Tema específico

Tema 32. Seguridad y protección en redes de comunicaciones. Seguridad perimetral. Acceso remoto seguro a redes. Redes privadas virtuales (VPN). Seguridad en el puesto del usuario.

Seguridad y protección en redes de comunicaciones 🎯 Idea clave La seguridad en redes de comunicaciones de la Administración General del Estado (AGE) garantiza la confidencialidad, integridad, disponib…

AGE04 C1 04/07/2026

TAI comparte con Administrativo la logica de supuesto practico, pero con mas carga tecnica y un tiempo total mas largo.

Lectura pública del tema

1. Seguridad y protección en redes de comunicaciones

1. Seguridad y protección en redes de comunicaciones

🎯 Idea clave

  • La seguridad en redes de comunicaciones de la Administración General del Estado (AGE) garantiza la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.
  • El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, establece los principios y medidas obligatorias para proteger las redes en la AGE.
  • Las amenazas pueden ser externas, internas o físicas, y requieren medidas técnicas, operativas y organizativas para mitigarlas.
  • La segmentación de redes, el cifrado de comunicaciones y el control de acceso son pilares fundamentales en la protección de infraestructuras críticas.
  • La monitorización continua y la respuesta a incidentes son esenciales para mantener la seguridad en entornos dinámicos.
  • Las guías CCN-STIC proporcionan directrices específicas para implementar medidas de seguridad en redes de la AGE.

📚 Desarrollo

Definición y alcance. La seguridad en redes de comunicaciones abarca el conjunto de medidas diseñadas para proteger la infraestructura, los datos y los servicios que se transmiten a través de redes en la Administración General del Estado. Su objetivo es garantizar que la información sea accesible solo para quienes estén autorizados, se mantenga íntegra y esté disponible cuando se necesite. Este ámbito incluye no solo la protección de los datos en tránsito, sino también la seguridad de los dispositivos, protocolos y servicios que componen la red.

Marco normativo. El Real Decreto 311/2022, que regula el Esquema Nacional de Seguridad (ENS), es la norma principal que establece los requisitos de seguridad para las redes de la AGE. Este marco exige la implementación de medidas técnicas, operativas y organizativas para proteger los sistemas de información. Además, el Real Decreto-ley 12/2018 y la Directiva NIS2 refuerzan la seguridad de los operadores esenciales, mientras que el RGPD y la LOPDGDD regulan la protección de datos personales en las comunicaciones. Las guías CCN-STIC, como la CCN-STIC 800 y 825, son de obligado cumplimiento para sistemas de nivel alto y medio.

Amenazas principales. Las redes de la AGE enfrentan amenazas externas, como malware, phishing, ataques de denegación de servicio (DDoS) y explotación de vulnerabilidades en protocolos o software. Las amenazas internas incluyen accesos no autorizados, fugas de datos o errores humanos, mientras que las físicas abarcan robos de hardware o desastres naturales. Estas amenazas pueden comprometer la confidencialidad, integridad o disponibilidad de la información, por lo que requieren una estrategia de seguridad integral que combine prevención, detección y respuesta.

Medidas técnicas esenciales. Para proteger las redes, la AGE implementa medidas como el cifrado de comunicaciones mediante protocolos como TLS 1.2/1.3, IPsec o WPA3-Enterprise. La segmentación de redes se realiza mediante VLANs, DMZ (Zonas Desmilitarizadas) y firewalls, que limitan el acceso a recursos críticos. El control de acceso se gestiona con autenticación multifactor (MFA), sistemas de gestión de identidades (IAM) y el principio de mínimo privilegio. La monitorización continua se lleva a cabo con herramientas SIEM, registros de logs y auditorías periódicas, mientras que la disponibilidad se garantiza con redundancia, copias de seguridad y sistemas anti-DDoS.

Infraestructuras críticas. En la AGE, la Red SARA es la infraestructura principal que interconecta de forma segura a los distintos organismos públicos, facilitando servicios como la Plataforma de Intermediación de Datos (PID). Otras infraestructuras clave incluyen Cl@ve, para la autenticación electrónica de ciudadanos y empleados, y el CCN-CERT, encargado de la respuesta a incidentes de seguridad y la monitorización de amenazas. Estas infraestructuras deben cumplir con los requisitos del ENS y las guías CCN-STIC para garantizar su protección.

Protocolos y estándares. Los protocolos seguros son fundamentales para proteger las comunicaciones en la AGE. El uso de HTTPS es obligatorio para el acceso a servicios web, mientras que DNSSEC garantiza la integridad de las resoluciones DNS. IPsec y TLS se emplean para el cifrado de comunicaciones en VPNs y accesos remotos, y BGP se utiliza para el encaminamiento seguro entre sistemas autónomos, como en la Red SARA. Estos protocolos aseguran que los datos se transmitan de forma confidencial y sin alteraciones.

