridad
del ministerio para el funcionamiento correcto de los sistemas de información.

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 634

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.10 Ciberseguridad
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

Asesor de alcalde
Daniel

Daniel no sabía qué hacer cuando se le avisó de un posible problema de ciberseguridad en los
sistemas municipales. Gracias a su convenio con el centro de operaciones de ciberseguridad del
gobierno, se hicieron los ajustes necesarios para que este problema no acabara en un ataque a sus
sistemas de información.

Daniel acaba de instalar mecanismos de detección y protección ante ataques en los sistemas de
información de su municipio. Antes de que el departamento de seguridad nacional se pusiera en
contacto con su oficina, él ni conocía estos equipos. En la actualidad sabe que son fundamentales
para mantener la seguridad de los sistemas de información municipales.

América Latina y el Caribe – CSIRTAmericas.

EJEMPLOS org es una organización de grupos de CSIRT,
fundada por la OEA.

Haz click sobre cada bandera o ícono para profundizar

El Instituto de Ingeniería de Software de

la Universidad Carnegie Mellon tiene una
SOC-CMM división y centro de coordinación CERT, el cual
Modelo de Madurez de la Capacidad del Centro contribuye a establecer estándares, capacitar y
de Operaciones de Seguridad. certificar a equipos de CERT en todo el mundo.

En América Latina y el Caribe existen

aproximadamente veinte CERT o CSIRT nacionales.
FIRST es el Foro Global de Equipos de
Seguridad y Respuesta a Incidentes.
La mayoría de los países desarrollados cuentan
con organizaciones de CERT nacionales que
ofrecen respuesta profesional a incidentes.
Algunos ejemplos de CERT nacionales de
referencia, con una variedad de estructuras y
servicios, incluyen:

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 635

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.10 Ciberseguridad
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

España ENISA CSIRT Maturity

INCIBE-CERT y CCN-CERT Assessment Model

Estados Unidos SIM3

US-CERT Security Incident Management
Maturity Model

Israel First.org Service

National Cyber Directorate Framework

Reino Unido Creating a Computer Security

National Cyber Security Center Incident Response Team: A
Process for Getting Started

ENISA
Cómo crear un CSIRT paso a paso

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 636

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.10 Ciberseguridad
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

INDICADORES

Preguntas que pueden servir para medir el avance de este aspecto de gobierno digital.
Las posibles respuestas son “sí” o “no”, donde “sí” indica un mayor avance.

› ¿Existen instalaciones centrales de SOC para monitorear los activos digitales del gobierno?

› ¿Existen instalaciones centrales de SOC para monitorear los activos digitales de la infraestruc-
tura crítica del país?

› ¿Qué porcentaje de los activos digitales de un gobierno son monitoreados por los SOC?

› ¿Qué porcentaje de las instalaciones de infraestructura crítica son monitoreadas por los SOC?

› ¿Se dispone de métricas e indicadores adecuados para medir el tiempo de inactividad de los
sistemas críticos durante un ataque?

› ¿El país tiene un CERT nacional?

› ¿El país tiene CERT sectoriales para todos los sectores críticos?

› ¿El país dispone de un organismo y procedimientos de coordinación entre los diferentes CERT?

› ¿El país ha legislado la notificación de incidentes al CERT nacional?

› ¿El país dispone de guías de implantación de un CERT?

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 637

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.11 Tecnologías disruptivas
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

4.11
Tecnologías
disruptivas
GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 638
04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.11 Tecnologías disruptivas
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

Es un deber y una obligación de la administración pública poner a disposición de los ciudadanos

y empresas todas aquellas mejoras tecnológicas que permitan una mejor prestación del servicio en
niveles de seguridad, eficiencia, racionalización del gasto y sostenibilidad. La digitalización de la so-
ciedad avanza a pasos cada vez más grandes, y el hecho de que la administración pública no pueda
quedarse atrás hace cada vez más necesario prestar servicios públicos innovadores. Así, aunque es
cierto que es posible aplicar tecnologías “tradicionales” o que llevan mucho recorrido, ,y los resulta-
dos pueden ser muy positivos en lo que a la modernización de la administración se refiere, dentro
de la transformación digital es preciso adoptar nuevas alternativas que transformen la economía y
la sociedad a través de la creación de procesos innovadores, que habiliten un cambio radical en la
forma en la que prestan los servicios públicos a la sociedad.

No se debe olvidar que muchas de estas tecnologías se encuentran en fases no lo suficientemente

maduras como para una implementación generalizada en un servicio tan crítico como el público.
Sin embargo, la incorporación progresiva mediante el diseño de plataformas transversales permitirá
establecer las bases para una futura adopción generalizada.

