Tema específico

Tema 53. La seguridad en redes. Seguridad perimetral. Control de accesos. Técnicas criptográficas y protocolos seguros. Mecanismos de firma digital. Redes privadas virtuales. Seguridad en el puesto del usuario.

La seguridad en redes 🎯 Idea clave La seguridad en redes en la Administración General del Estado (AGE) se fundamenta en el Esquema Nacional de Seguridad (ENS) , establecido por el Real Decreto 311/202…

AGE07 A2 03/07/2026

Gestion de Sistemas e Informatica eleva la rama tecnica de OPOAGE a un cuerpo A2 con un primer ejercicio de 100 preguntas tipo test.

Lectura pública del tema

1. La seguridad en redes

1. La seguridad en redes

🎯 Idea clave

  • La seguridad en redes en la Administración General del Estado (AGE) se fundamenta en el Esquema Nacional de Seguridad (ENS), establecido por el Real Decreto 311/2022.
  • Su objetivo es garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información en sistemas de información.
  • Incluye medidas técnicas y organizativas para proteger las redes contra amenazas internas y externas.
  • La criptografía y los protocolos seguros son pilares esenciales para proteger las comunicaciones en redes públicas y privadas.
  • La seguridad perimetral y el control de accesos son componentes críticos para prevenir accesos no autorizados.
  • La implementación de estas medidas debe alinearse con los principios de proporcionalidad, gestión de riesgos y mejora continua.

📚 Desarrollo

Marco normativo. La seguridad en redes en la AGE se rige principalmente por el Real Decreto 311/2022, que aprueba el Esquema Nacional de Seguridad (ENS). Este marco establece los principios y requisitos mínimos para proteger los sistemas de información del sector público, incluyendo las redes de comunicación. El ENS clasifica los sistemas en categorías según su nivel de criticidad y exige medidas de seguridad adaptadas a cada nivel.

Objetivos de seguridad. Los objetivos fundamentales de la seguridad en redes son garantizar la confidencialidad, evitando el acceso no autorizado a la información; la integridad, asegurando que los datos no sean alterados de forma no autorizada; y la disponibilidad, garantizando el acceso a los recursos cuando sea necesario. Además, se busca asegurar la autenticidad de los usuarios y la trazabilidad de las acciones realizadas en la red.

Amenazas y riesgos. Las redes de la AGE están expuestas a múltiples amenazas, como ataques de denegación de servicio (DoS), intrusiones, malware, phishing y fugas de información. Estos riesgos pueden comprometer la operatividad de los servicios públicos y la protección de datos sensibles. Para mitigarlos, el ENS exige la implementación de medidas técnicas, como firewalls, sistemas de detección de intrusos (IDS) y cifrado de comunicaciones.

Criptografía y protocolos seguros. La criptografía es una herramienta esencial para proteger las comunicaciones en redes. En la AGE, se utilizan algoritmos de cifrado simétrico y asimétrico, como AES y RSA, para garantizar la confidencialidad e integridad de los datos. Los protocolos seguros, como TLS/SSL para comunicaciones web o IPsec para redes privadas virtuales (VPN), son obligatorios en entornos donde se manejan datos sensibles o se realizan transacciones electrónicas.

Seguridad perimetral. La seguridad perimetral actúa como primera línea de defensa en las redes de la AGE. Incluye dispositivos como firewalls, que filtran el tráfico no autorizado, y sistemas de prevención de intrusos (IPS), que detectan y bloquean ataques en tiempo real. Estas medidas se complementan con la segmentación de redes, que limita el acceso a zonas críticas y reduce el impacto de posibles brechas de seguridad.

Control de accesos. El control de accesos es un componente clave para garantizar que solo los usuarios autorizados puedan acceder a los recursos de la red. En la AGE, se implementan mecanismos como la autenticación multifactor (MFA), el control de acceso basado en roles (RBAC) y la gestión de identidades. Estas medidas se alinean con los requisitos del ENS y la normativa de protección de datos, como el Reglamento General de Protección de Datos (RGPD).

Gestión de riesgos. La seguridad en redes en la AGE se basa en un enfoque de gestión de riesgos, donde se identifican, evalúan y mitigan las amenazas potenciales. Este proceso incluye la realización de análisis de riesgos, la implementación de medidas correctivas y la monitorización continua de la red. El ENS exige que las medidas adoptadas sean proporcionales al nivel de riesgo identificado, evitando tanto la sobreprotección como la subprotección de los sistemas.

Mejora continua. La seguridad en redes no es un proceso estático, sino que requiere una evaluación y actualización constante. En la AGE, se realizan auditorías periódicas, pruebas de penetración y actualizaciones de seguridad para adaptarse a nuevas amenazas y vulnerabilidades. La formación y concienciación de los empleados también son fundamentales para mantener un entorno seguro.


🧩 Elementos esenciales

  • Esquema Nacional de Seguridad (ENS): Marco normativo que establece los principios y requisitos mínimos para la seguridad en redes en la AGE, aprobado por el Real Decreto 311/2022.
  • Confidencialidad: Garantía de que la información solo es accesible para usuarios autorizados, evitando accesos no autorizados.
  • Integridad: Protección de los datos frente a modificaciones no autorizadas, asegurando que la información sea precisa y completa.
  • Disponibilidad: Acceso a los recursos y servicios de la red cuando sea necesario, evitando interrupciones no planificadas.
  • Autenticidad: Verificación de la identidad de los usuarios y sistemas que interactúan en la red, asegurando que son quienes dicen ser.
  • Trazabilidad: Registro y seguimiento de las acciones realizadas en la red, permitiendo la auditoría y el análisis de incidentes.
  • Criptografía: Uso de algoritmos como AES y RSA para cifrar datos y proteger las comunicaciones en redes públicas y privadas.
  • Protocolos seguros: Implementación de protocolos como TLS/SSL e IPsec para garantizar comunicaciones seguras en entornos críticos.
  • Seguridad perimetral: Uso de firewalls, IDS/IPS y segmentación de redes para proteger el perímetro de la red frente a amenazas externas.
  • Control de accesos: Mecanismos como MFA y RBAC para garantizar que solo los usuarios autorizados accedan a los recursos de la red.
  • Gestión de riesgos: Proceso de identificación, evaluación y mitigación de amenazas, alineado con los principios del ENS.
  • Mejora continua: Evaluación periódica de las medidas de seguridad, incluyendo auditorías, pruebas de penetración y formación de empleados.