Enfoque integral. La seguridad en redes no se limita a medidas técnicas, sino que también incluye aspectos operativos y organizativos. La formación de los empleados, la definición de políticas de seguridad y la colaboración entre organismos son esenciales para crear una cultura de seguridad. Además, la AGE prioriza soluciones autoalojadas o de código abierto para garantizar la soberanía tecnológica y el cumplimiento del Esquema Nacional de Interoperabilidad (ENI).


🧩 Elementos esenciales

  • Confidencialidad: Garantiza que la información solo sea accesible para quienes estén autorizados, mediante cifrado y control de acceso.
  • Integridad: Asegura que los datos no sean alterados durante su transmisión, utilizando protocolos como DNSSEC o TLS.
  • Disponibilidad: Garantiza que los servicios y datos estén accesibles cuando se necesiten, mediante redundancia y protección contra DDoS.
  • Autenticidad: Verifica la identidad de los usuarios y sistemas mediante autenticación multifactor (MFA) y certificados digitales.
  • Trazabilidad: Registra y audita todas las acciones realizadas en la red para detectar y responder a incidentes.
  • ENS (Real Decreto 311/2022): Marco normativo que establece los principios y medidas de seguridad obligatorias para la AGE.
  • Guías CCN-STIC: Directrices técnicas de obligado cumplimiento para sistemas de nivel alto y medio, como la CCN-STIC 800 y 825.
  • Cifrado: Uso de protocolos como TLS 1.2/1.3, IPsec o WPA3-Enterprise para proteger las comunicaciones.
  • Segmentación de redes: División de la red en VLANs, DMZ y firewalls para limitar el acceso a recursos críticos.
  • Control de acceso: Implementación de MFA, IAM y el principio de mínimo privilegio para gestionar permisos.
  • Monitorización: Uso de herramientas SIEM, logs y auditorías para detectar y responder a amenazas en tiempo real.
  • Red SARA: Infraestructura crítica que interconecta a los organismos públicos de la AGE de forma segura.

🧠 Recuerda

  • La seguridad en redes de la AGE se basa en los principios de confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
  • El Real Decreto 311/2022 (ENS) es la norma principal que regula las medidas de seguridad en las redes de la Administración.
  • Las amenazas pueden ser externas, internas o físicas, y requieren un enfoque integral para mitigarlas.
  • El cifrado, la segmentación de redes y el control de acceso son medidas técnicas clave para proteger las comunicaciones.
  • Las guías CCN-STIC son de obligado cumplimiento para sistemas de nivel alto y medio en la AGE.
  • La Red SARA y otras infraestructuras críticas deben cumplir con los requisitos del ENS y las guías CCN-STIC.
  • La monitorización continua y la respuesta a incidentes son esenciales para mantener la seguridad en entornos dinámicos.
  • Los protocolos seguros como HTTPS, DNSSEC, IPsec y TLS son fundamentales para proteger las comunicaciones.
  • La seguridad en redes no se limita a medidas técnicas, sino que también incluye aspectos operativos y organizativos.
  • La formación de los empleados y la colaboración entre organismos son clave para crear una cultura de seguridad.

2. Seguridad perimetral

2. Seguridad perimetral

🎯 Idea clave

  • La seguridad perimetral constituye la primera línea de defensa en las redes de la Administración General del Estado.
  • Su objetivo principal es proteger los límites de la red frente a accesos no autorizados y amenazas externas.
  • Incluye dispositivos y tecnologías especializadas para filtrar, monitorizar y controlar el tráfico entrante y saliente.
  • Se basa en el principio de defensa en profundidad, combinando múltiples capas de protección.
  • Su implementación debe alinearse con los requisitos del Esquema Nacional de Seguridad.
  • Es esencial para garantizar la confidencialidad, integridad y disponibilidad de los sistemas de información.

📚 Desarrollo

Definición y alcance. La seguridad perimetral se refiere al conjunto de medidas técnicas y organizativas diseñadas para proteger el límite entre la red interna de la Administración y las redes externas, como Internet. Su función es prevenir intrusiones, detectar actividades sospechosas y bloquear amenazas antes de que alcancen los sistemas internos. En el contexto de la AGE, esta protección es crítica debido a la sensibilidad de los datos manejados y la obligación de cumplir con el Esquema Nacional de Seguridad.

Marco normativo aplicable. El Real Decreto 311/2022, que regula el Esquema Nacional de Seguridad, establece los principios y medidas obligatorias para la protección de las redes de comunicaciones en la Administración. La seguridad perimetral debe implementarse conforme a estas directrices, garantizando que las soluciones adoptadas cumplan con los niveles de seguridad requeridos para cada sistema. Además, las guías CCN-STIC proporcionan pautas específicas para la configuración y gestión de los dispositivos perimetrales.

