SOLUCIONES INFORMÁTICAS
optimizando el uso de
INTERNET y SOFTWARE LIBRE
Consultoría y asesoría para gestión de la seguridad de la información
Sistema de información para la gestión de contratos
Soporte y consultoría en Linux y software libre
Desarrollamos software ajustado a sus necesidades
Capacitación en Linux y Software Libre
Bienvenido a estas memorias. Si estás leyendo esto, es porque has decidido dar un paso fundamental: dejar de ser un usuario pasivo de la tecnología para convertirte en un agente activo de seguridad.
En Skina IT Solutions, estamos convencidos de que la ciberseguridad no es un asunto exclusivo de "los de sistemas". La seguridad es una construcción colectiva. A lo largo de estas 12 horas de formación, transformaremos conceptos técnicos complejos en herramientas cotidianas para proteger lo más valioso que tenemos: nuestra información y nuestra tranquilidad.
En el año 2026, la integración de la Inteligencia Artificial (IA) en infraestructuras críticas y dispositivos ciberfísicos ha transformado radicalmente el panorama de la ciberseguridad. Este artículo analiza la evolución de las amenazas digitales, desplazando el foco desde las vulnerabilidades de software tradicional hacia la corrupción de la lógica probabilística y el compromiso del Ciclo de Vida de la IA.
A través de un desglose técnico-pedagógico, se examinan las cinco fases fundamentales del desarrollo de modelos —Ingesta, Entrenamiento, Orquestación (RAG), Inferencia y Retroalimentación— vinculando a cada una de ellas riesgos específicos como el Envenenamiento de Datos, los Ataques de Puerta Trasera, la Inversión de Modelos y la Inyección de Prompts.
El estudio pone especial énfasis en los Riesgos Emergentes derivados de la autonomía delegada, explorando escenarios críticos como la ejecución de comandos en sistemas operativos por agentes autónomos, la manipulación de la lógica ética en vehículos de nivel 5 y el potencial uso dual bélico de la robótica doméstica. Finalmente, se proponen estrategias de mitigación basadas en la Arquitectura Defensiva, el principio de privilegios mínimos en la orquestación y la auditoría continua de inferencia, concluyendo que la seguridad y la ética deben ser tratadas como requisitos técnicos no funcionales desde la fase de diseño para garantizar la resiliencia de los sistemas autónomos en la sociedad moderna.
En el actual escenario de ciberguerra y alta interconectividad, la gestión de riesgos tradicional basada exclusivamente en la protección de activos resulta insuficiente para el sector financiero. Este documento aborda la transición paradigmática desde la seguridad estática hacia la Resiliencia Cibernética, definida como la capacidad de las instituciones para absorber impactos, adaptarse y garantizar la continuidad de la función social tras un incidente.
A través de analogías de ingeniería —como la disipación de energía en monoplazas de Fórmula 1 y la memoria de forma de una pelota de tenis—, se establece que la supervivencia institucional no reside en la invulnerabilidad, sino en la degradación grácil y el desacoplamiento de la telemetría para elevar el costo operativo del atacante. El documento analiza la convergencia de marcos internacionales como NIST SP 800-160 y DORA con la Circular Externa 007 de 2018 de la Superintendencia Financiera de Colombia, proporcionando una metodología de modelado de amenazas sistémicas (MIGRI-Fintech) y criterios de supervisión basados en riesgos. Finalmente, se propone una guía práctica de análisis sectorial con datos abiertos, concluyendo que la resiliencia operativa es el motor fundamental para preservar la estabilidad del mercado y la confianza del consumidor financiero en la era de la inteligencia artificial.
