SOLUCIONES INFORMÁTICAS
optimizando el uso de
INTERNET y SOFTWARE LIBRE
Consultoría y asesoría para gestión de la seguridad de la información
Sistema de información para la gestión de contratos
Soporte y consultoría en Linux y software libre
Desarrollamos software ajustado a sus necesidades
Capacitación en Linux y Software Libre
Este artículo constituye una continuación y ampliación del trabajo previamente publicado titulado “Buenas prácticas para el desarrollo de software seguro”, profundizando en aspectos avanzados que se han vuelto críticos en el panorama contemporáneo de seguridad del software. En un ecosistema caracterizado por amenazas altamente sofisticadas, cadenas de suministro complejas, infraestructuras distribuidas y ciclos de entrega acelerados, la integración sistemática de la seguridad a lo largo de todo el ciclo de vida de desarrollo es indispensable para garantizar la resiliencia organizacional. Este estudio expande el análisis inicial incorporando marcos normativos internacionales como ISO/IEC 27002:2022, ISO/IEC 29148, ISO/IEC 25010 y el NIST Secure Software Development Framework (SSDF), junto con metodologías modernas de modelado de amenazas, automatización de controles mediante CI/CD y mecanismos robustos para la protección de la cadena de suministro del software.
El artículo propone un enfoque unificado que articula prácticas de seguridad desde la ingeniería avanzada de requisitos hasta la operación, apoyado en técnicas como STRIDE, MITRE ATT&CK, SAST, DAST, IAST, SCA, generación de SBOM y gobernanza de dependencias. Además, se enfatiza la aplicación de principios de privacidad por diseño, codificación segura y seguridad como código en entornos DevSecOps. La investigación demuestra que la integración coherente de estos elementos no solo complementa las buenas prácticas previamente documentadas, sino que mejora significativamente la capacidad de prevención, detección y respuesta ante vulnerabilidades, resultando en software más robusto, confiable y resiliente. Finalmente, se presentan recomendaciones prácticas destinadas a organizaciones públicas y privadas para fortalecer sus capacidades en el desarrollo seguro moderno y alineado con estándares internacionales.
Palabras clave: Software seguro; DevSecOps; S-SDLC; ISO/IEC 27002; NIST SSDF; STRIDE; MITRE ATT&CK; SBOM; SCA; CI/CD; privacidad por diseño; cadena de suministro del software.
Abstract:
This article serves as a continuation and expansion of the previously published work “Best Practices for Secure Software Development”, providing a deeper examination of advanced aspects that have become critical in today’s software security landscape. In an environment characterized by highly sophisticated threats, complex supply chains, distributed infrastructures, and accelerated delivery cycles, the systematic integration of security throughout the software development lifecycle is essential for ensuring organizational resilience. This study extends the original analysis by incorporating international standards such as ISO/IEC 27002:2022, ISO/IEC 29148, ISO/IEC 25010, and the NIST Secure Software Development Framework (SSDF), alongside modern methodologies for threat modeling, automated security controls through CI/CD, and robust mechanisms for software supply chain protection.
The article proposes a unified approach that integrates security practices from advanced requirements engineering to operational deployment, supported by techniques such as STRIDE, MITRE ATT&CK, SAST, DAST, IAST, SCA, SBOM generation, and dependency governance. Furthermore, it emphasizes the application of privacy-by-design principles, secure coding practices, and security-as-code within DevSecOps methodologies. The findings demonstrate that the coherent integration of these elements not only complements the previously documented best practices, but also significantly enhances the ability to prevent, detect, and respond to vulnerabilities, resulting in more robust, reliable, and resilient software systems. Finally, the article presents practical recommendations for public and private organizations aiming to strengthen their capabilities in modern secure software development aligned with international standards.
Keywords: Secure software; DevSecOps; Secure Software Development Lifecycle (S-SDLC); ISO/IEC 27002; NIST Secure Software Development Framework (SSDF); STRIDE; MITRE ATT&CK; Software Bill of Materials (SBOM); Software Composition Analysis (SCA); Continuous Integration / Continuous Delivery (CI/CD); Privacy by Design (PbD); Software Supply Chain
Descargue aquí la presentación
La rápida expansión de la inteligencia artificial (IA), especialmente en su variante generativa, ha transformado de manera profunda los sistemas sociales, económicos, laborales y ambientales. En Colombia, estas tecnologías se incorporan aceleradamente en sectores críticos como finanzas, salud, educación, justicia, comunicaciones y administración pública, en un contexto marcado por desigualdad digital, vulnerabilidad a la desinformación y dependencia tecnológica de proveedores extranjeros. Este artículo analiza los principales riesgos éticos asociados al uso de IA en el país —incluyendo opacidad algorítmica, sesgos y discriminación, amenazas a la privacidad, contenido sintético y suplantación digital, desplazamiento laboral, impactos energéticos y presiones ambientales vinculadas a la infraestructura de centros de datos— y evalúa sus implicaciones para los derechos fundamentales, la sostenibilidad y la gobernanza democrática. A partir de este diagnóstico, se proponen recomendaciones orientadas a la creación de un marco de gobernanza robusto y equilibrado, que incluye la obligación de explicabilidad en decisiones automatizadas, el etiquetado obligatorio de contenido sintético, un registro nacional de modelos utilizados por el Estado, auditorías independientes para sistemas de alto riesgo, la prohibición de imitaciones digitales no autorizadas, reglas claras para el uso de datos públicos, criterios de sostenibilidad ambiental en infraestructura digital y esquemas de responsabilidad escalonada para sistemas autónomos. El artículo concluye que la regulación de la IA en Colombia debe ser flexible, basada en riesgo y sustentada en capacidades institucionales fortalecidas, con el fin de garantizar que estas tecnologías se implementen de manera segura, sostenible y en beneficio del interés público.