🧠 Recuerda

  • El ENS es el marco normativo fundamental para la seguridad en redes en la AGE, establecido por el Real Decreto 311/2022.
  • Los objetivos de seguridad en redes son confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
  • La criptografía y los protocolos seguros son herramientas esenciales para proteger las comunicaciones en redes.
  • La seguridad perimetral y el control de accesos son componentes críticos para prevenir accesos no autorizados.
  • La gestión de riesgos y la mejora continua son procesos clave para adaptarse a nuevas amenazas y vulnerabilidades.
  • Las medidas de seguridad deben ser proporcionales al nivel de riesgo identificado en cada sistema.
  • La formación y concienciación de los empleados son fundamentales para mantener un entorno seguro.
  • La segmentación de redes reduce el impacto de posibles brechas de seguridad al limitar el acceso a zonas críticas.
  • Los firewalls y los sistemas de detección de intrusos (IDS/IPS) son elementos clave de la seguridad perimetral.
  • La autenticación multifactor (MFA) y el control de acceso basado en roles (RBAC) son mecanismos esenciales para el control de accesos.

2. Seguridad perimetral

2. Seguridad perimetral

🎯 Idea clave

  • La seguridad perimetral constituye la primera línea de defensa en la protección de las redes de la Administración General del Estado.
  • Su objetivo principal es filtrar y controlar el tráfico de red entre entornos internos y externos para prevenir accesos no autorizados.
  • Se implementa mediante dispositivos y tecnologías especializadas que analizan y gestionan el flujo de datos en los puntos de conexión.
  • Incluye mecanismos para detectar y bloquear amenazas antes de que alcancen los sistemas internos.
  • Su diseño debe alinearse con los requisitos del Esquema Nacional de Seguridad (ENS) y las directrices del CCN-STIC.
  • La eficacia de la seguridad perimetral depende de su configuración, actualización y monitorización continua.

📚 Desarrollo

Definición y alcance. La seguridad perimetral se refiere al conjunto de medidas técnicas y organizativas destinadas a proteger los límites de la red de la Administración General del Estado. Actúa como barrera entre la red interna, considerada segura, y las redes externas, como Internet, que se consideran no confiables. Su función es prevenir intrusiones, filtrar tráfico malicioso y garantizar que solo las comunicaciones autorizadas accedan a los recursos internos.

Componentes principales. Los elementos fundamentales de la seguridad perimetral incluyen cortafuegos (firewalls), sistemas de detección y prevención de intrusiones (IDS/IPS), pasarelas de seguridad (gateways) y sistemas de filtrado de contenidos. Los cortafuegos, por ejemplo, inspeccionan el tráfico entrante y saliente basándose en reglas predefinidas, bloqueando conexiones que no cumplan con los criterios de seguridad establecidos. Los IDS/IPS complementan esta función al analizar patrones de tráfico en busca de comportamientos sospechosos o ataques conocidos.

Normativa aplicable. El marco normativo que regula la seguridad perimetral en la Administración General del Estado se sustenta en el Real Decreto 311/2022, que aprueba el Esquema Nacional de Seguridad (ENS). Este real decreto establece los principios y requisitos mínimos para garantizar la seguridad de los sistemas de información. Además, el CCN-STIC 807 proporciona directrices específicas para la implementación de medidas de seguridad perimetral, incluyendo recomendaciones sobre configuración, monitorización y respuesta a incidentes.

Configuración y gestión. La configuración de los dispositivos de seguridad perimetral debe ser rigurosa y adaptarse a las necesidades específicas de cada organismo. Esto implica definir políticas de acceso basadas en el principio de mínimo privilegio, segmentar la red para limitar la propagación de amenazas y establecer reglas de filtrado que prioricen la seguridad sin comprometer la funcionalidad. La gestión de estos dispositivos requiere una actualización constante de firmas de amenazas, parches de seguridad y revisiones periódicas de las políticas configuradas.

Integración con otros sistemas. La seguridad perimetral no opera de forma aislada, sino que se integra con otros sistemas de seguridad, como los de autenticación, monitorización y respuesta a incidentes. Por ejemplo, los registros de actividad (logs) generados por los dispositivos perimetrales deben ser centralizados y analizados para detectar patrones anómalos. Asimismo, la coordinación con los equipos de respuesta a incidentes permite una actuación rápida y eficaz ante posibles brechas de seguridad.

Desafíos y consideraciones. Uno de los principales desafíos de la seguridad perimetral es su adaptación a entornos dinámicos, como el teletrabajo o el uso de servicios en la nube. En estos casos, el perímetro tradicional se diluye, requiriendo enfoques complementarios, como el modelo de confianza cero (Zero Trust), que verifica cada acceso de forma individualizada. Además, la creciente sofisticación de las amenazas exige una evolución constante de las medidas perimetrales, incorporando tecnologías avanzadas como el análisis de comportamiento y la inteligencia artificial.

Evaluación y mejora continua. La eficacia de la seguridad perimetral debe ser evaluada periódicamente mediante auditorías, pruebas de penetración y simulacros de incidentes. Estos procesos permiten identificar vulnerabilidades, ajustar configuraciones y mejorar las políticas de seguridad. La mejora continua es esencial para mantener un nivel de protección adecuado frente a las amenazas emergentes y garantizar el cumplimiento de los requisitos normativos.

🧩 Elementos esenciales

  • Cortafuegos (firewall): Dispositivo o software que filtra el tráfico de red basándose en reglas predefinidas, bloqueando conexiones no autorizadas o sospechosas.
  • Sistemas IDS/IPS: Herramientas que detectan (IDS) y previenen (IPS) intrusiones mediante el análisis de patrones de tráfico y comportamientos anómalos.
  • Pasarelas de seguridad (gateways): Puntos de control que gestionan el tráfico entre redes con distintos niveles de confianza, aplicando políticas de seguridad.
  • Segmentación de red: División de la red en segmentos aislados para limitar la propagación de amenazas y reducir el impacto de posibles incidentes.
  • Principio de mínimo privilegio: Estrategia que consiste en otorgar solo los permisos necesarios para realizar una tarea, reduciendo el riesgo de accesos no autorizados.
  • Actualización de firmas: Proceso de mantener al día las bases de datos de amenazas conocidas en los dispositivos de seguridad para garantizar su eficacia.
  • Registro de actividad (logs): Archivos que registran eventos y tráfico de red, esenciales para el análisis forense y la detección de incidentes.
  • Esquema Nacional de Seguridad (ENS): Marco normativo que establece los requisitos mínimos de seguridad para los sistemas de información de la Administración General del Estado.
  • CCN-STIC 807: Guía del Centro Criptológico Nacional que proporciona directrices específicas para la implementación de seguridad perimetral.
  • Modelo Zero Trust: Enfoque de seguridad que verifica cada acceso de forma individualizada, independientemente de su origen, para adaptarse a entornos dinámicos.
  • Auditorías de seguridad: Evaluaciones periódicas para identificar vulnerabilidades y asegurar el cumplimiento de las políticas de seguridad.
  • Pruebas de penetración: Simulaciones de ataques para evaluar la resistencia de los sistemas perimetrales y detectar posibles brechas.