Este artículo constituye una continuación y ampliación del trabajo previamente publicado titulado “Buenas prácticas para el desarrollo de software seguro”, profundizando en aspectos avanzados que se han vuelto críticos en el panorama contemporáneo de seguridad del software. En un ecosistema caracterizado por amenazas altamente sofisticadas, cadenas de suministro complejas, infraestructuras distribuidas y ciclos de entrega acelerados, la integración sistemática de la seguridad a lo largo de todo el ciclo de vida de desarrollo es indispensable para garantizar la resiliencia organizacional. Este estudio expande el análisis inicial incorporando marcos normativos internacionales como ISO/IEC 27002:2022, ISO/IEC 29148, ISO/IEC 25010 y el NIST Secure Software Development Framework (SSDF), junto con metodologías modernas de modelado de amenazas, automatización de controles mediante CI/CD y mecanismos robustos para la protección de la cadena de suministro del software.
El artículo propone un enfoque unificado que articula prácticas de seguridad desde la ingeniería avanzada de requisitos hasta la operación, apoyado en técnicas como STRIDE, MITRE ATT&CK, SAST, DAST, IAST, SCA, generación de SBOM y gobernanza de dependencias. Además, se enfatiza la aplicación de principios de privacidad por diseño, codificación segura y seguridad como código en entornos DevSecOps. La investigación demuestra que la integración coherente de estos elementos no solo complementa las buenas prácticas previamente documentadas, sino que mejora significativamente la capacidad de prevención, detección y respuesta ante vulnerabilidades, resultando en software más robusto, confiable y resiliente. Finalmente, se presentan recomendaciones prácticas destinadas a organizaciones públicas y privadas para fortalecer sus capacidades en el desarrollo seguro moderno y alineado con estándares internacionales.
Palabras clave: Software seguro; DevSecOps; S-SDLC; ISO/IEC 27002; NIST SSDF; STRIDE; MITRE ATT&CK; SBOM; SCA; CI/CD; privacidad por diseño; cadena de suministro del software.
Abstract:
This article serves as a continuation and expansion of the previously published work “Best Practices for Secure Software Development”, providing a deeper examination of advanced aspects that have become critical in today’s software security landscape. In an environment characterized by highly sophisticated threats, complex supply chains, distributed infrastructures, and accelerated delivery cycles, the systematic integration of security throughout the software development lifecycle is essential for ensuring organizational resilience. This study extends the original analysis by incorporating international standards such as ISO/IEC 27002:2022, ISO/IEC 29148, ISO/IEC 25010, and the NIST Secure Software Development Framework (SSDF), alongside modern methodologies for threat modeling, automated security controls through CI/CD, and robust mechanisms for software supply chain protection.
The article proposes a unified approach that integrates security practices from advanced requirements engineering to operational deployment, supported by techniques such as STRIDE, MITRE ATT&CK, SAST, DAST, IAST, SCA, SBOM generation, and dependency governance. Furthermore, it emphasizes the application of privacy-by-design principles, secure coding practices, and security-as-code within DevSecOps methodologies. The findings demonstrate that the coherent integration of these elements not only complements the previously documented best practices, but also significantly enhances the ability to prevent, detect, and respond to vulnerabilities, resulting in more robust, reliable, and resilient software systems. Finally, the article presents practical recommendations for public and private organizations aiming to strengthen their capabilities in modern secure software development aligned with international standards.