Dispositivos clave. Los elementos fundamentales de la seguridad perimetral incluyen firewalls, sistemas de detección y prevención de intrusos (IDS/IPS), y pasarelas de seguridad. Los firewalls actúan como barrera filtrando el tráfico según reglas predefinidas, mientras que los IDS/IPS analizan el tráfico en tiempo real para identificar y bloquear patrones maliciosos. Estos dispositivos deben configurarse para permitir únicamente el tráfico autorizado y bloquear cualquier intento de acceso no legítimo.

Segmentación de redes. Una estrategia esencial en la seguridad perimetral es la segmentación de la red, que consiste en dividir la infraestructura en zonas con distintos niveles de seguridad. Las zonas desmilitarizadas (DMZ) son un ejemplo común, donde se alojan servicios públicos como servidores web, separados de la red interna para minimizar el riesgo de exposición. Esta segmentación limita el movimiento lateral de posibles atacantes y reduce el impacto de una brecha de seguridad.

Control de acceso. El acceso a la red perimetral debe regirse por el principio de mínimo privilegio, garantizando que solo los usuarios y sistemas autorizados puedan interactuar con los recursos. Esto incluye la implementación de autenticación multifactor (MFA) para accesos remotos y la gestión centralizada de identidades mediante sistemas como LDAP. Además, se deben establecer políticas de acceso basadas en roles para restringir el tráfico a lo estrictamente necesario.

Monitorización y respuesta. La seguridad perimetral no se limita a la prevención, sino que también incluye la monitorización continua del tráfico y la respuesta ante incidentes. Los sistemas de gestión de eventos e información de seguridad (SIEM) permiten recopilar y analizar logs de los dispositivos perimetrales para detectar anomalías. En caso de incidente, el CCN-CERT proporciona directrices para la gestión y mitigación, asegurando una respuesta coordinada y efectiva.

Integración con infraestructuras críticas. En la AGE, la seguridad perimetral está estrechamente ligada a infraestructuras como la Red SARA, que interconecta a las distintas administraciones públicas. Los dispositivos perimetrales deben configurarse para garantizar la seguridad de esta red, protegiendo tanto el tráfico interno como las comunicaciones con otros organismos. Esto incluye el uso de protocolos seguros como IPsec para el cifrado de las comunicaciones.

Actualización y mantenimiento. La efectividad de la seguridad perimetral depende de su correcta configuración y mantenimiento. Los dispositivos deben actualizarse regularmente para corregir vulnerabilidades conocidas, y las reglas de filtrado deben revisarse periódicamente para adaptarse a nuevas amenazas. Además, es fundamental realizar auditorías de seguridad para verificar el cumplimiento de las políticas establecidas y detectar posibles configuraciones incorrectas.

🧩 Elementos esenciales

  • Firewall: Dispositivo o software que filtra el tráfico de red según reglas predefinidas, bloqueando accesos no autorizados.
  • IDS/IPS: Sistemas de detección y prevención de intrusos que analizan el tráfico en tiempo real para identificar y bloquear amenazas.
  • DMZ (Zona Desmilitarizada): Segmento de red aislado donde se alojan servicios públicos, separado de la red interna para reducir riesgos.
  • Segmentación de red: División de la infraestructura en zonas con distintos niveles de seguridad para limitar el impacto de posibles brechas.
  • Autenticación multifactor (MFA): Mecanismo de verificación de identidad que requiere múltiples factores para conceder acceso.
  • Principio de mínimo privilegio: Estrategia que restringe el acceso a los recursos solo a aquellos usuarios y sistemas que lo necesiten.
  • SIEM: Sistema de gestión de eventos e información de seguridad que centraliza y analiza logs para detectar anomalías.
  • Red SARA: Infraestructura crítica de la AGE que interconecta organismos públicos y requiere protección perimetral específica.
  • IPsec: Protocolo de seguridad utilizado para cifrar y autenticar comunicaciones en redes IP, esencial en VPN y accesos remotos.
  • Guías CCN-STIC: Documentos técnicos que proporcionan pautas para la configuración segura de dispositivos perimetrales.
  • Auditorías de seguridad: Evaluaciones periódicas para verificar el cumplimiento de políticas y detectar vulnerabilidades en la seguridad perimetral.
  • CCN-CERT: Equipo de respuesta a incidentes de seguridad que apoya a la AGE en la gestión y mitigación de amenazas.

🧠 Recuerda

  • La seguridad perimetral es la primera barrera de protección frente a amenazas externas.
  • Debe alinearse con los requisitos del Esquema Nacional de Seguridad (ENS).
  • Los firewalls y los sistemas IDS/IPS son componentes clave para filtrar y monitorizar el tráfico.
  • La segmentación de redes, como las DMZ, reduce el riesgo de exposición de sistemas internos.
  • El principio de mínimo privilegio y la autenticación multifactor son esenciales para controlar el acceso.
  • La monitorización continua mediante SIEM permite detectar y responder a incidentes de seguridad.
  • La Red SARA requiere protección perimetral específica para garantizar la seguridad de las comunicaciones entre administraciones.
  • Las guías CCN-STIC proporcionan directrices técnicas para la configuración segura de dispositivos.
  • Las auditorías periódicas son fundamentales para mantener la efectividad de la seguridad perimetral.
  • La actualización constante de dispositivos y reglas es crucial para adaptarse a nuevas amenazas.

