Seguridad
10 minutos de lectura
- Seguridad
Seguridad de aplicaciones y servicios
- Superficie de ataque en aplicaciones web y microservicios
- Enumeración y descubrimiento de endpoints
- Exposición de metadatos e información sensible en respuestas
- Errores de configuración y defaults inseguros
- Fugas en mensajes de error y stack traces
- Dependencias externas y librerías de terceros
- Gestión insegura de versiones y parches
- Principales vectores de ataque en aplicaciones web
- Inyección de código y comandos
- Cross-Site Scripting (XSS)
- Cross-Site Request Forgery (CSRF)
- Deserialización insegura
- Abuso de autenticación y fuerza bruta
- Directory traversal y lectura arbitraria de archivos
- Explotación de APIs mal definidas o sobrepermisivas
- Elevación de privilegios a través de endpoints internos
- Criptografía práctica y hashing seguro
- Hashing de contraseñas con algoritmos resistentes (bcrypt, scrypt, Argon2)
- Firmas digitales y verificación de integridad
- Claves simétricas vs. asimétricas
- Cifrado autenticado (AEAD)
- Derivación segura de claves (KDF)
- Rotación y expiración de claves criptográficas
- Evitar algoritmos criptográficos obsoletos e inseguros
- Canales seguros y certificados
- Cifrado en tránsito (TLS)
- Certificados válidos y planes de rotación
- Pinning de certificados y mitigación de MITM
- Cifrado extremo a extremo en servicios críticos
- Uso de HTTPS estricto y redirecciones seguras
- Seguridad en APIs públicas y privadas
- Protección contra ataques comunes en la web
- Validación estricta del input del usuario
- Sanitización y escape de salida (output escaping)
- Tokens antifraude y antifalsificación de intención (CSRF tokens)
- Políticas de contenido (Content Security Policy)
- Rate limiting y protección contra fuerza bruta
- Evitar ejecución arbitraria de código en el servidor
- Protección contra replay attacks
- Restricción de métodos HTTP peligrosos
- Autenticación y autorización
- Modelos de autenticación basados en contraseñas
- Autenticación multifactor y factores contextuales
- Tokens de sesión y tokens firmados (JWT, PASETO)
- Tiempo de expiración y renovación de tokens
- Modelos de autorización basados en roles (RBAC)
- Modelos de autorización basados en atributos (ABAC)
- Autorización a nivel de objeto y a nivel de campo
- Federación de identidad (OAuth2, OpenID Connect, SAML)
- Single sign-on en entornos corporativos
- Manejo seguro de credenciales, llaves y secretos
- Almacenamiento de secretos en bóvedas seguras
- Inyección de secretos en tiempo de ejecución
- Evitar secretos en repositorios de código
- Rotación automática de llaves de acceso
- Segmentación de secretos por entorno
- Uso de identidades de máquina vs. secretos estáticos
- Seguridad en bases de datos y control de acceso a datos sensibles
- Acceso mínimo necesario a tablas y vistas
- Separación de credenciales por servicio
- Consultas parametrizadas y ORM seguro
- Mascaramiento, tokenización y anonimización de datos
- Cifrado de campos sensibles
- Protección de datos personales e identificables
- Registro de accesos y consultas a datos críticos
- Registro de eventos de seguridad y trazabilidad
- Registro de intentos de autenticación
- Registro de cambios de permisos
- Registro de acceso a datos sensibles
- Registro de acciones administrativas
- Retención y protección de logs
- Correlación de logs con identidad del usuario o servicio
- Sanitización y validación de entrada
- Whitelists vs. blacklists
- Validación de tipos, rangos y formatos
- Normalización de input para evitar bypasses
- Evitar la ejecución de input del usuario como código
- Limpieza de HTML, JSON y payloads binarios
- Limitación de tamaño de input
- Modelado de amenazas y pruebas básicas de penetración
- Análisis de activos críticos
- Identificación de actores de amenaza relevantes
- Modelos STRIDE y DREAD
- Priorización de escenarios de ataque
- Pruebas de penetración internas
- Revisión manual de endpoints sensibles
- Gestión de sesiones y mitigación de secuestro de sesión