Keywords: Secure software; DevSecOps; Secure Software Development Lifecycle (S-SDLC); ISO/IEC 27002; NIST Secure Software Development Framework (SSDF); STRIDE; MITRE ATT&CK; Software Bill of Materials (SBOM); Software Composition Analysis (SCA); Continuous Integration / Continuous Delivery (CI/CD); Privacy by Design (PbD); Software Supply Chain
Descargue aquí la presentación
La rápida expansión de la inteligencia artificial (IA), especialmente en su variante generativa, ha transformado de manera profunda los sistemas sociales, económicos, laborales y ambientales. En Colombia, estas tecnologías se incorporan aceleradamente en sectores críticos como finanzas, salud, educación, justicia, comunicaciones y administración pública, en un contexto marcado por desigualdad digital, vulnerabilidad a la desinformación y dependencia tecnológica de proveedores extranjeros. Este artículo analiza los principales riesgos éticos asociados al uso de IA en el país —incluyendo opacidad algorítmica, sesgos y discriminación, amenazas a la privacidad, contenido sintético y suplantación digital, desplazamiento laboral, impactos energéticos y presiones ambientales vinculadas a la infraestructura de centros de datos— y evalúa sus implicaciones para los derechos fundamentales, la sostenibilidad y la gobernanza democrática. A partir de este diagnóstico, se proponen recomendaciones orientadas a la creación de un marco de gobernanza robusto y equilibrado, que incluye la obligación de explicabilidad en decisiones automatizadas, el etiquetado obligatorio de contenido sintético, un registro nacional de modelos utilizados por el Estado, auditorías independientes para sistemas de alto riesgo, la prohibición de imitaciones digitales no autorizadas, reglas claras para el uso de datos públicos, criterios de sostenibilidad ambiental en infraestructura digital y esquemas de responsabilidad escalonada para sistemas autónomos. El artículo concluye que la regulación de la IA en Colombia debe ser flexible, basada en riesgo y sustentada en capacidades institucionales fortalecidas, con el fin de garantizar que estas tecnologías se implementen de manera segura, sostenible y en beneficio del interés público.
Abstract:
The rapid expansion of artificial intelligence (AI), particularly generative AI, has deeply transformed social, economic, labor, and environmental systems. In Colombia, these technologies are rapidly being integrated into critical sectors such as finance, healthcare, education, justice, communications, and public administration, within a context marked by digital inequality, vulnerability to disinformation, and technological dependence on foreign providers. This article examines the main ethical risks associated with AI deployment in the country—including algorithmic opacity, bias and discrimination, threats to privacy, synthetic content and digital impersonation, labor displacement, energy demands, and environmental pressures arising from data center infrastructure—and evaluates their implications for fundamental rights, sustainability, and democratic governance. Based on this assessment, the article proposes regulatory recommendations aimed at establishing a robust and balanced AI governance framework, including mandatory explainability for automated decisions, required labeling of synthetic content, a national registry of AI systems used by the State, independent audits for high-risk systems, the prohibition of unauthorized digital impersonation, clear rules for the use of public data, environmental sustainability standards for digital infrastructure, and tiered liability schemes for autonomous systems. The article concludes that AI regulation in Colombia must be flexible, risk-based, and supported by strengthened institutional capacities to ensure that these technologies are deployed safely, sustainably, and in service of the public interest.
La gestión de riesgos constituye un proceso sistemático orientado a proteger los activos de una organización frente a amenazas de diversa naturaleza -naturales, tecnológicas, intencionales o accidentales- mediante la identificación, evaluación, tratamiento y mejora continua de los controles implementados. Este documento presenta un marco integral para la gestión de riesgos aplicable a distintos contextos, desde emergencias físicas como sismos e incendios, hasta incidentes cibernéticos y organizacionales.
Se estructura en seis capítulos: Gestión de riesgos, Preparación, Prevención, Detección, Reacción y Retrospección, que desarrollan un enfoque transversal de resiliencia. El documento define conceptos fundamentales (activos, amenazas, vulnerabilidades, riesgos, impactos, controles y salvaguardas), enfatiza la necesidad de elaborar un inventario de activos, detalla la aplicación práctica de medidas preventivas y de reacción ante distintos tipos de eventos, y resalta la retrospección como eje de la mejora continua.
Asimismo, se destaca la importancia del manejo eficiente del presupuesto y de los recursos humanos y técnicos como elemento determinante para la efectividad del sistema. El enfoque propuesto integra tanto la gestión estratégica como la operativa, promoviendo una cultura de prevención y aprendizaje constante que permita reducir pérdidas y fortalecer la resiliencia organizacional.
Abstract:
Risk management is a systematic process aimed at protecting an organization’s assets from threats of various natures -natural, technological, intentional, or accidental- through the identification, assessment, treatment, and continuous improvement of implemented controls. This paper presents a comprehensive framework for risk management applicable to multiple contexts, ranging from physical emergencies such as earthquakes and fires to cyber and organizational incidents.