3. Acceso remoto seguro a redes

3. Acceso remoto seguro a redes

🎯 Idea clave

  • El acceso remoto seguro a redes permite a los empleados de la Administración General del Estado conectarse a los sistemas corporativos desde ubicaciones externas manteniendo los estándares de seguridad.
  • Requiere autenticación robusta para verificar la identidad del usuario antes de conceder acceso a los recursos internos.
  • El cifrado de las comunicaciones es esencial para proteger la confidencialidad e integridad de los datos transmitidos.
  • Las soluciones de acceso remoto deben cumplir con el Esquema Nacional de Seguridad (ENS) y otras normativas aplicables a la AGE.
  • La monitorización continua y el registro de actividades son fundamentales para detectar y responder a posibles incidentes de seguridad.
  • El principio de mínimo privilegio debe aplicarse para limitar el acceso a los recursos estrictamente necesarios.

📚 Desarrollo

Definición y propósito. El acceso remoto seguro a redes consiste en mecanismos que permiten a los usuarios conectarse a los sistemas de la Administración General del Estado desde fuera de las instalaciones físicas, garantizando que la conexión sea segura y cumpla con los requisitos de confidencialidad, integridad y disponibilidad. Este tipo de acceso es crítico para el teletrabajo, la movilidad de los empleados y la continuidad de los servicios públicos.

Marco normativo aplicable. El acceso remoto en la AGE debe ajustarse al Real Decreto 311/2022 (ENS), que establece medidas obligatorias para proteger las comunicaciones y los sistemas de información. Además, debe cumplir con el Esquema Nacional de Interoperabilidad (ENI) y las guías técnicas del CCN-STIC, especialmente las relacionadas con el cifrado y la autenticación. La Ley 40/2015 también regula aspectos de la administración electrónica que afectan a este tipo de conexiones.

Autenticación robusta. Para garantizar la identidad del usuario, el acceso remoto debe implementar autenticación multifactor (MFA), combinando al menos dos factores: algo que el usuario sabe (contraseña), algo que posee (token o certificado digital) o algo que es (biometría). En la AGE, se priorizan soluciones como Cl@ve o certificados electrónicos reconocidos, que cumplen con los estándares de seguridad exigidos.

Cifrado de comunicaciones. Todas las conexiones remotas deben estar protegidas mediante protocolos de cifrado como TLS 1.2 o superior o IPsec, que garantizan la confidencialidad e integridad de los datos transmitidos. El uso de VPN (Redes Privadas Virtuales) es una práctica habitual en la AGE para crear túneles seguros entre el dispositivo del usuario y la red corporativa, evitando la exposición de información sensible.

Control de acceso y mínimo privilegio. El acceso remoto debe regirse por el principio de mínimo privilegio, concediendo solo los permisos necesarios para realizar las tareas específicas de cada usuario. Esto reduce el riesgo de accesos no autorizados o fugas de información. Además, se deben implementar listas de control de acceso (ACL) y políticas de segmentación de red para limitar el tráfico a los recursos estrictamente necesarios.

Monitorización y registro. La actividad de los usuarios en acceso remoto debe ser monitorizada y registrada en logs centralizados, permitiendo la detección temprana de comportamientos anómalos o intentos de intrusión. Herramientas como SIEM (Security Information and Event Management) son clave para analizar estos registros y generar alertas en tiempo real. El CCN-CERT proporciona directrices específicas para la gestión de incidentes en este ámbito.

Infraestructuras críticas en la AGE. La Red SARA y la Plataforma de Intermediación de Datos (PID) son ejemplos de infraestructuras que requieren acceso remoto seguro para su operación y mantenimiento. Estas redes interconectan organismos públicos y exigen medidas adicionales de protección, como la segmentación de redes y el uso de firewalls avanzados, para evitar accesos no autorizados desde conexiones remotas.

Formación y concienciación. Los usuarios con acceso remoto deben recibir formación periódica sobre buenas prácticas de seguridad, como la identificación de intentos de phishing, el uso seguro de contraseñas o la protección de dispositivos personales. La concienciación es un pilar fundamental para reducir riesgos derivados de errores humanos o malas prácticas.