- Cookies seguras y con flags de protección
- Tiempo de expiración y revocación
- Protección contra fijación de sesión
- Detección de uso simultáneo anormal
- Reasignación segura de sesión tras elevar privilegios
- Política de mínimo privilegio en componentes internos
- Separación de responsabilidades entre servicios
- Ejecución con identidades técnicas de bajo privilegio
- Limitación de recursos accesibles por proceso
- Restricción de comandos del sistema operativo
- Minimización de permisos en llamadas internas
- Control de acceso entre microservicios
- Superficie de ataque en aplicaciones web y microservicios
Seguridad de infraestructura y plataforma
- Aislamiento entre servicios y entornos
- Separación entre producción, staging y desarrollo
- Aislamiento de datos reales vs. datos de prueba
- Limitación de accesos cruzados entre entornos
- Entornos efímeros y de pruebas aisladas
- Endurecimiento (hardening) de sistemas operativos, contenedores y runtimes
- Reducción de la superficie de ataque del sistema base
- Eliminación de paquetes innecesarios
- Usuarios no root en contenedores
- Políticas de seccomp, AppArmor y SELinux
- Contenedores inmutables y con firma verificable
- Control de capacidades del kernel
- Seguridad en redes
- Segmentación interna de la red
- Firewalls entre zonas de distinta criticidad
- Zonas de confianza y redes de alta sensibilidad
- Restricción de acceso público a servicios internos
- Filtrado de tráfico saliente y entradas restringidas
- Control de tráfico interno entre servicios
- Autenticación mutua entre servicios (mTLS)
- Políticas de red declarativas
- Service mesh y control de identidades de servicio
- Detección de tráfico inusual entre microservicios
- Limitación de llamadas laterales no autorizadas
- Seguridad en la nube
- Configuración segura de recursos gestionados
- Aislamiento de cuentas y proyectos por entorno
- Políticas de acceso basadas en identidad de servicio
- Protección de buckets y almacenamiento de objetos
- Exposición pública controlada y explícita
- Monitoreo de configuración drifteada
- Protección de datos en reposo
- Cifrado en disco a nivel de volumen
- Cifrado a nivel de archivo u objeto
- Gestión de llaves de cifrado centralizada
- Segmentación de datos altamente sensibles
- Eliminación segura y verificada de datos
- Seguridad de la cadena de suministro de software
- Verificación de integridad de dependencias
- Firmado de artefactos de build
- Control de procedencia (provenance) de builds
- Validación de imágenes de contenedor
- Revisión de librerías de terceros y binarios precompilados
- Prevención de inyección de dependencias maliciosas
- Escaneo de vulnerabilidades en dependencias, imágenes y artefactos
- Análisis de dependencias conocidas vulnerables
- Escaneo de imágenes de contenedor antes del deploy
- Escaneo recurrente de entornos en producción
- Priorización basada en criticidad y exposición
- Remediación y seguimiento de CVEs
- Gestión de parches y actualizaciones de seguridad
- Calendario de aplicación de parches
- Parches críticos fuera de ciclo
- Compatibilidad y pruebas previas a despliegue
- Automatización de actualizaciones en infraestructura
- Documentación de excepciones y justificaciones técnicas
- Backups seguros y recuperación ante desastres
- Políticas de respaldo periódico
- Cifrado de respaldos en reposo y en tránsito
- Almacenamiento fuera de línea o fuera de región
- Pruebas regulares de restauración
- Plan de recuperación ante desastres
- Continuidad de servicios críticos en caso de pérdida total
- Aislamiento entre servicios y entornos
Identidad, acceso y control de privilegios
- Gestión de identidad y acceso (IAM)
- Identidades humanas vs. identidades de servicio
- Control centralizado de permisos
- Políticas de acceso con alcance limitado
- Evitar cuentas compartidas
- Revisión periódica de permisos asignados
- Autenticación multifactor (MFA)
- Factores de posesión, inherencia y conocimiento
- MFA obligatorio en accesos administrativos
- MFA adaptativo basado en riesgo