Para poder aplicar este tipo de tecnologías a los servicios públicos, las instituciones rectoras deben
canalizar y fomentar los estudios de viabilidad mediante la creación de laboratorios de innovación
que trabajen en el seno de la administración, con sus datos y problemáticas inherentes. En este
tipo de laboratorios se debe fomentar la participación de la sociedad a través de la ciudadanía y las
empresas privadas, en el primer caso para conocer de primera mano las necesidades y las opiniones
respecto a estas innovaciones, y en el segundo caso para fomentar la cocreación y la innovación
en servicios públicos a través de la experiencia en estas tecnologías que puedan aportar aquellas
empresas que hayan desarrollado proyectos en estos ámbitos tecnológicos.

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 639

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.11 Tecnologías disruptivas
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

A continuación se describirán algunas de estas tecnologías, con el fin de acotar las que pueden
aplicarse directamente a la prestación de servicios públicos innovadores.

BIG DATA

Los datos se han convertido en un activo muy valioso a la hora de tomar decisiones, ya sea de
manera interna, para la mejora continua de la propia administración, o de manera externa, para en-
tender el comportamiento de la sociedad e identificar nuevas necesidades que están surgiendo con
el avance de la digitalización. Cada día se generan más cantidades de datos y más rápidamente, por
lo que la correcta gestión y explotación de esta información es una oportunidad que se le presenta
a la administración pública para generar valor en la ciudadanía, a través de la mejor explotación
de los recursos públicos (aumentar la eficiencia, reducir costes, incrementar la productividad) y la
creación de nuevos servicios destinados a ciudadanos y empresas.

Ahora, si bien el escenario actual es una oportunidad de disponer de grandes cantidades de infor-
mación, como se ha comentado antes, es importante salvaguardar y proteger los datos personales
de los ciudadanos. Por consiguiente, merece especial atención establecer mecanismos que aseguren
el correcto tratamiento de esta información como una regla y no como una excepción.

Dentro del big data podemos destacar dos ramas que permiten explotar la información:

› Data science: trata de predecir y descubrir comportamientos futuros a través del análisis de
patrones de datos antiguos.

› Data analytics: Analiza la información para extraer información relevante, tendencias y métricas
que puedan utilizarse para la toma de decisiones.

Para llevar a cabo un proyecto de big data se deben establecer plataformas transversales que permitan:

› Recolectar información de múltiples fuentes, ya sean homogéneas o heterogéneas, y de tipos

de datos (estructurados, no estructurados, semiestructurados).

› Interconectar los distintos data wharehouse y data lakes donde se irá depositando dicha
información.

Las plataformas deberán ser interoperables, por lo que se deberán desarrollar estándares para el
intercambio de información. Asimismo, dada la heterogeneidad de los datos, las fuentes y los formatos,
será necesario establecer un plan para la calidad del dato que permita de alguna manera homogenei-
zar estos insumos, asegurando que el uso que se haga posterior se sustente sobre una base fiable de
información. Es necesario contemplar estándares para la calidad del dato, como puede ser la ISO 8000.

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 640

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.11 Tecnologías disruptivas
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

Además, hay que realizar un correcto dimensionamiento de la infraestructura tecnológica necesa-

ria, dado que el gran volumen de datos requiere una importante cantidad de recursos para su reco-
lección, limpieza, integración y normalización en un tiempo razonable para su procesamiento, antes
de que la información se quede obsoleta. Por otra parte, también es necesario establecer un plan
para el gobierno del dato, asegurando que la utilización de los datos esté autorizada y organizada
y se disponga de las autorizaciones para su acceso. Además, se tendrán en cuenta la privacidad y
la seguridad como base para poder realizar cualquier trabajo.

La cantidad de información que se genera a gran velocidad, con un origen diverso, hace que el
tratamiento de esta por personas sea imposible. Hoy en día, los datos son un activo tremendamente
valioso en el que las empresas privadas están invirtiendo ingentes cantidades de dinero, y la admi-
nistración pública dispone de toda esa información gratis, por lo que no puede permitirse el lujo de
no hacer uso de ella y debe aplicarla a la mejora de los servicios públicos que ofrece a la sociedad.

El uso de big data permite:

› Identificar problemas que no se conocían.

› Tener una adaptación más rápida y eficiente ante cambios de tendencia.

› Identificar nuevas oportunidades, permitiendo la reducción de costes y la implementación de

nuevos servicios públicos innovadores.

INTELIGENCIA ARTIFICIAL

Es la capacidad con la que se ha dotado a los sistemas para analizar su entorno y tomar deci-
siones, con un grado de autonomía lo suficientemente grande para conseguir objetivos específicos
y determinados previamente. Asociada a esta tecnología se encuentra otra denominada machine
learning, con la que el software y los sistemas emplean la información y los datos que se ponen a su
disposición para adaptar su comportamiento o mejorar las tareas que desarrollan ante el cambio en
las condiciones de ejecución, sin haber sido programados explícitamente para hacerlo. Esto dota a
los servicios de flexibilidad y adaptación a las condiciones concretas del momento.