🧠 Recuerda

  • La seguridad perimetral es la primera barrera de protección contra amenazas externas en las redes de la Administración General del Estado.
  • Su implementación debe alinearse con el Esquema Nacional de Seguridad (ENS) y las directrices del CCN-STIC.
  • Los cortafuegos, IDS/IPS y pasarelas de seguridad son componentes clave de la seguridad perimetral.
  • La segmentación de la red y el principio de mínimo privilegio son estrategias fundamentales para limitar el impacto de posibles incidentes.
  • La actualización constante de firmas y políticas es esencial para mantener la eficacia de los dispositivos perimetrales.
  • Los registros de actividad (logs) son herramientas críticas para la detección y análisis de incidentes de seguridad.
  • La seguridad perimetral debe integrarse con otros sistemas de seguridad, como los de autenticación y respuesta a incidentes.
  • El modelo Zero Trust es un enfoque complementario para adaptarse a entornos dinámicos como el teletrabajo.
  • Las auditorías y pruebas de penetración son necesarias para evaluar y mejorar la seguridad perimetral de forma continua.
  • La mejora continua es clave para hacer frente a las amenazas emergentes y garantizar el cumplimiento normativo.

3. Control de accesos

3. Control de accesos

🎯 Idea clave

  • El control de accesos es un mecanismo esencial para garantizar que solo usuarios autorizados puedan acceder a recursos y sistemas de la Administración General del Estado.
  • Se basa en la identificación, autenticación y autorización de usuarios, aplicando principios de mínimo privilegio y separación de funciones.
  • La normativa de referencia en la AGE incluye el Real Decreto 311/2022 (ENS) y la CCN-STIC 807, que establecen requisitos técnicos y organizativos.
  • Los sistemas de control de accesos deben integrarse con infraestructuras de identidad digital, como el Sistema de Identificación y Autenticación de la Administración (Cl@ve).
  • La monitorización y registro de accesos son fundamentales para detectar y responder a incidentes de seguridad.
  • El control de accesos debe ser dinámico, adaptándose a cambios en los roles y responsabilidades de los usuarios.

📚 Desarrollo

Definición y objetivos. El control de accesos en la Administración General del Estado (AGE) es el proceso que regula qué usuarios, sistemas o servicios pueden interactuar con recursos informáticos, garantizando la confidencialidad, integridad y disponibilidad de la información. Su objetivo principal es prevenir accesos no autorizados, minimizando riesgos como fugas de datos, manipulaciones o interrupciones de servicio. Este mecanismo es transversal a todos los sistemas de información de la AGE, desde redes internas hasta plataformas de administración electrónica.

Marco normativo. El Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad (ENS), establece los principios y requisitos para el control de accesos en el ámbito de la AGE. En su Categoría Alta, exige medidas como la autenticación fuerte, la gestión de identidades centralizada y la revisión periódica de permisos. La CCN-STIC 807, guía de referencia del Centro Criptológico Nacional, detalla los controles técnicos específicos, como el uso de protocolos seguros (TLS 1.2+) y la implementación de soluciones de Identity and Access Management (IAM).

Identificación y autenticación. La identificación es el proceso por el que un usuario declara su identidad, mientras que la autenticación verifica dicha identidad mediante credenciales. En la AGE, se emplean múltiples factores de autenticación (MFA), como contraseñas, certificados digitales o tokens físicos, para cumplir con los requisitos del ENS. El Sistema Cl@ve actúa como infraestructura de identificación electrónica, permitiendo el acceso seguro a servicios públicos mediante certificados reconocidos o sistemas de autenticación basados en claves concertadas.

Autorización y gestión de privilegios. La autorización determina qué acciones puede realizar un usuario autenticado, aplicando el principio de mínimo privilegio y la separación de funciones. Los sistemas de la AGE deben implementar modelos de control de accesos basados en roles (RBAC) o atributos (ABAC), asignando permisos según las responsabilidades funcionales. La CCN-STIC 807 recomienda revisar periódicamente los privilegios concedidos, eliminando aquellos innecesarios o obsoletos para reducir la superficie de ataque.

Registro y monitorización. El control de accesos en la AGE exige el registro detallado de todas las operaciones realizadas por los usuarios, incluyendo intentos fallidos de autenticación. Estos registros deben almacenarse de forma segura y estar disponibles para auditorías, cumpliendo con los requisitos del ENS en materia de trazabilidad. La monitorización en tiempo real permite detectar patrones anómalos, como accesos fuera de horario o desde ubicaciones no habituales, facilitando la respuesta temprana a incidentes de seguridad.

Integración con otras medidas de seguridad. El control de accesos no opera de forma aislada, sino que se integra con otras capas de seguridad, como la seguridad perimetral (firewalls, IDS/IPS) y los mecanismos de firma digital. Por ejemplo, los certificados electrónicos utilizados para la autenticación también pueden emplearse para firmar documentos, garantizando la no repudiación. Además, los sistemas de la AGE deben alinearse con el Esquema Nacional de Interoperabilidad (ENI), asegurando que los mecanismos de control de accesos sean compatibles con otras administraciones públicas.

Desafíos y buenas prácticas. Uno de los principales desafíos en la AGE es gestionar el control de accesos en entornos híbridos, donde conviven sistemas locales y servicios en la nube. La CCN-STIC 807 recomienda emplear soluciones de Single Sign-On (SSO) para simplificar la autenticación sin comprometer la seguridad. Asimismo, es fundamental formar a los usuarios en el uso seguro de credenciales y en la identificación de intentos de phishing, que pueden eludir los controles técnicos.


