Tema 32. Seguridad y protección en redes de comunicaciones. Seguridad perimetral. Acceso remoto seguro a redes. Redes privadas virtuales (VPN). Seguridad en el puesto del usuario.

1. Seguridad y protección en redes de comunicaciones

1. Seguridad y protección en redes de comunicaciones

🎯 Idea clave

• Una red de comunicaciones es el conjunto organizado de equipos, enlaces, medios de transmisión, protocolos y servicios que permite intercambiar información entre usuarios, sistemas o aplicaciones.
• El Esquema Nacional de Seguridad, regulado por el Real Decreto 311/2022, establece el marco obligatorio para proteger la información y los servicios del sector público español.
• El grupo de medidas mp.com regula específicamente la protección de las comunicaciones mediante controles de perímetro, confidencialidad, autenticidad y segregación.
• Las medidas de seguridad se gradúan según la categoría del sistema: básica, media o alta.
• La seguridad en redes debe ser gestionada, documentada y verificable, abarcando aspectos técnicos y procedimentales.

📚 Desarrollo

Concepto fundamental. Una red de comunicaciones comprende el conjunto organizado de equipos, enlaces, medios de transmisión, protocolos, direcciones, servicios y procedimientos que posibilitan el intercambio de información entre usuarios, sistemas o aplicaciones, incluyendo su arquitectura, topología y normas de direccionamiento.

Marco normativo aplicable. La seguridad en redes del sector público se rige por el Real Decreto 311/2022, que aprueba el Esquema Nacional de Seguridad, estableciendo la política de seguridad en la utilización de medios electrónicos, y por la Ley 11/2022, General de Telecomunicaciones, que regula las redes y servicios de comunicaciones electrónicas en España.

Infraestructura crítica. En las Administraciones Públicas, la red constituye el sustrato físico y lógico sobre el que se prestan servicios internos esenciales y se gestiona la relación con ciudadanos, empresas y otras administraciones, lo que exige garantizar disponibilidad, confidencialidad e integridad de las comunicaciones.

Medidas específicas de protección. El ENS establece el grupo mp.com para la protección de las comunicaciones, que incluye la medida mp.com.1 para el perímetro seguro, mp.com.2 para la protección de la confidencialidad mediante cifrado, mp.com.3 para la protección de la autenticidad e integridad mediante garantías criptográficas, y mp.com.4 para la segregación de redes.

Aplicación graduada. Estas medidas se implementan en función de la categoría del sistema —básica, media o alta— y se complementan con controles de los grupos mp.if (instalaciones), mp.eq (equipos) y mp.s (servicios), adaptando la intensidad de las salvaguardas al nivel de riesgo.

Gestión integral. Para el técnico auxiliar, esto significa que la seguridad debe ser gestionada, documentada y verificable, no limitándose a aspectos puramente técnicos sino abarcando procedimientos, controles de acceso, continuidad, trazabilidad y respuesta a incidentes.

🧩 Elementos esenciales

• Red de comunicaciones: Conjunto organizado de equipos, enlaces, medios de transmisión, protocolos, direcciones, servicios y procedimientos que permite el intercambio de información.
• Esquema Nacional de Seguridad: Marco regulado por el Real Decreto 311/2022 que establece los principios básicos, requisitos mínimos y medidas de seguridad obligatorias para el sector público.
• Medida mp.com.1 (perímetro seguro): Exige establecer y proteger el perímetro de la red, controlando los puntos de interconexión, segregando del exterior y aplicando filtrado adecuado.
• Medida mp.com.2 (protección de la confidencialidad): Obliga a cifrar las comunicaciones que atraviesan redes no controladas, utilizando algoritmos y longitudes de clave acreditados.
• Medida mp.com.3 (protección de la autenticidad e integridad): Impone garantías criptográficas sobre los datos en tránsito, así como autenticación robusta de los extremos de la comunicación.
• Medida mp.com.4 (segregación de redes): Exige separar entornos con distintos niveles de sensibilidad o función mediante VLAN, cortafuegos u otras técnicas equivalentes.
• Categorías de sistemas: Clasificación en básica, media o alta que determina la intensidad de las medidas de seguridad aplicables a cada sistema de información.
• Ley 11/2022 General de Telecomunicaciones: Normativa que regula las redes y servicios de comunicaciones electrónicas, definiendo obligaciones para redes privadas, corporativas y públicas.