🧩 Elementos esenciales

  • Autenticación multifactor (MFA): Mecanismo que combina dos o más factores de autenticación para verificar la identidad del usuario, reduciendo el riesgo de accesos no autorizados.
  • Cifrado TLS/IPsec: Protocolos utilizados para proteger las comunicaciones remotas, garantizando la confidencialidad e integridad de los datos transmitidos.
  • VPN (Red Privada Virtual): Tecnología que crea un túnel seguro entre el dispositivo del usuario y la red corporativa, evitando la exposición de información en redes públicas.
  • Principio de mínimo privilegio: Estrategia que limita el acceso de los usuarios a los recursos estrictamente necesarios para realizar sus funciones, minimizando riesgos.
  • Segmentación de red: Técnica que divide la red en segmentos aislados para controlar el tráfico y limitar el acceso a recursos críticos desde conexiones remotas.
  • Monitorización con SIEM: Herramientas que centralizan y analizan los registros de actividad para detectar y responder a incidentes de seguridad en tiempo real.
  • Cl@ve: Sistema de autenticación electrónica utilizado en la AGE para acceder a servicios públicos de forma segura, compatible con el acceso remoto.
  • Certificados digitales: Mecanismo de autenticación basado en criptografía asimétrica, reconocido por la AGE para conexiones seguras.
  • Firewalls avanzados: Dispositivos que filtran el tráfico entre redes, aplicando políticas de seguridad para bloquear accesos no autorizados desde conexiones remotas.
  • Logs centralizados: Registros de actividad que permiten auditar y analizar las conexiones remotas, facilitando la detección de incidentes.
  • Red SARA: Infraestructura crítica de la AGE que interconecta organismos públicos y requiere acceso remoto seguro para su gestión.
  • Concienciación en seguridad: Formación obligatoria para usuarios con acceso remoto, enfocada en buenas prácticas y prevención de riesgos.

🧠 Recuerda

  • El acceso remoto seguro es esencial para el teletrabajo y la movilidad en la AGE, pero debe cumplir con el ENS y otras normativas.
  • La autenticación multifactor (MFA) es obligatoria para verificar la identidad de los usuarios en conexiones remotas.
  • El cifrado de comunicaciones (TLS/IPsec) protege la confidencialidad e integridad de los datos transmitidos.
  • Las VPN son la solución estándar para crear túneles seguros entre dispositivos externos y la red corporativa.
  • El principio de mínimo privilegio limita el acceso a los recursos estrictamente necesarios, reduciendo riesgos.
  • La monitorización continua y los logs centralizados son clave para detectar y responder a incidentes de seguridad.
  • La Red SARA y otras infraestructuras críticas requieren medidas adicionales de protección en accesos remotos.
  • La formación en seguridad es fundamental para prevenir errores humanos y malas prácticas en conexiones remotas.
  • Los certificados digitales y Cl@ve son mecanismos de autenticación reconocidos en la AGE para accesos seguros.
  • La segmentación de red y los firewalls avanzados ayudan a controlar el tráfico y proteger recursos críticos.

4. Redes privadas virtuales (VPN)

4. Redes privadas virtuales (VPN)

🎯 Idea clave

  • Las redes privadas virtuales (VPN) permiten establecer conexiones seguras y cifradas entre dispositivos a través de redes públicas como Internet.
  • Su implementación en la Administración General del Estado (AGE) garantiza el acceso remoto seguro a recursos internos, cumpliendo con el Esquema Nacional de Seguridad (ENS).
  • Las VPN utilizan protocolos de cifrado como IPsec y TLS para proteger la confidencialidad e integridad de los datos transmitidos.
  • Son esenciales para la interoperabilidad entre organismos públicos, especialmente en el marco de la Red SARA.
  • Su configuración debe alinearse con las guías CCN-STIC para sistemas de nivel alto y medio.
  • Constituyen una medida técnica clave para el control de acceso y la segmentación de redes en entornos administrativos.

📚 Desarrollo

Definición y propósito. Las redes privadas virtuales (VPN) son soluciones tecnológicas que crean túneles cifrados sobre redes públicas, permitiendo la transmisión segura de datos entre dispositivos remotos y redes internas. En la AGE, su uso está orientado a facilitar el acceso remoto a sistemas corporativos, garantizando que la información sensible circule protegida frente a interceptaciones o manipulaciones.

Marco normativo aplicable. El Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad (ENS), establece la obligatoriedad de implementar medidas de cifrado en las comunicaciones, especialmente en accesos remotos. Las guías CCN-STIC, como la 825, detallan los requisitos técnicos para la configuración de VPN en entornos administrativos, incluyendo algoritmos de cifrado y autenticación robusta.

Protocolos de seguridad. Las VPN en la AGE emplean principalmente dos protocolos: IPsec y TLS. IPsec opera en la capa de red, proporcionando cifrado punto a punto entre dispositivos, mientras que TLS actúa en la capa de transporte, siendo común en conexiones basadas en navegadores. Ambos protocolos son compatibles con los estándares del ENS y se utilizan en función del nivel de seguridad requerido (alto, medio o básico).