🧩 Elementos esenciales

  • Identificación: Proceso por el que un usuario declara su identidad ante un sistema, generalmente mediante un nombre de usuario o identificador único.
  • Autenticación: Verificación de la identidad declarada, utilizando credenciales como contraseñas, certificados digitales o tokens físicos.
  • Autorización: Determinación de los recursos y acciones a los que un usuario autenticado puede acceder, basada en roles o atributos.
  • Principio de mínimo privilegio: Los usuarios deben disponer únicamente de los permisos necesarios para realizar sus funciones, sin excesos.
  • Separación de funciones: Distribución de responsabilidades entre distintos usuarios para evitar conflictos de interés o abusos.
  • Modelo RBAC (Role-Based Access Control): Asignación de permisos según roles predefinidos, simplificando la gestión de accesos en organizaciones complejas.
  • Modelo ABAC (Attribute-Based Access Control): Control de accesos basado en atributos contextuales, como la ubicación, el dispositivo o la hora del acceso.
  • Multi-Factor Authentication (MFA): Uso de dos o más factores de autenticación para aumentar la seguridad, como contraseña + token o certificado digital.
  • Sistema Cl@ve: Infraestructura de identificación electrónica de la AGE, que permite el acceso seguro a servicios públicos mediante certificados o claves concertadas.
  • Registro de accesos (logs): Grabación detallada de todas las operaciones realizadas por los usuarios, incluyendo intentos fallidos, para auditoría y detección de incidentes.
  • Revisión periódica de permisos: Evaluación regular de los privilegios concedidos a los usuarios, eliminando aquellos innecesarios o obsoletos.
  • Single Sign-On (SSO): Solución que permite a los usuarios autenticarse una sola vez para acceder a múltiples sistemas, mejorando la experiencia sin reducir la seguridad.

🧠 Recuerda

  • El control de accesos es un pilar fundamental del Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022.
  • La CCN-STIC 807 proporciona directrices técnicas específicas para implementar controles de acceso en la AGE.
  • La identificación, autenticación y autorización son los tres procesos clave del control de accesos.
  • El principio de mínimo privilegio y la separación de funciones son esenciales para reducir riesgos.
  • Los sistemas de la AGE deben integrar Multi-Factor Authentication (MFA) para cumplir con los requisitos de seguridad.
  • El Sistema Cl@ve es la infraestructura de identificación electrónica de referencia en la Administración General del Estado.
  • Los registros de accesos (logs) son obligatorios para garantizar la trazabilidad y detectar incidentes.
  • La revisión periódica de permisos evita la acumulación de privilegios innecesarios, reduciendo la superficie de ataque.
  • Las soluciones de Single Sign-On (SSO) mejoran la experiencia del usuario sin comprometer la seguridad.
  • El control de accesos debe ser dinámico, adaptándose a cambios en los roles y responsabilidades de los usuarios.

4. Técnicas criptográficas y protocolos seguros

4. Técnicas criptográficas y protocolos seguros

🎯 Idea clave

  • Las técnicas criptográficas garantizan la confidencialidad, integridad y autenticidad de la información en redes.
  • Los protocolos seguros aplican estas técnicas para proteger las comunicaciones en entornos de la Administración General del Estado.
  • La criptografía simétrica utiliza una misma clave para cifrar y descifrar datos, siendo eficiente en velocidad pero con desafíos en la distribución de claves.
  • La criptografía asimétrica emplea un par de claves (pública y privada) para resolver problemas de distribución y autenticación.
  • Los protocolos seguros como TLS/SSL, IPsec y SSH integran mecanismos criptográficos para proteger las comunicaciones en redes.
  • El Esquema Nacional de Seguridad (ENS) establece requisitos específicos para el uso de estas técnicas en la Administración.

📚 Desarrollo

Base normativa. Las técnicas criptográficas y protocolos seguros en la Administración General del Estado se rigen por el Real Decreto 311/2022, que aprueba el Esquema Nacional de Seguridad (ENS). Este marco establece los principios y requisitos para garantizar la seguridad de los sistemas de información, incluyendo el uso obligatorio de criptografía para proteger la confidencialidad e integridad de los datos [12].

Criptografía simétrica. Este tipo de criptografía utiliza una única clave secreta para cifrar y descifrar la información. Su principal ventaja es la eficiencia computacional, lo que la hace adecuada para proteger grandes volúmenes de datos. Sin embargo, presenta el desafío de la distribución segura de claves, ya que estas deben ser compartidas entre las partes sin ser interceptadas. En la Administración, se emplea en combinación con otros mecanismos para optimizar el rendimiento de los sistemas.

Criptografía asimétrica. A diferencia de la simétrica, emplea un par de claves: una pública, que puede ser difundida libremente, y otra privada, que debe mantenerse en secreto. Este esquema resuelve el problema de la distribución de claves y permite la autenticación de las partes mediante firmas digitales. Su principal desventaja es la menor velocidad en comparación con la criptografía simétrica, por lo que suele usarse para intercambiar claves de sesión o firmar datos críticos.

Protocolos seguros en redes. Los protocolos como TLS/SSL (Transport Layer Security/Secure Sockets Layer) protegen las comunicaciones en aplicaciones web, garantizando la confidencialidad e integridad de los datos transmitidos. IPsec (Internet Protocol Security) se utiliza para securizar las comunicaciones a nivel de red, especialmente en redes privadas virtuales (VPN). SSH (Secure Shell) proporciona un canal seguro para el acceso remoto a sistemas, evitando la interceptación de credenciales o comandos.

Aplicación en la Administración. El ENS exige el uso de criptografía para proteger la información clasificada como alta o media en sus dimensiones de confidencialidad e integridad. Además, los protocolos seguros deben implementarse en todos los sistemas que manejen datos sensibles, como los relacionados con la identificación electrónica o la tramitación de procedimientos administrativos. La CCN-STIC 807 proporciona directrices específicas para la selección e implementación de algoritmos criptográficos en el ámbito público.

Algoritmos criptográficos. Los algoritmos más utilizados en la Administración incluyen AES (Advanced Encryption Standard) para criptografía simétrica, RSA y ECC (Elliptic Curve Cryptography) para asimétrica, y SHA-256 o SHA-3 para funciones hash. La elección de estos algoritmos debe ajustarse a los estándares vigentes y a las recomendaciones del Centro Criptológico Nacional (CCN), evitando aquellos que hayan sido declarados obsoletos o inseguros.