🧠 Recuerda

• El ENS es el marco de referencia obligatorio para la seguridad en redes del sector público español.
• El grupo mp.com agrupa las medidas específicas de protección de las comunicaciones en el ámbito del Esquema Nacional de Seguridad.
• Las cuatro medidas mp.com cubren perímetro seguro, confidencialidad, autenticidad e integridad, y segregación de redes.
• Las medidas se gradúan según la categoría del sistema: básica, media o alta.
• La seguridad debe ser gestionada, documentada y verificable, no solo técnica.
• La red es infraestructura crítica para el funcionamiento interno y la prestación de servicios electrónicos a ciudadanos.
• El cifrado es obligatorio cuando las comunicaciones atraviesan redes no controladas.
• La segregación mediante VLAN o cortafuegos permite separar entornos con distintos niveles de sensibilidad.

2. Seguridad perimetral

2. Seguridad perimetral

🎯 Idea clave

• La seguridad perimetral protege las fronteras entre redes o zonas que presentan distintos niveles de confianza.
• El firewall constituye el componente central que aplica políticas de filtrado mediante el principio de denegación por defecto.
• El perímetro moderno se ha expandido más allá de un único punto, abarcando Internet, la nube, sedes remotas, terceros y segmentos internos.
• La DMZ permite publicar servicios hacia el exterior manteniendo una separación efectiva respecto a la red interna.
• La seguridad perimetral efectiva requiere combinar múltiples controles en un enfoque de defensa en profundidad.
• Las reglas de filtrado necesitan un ciclo de vida completo que incluya solicitud, aprobación, documentación y revisión periódica.

📚 Desarrollo

Definición y alcance. La seguridad perimetral protege las fronteras entre redes o zonas con distinto nivel de confianza. El perímetro moderno ya no es único ni estático, sino que se distribuye en múltiples puntos como Internet, la DMZ, entornos cloud, sedes remotas, servicios publicados y segmentos internos que requieren aislamiento.

Función del firewall. El firewall controla el tráfico permitiendo, denegando o registrando comunicaciones según reglas definidas. Debe regirse por el principio de denegación por defecto, permitiendo únicamente el tráfico explícitamente justificado. Además de filtrar, puede realizar funciones de NAT, VPN, inspección de contenidos y segmentación de red.

Tipologías tecnológicas. Existen distintas generaciones de firewalls. Los filtros de paquetes sin estado examinan cabeceras de nivel 3 y 4 de forma aislada, siendo rápidos pero ciegos ante conexiones legítimas establecidas. Los firewalls con inspección de estado mantienen información sobre conexiones activas. Los firewalls de aplicación o proxy analizan protocolos específicos como HTTP o SMTP aplicando validaciones y filtrado de contenido.

La zona desmilitarizada. La DMZ permite alojar servicios que deben ser accesibles desde el exterior manteniendo una separación efectiva respecto a la red interna. Esta arquitectura reduce el impacto potencial si un sistema expuesto se compromete, evitando el acceso directo a los recursos corporativos sensibles.

Controles complementarios. La seguridad perimetral integra proxies directos para controlar salidas hacia Internet y proxies inversos para publicar servicios internos de forma segura. Los sistemas IDS/IPS aportan capacidades de detección y prevención de intrusiones, mientras que los WAF protegen aplicaciones web frente a patrones de ataque HTTP específicos. La protección contra DDoS requiere diseñar capacidad suficiente, proveedores de filtrado aguas arriba o servicios de scrubbing cuando sea necesario.

Consideraciones operativas. Las reglas de firewall requieren un ciclo de vida riguroso que incluya solicitud, aprobación, documentación, revisión periódica y retirada cuando ya no sean necesarias. El NAT no equivale a seguridad, ya que la exposición real depende de las reglas aplicadas, los servicios publicados y los controles asociados. Un firewall mal mantenido o con reglas excesivamente permisivas puede generar una falsa sensación de seguridad.