Abstract:
The rapid expansion of artificial intelligence (AI), particularly generative AI, has deeply transformed social, economic, labor, and environmental systems. In Colombia, these technologies are rapidly being integrated into critical sectors such as finance, healthcare, education, justice, communications, and public administration, within a context marked by digital inequality, vulnerability to disinformation, and technological dependence on foreign providers. This article examines the main ethical risks associated with AI deployment in the country—including algorithmic opacity, bias and discrimination, threats to privacy, synthetic content and digital impersonation, labor displacement, energy demands, and environmental pressures arising from data center infrastructure—and evaluates their implications for fundamental rights, sustainability, and democratic governance. Based on this assessment, the article proposes regulatory recommendations aimed at establishing a robust and balanced AI governance framework, including mandatory explainability for automated decisions, required labeling of synthetic content, a national registry of AI systems used by the State, independent audits for high-risk systems, the prohibition of unauthorized digital impersonation, clear rules for the use of public data, environmental sustainability standards for digital infrastructure, and tiered liability schemes for autonomous systems. The article concludes that AI regulation in Colombia must be flexible, risk-based, and supported by strengthened institutional capacities to ensure that these technologies are deployed safely, sustainably, and in service of the public interest.
La gestión de riesgos constituye un proceso sistemático orientado a proteger los activos de una organización frente a amenazas de diversa naturaleza -naturales, tecnológicas, intencionales o accidentales- mediante la identificación, evaluación, tratamiento y mejora continua de los controles implementados. Este documento presenta un marco integral para la gestión de riesgos aplicable a distintos contextos, desde emergencias físicas como sismos e incendios, hasta incidentes cibernéticos y organizacionales.
Se estructura en seis capítulos: Gestión de riesgos, Preparación, Prevención, Detección, Reacción y Retrospección, que desarrollan un enfoque transversal de resiliencia. El documento define conceptos fundamentales (activos, amenazas, vulnerabilidades, riesgos, impactos, controles y salvaguardas), enfatiza la necesidad de elaborar un inventario de activos, detalla la aplicación práctica de medidas preventivas y de reacción ante distintos tipos de eventos, y resalta la retrospección como eje de la mejora continua.
Asimismo, se destaca la importancia del manejo eficiente del presupuesto y de los recursos humanos y técnicos como elemento determinante para la efectividad del sistema. El enfoque propuesto integra tanto la gestión estratégica como la operativa, promoviendo una cultura de prevención y aprendizaje constante que permita reducir pérdidas y fortalecer la resiliencia organizacional.
Abstract:
Risk management is a systematic process aimed at protecting an organization’s assets from threats of various natures -natural, technological, intentional, or accidental- through the identification, assessment, treatment, and continuous improvement of implemented controls. This paper presents a comprehensive framework for risk management applicable to multiple contexts, ranging from physical emergencies such as earthquakes and fires to cyber and organizational incidents.
It is structured into six chapters: Risk Management, Preparation, Prevention, Detection, Reaction, and Retrospection, which together develop a cross-cutting resilience approach. The document defines key concepts (assets, threats, vulnerabilities, risks, impacts, controls, and safeguards), emphasizes the need for an asset inventory, details the practical application of preventive and reactive measures for various types of events, and highlights retrospection as the foundation of continuous improvement.
Furthermore, it underlines the importance of efficiently managing budgets, human resources, and technical capabilities as key factors for system effectiveness. The proposed approach integrates both strategic and operational management, promoting a culture of prevention and continuous learning that minimizes losses and strengthens organizational resilience.
La creciente complejidad y sofisticación de las amenazas cibernéticas han convertido la seguridad del perímetro de red en un componente fundamental de las estrategias modernas de ciberseguridad. Los firewalls de próxima generación (NGFW) han surgido como herramientas esenciales, incorporando capacidades avanzadas como inspección profunda de paquetes (DPI), sistemas de prevención de intrusiones (IPS), control de aplicaciones e integración con inteligencia artificial para detectar y mitigar amenazas en tiempo real. Si bien las soluciones comerciales de NGFW ofrecen funcionalidades integradas y listas para su despliegue, sus altos costos y falta de transparencia presentan desafíos para las organizaciones que buscan mayor flexibilidad y eficiencia en costos.