- Registro y renovación de factores
- Rotación periódica de credenciales y llaves
- Política de expiración de contraseñas privilegiadas
- Rotación automática de llaves de API
- Revocación activa tras incidentes
- Eliminación de credenciales huérfanas
- Delegación de permisos y roles granulares
- Roles mínimos y específicos por tarea
- Delegación temporal de privilegios
- Separación entre permisos de lectura y escritura
- Acceso controlado a acciones destructivas
- Acceso just-in-time y acceso de emergencia controlado
- Elevación temporal de privilegios bajo solicitud
- Flujo de aprobación y justificación
- Cierre automático de accesos temporales
- Canales auditados para accesos de emergencia
- Auditoría de quién accede a qué y cuándo
- Registro de acciones administrativas
- Registro de acceso a datos sensibles
- Seguimiento de accesos privilegiados
- Revisión post-evento de accesos inusuales
- Separación de funciones críticas (segregation of duties)
- División entre desarrollo y despliegue
- División entre operación y auditoría
- Restricción de self-approval de cambios
- Independencia en tareas de control financiero o de datos regulados
- Gobierno de cuentas de servicio y claves de API
- Ciclo de vida de cuentas de servicio
- Asignación de permisos mínimos a cuentas técnicas
- Rotación y almacenamiento de claves de API
- Revocación de cuentas de servicio no utilizadas
- Revocación y desactivación segura de accesos
- Baja inmediata de cuentas de personas que salen de la organización
- Cierre de llaves comprometidas
- Desactivación de roles temporales expirados
- Verificación de que no quedan accesos residuales
- Gestión de identidad y acceso (IAM)
Monitoreo, detección y respuesta temprana
- Detección de comportamientos anómalos y abuso
- Detección de patrones fuera de lo esperado por usuario
- Análisis de volumen y frecuencia de llamadas
- Identificación de patrones automatizados o de scraping agresivo
- Señales de actividad robótica o scripts maliciosos
- Alertas de actividad sospechosa en autenticación y uso de APIs
- Intentos de login fallidos repetidos
- Accesos desde ubicaciones inesperadas
- Uso de tokens expirados o revocados
- Variación súbita de privilegios
- Correlación de eventos de seguridad en logs centralizados
- Agregación de logs de múltiples servicios
- Normalización y etiquetado de eventos
- Contexto temporal y causal entre eventos
- Enriquecimiento con datos de identidad y permisos
- Creación de timelines para investigación
- Protección contra fuga de datos y exfiltración
- Monitoreo de descargas masivas inusuales
- Control de exportación de datos sensibles
- Alertas por movimientos de datos hacia destinos externos
- Bloqueo de canales de extracción no autorizados
- Trazabilidad completa de acciones de alto riesgo
- Registro de operaciones administrativas destructivas
- Confirmación explícita para operaciones irreversibles
- Asociación entre acción y actor verificable
- Sellado temporal e integridad del registro
- Simulación de incidentes (ejercicios tipo “fire drill”)
- Juegos de guerra de seguridad
- Roles y responsabilidades durante un ataque simulado
- Validación de tiempos de reacción
- Evaluación de planes de comunicación interna
- Detección de escalamiento lateral interno
- Uso indebido de credenciales internas
- Acceso inesperado a servicios colaterales
- Creación no autorizada de nuevas identidades técnicas
- Detección de túneles laterales y pivoteo
- Señales tempranas de compromiso en entornos críticos
- Modificaciones de configuración sin registro
- Activación de capacidades avanzadas o experimentales en producción
- Nuevos binarios o procesos desconocidos
- Persistencia no autorizada en servicios críticos
- Cambios en reglas de red o firewall sin justificación
- Detección de comportamientos anómalos y abuso
Respuesta a incidentes y continuidad operativa
- Plan de respuesta a incidentes de seguridad
- Definición formal de incidente
- Criterios de severidad y priorización
- Equipo responsable y cadena de escalamiento
- Procedimientos documentados paso a paso