🧩 Elementos esenciales

• Denegación por defecto: principio operativo fundamental donde solo se permite tráfico explícitamente autorizado y justificado.
• Packet filter: firewall sin estado que analiza cabeceras IP y puertos TCP/UDP de forma aislada, sin recordar conexiones previas.
• Stateful inspection: capacidad de mantener información sobre el estado de las conexiones para distinguir tráfico legítimo de conexiones establecidas.
• DMZ: zona intermedia que permite publicar servicios al exterior sin exponer directamente la red interna ni los sistemas corporativos.
• Proxy directo: controla y filtra el tráfico de salida hacia Internet, aplicando autenticación y validaciones.
• Proxy inverso: publica y protege servicios internos desde el exterior, actuando como intermediario.
• IDS/IPS: sistemas de detección y prevención de intrusiones que requieren ubicación adecuada, ajuste y gestión de falsos positivos.
• WAF: firewall de aplicaciones web que protege contra patrones de ataque específicos del protocolo HTTP.
• NAT: traducción de direcciones de red que no constituye por sí misma una medida de seguridad efectiva ni oculta completamente la exposición.
• Ciclo de vida de reglas: proceso de gestión que incluye solicitud, aprobación, documentación, revisión periódica y retirada de reglas obsoletas.
• Seguridad en cloud: implementación del perímetro mediante firewalls cloud, security groups, rutas, endpoints privados y registros de acceso.
• Segmentación: división de la red en zonas con distintos niveles de confianza para limitar el impacto de compromisos.

🧠 Recuerda

• El perímetro moderno incluye múltiples fronteras más allá del firewall tradicional de salida a Internet.
• Un firewall mal mantenido o con reglas permisivas genera falsa sensación de seguridad sin protección real.
• La DMZ proporciona separación efectiva entre servicios públicos y la red interna corporativa.
• Los firewalls de aplicación ofrecen mayor visibilidad pero implican mayor complejidad y coste operativo.
• La seguridad perimetral en entornos cloud se expresa mediante security groups, firewalls cloud y endpoints seguros.
• Las reglas de firewall deben revisarse y documentarse periódicamente, retirándose cuando ya no sean necesarias.
• NAT no protege contra ataques si existen reglas de redirección o servicios expuestos en la DMZ.
• Los proxies directos controlan el tráfico de salida, mientras que los inversos protegen servicios internos publicados.
• La defensa en profundidad requiere combinar firewalls con IDS/IPS, WAF y otros controles perimetrales coherentes entre sí.

3. Acceso remoto seguro a redes

3. Acceso remoto seguro a redes

🎯 Idea clave

• El acceso remoto a redes corporativas se implementa mediante tecnologías de conectividad segura que permiten a usuarios externos conectarse a recursos internos protegidos.
• Las redes privadas virtuales constituyen el mecanismo técnico habitual para habilitar este acceso mediante túneles cifrados y autenticación de extremos.
• La ausencia de segmentación en el acceso remoto amplifica significativamente el riesgo asociado a la compromisión de credenciales de usuario o dispositivos.
• El Esquema Nacional de Seguridad establece el requisito de aplicar medidas proporcionadas para proteger el acceso, las comunicaciones y la trazabilidad de las operaciones remotas.

📚 Desarrollo

Tecnología habilitadora. El acceso remoto seguro a redes se materializa principalmente mediante el despliegue de redes privadas virtuales (VPN), que establecen túneles cifrados sobre infraestructuras públicas como Internet, permitiendo que usuarios geográficamente dispersos se comporten desde el punto de vista del enrutamiento como si estuvieran conectados a la red local privada.

Riesgo de configuración amplia. La configuración del acceso remoto debe limitar estrictamente los recursos accesibles según el usuario, dispositivo, contexto operativo y necesidad específica, evitando la concesión de permisos genéricos que expandan la superficie de ataque ante una intrusión.

Impacto de brechas. Cuando el acceso remoto carece de controles de segmentación adecuados, la compromisión de una única cuenta de usuario puede derivar en un impacto desproporcionado sobre la red corporativa, facilitando el movimiento lateral del atacante y el acceso a sistemas críticos no autorizados inicialmente.

Marco normativo. El Esquema Nacional de Seguridad (ENS) exige la implementación de medidas proporcionadas destinadas a proteger específicamente el acceso remoto, garantizando simultáneamente la protección de las comunicaciones y el registro de la trazabilidad de las operaciones realizadas desde fuera del perímetro organizativo.