Estas tecnologías tienen una aplicación directa sobre políticas públicas y pueden mejorar todos
los servicios públicos que se prestan, pero descansan sobre dos pilares que hay que desarrollar con
el objetivo de controlar el resultado obtenido:

› La calidad del dato: sobre esta premisa descansa todo el modelo de inteligencia artificial; no
se pueden tomar decisiones autónomas si no se dispone de información de calidad.

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 641

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.11 Tecnologías disruptivas
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

› La elaboración de un marco normativo claro y transversal: este debe garantizar los derechos
fundamentales, el correcto uso de este tipo de tecnologías y las obligaciones de esta clase de
sistemas, como, por ejemplo, la supervisión humana y la limitación de sus capacidades.

PARA PODER IMPLEMENTAR UN PROYECTO DE INTELIGENCIA ARTIFICIAL CON

CIERTAS GARANTÍAS, ES NECESARIO ESTABLECER ECOSISTEMAS QUE FOMENTEN
LA APLICACIÓN DE ESTA TECNOLOGÍA. DISPONER DE UNA INFRAESTRUCTURA DE
BIG DATA PUEDE APOYAR ESTE ESFUERZO.

Un factor que cabe considerar previamente a la aplicación de técnicas de inteligencia artificial en

cualquier ámbito o proyecto es la denominada información útil y la cantidad de esta con la cual los
modelos pueden generar nuevo conocimiento. De igual forma, es importante tener presente que los
procesos de inteligencia artificial, al igual que en los humanos, están basados en el aprendizaje y,
por tanto, no gozan de infalibilidad. Hay que contemplar siempre que el fallo puede estar presente
en este ámbito.

Automatización robótica Internet de las

de procesos (RPA) cosas (IoT)

Blockchain Smart contract (basada

en blockchain)

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 642

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.11 Tecnologías disruptivas
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

AUTOMATIZACIÓN ROBÓTICA
DE PROCESOS (RPA)

La administración pública no puede permitirse que las personas que trabajan para ella estén
desarrollando actividades donde no exista un aporte de valor intelectual. A menudo, esto corres-
ponde a tareas simples, rutinarias, repetitivas, estables y que consumen un tiempo muy elevado.
La automatización robótica de procesos pretende resolver esta cuestión a través de la creación
de “robots”, implementando un software que trabaje como un empleado virtual y realice esas la-
bores simples y repetitivas para las que estaba destinada una persona. De esta forma, es posible
reubicar a las personas en tareas que aporten valor a los servicios públicos ofrecidos, haciendo
una gestión más eficiente de los recursos públicos disponibles e incrementado su productividad.

Asimismo, estas automatizaciones facilitan acometer de manera rápida integraciones entre apli-
cativos, que de otro modo precisarían de desarrollos que pueden dilatarse en el tiempo. Además,
también facilitan la integración de sistemas antiguos, que presentan habitualmente dificultades
para interaccionar con aplicaciones más modernas.

Para implementar con cierto grado de éxito estas tecnologías, se recomienda un servicio trans-
versal a toda la administración pública enfocado en la automatización inteligente de procesos.
Por ejemplo, el uso de plataformas corporativas que permitan la automatización de actuaciones
administrativas, incorporando distintos componentes reutilizables (building blocks) para el trata-
miento de datos, documentos, imágenes, audios, etc., les dará acceso a todas las administraciones
a estos recursos homogéneos, generando sinergias y reduciendo los tiempos de implementación
y adopción de esta tecnología.

La mayoría de los procedimientos administrativos de cualquier organismo público contienen

las mismas fases de tramitación, y en muchos casos un alto número de trámites comunes, por lo
que sería conveniente contemplar la posibilidad de crear una plataforma de tramitación de pro-
cedimientos administrativos común, que sea configurable y que permita reducir los tiempos en la
gestión de procedimientos. Así se lograría mejorar la eficiencia en la prestación de servicios.

La aplicación de estas tecnologías, entre otras razones, persigue la racionalización y la eficiencia

del uso de los recursos públicos de los que se dispone. En este sentido, la “automatización robótica
de procesos” permite destinar los recursos más valiosos que tiene la administración, las personas,
a realizar trabajos de alto valor añadido para la sociedad, mientras se automatizan tareas simples,
rutinarias y repetitivas.