Gestión de claves. La seguridad de los sistemas criptográficos depende en gran medida de la protección de las claves. En la Administración, se deben establecer procedimientos para la generación, almacenamiento, distribución y destrucción segura de claves, siguiendo las directrices del ENS y la CCN-STIC 807. Esto incluye el uso de módulos de seguridad hardware (HSM) para claves críticas y la rotación periódica de claves de sesión.

🧩 Elementos esenciales

  • Criptografía simétrica: Utiliza una misma clave para cifrar y descifrar, siendo rápida pero con desafíos en la distribución de claves.
  • Criptografía asimétrica: Emplea un par de claves (pública y privada) para resolver problemas de distribución y autenticación.
  • TLS/SSL: Protocolos seguros para proteger comunicaciones en aplicaciones web, garantizando confidencialidad e integridad.
  • IPsec: Protocolo de seguridad a nivel de red, utilizado en VPN para proteger el tráfico entre redes.
  • SSH: Protocolo seguro para acceso remoto a sistemas, evitando la interceptación de credenciales.
  • AES: Algoritmo de cifrado simétrico estándar en la Administración para proteger datos sensibles.
  • RSA y ECC: Algoritmos de criptografía asimétrica utilizados para intercambio de claves y firmas digitales.
  • SHA-256/SHA-3: Funciones hash criptográficas para garantizar la integridad de los datos.
  • Gestión de claves: Procesos críticos para la generación, almacenamiento y destrucción segura de claves criptográficas.
  • ENS: Marco normativo que establece los requisitos para el uso de criptografía en la Administración.
  • CCN-STIC 807: Guía del Centro Criptológico Nacional con directrices para la implementación de criptografía en el ámbito público.
  • Módulos HSM: Dispositivos hardware para proteger claves criptográficas críticas en sistemas de la Administración.

🧠 Recuerda

  • La criptografía simétrica es eficiente pero requiere una distribución segura de claves.
  • La criptografía asimétrica resuelve el problema de la distribución de claves y permite la autenticación.
  • TLS/SSL protege las comunicaciones web, mientras que IPsec securiza el tráfico a nivel de red.
  • SSH es esencial para el acceso remoto seguro a sistemas administrativos.
  • El ENS exige el uso de criptografía para proteger información clasificada como alta o media.
  • Los algoritmos criptográficos deben seleccionarse según los estándares vigentes y las recomendaciones del CCN.
  • La gestión de claves es crítica para la seguridad de los sistemas criptográficos.
  • La CCN-STIC 807 proporciona directrices específicas para la implementación de criptografía en la Administración.
  • Los módulos HSM son recomendados para proteger claves criptográficas críticas.
  • La rotación periódica de claves es una práctica esencial para mantener la seguridad.

5. Mecanismos de firma digital

5. Mecanismos de firma digital

🎯 Idea clave

  • La firma digital es un mecanismo criptográfico que garantiza la autenticidad, integridad y no repudio de los documentos electrónicos en la Administración General del Estado.
  • Se basa en el uso de claves asimétricas: una clave privada para firmar y una clave pública para verificar la firma.
  • Su regulación en la AGE se enmarca en el Real Decreto 311/2022 (Esquema Nacional de Seguridad) y la Ley 39/2015 de Procedimiento Administrativo Común.
  • Permite sustituir la firma manuscrita en los procedimientos administrativos electrónicos, cumpliendo con los principios de eficacia y seguridad jurídica.
  • Los certificados digitales, emitidos por prestadores de servicios de confianza, son el soporte técnico que vincula la identidad del firmante con su clave pública.
  • La verificación de la firma digital asegura que el documento no ha sido alterado desde su firma y que el firmante es quien dice ser.

📚 Desarrollo

Base normativa. Los mecanismos de firma digital en la Administración General del Estado se regulan principalmente en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS). Este marco establece los requisitos técnicos y organizativos para garantizar la autenticidad, integridad y confidencialidad de los documentos electrónicos. Además, la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), reconoce la validez jurídica de la firma electrónica en los procedimientos administrativos, equiparándola a la firma manuscrita.

Criptografía asimétrica. La firma digital se sustenta en la criptografía de clave pública, donde cada usuario dispone de un par de claves: una clave privada, que se mantiene en secreto y se utiliza para firmar, y una clave pública, que se comparte para verificar la firma. Este sistema permite que cualquier persona pueda comprobar la autenticidad de un documento firmado sin necesidad de conocer la clave privada del firmante. La robustez del mecanismo depende de la longitud de las claves y del algoritmo criptográfico empleado, como RSA o ECDSA.

Certificados digitales. Los certificados digitales son documentos electrónicos emitidos por un prestador de servicios de confianza que vinculan la identidad del firmante con su clave pública. En la AGE, los certificados más utilizados son los emitidos por la Fábrica Nacional de Moneda y Timbre (FNMT) y otros prestadores cualificados conforme al Reglamento (UE) 910/2014 (eIDAS). Estos certificados incluyen información como el nombre del titular, su clave pública, el período de validez y la identidad del emisor, y son esenciales para garantizar la trazabilidad y la confianza en las transacciones electrónicas.

Proceso de firma. El proceso de firma digital consta de varias fases: en primer lugar, se genera un resumen o hash del documento original mediante una función criptográfica. A continuación, este resumen se cifra con la clave privada del firmante, generando la firma digital. El documento firmado, junto con la firma y el certificado digital, se envía al destinatario. Para verificar la firma, el receptor descifra el resumen con la clave pública del firmante, genera un nuevo hash del documento recibido y compara ambos resúmenes. Si coinciden, la firma es válida y el documento no ha sido alterado.

Tipos de firma electrónica. En el ámbito de la AGE, se distinguen varios tipos de firma electrónica según su nivel de seguridad y reconocimiento legal. La firma electrónica avanzada cumple con los requisitos del artículo 26 del Reglamento eIDAS, garantizando la identificación del firmante y la integridad del documento. La firma electrónica cualificada, que se basa en un certificado cualificado y es generada mediante un dispositivo seguro de creación de firmas, tiene el mismo valor jurídico que la firma manuscrita. Por último, la firma electrónica simple no cumple con los requisitos de seguridad exigidos para los procedimientos administrativos.

Integración con plataformas. En la Administración General del Estado, los mecanismos de firma digital se integran en plataformas como @firma, desarrollada por el Ministerio de Asuntos Económicos y Transformación Digital. Esta plataforma permite la firma de documentos en múltiples formatos (PDF, XML, etc.) y es compatible con los certificados digitales más utilizados en la AGE. Además, facilita la verificación de firmas y la gestión de certificados, garantizando el cumplimiento de los requisitos del ENS y la normativa de interoperabilidad.