🧩 Elementos esenciales

• VPN como canal seguro: Mecanismo técnico que posibilita el acceso remoto mediante cifrado, autenticación y control de acceso sobre redes no confiables.
• Segmentación de accesos: Principio que exige restringir los recursos alcanzables desde conexiones remotas según criterios estrictos de necesidad operativa.
• Riesgo de acceso amplio: Configuraciones permisivas en el acceso remoto incrementan el impacto potencial de credenciales comprometidas o dispositivos vulnerados.
• Requisitos del ENS: Obligación normativa de implementar controles proporcionados para el acceso, la protección de comunicaciones y la trazabilidad.
• Contexto de conexión: Variable crítica que debe ponderarse junto con la identidad del usuario y el dispositivo para autorizar el acceso remoto.
• Autenticación de extremos: Componente esencial para validar la identidad de quienes acceden remotamente y garantizar la confidencialidad del túnel.

🧠 Recuerda

• El acceso remoto se canaliza habitualmente mediante infraestructuras de VPN.
• La segmentación reduce drásticamente el impacto de cuentas comprometidas.
• El ENS exige protección proporcionada específica para accesos remotos.
• No toda VPN implica necesariamente acceso total e ilimitado a la red interna.
• La trazabilidad constituye un requisito normativo obligatorio para operaciones remotas.
• Los dispositivos utilizados para acceso remoto deben evaluarse antes de la concesión de permisos.
• Las políticas de acceso deben diferenciar entre usuarios, sedes y proveedores externos.

4. Redes privadas virtuales (VPN)

4. Redes privadas virtuales (VPN)

🎯 Idea clave

• Una VPN constituye una red lógica privada construida sobre infraestructura física pública o compartida mediante túneles cifrados que protegen las comunicaciones frente a observadores intermedios.
• La tecnología se fundamenta en tres principios: virtualidad sobre redes compartidas, protección mediante cifrado y autenticación, y control estricto del tráfico autorizado.
• Los modelos principales distinguen entre VPN de acceso remoto, que conecta usuarios individuales a recursos corporativos, y VPN sede a sede, que interconecta redes completas geográficamente separadas.
• La seguridad de estas redes depende críticamente de la configuración correcta, la gestión de claves, la autenticación robusta y la segmentación de recursos accesibles.
• En el marco del Esquema Nacional de Seguridad, las VPN se integran como medidas formales de protección de comunicaciones que exigen documentación, monitorización y auditorización periódica.

📚 Desarrollo

Definición funcional. Una red privada virtual, conocida como VPN, permite crear una comunicación lógica protegida sobre infraestructuras que no se consideran de confianza plena, típicamente Internet. Su esencia radica en establecer túneles cifrados entre extremos para que nodos geográficamente distantes operen como si pertenecieran a una misma red local privada, garantizando confidencialidad e integridad del tráfico frente a terceros.

Tres pilares conceptuales. El funcionamiento de las VPN se comprende distinguiendo tres ideas fundamentales. La virtualidad implica construir la conexión privada sobre una red compartida existente sin crear infraestructura física nueva. La protección se materializa mediante cifrado y autenticación que impiden escuchas o manipulaciones intermedias. Finalmente, el control establece que únicamente el tráfico y usuarios autorizados según política pueden utilizar el túnel.

Modelos de conectividad. Existen diferentes modalidades según el alcance requerido. La VPN de acceso remoto conecta usuarios o dispositivos individuales con recursos organizativos, pudiendo configurarse como túnel completo, donde todo el tráfico pasa por la organización, o túnel dividido, donde solo ciertos destinos utilizan la VPN. Por su parte, la VPN sede a sede interconecta redes completas, como oficinas distintas o un centro de procesamiento con la nube, configurándose normalmente entre gateways.

Clasificación técnica. Además de los modelos por uso, se distinguen arquitecturas según extremos: cliente a sitio, donde un usuario accede a una red o conjunto de recursos; sitio a sitio, donde redes completas se interconectan; y host a host, donde dos equipos específicos protegen su comunicación sin implicar necesariamente a redes enteras. Esta clasificación determina la superficie de riesgo y los controles necesarios en cada caso.

Riesgos y segmentación. Una configuración inadecuada puede convertir la VPN en una puerta de entrada amplia hacia la red interna. El acceso remoto amplio sin segmentación aumenta el impacto potencial de cuentas comprometidas. La seguridad efectiva exige limitar los recursos accesibles según el usuario, dispositivo, contexto y necesidad operativa, evitando otorgar conectividad total indiscriminada a toda la red corporativa.

