Versión imprimible multipagina. Haga click aquí para imprimir.

Volver a la vista normal de esta página.

Seguridad

    1. Seguridad

      1. Seguridad de aplicaciones y servicios

        1. Superficie de ataque en aplicaciones web y microservicios
          1. Enumeración y descubrimiento de endpoints
          2. Exposición de metadatos e información sensible en respuestas
          3. Errores de configuración y defaults inseguros
          4. Fugas en mensajes de error y stack traces
          5. Dependencias externas y librerías de terceros
          6. Gestión insegura de versiones y parches
        2. Principales vectores de ataque en aplicaciones web
          1. Inyección de código y comandos
          2. Cross-Site Scripting (XSS)
          3. Cross-Site Request Forgery (CSRF)
          4. Deserialización insegura
          5. Abuso de autenticación y fuerza bruta
          6. Directory traversal y lectura arbitraria de archivos
          7. Explotación de APIs mal definidas o sobrepermisivas
          8. Elevación de privilegios a través de endpoints internos
        3. Criptografía práctica y hashing seguro
          1. Hashing de contraseñas con algoritmos resistentes (bcrypt, scrypt, Argon2)
          2. Firmas digitales y verificación de integridad
          3. Claves simétricas vs. asimétricas
          4. Cifrado autenticado (AEAD)
          5. Derivación segura de claves (KDF)
          6. Rotación y expiración de claves criptográficas
          7. Evitar algoritmos criptográficos obsoletos e inseguros
        4. Canales seguros y certificados
          1. Cifrado en tránsito (TLS)
          2. Certificados válidos y planes de rotación
          3. Pinning de certificados y mitigación de MITM
          4. Cifrado extremo a extremo en servicios críticos
          5. Uso de HTTPS estricto y redirecciones seguras
          6. Seguridad en APIs públicas y privadas
        5. Protección contra ataques comunes en la web
          1. Validación estricta del input del usuario
          2. Sanitización y escape de salida (output escaping)
          3. Tokens antifraude y antifalsificación de intención (CSRF tokens)
          4. Políticas de contenido (Content Security Policy)
          5. Rate limiting y protección contra fuerza bruta
          6. Evitar ejecución arbitraria de código en el servidor
          7. Protección contra replay attacks
          8. Restricción de métodos HTTP peligrosos
        6. Autenticación y autorización
          1. Modelos de autenticación basados en contraseñas
          2. Autenticación multifactor y factores contextuales
          3. Tokens de sesión y tokens firmados (JWT, PASETO)
          4. Tiempo de expiración y renovación de tokens
          5. Modelos de autorización basados en roles (RBAC)
          6. Modelos de autorización basados en atributos (ABAC)
          7. Autorización a nivel de objeto y a nivel de campo
          8. Federación de identidad (OAuth2, OpenID Connect, SAML)
          9. Single sign-on en entornos corporativos
        7. Manejo seguro de credenciales, llaves y secretos
          1. Almacenamiento de secretos en bóvedas seguras
          2. Inyección de secretos en tiempo de ejecución
          3. Evitar secretos en repositorios de código
          4. Rotación automática de llaves de acceso
          5. Segmentación de secretos por entorno
          6. Uso de identidades de máquina vs. secretos estáticos
        8. Seguridad en bases de datos y control de acceso a datos sensibles
          1. Acceso mínimo necesario a tablas y vistas
          2. Separación de credenciales por servicio
          3. Consultas parametrizadas y ORM seguro
          4. Mascaramiento, tokenización y anonimización de datos
          5. Cifrado de campos sensibles
          6. Protección de datos personales e identificables
          7. Registro de accesos y consultas a datos críticos
        9. Registro de eventos de seguridad y trazabilidad
          1. Registro de intentos de autenticación
          2. Registro de cambios de permisos
          3. Registro de acceso a datos sensibles
          4. Registro de acciones administrativas
          5. Retención y protección de logs
          6. Correlación de logs con identidad del usuario o servicio
        10. Sanitización y validación de entrada
          1. Whitelists vs. blacklists
          2. Validación de tipos, rangos y formatos
          3. Normalización de input para evitar bypasses
          4. Evitar la ejecución de input del usuario como código
          5. Limpieza de HTML, JSON y payloads binarios
          6. Limitación de tamaño de input
        11. Modelado de amenazas y pruebas básicas de penetración
          1. Análisis de activos críticos
          2. Identificación de actores de amenaza relevantes
          3. Modelos STRIDE y DREAD
          4. Priorización de escenarios de ataque
          5. Pruebas de penetración internas
          6. Revisión manual de endpoints sensibles
        12. Gestión de sesiones y mitigación de secuestro de sesión
          1. Cookies seguras y con flags de protección
          2. Tiempo de expiración y revocación
          3. Protección contra fijación de sesión
          4. Detección de uso simultáneo anormal
          5. Reasignación segura de sesión tras elevar privilegios
        13. Política de mínimo privilegio en componentes internos
          1. Separación de responsabilidades entre servicios
          2. Ejecución con identidades técnicas de bajo privilegio
          3. Limitación de recursos accesibles por proceso
          4. Restricción de comandos del sistema operativo
          5. Minimización de permisos en llamadas internas
          6. Control de acceso entre microservicios