Seguridad y auditoría. La implementación de mecanismos de firma digital en la AGE requiere medidas de seguridad adicionales para proteger las claves privadas y evitar su uso fraudulento. Esto incluye el almacenamiento seguro de las claves en dispositivos criptográficos como tarjetas inteligentes o módulos de seguridad hardware (HSM). Asimismo, se deben registrar y auditar todas las operaciones de firma para garantizar la trazabilidad y el cumplimiento de los principios de seguridad establecidos en el ENS, como la autenticidad, la integridad y el no repudio.


🧩 Elementos esenciales

  • Firma electrónica avanzada: Cumple con los requisitos del Reglamento eIDAS, garantizando la identificación del firmante y la integridad del documento, pero no requiere un certificado cualificado.
  • Firma electrónica cualificada: Tiene el mismo valor jurídico que la firma manuscrita, se basa en un certificado cualificado y es generada mediante un dispositivo seguro de creación de firmas.
  • Certificado digital: Documento electrónico emitido por un prestador de servicios de confianza que vincula la identidad del firmante con su clave pública, incluyendo información como el nombre del titular y el período de validez.
  • Clave privada: Componente secreto del par de claves asimétricas, utilizado para generar la firma digital y que debe ser protegido frente a accesos no autorizados.
  • Clave pública: Componente del par de claves asimétricas que se comparte para verificar la firma digital y que está vinculada a la identidad del firmante mediante el certificado digital.
  • Función hash: Algoritmo criptográfico que genera un resumen único del documento original, esencial para el proceso de firma y verificación.
  • Plataforma @firma: Herramienta desarrollada por el Ministerio de Asuntos Económicos y Transformación Digital para la firma y verificación de documentos electrónicos en la AGE.
  • Dispositivo seguro de creación de firmas: Hardware o software que garantiza la protección de la clave privada y cumple con los requisitos del Reglamento eIDAS para la generación de firmas cualificadas.
  • No repudio: Principio de seguridad que impide al firmante negar la autoría de un documento firmado digitalmente, al estar vinculado de forma unívoca a su identidad.
  • Interoperabilidad: Capacidad de los sistemas de firma digital para operar entre diferentes administraciones y plataformas, garantizando el reconocimiento mutuo de las firmas electrónicas.
  • Reglamento eIDAS: Normativa europea que establece el marco jurídico para la identificación electrónica y los servicios de confianza, incluyendo la firma electrónica.
  • Esquema Nacional de Seguridad (ENS): Marco normativo que regula los requisitos de seguridad en el uso de medios electrónicos en la AGE, incluyendo los mecanismos de firma digital.

🧠 Recuerda

  • La firma digital en la AGE se rige por el Real Decreto 311/2022 (ENS) y la Ley 39/2015 (LPACAP), que reconocen su validez jurídica en los procedimientos administrativos.
  • La criptografía asimétrica es la base técnica de la firma digital, utilizando un par de claves (privada y pública) para firmar y verificar documentos.
  • Los certificados digitales, emitidos por prestadores de servicios de confianza, vinculan la identidad del firmante con su clave pública y son esenciales para la validez de la firma.
  • El proceso de firma incluye la generación de un hash del documento, su cifrado con la clave privada y la verificación mediante la clave pública.
  • Existen diferentes tipos de firma electrónica, siendo la firma cualificada la que tiene el mismo valor jurídico que la firma manuscrita.
  • La plataforma @firma es la herramienta principal para la firma y verificación de documentos en la AGE, garantizando la interoperabilidad y el cumplimiento normativo.
  • La seguridad de la firma digital depende de la protección de la clave privada y del uso de dispositivos seguros de creación de firmas.
  • La firma digital garantiza los principios de autenticidad, integridad y no repudio, fundamentales para la seguridad en los procedimientos electrónicos.
  • La interoperabilidad entre administraciones es clave para el reconocimiento mutuo de las firmas electrónicas en el ámbito de la AGE.
  • El Reglamento eIDAS establece el marco europeo para la identificación electrónica y los servicios de confianza, incluyendo la firma digital.

6. Redes privadas virtuales

6. Redes privadas virtuales

🎯 Idea clave

  • Las redes privadas virtuales (VPN) permiten establecer conexiones seguras sobre infraestructuras públicas como Internet.
  • Su objetivo principal es garantizar la confidencialidad, integridad y autenticidad de las comunicaciones entre puntos remotos.
  • Se basan en el uso de técnicas criptográficas para proteger los datos transmitidos.
  • En la Administración General del Estado, las VPN son esenciales para el acceso remoto seguro a recursos internos.
  • Su implementación debe alinearse con los requisitos del Esquema Nacional de Seguridad (ENS).
  • Las VPN pueden clasificarse según su arquitectura, protocolos utilizados o ámbito de aplicación.

📚 Desarrollo

Definición y propósito. Una red privada virtual (VPN) es una tecnología que crea un túnel seguro entre dos o más dispositivos a través de una red pública, como Internet. Su finalidad es simular una conexión privada, garantizando que los datos transmitidos estén protegidos frente a accesos no autorizados, interceptaciones o manipulaciones. En el ámbito de la Administración General del Estado, las VPN son fundamentales para permitir el acceso remoto a sistemas internos de forma segura, especialmente en contextos de teletrabajo o colaboración entre organismos.

Técnicas criptográficas. Las VPN emplean protocolos criptográficos para cifrar los datos y asegurar su confidencialidad e integridad. Entre los protocolos más utilizados se encuentran IPsec (Internet Protocol Security), SSL/TLS (Secure Sockets Layer/Transport Layer Security) y OpenVPN. IPsec opera en la capa de red y es ampliamente utilizado en entornos corporativos, mientras que SSL/TLS actúa en la capa de transporte y es común en soluciones de acceso remoto. La elección del protocolo depende de los requisitos de seguridad, compatibilidad y rendimiento.

Arquitectura y tipos. Las VPN pueden clasificarse según su arquitectura en dos tipos principales: VPN de acceso remoto y VPN sitio a sitio. Las VPN de acceso remoto permiten a usuarios individuales conectarse a una red corporativa desde ubicaciones externas, mientras que las VPN sitio a sitio interconectan redes completas, como sedes de un mismo organismo. En la Administración General del Estado, ambos tipos son relevantes, ya que facilitan tanto el teletrabajo como la interoperabilidad entre administraciones.