Marco normativo. El Esquema Nacional de Seguridad contempla la protección de comunicaciones, control de acceso, identificación y trazabilidad. Las VPN encajan directamente en estas medidas, aunque no constituyen un fin en sí mismas sino controles formales sujetos a políticas de seguridad. Su implementación debe proporcionarse, documentarse, monitorizarse y auditarse, integrándose con sistemas de identidad, registros y gestión de riesgos.

Gestión operativa. La VPN de acceso remoto exige gestionar usuarios, dispositivos, autenticación, postura de seguridad, sesiones y mecanismos de revocación. Las VPN sede a sede requieren administrar rutas, claves, disponibilidad, monitorización y redundancia. Ambas comparten fundamentos de cifrado y túnel, pero presentan riesgos operativos distintos que deben abordarse con controles específicos según el caso de uso.

🧩 Elementos esenciales

• Túnel cifrado: Mecanismo fundamental que encapsula el tráfico privado para su transporte seguro por redes públicas o intermedias, protegiendo confidencialidad e integridad.
• Virtualidad: Característica que permite construir redes lógicas privadas sobre infraestructuras físicas compartidas sin necesidad de crear nuevas redes físicas dedicadas.
• Túnel completo: Modalidad donde todo el tráfico del equipo remoto atraviesa la organización, permitiendo inspección y control corporativo total del tráfico.
• Túnel dividido: Configuración donde únicamente ciertos destinos específicos utilizan la VPN, manteniendo otro tráfico fuera del túnel corporativo.
• VPN sede a sede: Interconexión permanente o bajo demanda entre redes completas, habitualmente establecida entre gateways de seguridad en ubicaciones distintas.
• Host a host: Comunicación protegida entre dos equipos específicos concretos, sin implicar necesariamente el acceso a redes enteras.
• Control de acceso: Principio que limita qué usuarios, dispositivos y tráficos pueden establecer el túnel y qué recursos internos pueden alcanzar.
• Segmentación: Práctica esencial que restringe el alcance de la VPN a subredes o servicios específicos, evitando exposición total de la red interna.
• Trazabilidad: Requisito del ENS que exige registrar y monitorizar las conexiones VPN para fines de auditoría, forense y control de gestión.
• Gestión de claves: Proceso crítico para el mantenimiento de la seguridad criptográfica de los túneles y la autenticación de extremos.

🧠 Recuerda

• Una VPN es una red lógica privada sobre infraestructura pública, no una red física nueva.
• El acrónimo VPN responde a Virtual Private Network.
• Existen tres clasificaciones según alcance: cliente a sitio, sitio a sitio y host a host.
• El túnel dividido reduce carga corporativa pero expone tráfico no corporativo a riesgos locales.
• Una VPN mal configurada puede convertirse en puerta de entrada amplia a la red interna.
• El ENS exige que las VPN se documenten, monitoricen, restrinjan y auditen periódicamente.
• La seguridad depende de configuración, cifrado, autenticación y gestión de claves, no solo del túnel.
• El acceso remoto debe limitarse y registrarse para minimizar superficie de ataque.
• Las VPN sede a sede requieren coordinación entre administradores de redes distintas.
• La virtualización de redes mediante VPN abstrae la infraestructura física subyacente.

5. Seguridad en el puesto del usuario

5. Seguridad en el puesto del usuario

🎯 Idea clave

• La seguridad en el puesto del usuario integra medidas organizativas, técnicas y procedimentales destinadas a proteger el equipo de acceso a los sistemas de información.
• En la Administración General del Estado, el concepto abarca ordenadores de sobremesa, portátiles corporativos, estaciones virtuales, clientes ligeros, navegadores, correo electrónico, aplicaciones ofimáticas, credenciales y dispositivos móviles autorizados.
• El puesto constituye una superficie crítica que conecta la red corporativa con la actividad diaria de las personas.
• Las intrusiones frecuentemente se originan mediante documentos maliciosos, robo de credenciales, aplicaciones no autorizadas, soportes extraíbles infectados o equipos sin actualizar.
• La protección requiere aplicar principios como defensa en profundidad, mínimo privilegio, control de acceso, actualización continua y monitorización.