- Contención, erradicación y recuperación
- Aislamiento de sistemas comprometidos
- Corte de accesos maliciosos activos
- Eliminación de persistencia del atacante
- Restauración segura al estado confiable
- Validación posterior al restablecimiento
- Análisis forense y preservación de evidencia técnica
- Captura de memoria y discos
- Preservación de logs relevantes
- Cadena de custodia de evidencia técnica
- Reconstrucción de línea de tiempo del ataque
- Identificación de punto inicial de entrada
- Postmortems de seguridad sin cultura de culpa
- Documentación del incidente y causa raíz
- Hallazgos técnicos y organizacionales
- Acciones correctivas y preventivas
- Seguimiento de mejoras comprometidas
- Lecciones aprendidas compartidas con el equipo
- Comunicación interna y externa durante incidentes
- Canales internos de emergencia
- Comunicación con liderazgo y dirección
- Comunicación con clientes y usuarios
- Coordinación con equipos externos relevantes
- Gestión de mensajes públicos y reputación
- Planes de continuidad operativa y recuperación de negocio
- Definición de servicios críticos
- Objetivos de tiempo de recuperación
- Objetivos de punto de recuperación de datos
- Procedimientos alternativos manuales o degradados
- Escenarios de pérdida parcial y pérdida total
- Ejecución de failover a infraestructura secundaria
- Gestión coordinada con legal, compliance y stakeholders críticos
- Requerimientos de notificación a autoridades
- Obligaciones contractuales con clientes
- Gestión de responsabilidad legal y reputacional
- Participación de compliance en la evaluación de impacto
- Coordinación con liderazgo ejecutivo y directorio
- Plan de respuesta a incidentes de seguridad
Cumplimiento y riesgo organizacional
- Políticas internas de seguridad y uso aceptable
- Definición de conducta esperada en sistemas internos
- Reglas de uso de información sensible
- Reglas de despliegue y operación en producción
- Control de herramientas externas y shadow IT
- Procedimientos disciplinarios por uso indebido
- Clasificación y manejo de datos sensibles
- Identificación de datos personales y datos críticos
- Etiquetado de niveles de sensibilidad
- Reglas de retención y descarte
- Restricciones de copia y exportación
- Desidentificación y anonimización para análisis
- Requisitos regulatorios y normativos aplicables
- Regulaciones de protección de datos
- Obligaciones de privacidad y consentimiento
- Restricciones de almacenamiento geográfico de datos
- Estándares de la industria aplicables
- Requisitos de trazabilidad y auditoría
- Revisión periódica de riesgos y exposiciones
- Evaluación de superficie de ataque actualizada
- Análisis de nuevas dependencias críticas
- Identificación de single points of failure
- Evaluación de madurez de controles existentes
- Priorización de esfuerzos de mitigación
- Evaluación de terceros y proveedores
- Riesgo de cadena de suministro
- Evaluación de seguridad de servicios externos críticos
- Validación de cumplimiento de estándares mínimos
- Dependencia operativa y lock-in tecnológico
- Plan de contingencia ante falla de proveedor
- Controles preventivos y controles compensatorios
- Controles técnicos preventivos
- Controles organizacionales y de proceso
- Controles compensatorios documentados cuando falta un control ideal
- Evaluación de efectividad de controles aplicados
- Trazabilidad, reportabilidad y obligaciones de notificación
- Registro de incidentes de seguridad
- Umbrales de severidad que obligan a reportar
- Plazos de notificación a clientes y autoridades
- Pruebas de capacidad de respuesta organizacional
- Conservación de evidencia y documentación legalmente exigible
- Cultura de seguridad
- Concientización y formación continua del equipo
- Prácticas seguras incorporadas al ciclo de desarrollo
- Canales abiertos para reporte de vulnerabilidades internas
- No normalización de desvíos de seguridad “temporales”
- Incentivos alineados con la seguridad operativa
- Políticas internas de seguridad y uso aceptable