      2. Seguridad de infraestructura y plataforma

        1. Aislamiento entre servicios y entornos
          1. Separación entre producción, staging y desarrollo
          2. Aislamiento de datos reales vs. datos de prueba
          3. Limitación de accesos cruzados entre entornos
          4. Entornos efímeros y de pruebas aisladas
        2. Endurecimiento (hardening) de sistemas operativos, contenedores y runtimes
          1. Reducción de la superficie de ataque del sistema base
          2. Eliminación de paquetes innecesarios
          3. Usuarios no root en contenedores
          4. Políticas de seccomp, AppArmor y SELinux
          5. Contenedores inmutables y con firma verificable
          6. Control de capacidades del kernel
        3. Seguridad en redes
          1. Segmentación interna de la red
          2. Firewalls entre zonas de distinta criticidad
          3. Zonas de confianza y redes de alta sensibilidad
          4. Restricción de acceso público a servicios internos
          5. Filtrado de tráfico saliente y entradas restringidas
        4. Control de tráfico interno entre servicios
          1. Autenticación mutua entre servicios (mTLS)
          2. Políticas de red declarativas
          3. Service mesh y control de identidades de servicio
          4. Detección de tráfico inusual entre microservicios
          5. Limitación de llamadas laterales no autorizadas
        5. Seguridad en la nube
          1. Configuración segura de recursos gestionados
          2. Aislamiento de cuentas y proyectos por entorno
          3. Políticas de acceso basadas en identidad de servicio
          4. Protección de buckets y almacenamiento de objetos
          5. Exposición pública controlada y explícita
          6. Monitoreo de configuración drifteada
        6. Protección de datos en reposo
          1. Cifrado en disco a nivel de volumen
          2. Cifrado a nivel de archivo u objeto
          3. Gestión de llaves de cifrado centralizada
          4. Segmentación de datos altamente sensibles
          5. Eliminación segura y verificada de datos
        7. Seguridad de la cadena de suministro de software
          1. Verificación de integridad de dependencias
          2. Firmado de artefactos de build
          3. Control de procedencia (provenance) de builds
          4. Validación de imágenes de contenedor
          5. Revisión de librerías de terceros y binarios precompilados
          6. Prevención de inyección de dependencias maliciosas
        8. Escaneo de vulnerabilidades en dependencias, imágenes y artefactos
          1. Análisis de dependencias conocidas vulnerables
          2. Escaneo de imágenes de contenedor antes del deploy
          3. Escaneo recurrente de entornos en producción
          4. Priorización basada en criticidad y exposición
          5. Remediación y seguimiento de CVEs
        9. Gestión de parches y actualizaciones de seguridad
          1. Calendario de aplicación de parches
          2. Parches críticos fuera de ciclo
          3. Compatibilidad y pruebas previas a despliegue
          4. Automatización de actualizaciones en infraestructura
          5. Documentación de excepciones y justificaciones técnicas
        10. Backups seguros y recuperación ante desastres
          1. Políticas de respaldo periódico
          2. Cifrado de respaldos en reposo y en tránsito
          3. Almacenamiento fuera de línea o fuera de región
          4. Pruebas regulares de restauración
          5. Plan de recuperación ante desastres
          6. Continuidad de servicios críticos en caso de pérdida total