Requisitos del ENS. El Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad, establece que las comunicaciones entre sistemas de información deben protegerse mediante medidas que garanticen su confidencialidad, integridad y disponibilidad. Las VPN son una herramienta clave para cumplir con estos requisitos, especialmente en el nivel alto de seguridad, donde se exige el uso de cifrado robusto y autenticación fuerte. Además, el Centro Criptológico Nacional (CCN) emite guías, como la CCN-STIC 807, que orientan sobre la implementación segura de estas tecnologías.

Autenticación y control de acceso. La autenticación en una VPN es un proceso crítico para garantizar que solo usuarios autorizados puedan acceder a los recursos. Se emplean mecanismos como certificados digitales, contraseñas de un solo uso (OTP) o autenticación multifactor (MFA). En la Administración General del Estado, la autenticación suele integrarse con sistemas centralizados, como el Directorio Activo o plataformas de identidad federada, para simplificar la gestión y mejorar la seguridad.

Protocolos y estándares. Los protocolos más utilizados en las VPN incluyen IPsec, que combina autenticación y cifrado en la capa de red, y SSL/TLS, que opera en la capa de transporte y es compatible con navegadores web. OpenVPN es otra alternativa popular por su flexibilidad y código abierto. La elección del protocolo debe considerar factores como la compatibilidad con los sistemas existentes, el nivel de seguridad requerido y la facilidad de implementación. En entornos públicos, es fundamental seleccionar protocolos que cumplan con los estándares del ENS.

Integración con otras medidas de seguridad. Las VPN no son una solución aislada, sino que deben integrarse con otras medidas de seguridad, como firewalls, sistemas de detección de intrusos (IDS) y soluciones de monitorización. En la Administración General del Estado, esta integración es esencial para cumplir con los principios de defensa en profundidad y minimizar riesgos. Además, las VPN deben configurarse para registrar eventos relevantes, como intentos de acceso fallidos o conexiones sospechosas, facilitando así la auditoría y el cumplimiento normativo.

🧩 Elementos esenciales

  • VPN de acceso remoto: Permite a usuarios individuales conectarse de forma segura a una red corporativa desde ubicaciones externas.
  • VPN sitio a sitio: Interconecta redes completas, como sedes de un mismo organismo, garantizando comunicaciones seguras entre ellas.
  • IPsec: Protocolo de seguridad que opera en la capa de red, proporcionando cifrado y autenticación para las comunicaciones VPN.
  • SSL/TLS: Protocolo que opera en la capa de transporte, utilizado en VPN para cifrar datos y autenticar servidores y clientes.
  • OpenVPN: Solución de código abierto que ofrece flexibilidad y compatibilidad con múltiples plataformas y protocolos.
  • Autenticación multifactor (MFA): Mecanismo que combina dos o más factores de autenticación para aumentar la seguridad en el acceso a VPN.
  • Certificados digitales: Herramienta utilizada para autenticar usuarios y dispositivos en una VPN, garantizando su identidad.
  • Túnel seguro: Conexión cifrada entre dos puntos a través de una red pública, base del funcionamiento de las VPN.
  • Confidencialidad: Principio de seguridad que garantiza que los datos transmitidos a través de una VPN solo sean accesibles para usuarios autorizados.
  • Integridad: Principio que asegura que los datos no han sido alterados durante su transmisión en una VPN.
  • ENS (Esquema Nacional de Seguridad): Marco normativo que establece los requisitos de seguridad para las comunicaciones en la Administración General del Estado, incluyendo el uso de VPN.
  • CCN-STIC 807: Guía del Centro Criptológico Nacional que orienta sobre la implementación segura de VPN en entornos públicos.

🧠 Recuerda

  • Las VPN son esenciales para garantizar comunicaciones seguras en entornos remotos o entre sedes.
  • Su implementación debe alinearse con los requisitos del Esquema Nacional de Seguridad (ENS).
  • Los protocolos más utilizados son IPsec, SSL/TLS y OpenVPN, cada uno con ventajas y ámbitos de aplicación específicos.
  • La autenticación en una VPN debe ser robusta, preferiblemente mediante certificados digitales o autenticación multifactor.
  • Las VPN de acceso remoto y sitio a sitio cubren necesidades distintas en la Administración General del Estado.
  • El cifrado es la base de la seguridad en una VPN, protegiendo la confidencialidad e integridad de los datos.
  • Las VPN deben integrarse con otras medidas de seguridad, como firewalls y sistemas de monitorización.
  • La configuración de una VPN debe incluir registros de eventos para facilitar la auditoría y el cumplimiento normativo.
  • El Centro Criptológico Nacional (CCN) emite guías específicas para la implementación segura de VPN en la Administración.
  • Las VPN no son una solución aislada, sino parte de una estrategia de seguridad integral.

7. Seguridad en el puesto del usuario

7. Seguridad en el puesto del usuario

🎯 Idea clave

  • La seguridad en el puesto del usuario es el último eslabón de la cadena de protección en redes de la Administración General del Estado.
  • Requiere combinar medidas técnicas, organizativas y formativas para mitigar riesgos derivados del factor humano.
  • El Esquema Nacional de Seguridad (ENS) establece principios y requisitos aplicables a los dispositivos finales.
  • La protección del endpoint incluye tanto hardware como software, con especial atención a actualizaciones y configuraciones seguras.
  • La concienciación y formación continua del usuario son elementos críticos para prevenir incidentes.
  • Las políticas de seguridad deben ser claras, accesibles y aplicables en entornos de trabajo presencial y remoto.

📚 Desarrollo

Marco normativo aplicable. La seguridad en el puesto del usuario se enmarca en el Real Decreto 311/2022, que regula el Esquema Nacional de Seguridad (ENS). Este texto establece que los sistemas de información deben protegerse en todos sus componentes, incluyendo los dispositivos finales utilizados por los empleados. El ENS clasifica los sistemas según su nivel de criticidad y exige medidas proporcionales a los riesgos identificados.

Protección del endpoint. Los dispositivos finales, como ordenadores de sobremesa, portátiles o dispositivos móviles, son puntos vulnerables en la red. Deben contar con soluciones de seguridad como antivirus, cortafuegos locales y sistemas de detección de intrusiones. Además, es esencial mantener actualizados los sistemas operativos y las aplicaciones para corregir vulnerabilidades conocidas. La CCN-STIC 807 proporciona directrices específicas para la configuración segura de estos equipos.