Integración con la Red SARA. La Red SARA, como infraestructura crítica de interconexión entre administraciones, incorpora VPN para asegurar las comunicaciones entre organismos. Esto permite el intercambio seguro de datos a través de la Plataforma de Intermediación de Datos (PID) y otros servicios transversales, cumpliendo con los principios de interoperabilidad del Esquema Nacional de Interoperabilidad (ENI).

Control de acceso y autenticación. Las VPN en la AGE implementan mecanismos de autenticación multifactor (MFA) para verificar la identidad de los usuarios antes de conceder acceso. Esto se complementa con políticas de mínimo privilegio, asegurando que cada usuario solo acceda a los recursos necesarios para su función. La gestión de identidades se integra con sistemas corporativos como LDAP o Cl@ve.

Segmentación y monitorización. Las VPN permiten segmentar el tráfico de red, aislando segmentos críticos del resto de la infraestructura. Esta segmentación se combina con herramientas de monitorización como SIEM para detectar y responder a incidentes de seguridad en tiempo real. La generación de logs y su análisis periódico son obligatorios según el ENS para sistemas de nivel medio y alto.

Despliegue y mantenimiento. La implementación de VPN en la AGE requiere una planificación que incluya la selección de soluciones compatibles con estándares abiertos, la configuración de firewalls perimetrales y la formación de usuarios. El mantenimiento incluye actualizaciones periódicas de software, revisión de certificados digitales y auditorías de seguridad para garantizar el cumplimiento continuo con el ENS.

Limitaciones y riesgos. Aunque las VPN son una herramienta esencial, su mal uso puede introducir vulnerabilidades, como la exposición de credenciales o la configuración incorrecta de túneles. Por ello, la AGE exige que su despliegue se realice siguiendo las directrices del CCN-CERT y que se documente cada implementación para facilitar su revisión y mejora continua.


🧩 Elementos esenciales

  • Túnel VPN: Conexión cifrada establecida entre un dispositivo remoto y una red interna, protegiendo los datos transmitidos.
  • IPsec: Protocolo de seguridad que opera en la capa de red, utilizado para cifrar y autenticar comunicaciones en VPN de la AGE.
  • TLS: Protocolo de seguridad en la capa de transporte, común en VPN basadas en navegadores y accesos web seguros.
  • Autenticación multifactor (MFA): Mecanismo obligatorio en la AGE para verificar la identidad de usuarios antes de conceder acceso a VPN.
  • Red SARA: Infraestructura de interconexión entre administraciones que utiliza VPN para garantizar comunicaciones seguras.
  • Guías CCN-STIC: Documentos técnicos que detallan los requisitos de configuración de VPN en entornos administrativos, como la CCN-STIC 825.
  • Segmentación de red: Técnica que aísla segmentos críticos mediante VPN, reduciendo el riesgo de propagación de amenazas.
  • Logs y auditorías: Registros obligatorios de actividad en VPN, necesarios para cumplir con el ENS y detectar incidentes.
  • Certificados digitales: Elementos criptográficos utilizados para autenticar dispositivos y usuarios en conexiones VPN.
  • Firewalls perimetrales: Dispositivos que controlan el tráfico entrante y saliente de la red, complementando la seguridad de las VPN.
  • Principio de mínimo privilegio: Política que limita el acceso de los usuarios a los recursos estrictamente necesarios para su función.
  • Interoperabilidad: Capacidad de las VPN para integrarse con sistemas como Cl@ve o la Plataforma de Intermediación de Datos (PID).

🧠 Recuerda

  • Las VPN son fundamentales para el acceso remoto seguro en la AGE, cumpliendo con el ENS.
  • IPsec y TLS son los protocolos de cifrado más utilizados en entornos administrativos.
  • La autenticación multifactor (MFA) es obligatoria para acceder a VPN en la AGE.
  • La Red SARA utiliza VPN para garantizar comunicaciones seguras entre organismos públicos.
  • Las guías CCN-STIC establecen los requisitos técnicos para la configuración de VPN.
  • La segmentación de red mediante VPN reduce el riesgo de exposición de datos sensibles.
  • Los logs y auditorías son esenciales para cumplir con el ENS y detectar incidentes.
  • Los certificados digitales son clave para autenticar conexiones VPN.
  • El principio de mínimo privilegio limita el acceso a recursos según las necesidades del usuario.
  • Las VPN deben integrarse con sistemas corporativos como LDAP o Cl@ve.
  • La monitorización continua es necesaria para garantizar la seguridad de las conexiones VPN.
  • Las actualizaciones periódicas y las auditorías son obligatorias para mantener la seguridad.