📚 Desarrollo

Concepto integral. La seguridad en el puesto del usuario comprende el conjunto de medidas organizativas, técnicas y procedimentales destinadas a proteger el equipo desde el que una persona accede a los sistemas de información de la organización, estableciendo el primer nivel de protección tangible frente a amenazas digitales.

Ambito de protección. En el contexto de la Administración General del Estado, el puesto de usuario no se limita exclusivamente a un ordenador de sobremesa tradicional, sino que abarca un ecosistema amplio que incluye portátiles corporativos, estaciones virtuales, clientes ligeros, navegadores, correo electrónico, aplicaciones ofimáticas, credenciales de acceso, dispositivos móviles autorizados, periféricos diversos, soportes extraíbles y servicios de colaboración utilizados para el tratamiento de información administrativa.

Superficie de exposición. El puesto de usuario representa una superficie crítica de seguridad porque establece la conexión directa y permanente entre la red corporativa protegida y la actividad cotidiana de las personas, funcionando como el principal punto de contacto entre los usuarios y los activos de información de la organización.

Vías de compromiso. Numerosas intrusiones no se inician mediante la ruptura técnica de cortafuegos perimetrales robustos, sino a través de acciones que comprometen directamente al usuario: la apertura inadvertida de documentos maliciosos, la entrega involuntaria de credenciales mediante ingeniería social, la ejecución de aplicaciones no autorizadas, la conexión de soportes extraíbles potencialmente infectados o el trabajo continuado con equipos desactualizados.

Marco de protección. La seguridad del puesto no constituye una medida aislada ni independiente, sino la aplicación práctica y concreta de principios fundamentales de la seguridad de redes, incluyendo la defensa en profundidad, el principio de mínimo privilegio, el control de acceso estricto, la actualización continua de sistemas, la monitorización activa, la protección específica frente a código dañino y la preparación para la respuesta ante incidentes.

Endurecimiento de sistemas. Las medidas de hardening o endurecimiento de la configuración complementan la protección del puesto mediante la reducción de la superficie de ataque del software y la aplicación de buenas prácticas de seguridad en las herramientas de productividad y sistemas operativos.

Control de medios externos. La gestión segura de dispositivos móviles autorizados y soportes extraíbles constituye un aspecto específico de la seguridad del puesto, dado que estos elementos pueden introducir malware o facilitar la extracción no autorizada de información administrativa sensible.

🧩 Elementos esenciales

• Medidas organizativas: conjunto de normas y procedimientos que establecen el uso seguro del puesto de trabajo.
• Medidas técnicas: controles tecnológicos implementados en el equipo para garantizar la confidencialidad e integridad de la información.
• Medidas procedimentales: protocolos específicos que deben seguir los usuarios durante su actividad diaria con los sistemas.
• Estaciones virtuales: entornos de trabajo centralizados que forman parte del concepto amplio de puesto de usuario.
• Clientes ligeros: dispositivos de acceso simplificado incluidos en la definición del puesto de trabajo.
• Soportes extraíbles: medios de almacenamiento portátiles que representan un vector de entrada y salida de información.
• Credenciales: datos de identificación y autenticación que requieren protección específica en el puesto de usuario.
• Servicios de colaboración: herramientas utilizadas para el tratamiento de información administrativa que deben incluirse en el perímetro de seguridad.
• Defensa en profundidad: estrategia de protección que aplica múltiples capas de seguridad en el puesto de trabajo.
• Principio de mínimo privilegio: limitación de permisos al mínimo necesario para reducir el impacto de posibles compromisos.

🧠 Recuerda

• El puesto de usuario incluye todo el ecosistema de acceso: hardware, software, credenciales y dispositivos periféricos.
• La superficie de ataque principal suele ser el usuario y sus acciones cotidianas.
• La defensa en profundidad debe aplicarse en cada nivel del puesto de trabajo.
• El principio de mínimo privilegio limita el daño potencial de credenciales comprometidas.
• Las actualizaciones continuas son fundamentales para mantener la seguridad del endpoint.
• Los soportes extraíbles requieren controles específicos por su capacidad de propagar malware.
• La monitorización permite detectar comportamientos anómalos en el uso del equipo.
• La respuesta ante incidentes debe estar preparada para actuar desde el nivel del puesto de usuario.