Control de accesos y autenticación. El acceso al puesto de usuario debe regirse por el principio de mínimo privilegio, garantizando que cada empleado disponga únicamente de los permisos necesarios para sus funciones. La autenticación debe ser robusta, preferiblemente mediante doble factor (2FA), y las contraseñas deben cumplir criterios de complejidad y renovación periódica. Las políticas de acceso deben revisarse regularmente para adaptarse a cambios en las responsabilidades del personal.

Protección de la información. Los datos almacenados o procesados en el puesto del usuario deben estar protegidos mediante cifrado, tanto en reposo como en tránsito. Esto incluye el uso de protocolos seguros para la transmisión de información, como HTTPS o VPN, y la aplicación de políticas de gestión de documentos que eviten fugas o accesos no autorizados. El ENS exige que la información clasificada como sensible cuente con medidas adicionales de protección.

Formación y concienciación. El factor humano es una de las principales causas de incidentes de seguridad. Por ello, la Administración General del Estado debe implementar programas de formación continua para concienciar a los usuarios sobre riesgos como el phishing, malware o ingeniería social. Estos programas deben incluir simulacros prácticos y materiales actualizados que reflejen las amenazas más recientes.

Seguridad en entornos remotos. El teletrabajo y el acceso remoto a los sistemas de la Administración exigen medidas específicas para garantizar la seguridad. Esto incluye el uso obligatorio de VPN para conectarse a la red corporativa, la prohibición de acceder a recursos sensibles desde redes públicas no seguras y la aplicación de políticas de BYOD (Bring Your Own Device) cuando se permitan dispositivos personales.

Monitorización y respuesta a incidentes. Los puestos de usuario deben estar sujetos a monitorización continua para detectar actividades sospechosas o intentos de intrusión. En caso de incidente, debe existir un protocolo de respuesta que incluya la notificación inmediata al responsable de seguridad, el aislamiento del dispositivo afectado y la recuperación de la información comprometida. La CCN-STIC 807 detalla los procedimientos para la gestión de incidentes en entornos de la Administración.

Políticas de uso aceptable. Los usuarios deben conocer y aceptar las normas de uso de los recursos informáticos de la Administración. Estas políticas deben definir qué acciones están permitidas o prohibidas, como la instalación de software no autorizado, el acceso a sitios web de riesgo o el uso de dispositivos de almacenamiento externos sin control. El incumplimiento de estas normas debe conllevar consecuencias disciplinarias.


🧩 Elementos esenciales

  • Endpoint: Dispositivo final (ordenador, móvil, etc.) que requiere protección específica contra amenazas.
  • ENS (Esquema Nacional de Seguridad): Marco normativo que establece requisitos de seguridad para los sistemas de la Administración, incluyendo los puestos de usuario.
  • CCN-STIC 807: Guía técnica del Centro Criptológico Nacional que detalla medidas de seguridad aplicables a los dispositivos finales.
  • Mínimo privilegio: Principio que limita los permisos de los usuarios a lo estrictamente necesario para sus funciones.
  • Autenticación multifactor (2FA): Método de verificación de identidad que combina dos o más factores (contraseña, token, biometría).
  • Cifrado: Técnica para proteger la confidencialidad de los datos mediante algoritmos criptográficos.
  • VPN (Red Privada Virtual): Herramienta que permite conexiones seguras a la red corporativa desde ubicaciones remotas.
  • Phishing: Técnica de ingeniería social que engaña a los usuarios para obtener información confidencial.
  • BYOD (Bring Your Own Device): Política que regula el uso de dispositivos personales en entornos laborales.
  • Monitorización continua: Supervisión constante de la actividad en los puestos de usuario para detectar anomalías.
  • Política de uso aceptable: Normas que definen el comportamiento permitido en el uso de los recursos informáticos.
  • Formación en ciberseguridad: Programas educativos para concienciar a los usuarios sobre riesgos y buenas prácticas.

🧠 Recuerda

  • La seguridad en el puesto del usuario es tan crítica como la protección perimetral o de red.
  • El ENS y la CCN-STIC 807 son las referencias normativas clave para este ámbito.
  • La formación del usuario es una medida preventiva fundamental contra amenazas como el phishing.
  • Los dispositivos finales deben estar actualizados y configurados según estándares de seguridad.
  • El acceso remoto requiere medidas adicionales, como el uso de VPN y autenticación robusta.
  • Las políticas de uso aceptable deben ser claras y conocidas por todos los empleados.
  • La monitorización y respuesta a incidentes son esenciales para minimizar el impacto de posibles brechas.
  • El principio de mínimo privilegio reduce el riesgo de accesos no autorizados.
  • El cifrado protege la información tanto en reposo como en tránsito.
  • La concienciación continua es clave para mantener una cultura de seguridad en la organización.

Prueba la demo si quieres ver el resto

Has abierto una ruta pública de tema. La demo te deja ver cómo encajan temario, preguntas y simulacros dentro de OPOAGE.

Qué vas a probar

Una demo pensada para decidir con criterio

Formato real de estudio

Practica con preguntas justificadas y comprueba si la forma de preparar Gestion de Sistemas e Informatica del Estado encaja contigo.

Temario y simulacros

Verás cómo se integran el temario, las explicaciones y los simulacros dentro del mismo recorrido OPOAGE.

Acceso por correo

Con tu nombre, tu email y la categoría AGE, te enviamos el enlace para terminar el acceso demo.

Gratis Sin compromiso AGE01 a AGE08

Solicita ya tu acceso Demo

Sólo tu email, tu nombre y la categoría AGE. La demo es gratuita.

Acceso por email Rutas AGE activas Login real en mail.opoage.es

Si ya tienes cuenta, entra desde acceso o usa la recuperación de contraseña.

Las convocatorias y bases oficiales se consultan siempre en INAP y BOE.

Preguntas frecuentes

Preguntas clave sobre Gestion de Sistemas e Informatica del Estado y OPOAGE

¿Por que incluir GSI antes que otros cuerpos grandes?

Porque refuerza una rama ya abierta con TAI y mantiene el foco en cuerpos AGE de informatica.

¿Es igual que TAI?

No. TAI es C1 y GSI es A2, con mas profundidad tecnica y otro nivel de exigencia.

¿Encaja con test de cuatro respuestas?

Si. El estudio la incluye por su formato de cuestionarios con respuestas alternativas dentro de la convocatoria AGE.