5. Seguridad en el puesto del usuario

5. Seguridad en el puesto del usuario

🎯 Idea clave

  • La seguridad en el puesto del usuario es el conjunto de medidas técnicas, organizativas y formativas destinadas a proteger los dispositivos finales y la información que manejan.
  • Incluye tanto aspectos físicos como lógicos, abarcando desde la protección del hardware hasta la gestión de accesos y la concienciación del usuario.
  • El Esquema Nacional de Seguridad (ENS) establece requisitos obligatorios para garantizar la confidencialidad, integridad y disponibilidad en los puestos de trabajo de la Administración General del Estado.
  • Las amenazas internas, como errores humanos o accesos no autorizados, representan un riesgo crítico que debe mitigarse con controles específicos.
  • La autenticación multifactor y el principio de mínimo privilegio son pilares fundamentales para limitar exposiciones innecesarias.
  • La monitorización continua y las auditorías periódicas permiten detectar y corregir vulnerabilidades en tiempo real.

📚 Desarrollo

Definición y alcance. La seguridad en el puesto del usuario se refiere a las políticas y herramientas aplicadas directamente en los dispositivos finales —como ordenadores, portátiles, tablets o smartphones— utilizados por los empleados de la Administración General del Estado. Su objetivo es proteger tanto el hardware como el software, así como los datos almacenados o procesados en estos equipos, frente a amenazas internas y externas. Este ámbito es crítico porque el usuario final actúa como primera línea de defensa y, al mismo tiempo, como potencial eslabón débil en la cadena de seguridad.

Marco normativo aplicable. El Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad (ENS), establece las medidas obligatorias para los sistemas de información de la Administración, incluyendo los puestos de trabajo. El ENS exige, entre otros requisitos, la aplicación de controles de acceso, la gestión de actualizaciones, la protección contra malware y la formación en ciberseguridad para los usuarios. Además, la Ley 40/2015 de Régimen Jurídico del Sector Público y el Esquema Nacional de Interoperabilidad (ENI) complementan este marco, garantizando la coherencia en la protección de los datos y la interoperabilidad entre sistemas.

Control de acceso y autenticación. El acceso a los puestos de trabajo debe regirse por el principio de mínimo privilegio, otorgando solo los permisos necesarios para desempeñar las funciones asignadas. La autenticación multifactor (MFA) es obligatoria en la AGE para todos los accesos remotos y, en muchos casos, también para accesos locales, especialmente en sistemas que manejan información sensible. Herramientas como Cl@ve o certificados digitales se utilizan para verificar la identidad del usuario, reduciendo el riesgo de suplantación o accesos no autorizados.

Protección contra malware y vulnerabilidades. Los dispositivos deben contar con soluciones antivirus y antimalware actualizadas, gestionadas centralizadamente por los servicios de TI de la Administración. El Centro Criptológico Nacional (CCN) proporciona guías específicas, como las CCN-STIC, que detallan los requisitos para la configuración segura de sistemas operativos y aplicaciones. Además, es obligatorio mantener actualizados los sistemas y aplicaciones con los últimos parches de seguridad para corregir vulnerabilidades conocidas.

Gestión de dispositivos y cifrado. Los equipos deben estar inventariados y gestionados de forma centralizada, permitiendo la aplicación de políticas de seguridad uniformes. El cifrado de discos duros y dispositivos de almacenamiento extraíbles es una medida obligatoria para proteger la información en caso de pérdida o robo. En la AGE, se emplean soluciones como BitLocker para Windows o LUKS para Linux, garantizando que los datos solo puedan ser accedidos por usuarios autorizados.

Concienciación y formación del usuario. La seguridad en el puesto del usuario no depende únicamente de herramientas técnicas, sino también de la formación y concienciación de los empleados. La Administración General del Estado implementa programas de formación continua en ciberseguridad, abordando temas como el phishing, la gestión de contraseñas, el uso seguro de redes públicas o la identificación de amenazas. Estos programas son obligatorios y se evalúan periódicamente para garantizar su eficacia.

Monitorización y respuesta a incidentes. Los puestos de trabajo deben estar integrados en sistemas de monitorización que permitan detectar actividades sospechosas, como accesos no autorizados, intentos de exfiltración de datos o infecciones por malware. El CCN-CERT actúa como centro de respuesta a incidentes, coordinando la gestión de amenazas y proporcionando directrices para la contención y recuperación. Las auditorías periódicas, tanto técnicas como organizativas, aseguran el cumplimiento continuo de las políticas de seguridad.

Integración con herramientas corporativas. Los dispositivos deben estar configurados para integrarse de forma segura con las herramientas corporativas de la AGE, como la Red SARA, la Plataforma de Intermediación de Datos (PID) o los sistemas de gestión documental. Esto incluye la configuración de VPN para accesos remotos, la sincronización con directorios corporativos (LDAP) y el uso de protocolos seguros como HTTPS o IPsec para las comunicaciones.