      3. Identidad, acceso y control de privilegios

        1. Gestión de identidad y acceso (IAM)
          1. Identidades humanas vs. identidades de servicio
          2. Control centralizado de permisos
          3. Políticas de acceso con alcance limitado
          4. Evitar cuentas compartidas
          5. Revisión periódica de permisos asignados
        2. Autenticación multifactor (MFA)
          1. Factores de posesión, inherencia y conocimiento
          2. MFA obligatorio en accesos administrativos
          3. MFA adaptativo basado en riesgo
          4. Registro y renovación de factores
        3. Rotación periódica de credenciales y llaves
          1. Política de expiración de contraseñas privilegiadas
          2. Rotación automática de llaves de API
          3. Revocación activa tras incidentes
          4. Eliminación de credenciales huérfanas
        4. Delegación de permisos y roles granulares
          1. Roles mínimos y específicos por tarea
          2. Delegación temporal de privilegios
          3. Separación entre permisos de lectura y escritura
          4. Acceso controlado a acciones destructivas
        5. Acceso just-in-time y acceso de emergencia controlado
          1. Elevación temporal de privilegios bajo solicitud
          2. Flujo de aprobación y justificación
          3. Cierre automático de accesos temporales
          4. Canales auditados para accesos de emergencia
        6. Auditoría de quién accede a qué y cuándo
          1. Registro de acciones administrativas
          2. Registro de acceso a datos sensibles
          3. Seguimiento de accesos privilegiados
          4. Revisión post-evento de accesos inusuales
        7. Separación de funciones críticas (segregation of duties)
          1. División entre desarrollo y despliegue
          2. División entre operación y auditoría
          3. Restricción de self-approval de cambios
          4. Independencia en tareas de control financiero o de datos regulados
        8. Gobierno de cuentas de servicio y claves de API
          1. Ciclo de vida de cuentas de servicio
          2. Asignación de permisos mínimos a cuentas técnicas
          3. Rotación y almacenamiento de claves de API
          4. Revocación de cuentas de servicio no utilizadas
        9. Revocación y desactivación segura de accesos
          1. Baja inmediata de cuentas de personas que salen de la organización
          2. Cierre de llaves comprometidas
          3. Desactivación de roles temporales expirados
          4. Verificación de que no quedan accesos residuales

      4. Monitoreo, detección y respuesta temprana

        1. Detección de comportamientos anómalos y abuso
          1. Detección de patrones fuera de lo esperado por usuario
          2. Análisis de volumen y frecuencia de llamadas
          3. Identificación de patrones automatizados o de scraping agresivo
          4. Señales de actividad robótica o scripts maliciosos
        2. Alertas de actividad sospechosa en autenticación y uso de APIs
          1. Intentos de login fallidos repetidos
          2. Accesos desde ubicaciones inesperadas
          3. Uso de tokens expirados o revocados
          4. Variación súbita de privilegios
        3. Correlación de eventos de seguridad en logs centralizados
          1. Agregación de logs de múltiples servicios
          2. Normalización y etiquetado de eventos
          3. Contexto temporal y causal entre eventos
          4. Enriquecimiento con datos de identidad y permisos
          5. Creación de timelines para investigación
        4. Protección contra fuga de datos y exfiltración
          1. Monitoreo de descargas masivas inusuales
          2. Control de exportación de datos sensibles
          3. Alertas por movimientos de datos hacia destinos externos
          4. Bloqueo de canales de extracción no autorizados
        5. Trazabilidad completa de acciones de alto riesgo
          1. Registro de operaciones administrativas destructivas
          2. Confirmación explícita para operaciones irreversibles
          3. Asociación entre acción y actor verificable
          4. Sellado temporal e integridad del registro
        6. Simulación de incidentes (ejercicios tipo “fire drill”)
          1. Juegos de guerra de seguridad
          2. Roles y responsabilidades durante un ataque simulado
          3. Validación de tiempos de reacción
          4. Evaluación de planes de comunicación interna
        7. Detección de escalamiento lateral interno
          1. Uso indebido de credenciales internas
          2. Acceso inesperado a servicios colaterales
          3. Creación no autorizada de nuevas identidades técnicas
          4. Detección de túneles laterales y pivoteo
        8. Señales tempranas de compromiso en entornos críticos
          1. Modificaciones de configuración sin registro
          2. Activación de capacidades avanzadas o experimentales en producción
          3. Nuevos binarios o procesos desconocidos
          4. Persistencia no autorizada en servicios críticos
          5. Cambios en reglas de red o firewall sin justificación