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 643

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.11 Tecnologías disruptivas
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

INTERNET DE LAS COSAS (IOT)

Es la representación de cómo está avanzando la digitalización de la sociedad, en la que los obje-

tos y las personas pueden interactuar a través de las distintas redes de comunicación disponibles,
y cómo después se pueden explotar esas relaciones para generar servicios de valor añadido, tanto
a la administración como a los ciudadanos y empresas.

Uno de los grandes retos a los que se enfrenta la administración es la gestión y el dimensionamien-
to de las plataformas de interoperabilidad de estos sistemas, para tener la capacidad de identificar y
prestar servicio a la gran cantidad y diversidad de dispositivos de IoT existentes. Por tanto, se trata
de una tecnología que ofrece servicios de alto valor a los ciudadanos a corto plazo.

Para llevar a cabo proyectos de IoT con éxito, se debe establecer un ecosistema de internet de
las cosas a nivel nacional. Para ello se debe trabajar en plataformas e infraestructuras que permitan
integrar la gran cantidad de dispositivos diferentes que existen. Es de vital importancia trabajar con
los distintos proveedores de estos dispositivos y otros actores implicados, con el objetivo de desa-
rrollar nuevos modelos de trabajo y de negocio basados en esta tecnología.

La explotación de esta tecnología puede dar lugar a ciudades que sean en sí mismas un servicio
público inmersivo para la sociedad, donde la relación entre la administración, los ciudadanos y las em-
presas surja de manera natural a través del uso de la tecnología. Conviene recordar que el uso de esta
tecnología tiene que estar estrictamente regulado, ya que afecta derechos básicos de las personas.

BLOCKCHAIN

Esta tecnología permite, tanto a la administración como a los ciudadanos y empresas, sin conocerse,
confiar mutuamente entre sí, a través de la recogida de una serie de evidencias que garantizan las tran-
sacciones realizadas entre cada uno de ellos, sin tener que recurrir a una tercera parte de confianza. Las
evidencias se incorporan a una cadena de bloques de forma segura, que se replica en distintos nodos
distribuidos mediante técnicas criptográficas imposibles de modificar tras la inserción de la evidencia.

Por sus características intrínsecas, esta tecnología es segura de forma nativa y ofrece la posibilidad
de autogestión de la información que cada persona ha incorporado. Así pues, se cuenta con una
herramienta tremendamente potente a la hora de personalizar la información que se comparte con
terceras partes.

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 644

04 INFRAESTRUCTURA Y HERRAMIENTAS TECNOLÓGICAS 4.11 Tecnologías disruptivas
4.0 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11

Dado que esta tecnología surgió como medio para dotar de seguridad a entornos de transaccio-
nes que no estaban regulados, su aplicación a la administración pública, donde los entornos sí están
regulados, aunque es posible, requiere de un análisis de viabilidad. En entornos poco digitalizados,
heterogéneos y muy fragmentados, en particular, puede ser una solución rápida y relativamente
económica para transformar y digitalizar servicios públicos, mientras que en aquellos entornos
donde existe interoperabilidad y se han desarrollado políticas de homogenización de información y
procesos puede que no sea rentable su aplicación.

Llevar a cabo la implantación de proyectos en blockchain requiere establecer plataformas y redes

transversales a nivel estatal que permitan prestar servicios públicos a través de blockchain de for-
ma segura. La plataforma común tiene que proveer de una infraestructura básica, conectividad, el
blockchain y un espacio de almacenamiento necesario. A partir de ahí se puede recubrir con otros
servicios finales específicos desarrollados sobre esta infraestructura, como, por ejemplo, identifica-
ción electrónica, voto electrónico, etc.

Es importante tomar decisiones acerca de qué tipo de blockchain se utilizará: si estará basado
en distribuciones libres y testeadas, o si será público, privado o híbrido. Dado que la información se
encuentra encriptada en estos sistemas, también se deben desarrollar visores en función del tipo de
información que se pretenda explotar. Asimismo, es preciso establecer reglas y estándares nacionales
para el desarrollo de código blockchain, lo que permitirá asegurar su calidad y ofrecerlo de manera
abierta como un recurso seguro.

Actualmente, esta tecnologia se encuentra en expansion y aún requiere de analisis y de implan-

tacion progresiva a traves de la realizacion de pequeños pilotos, para generalizar su uso en la base
de los servicios de administracion electronica.

SMART CONTRACT (BASADA

EN BLOCKCHAIN)

Esta tecnología se encuentra basada en la anterior, y da un paso más en la confianza entre dis-
tintos actores, incorporando condiciones que disparan acciones de manera automática en el mo-
mento del cumplimiento. Se trata de una alternativa que puede ser aplicable a la optimización de
procesos en los que intervienen distintos actores, automatizando muchas de las acciones que en
un procedimiento tradicional requieren de intervención humana.

GUÍA DE TRANSFORMACIÓN DIGITAL DEL GOBIERNO 645