It is structured into six chapters: Risk Management, Preparation, Prevention, Detection, Reaction, and Retrospection, which together develop a cross-cutting resilience approach. The document defines key concepts (assets, threats, vulnerabilities, risks, impacts, controls, and safeguards), emphasizes the need for an asset inventory, details the practical application of preventive and reactive measures for various types of events, and highlights retrospection as the foundation of continuous improvement.
Furthermore, it underlines the importance of efficiently managing budgets, human resources, and technical capabilities as key factors for system effectiveness. The proposed approach integrates both strategic and operational management, promoting a culture of prevention and continuous learning that minimizes losses and strengthens organizational resilience.
Este libro, estructurado en siete volúmenes, ha sido diseñado para ofrecer una visión exhaustiva y detallada de los aspectos más críticos de la seguridad de la información. La intención detrás de este trabajo es ofrecer un recurso integral que pueda servir tanto a profesionales en el campo de la seguridad de la información como a académicos, estudiantes y cualquier persona interesada en comprender los fundamentos y las prácticas avanzadas en esta vital área.
Volumen I: Gestión del Riesgo Este primer volumen introduce al lector en la gestión del riesgo. Se exploran enfoques integrados para una protección efectiva, destacando la importancia de modelos y marcos de gestión que permiten anticipar y mitigar riesgos. Describe la Metodología Integral para la Gestión de Riesgos (MIGRI) y presenta el cómo aplicarla a la seguridad de la información, y la aplicación de mRMR.
Volumen II: Normatividad Colombiana relacionada con Información y Propiedad Intelectual Este volumen examina la normativa colombiana que rige aspectos como la privacidad, la propiedad intelectual, los delitos electrónicos, el trabajo remoto, y la gestión de la información.
Volumen III: Actividades de Aseguramiento de la Información Este volumen detalla cómo implementar arquitecturas de seguridad basadas en el estándar CIS, así como las entidades de apoyo disponibles en el ámbito de la seguridad de la información. Se describe la estructura de las actividades enmarcadas en: Preparación, Prevención, Detección, Reacción y Retrospección. El marco MITRE D3FEND se presenta como una herramienta clave para la defensa proactiva contra amenazas cibernéticas.
Volumen IV: Fundamentos para la Protección Este volumen abarca desde los sistemas numéricos básicos hasta técnicas avanzadas como la criptografía, la firma electrónica y la gestión de las copias de respaldo. Es un puente entre los conceptos básicos y las prácticas avanzadas de protección de la información.
Volumen V: Herramientas para la Protección Este volumen ofrece una visión práctica de las herramientas disponibles para la protección de la información. Se analizan tanto soluciones de software libre como tecnologías específicas diseñadas para enfrentar intrusos cibernéticos. El lector encontrará estudios de caso que demuestran la eficacia y las limitaciones de diferentes enfoques y tecnologías.
Volumen VI: Incidentes y Ataques El conocimiento de los incidentes y ataques más comunes es fundamental para desarrollar estrategias de defensa eficaces. Este volumen examina la matriz MITRE ATT&CK, los ciberincidentes más frecuentes, y la historia y evolución del malware. También se discuten casos famosos y costosos de ciberincidentes en infraestructuras críticas y en Colombia, proporcionando lecciones clave sobre cómo prevenir y responder a tales amenazas.
Volumen VII: Buenas Prácticas para Desarrollo de Software Seguro El último volumen se centra en las mejores prácticas para el desarrollo de software seguro, un componente crucial en la cadena de seguridad de la información. Desde la privacidad y seguridad por diseño hasta la planificación de pruebas y la evaluación de vulnerabilidades, este volumen ofrece una guía inicial para crear software robusto y seguro.
Como autor, es mi esperanza que este libro sirva no solo como un recurso educativo, sino también como una guía práctica que los profesionales puedan consultar repetidamente a lo largo de su carrera. A medida que el panorama de la seguridad de la información continúa evolucionando, confiamos en que este trabajo contribuirá al desarrollo de prácticas más seguras y efectivas en la protección de la información.