Este artículo explora la viabilidad de implementar un NGFW utilizando software libre. Se realiza una revisión exhaustiva de la evolución de los firewalls, desde el filtrado de paquetes sin estado hasta las capacidades avanzadas de los NGFW modernos. Se analizan en detalle herramientas clave de software libre, como iptables/nftables para el filtrado de paquetes, Suricata y Snort para la detección y prevención de intrusiones, Zeek para el análisis de tráfico, OpenAppID para el control de aplicaciones y Wazuh para la gestión de eventos de seguridad. Además, se propone un modelo de integración para combinar estas herramientas de manera eficiente, abordando consideraciones arquitectónicas, desafíos de interoperabilidad y mejores prácticas para su implementación.
El estudio concluye que, si bien las soluciones de software libre requieren un mayor nivel de conocimientos técnicos y esfuerzo de integración, representan una alternativa altamente flexible, transparente y rentable en comparación con los NGFW privativos. Aprovechando la evolución continua de las herramientas de seguridad de código abierto y el respaldo de comunidades activas de desarrolladores, las organizaciones pueden lograr un marco de seguridad de red sólido y escalable. Los hallazgos de esta investigación resaltan el potencial de futuras mejoras en los NGFW de software libre, particularmente en áreas como la automatización, la inteligencia artificial y la integración con inteligencia de amenazas en tiempo real.
Este libro, estructurado en siete volúmenes, ha sido diseñado para ofrecer una visión exhaustiva y detallada de los aspectos más críticos de la seguridad de la información. La intención detrás de este trabajo es ofrecer un recurso integral que pueda servir tanto a profesionales en el campo de la seguridad de la información como a académicos, estudiantes y cualquier persona interesada en comprender los fundamentos y las prácticas avanzadas en esta vital área.
Volumen I: Gestión del Riesgo Este primer volumen introduce al lector en la gestión del riesgo. Se exploran enfoques integrados para una protección efectiva, destacando la importancia de modelos y marcos de gestión que permiten anticipar y mitigar riesgos. Describe la Metodología Integral para la Gestión de Riesgos (MIGRI) y presenta el cómo aplicarla a la seguridad de la información, y la aplicación de mRMR.
Volumen II: Normatividad Colombiana relacionada con Información y Propiedad Intelectual Este volumen examina la normativa colombiana que rige aspectos como la privacidad, la propiedad intelectual, los delitos electrónicos, el trabajo remoto, y la gestión de la información.
Volumen III: Actividades de Aseguramiento de la Información Este volumen detalla cómo implementar arquitecturas de seguridad basadas en el estándar CIS, así como las entidades de apoyo disponibles en el ámbito de la seguridad de la información. Se describe la estructura de las actividades enmarcadas en: Preparación, Prevención, Detección, Reacción y Retrospección. El marco MITRE D3FEND se presenta como una herramienta clave para la defensa proactiva contra amenazas cibernéticas.
Volumen IV: Fundamentos para la Protección Este volumen abarca desde los sistemas numéricos básicos hasta técnicas avanzadas como la criptografía, la firma electrónica y la gestión de las copias de respaldo. Es un puente entre los conceptos básicos y las prácticas avanzadas de protección de la información.
Volumen V: Herramientas para la Protección Este volumen ofrece una visión práctica de las herramientas disponibles para la protección de la información. Se analizan tanto soluciones de software libre como tecnologías específicas diseñadas para enfrentar intrusos cibernéticos. El lector encontrará estudios de caso que demuestran la eficacia y las limitaciones de diferentes enfoques y tecnologías.
Volumen VI: Incidentes y Ataques El conocimiento de los incidentes y ataques más comunes es fundamental para desarrollar estrategias de defensa eficaces. Este volumen examina la matriz MITRE ATT&CK, los ciberincidentes más frecuentes, y la historia y evolución del malware. También se discuten casos famosos y costosos de ciberincidentes en infraestructuras críticas y en Colombia, proporcionando lecciones clave sobre cómo prevenir y responder a tales amenazas.
Volumen VII: Buenas Prácticas para Desarrollo de Software Seguro El último volumen se centra en las mejores prácticas para el desarrollo de software seguro, un componente crucial en la cadena de seguridad de la información. Desde la privacidad y seguridad por diseño hasta la planificación de pruebas y la evaluación de vulnerabilidades, este volumen ofrece una guía inicial para crear software robusto y seguro.
Como autor, es mi esperanza que este libro sirva no solo como un recurso educativo, sino también como una guía práctica que los profesionales puedan consultar repetidamente a lo largo de su carrera. A medida que el panorama de la seguridad de la información continúa evolucionando, confiamos en que este trabajo contribuirá al desarrollo de prácticas más seguras y efectivas en la protección de la información.