🧩 Elementos esenciales

  • Principio de mínimo privilegio: Los usuarios solo deben tener acceso a los recursos y datos estrictamente necesarios para realizar sus funciones, reduciendo el riesgo de exposición accidental o malintencionada.
  • Autenticación multifactor (MFA): Mecanismo obligatorio en la AGE que combina dos o más factores de autenticación (algo que el usuario sabe, tiene o es) para verificar su identidad.
  • Cifrado de dispositivos: Medida obligatoria para proteger la información almacenada en discos duros y dispositivos extraíbles, evitando accesos no autorizados en caso de pérdida o robo.
  • Actualizaciones y parches: Los sistemas operativos y aplicaciones deben mantenerse actualizados con los últimos parches de seguridad para corregir vulnerabilidades conocidas.
  • Protección antimalware: Soluciones antivirus y antimalware gestionadas centralizadamente, con actualizaciones automáticas y escaneos periódicos para detectar y eliminar amenazas.
  • Formación en ciberseguridad: Programas obligatorios para concienciar a los usuarios sobre riesgos como el phishing, el uso de contraseñas seguras o la identificación de amenazas.
  • Monitorización continua: Sistemas de detección de intrusiones y registro de actividades (logs) para identificar comportamientos sospechosos en tiempo real.
  • Gestión centralizada: Los dispositivos deben estar inventariados y gestionados desde un sistema centralizado que aplique políticas de seguridad uniformes.
  • Acceso remoto seguro: Uso de VPN y protocolos cifrados (como IPsec o TLS) para garantizar la seguridad en las conexiones desde fuera de la red corporativa.
  • Auditorías periódicas: Evaluaciones técnicas y organizativas para verificar el cumplimiento de las políticas de seguridad y detectar posibles brechas.
  • Integración con herramientas corporativas: Configuración segura de los dispositivos para su uso con sistemas como la Red SARA, PID o directorios LDAP.
  • Respuesta a incidentes: Protocolos establecidos para contener, investigar y recuperar los sistemas en caso de un incidente de seguridad, coordinados por el CCN-CERT.

🧠 Recuerda

  • La seguridad en el puesto del usuario es tan crítica como la seguridad perimetral, ya que el usuario final es un eslabón clave en la cadena de protección.
  • El Esquema Nacional de Seguridad (ENS) establece los requisitos obligatorios que deben cumplirse en todos los puestos de trabajo de la AGE.
  • La autenticación multifactor y el principio de mínimo privilegio son medidas fundamentales para limitar riesgos.
  • El cifrado de dispositivos y la protección antimalware son obligatorios para proteger la información sensible.
  • La formación continua en ciberseguridad es esencial para reducir errores humanos y concienciar a los usuarios.
  • La monitorización y las auditorías permiten detectar y corregir vulnerabilidades antes de que sean explotadas.
  • Los dispositivos deben estar integrados de forma segura con las herramientas corporativas de la AGE.
  • El CCN-CERT actúa como centro de respuesta a incidentes, coordinando la gestión de amenazas en la Administración.
  • Las actualizaciones periódicas de sistemas y aplicaciones son imprescindibles para corregir vulnerabilidades conocidas.
  • La gestión centralizada de dispositivos facilita la aplicación uniforme de políticas de seguridad en toda la organización.

Prueba la demo si quieres ver el resto

Has abierto una ruta pública de tema. La demo te deja ver cómo encajan temario, preguntas y simulacros dentro de OPOAGE.

Qué vas a probar

Una demo pensada para decidir con criterio

Formato real de estudio

Practica con preguntas justificadas y comprueba si la forma de preparar Técnicos Auxiliares de Informática del Estado encaja contigo.

Temario y simulacros

Verás cómo se integran el temario, las explicaciones y los simulacros dentro del mismo recorrido OPOAGE.

Acceso por correo

Con tu nombre, tu email y la categoría AGE, te enviamos el enlace para terminar el acceso demo.

Gratis Sin compromiso AGE01 a AGE08

Solicita ya tu acceso Demo

Sólo tu email, tu nombre y la categoría AGE. La demo es gratuita.

Acceso por email Rutas AGE activas Login real en mail.opoage.es

Si ya tienes cuenta, entra desde acceso o usa la recuperación de contraseña.

Las convocatorias y bases oficiales se consultan siempre en INAP y BOE.

Preguntas frecuentes

Preguntas clave sobre Técnicos Auxiliares de Informática del Estado y OPOAGE

¿Por que entra TAI en el lote inicial?

Porque está entre las cuatro categorias con mas presentados del ciclo INAP 2024 usado para arrancar OPOAGE y aporta una via tecnica clara dentro de AGE.

¿TAI rompe la coherencia con los cuerpos administrativos generales?

No. La mantiene y la amplía: sigue dentro de AGE, comparte estructura publica y ayuda a validar una familia inicial mas completa.

¿Ya existe demo privada TAI en OPOAGE?

Si. La demo privada OPOAGE ya funciona sobre AGE04; esta ficha publica ordena el cuerpo y prepara su crecimiento de contenido y practica.