      5. Respuesta a incidentes y continuidad operativa

        1. Plan de respuesta a incidentes de seguridad
          1. Definición formal de incidente
          2. Criterios de severidad y priorización
          3. Equipo responsable y cadena de escalamiento
          4. Procedimientos documentados paso a paso
        2. Contención, erradicación y recuperación
          1. Aislamiento de sistemas comprometidos
          2. Corte de accesos maliciosos activos
          3. Eliminación de persistencia del atacante
          4. Restauración segura al estado confiable
          5. Validación posterior al restablecimiento
        3. Análisis forense y preservación de evidencia técnica
          1. Captura de memoria y discos
          2. Preservación de logs relevantes
          3. Cadena de custodia de evidencia técnica
          4. Reconstrucción de línea de tiempo del ataque
          5. Identificación de punto inicial de entrada
        4. Postmortems de seguridad sin cultura de culpa
          1. Documentación del incidente y causa raíz
          2. Hallazgos técnicos y organizacionales
          3. Acciones correctivas y preventivas
          4. Seguimiento de mejoras comprometidas
          5. Lecciones aprendidas compartidas con el equipo
        5. Comunicación interna y externa durante incidentes
          1. Canales internos de emergencia
          2. Comunicación con liderazgo y dirección
          3. Comunicación con clientes y usuarios
          4. Coordinación con equipos externos relevantes
          5. Gestión de mensajes públicos y reputación
        6. Planes de continuidad operativa y recuperación de negocio
          1. Definición de servicios críticos
          2. Objetivos de tiempo de recuperación
          3. Objetivos de punto de recuperación de datos
          4. Procedimientos alternativos manuales o degradados
          5. Escenarios de pérdida parcial y pérdida total
          6. Ejecución de failover a infraestructura secundaria
        7. Gestión coordinada con legal, compliance y stakeholders críticos
          1. Requerimientos de notificación a autoridades
          2. Obligaciones contractuales con clientes
          3. Gestión de responsabilidad legal y reputacional
          4. Participación de compliance en la evaluación de impacto
          5. Coordinación con liderazgo ejecutivo y directorio

      6. Cumplimiento y riesgo organizacional

        1. Políticas internas de seguridad y uso aceptable
          1. Definición de conducta esperada en sistemas internos
          2. Reglas de uso de información sensible
          3. Reglas de despliegue y operación en producción
          4. Control de herramientas externas y shadow IT
          5. Procedimientos disciplinarios por uso indebido
        2. Clasificación y manejo de datos sensibles
          1. Identificación de datos personales y datos críticos
          2. Etiquetado de niveles de sensibilidad
          3. Reglas de retención y descarte
          4. Restricciones de copia y exportación
          5. Desidentificación y anonimización para análisis
        3. Requisitos regulatorios y normativos aplicables
          1. Regulaciones de protección de datos
          2. Obligaciones de privacidad y consentimiento
          3. Restricciones de almacenamiento geográfico de datos
          4. Estándares de la industria aplicables
          5. Requisitos de trazabilidad y auditoría
        4. Revisión periódica de riesgos y exposiciones
          1. Evaluación de superficie de ataque actualizada
          2. Análisis de nuevas dependencias críticas
          3. Identificación de single points of failure
          4. Evaluación de madurez de controles existentes
          5. Priorización de esfuerzos de mitigación
        5. Evaluación de terceros y proveedores
          1. Riesgo de cadena de suministro
          2. Evaluación de seguridad de servicios externos críticos
          3. Validación de cumplimiento de estándares mínimos
          4. Dependencia operativa y lock-in tecnológico
          5. Plan de contingencia ante falla de proveedor
        6. Controles preventivos y controles compensatorios
          1. Controles técnicos preventivos
          2. Controles organizacionales y de proceso
          3. Controles compensatorios documentados cuando falta un control ideal
          4. Evaluación de efectividad de controles aplicados
        7. Trazabilidad, reportabilidad y obligaciones de notificación
          1. Registro de incidentes de seguridad
          2. Umbrales de severidad que obligan a reportar
          3. Plazos de notificación a clientes y autoridades
          4. Pruebas de capacidad de respuesta organizacional
          5. Conservación de evidencia y documentación legalmente exigible
        8. Cultura de seguridad
          1. Concientización y formación continua del equipo
          2. Prácticas seguras incorporadas al ciclo de desarrollo
          3. Canales abiertos para reporte de vulnerabilidades internas
          4. No normalización de desvíos de seguridad “temporales”
          5. Incentivos alineados con la seguridad operativa