SOLUCIONES INFORMÁTICAS
optimizando el uso de
INTERNET y SOFTWARE LIBRE
Consultoría y asesoría para gestión de la seguridad de la información
Sistema de información para la gestión de contratos
Soporte y consultoría en Linux y software libre
Desarrollamos software ajustado a sus necesidades
Capacitación en Linux y Software Libre
Este artículo constituye una continuación y ampliación del trabajo previamente publicado titulado “Buenas prácticas para el desarrollo de software seguro”, profundizando en aspectos avanzados que se han vuelto críticos en el panorama contemporáneo de seguridad del software. En un ecosistema caracterizado por amenazas altamente sofisticadas, cadenas de suministro complejas, infraestructuras distribuidas y ciclos de entrega acelerados, la integración sistemática de la seguridad a lo largo de todo el ciclo de vida de desarrollo es indispensable para garantizar la resiliencia organizacional. Este estudio expande el análisis inicial incorporando marcos normativos internacionales como ISO/IEC 27002:2022, ISO/IEC 29148, ISO/IEC 25010 y el NIST Secure Software Development Framework (SSDF), junto con metodologías modernas de modelado de amenazas, automatización de controles mediante CI/CD y mecanismos robustos para la protección de la cadena de suministro del software.
El artículo propone un enfoque unificado que articula prácticas de seguridad desde la ingeniería avanzada de requisitos hasta la operación, apoyado en técnicas como STRIDE, MITRE ATT&CK, SAST, DAST, IAST, SCA, generación de SBOM y gobernanza de dependencias. Además, se enfatiza la aplicación de principios de privacidad por diseño, codificación segura y seguridad como código en entornos DevSecOps. La investigación demuestra que la integración coherente de estos elementos no solo complementa las buenas prácticas previamente documentadas, sino que mejora significativamente la capacidad de prevención, detección y respuesta ante vulnerabilidades, resultando en software más robusto, confiable y resiliente. Finalmente, se presentan recomendaciones prácticas destinadas a organizaciones públicas y privadas para fortalecer sus capacidades en el desarrollo seguro moderno y alineado con estándares internacionales.
Palabras clave: Software seguro; DevSecOps; S-SDLC; ISO/IEC 27002; NIST SSDF; STRIDE; MITRE ATT&CK; SBOM; SCA; CI/CD; privacidad por diseño; cadena de suministro del software.
Abstract:
This article serves as a continuation and expansion of the previously published work “Best Practices for Secure Software Development”, providing a deeper examination of advanced aspects that have become critical in today’s software security landscape. In an environment characterized by highly sophisticated threats, complex supply chains, distributed infrastructures, and accelerated delivery cycles, the systematic integration of security throughout the software development lifecycle is essential for ensuring organizational resilience. This study extends the original analysis by incorporating international standards such as ISO/IEC 27002:2022, ISO/IEC 29148, ISO/IEC 25010, and the NIST Secure Software Development Framework (SSDF), alongside modern methodologies for threat modeling, automated security controls through CI/CD, and robust mechanisms for software supply chain protection.
The article proposes a unified approach that integrates security practices from advanced requirements engineering to operational deployment, supported by techniques such as STRIDE, MITRE ATT&CK, SAST, DAST, IAST, SCA, SBOM generation, and dependency governance. Furthermore, it emphasizes the application of privacy-by-design principles, secure coding practices, and security-as-code within DevSecOps methodologies. The findings demonstrate that the coherent integration of these elements not only complements the previously documented best practices, but also significantly enhances the ability to prevent, detect, and respond to vulnerabilities, resulting in more robust, reliable, and resilient software systems. Finally, the article presents practical recommendations for public and private organizations aiming to strengthen their capabilities in modern secure software development aligned with international standards.
Keywords: Secure software; DevSecOps; Secure Software Development Lifecycle (S-SDLC); ISO/IEC 27002; NIST Secure Software Development Framework (SSDF); STRIDE; MITRE ATT&CK; Software Bill of Materials (SBOM); Software Composition Analysis (SCA); Continuous Integration / Continuous Delivery (CI/CD); Privacy by Design (PbD); Software Supply Chain
Descargue aquí la presentación
La rápida expansión de la inteligencia artificial (IA), especialmente en su variante generativa, ha transformado de manera profunda los sistemas sociales, económicos, laborales y ambientales. En Colombia, estas tecnologías se incorporan aceleradamente en sectores críticos como finanzas, salud, educación, justicia, comunicaciones y administración pública, en un contexto marcado por desigualdad digital, vulnerabilidad a la desinformación y dependencia tecnológica de proveedores extranjeros. Este artículo analiza los principales riesgos éticos asociados al uso de IA en el país —incluyendo opacidad algorítmica, sesgos y discriminación, amenazas a la privacidad, contenido sintético y suplantación digital, desplazamiento laboral, impactos energéticos y presiones ambientales vinculadas a la infraestructura de centros de datos— y evalúa sus implicaciones para los derechos fundamentales, la sostenibilidad y la gobernanza democrática. A partir de este diagnóstico, se proponen recomendaciones orientadas a la creación de un marco de gobernanza robusto y equilibrado, que incluye la obligación de explicabilidad en decisiones automatizadas, el etiquetado obligatorio de contenido sintético, un registro nacional de modelos utilizados por el Estado, auditorías independientes para sistemas de alto riesgo, la prohibición de imitaciones digitales no autorizadas, reglas claras para el uso de datos públicos, criterios de sostenibilidad ambiental en infraestructura digital y esquemas de responsabilidad escalonada para sistemas autónomos. El artículo concluye que la regulación de la IA en Colombia debe ser flexible, basada en riesgo y sustentada en capacidades institucionales fortalecidas, con el fin de garantizar que estas tecnologías se implementen de manera segura, sostenible y en beneficio del interés público.
Abstract:
The rapid expansion of artificial intelligence (AI), particularly generative AI, has deeply transformed social, economic, labor, and environmental systems. In Colombia, these technologies are rapidly being integrated into critical sectors such as finance, healthcare, education, justice, communications, and public administration, within a context marked by digital inequality, vulnerability to disinformation, and technological dependence on foreign providers. This article examines the main ethical risks associated with AI deployment in the country—including algorithmic opacity, bias and discrimination, threats to privacy, synthetic content and digital impersonation, labor displacement, energy demands, and environmental pressures arising from data center infrastructure—and evaluates their implications for fundamental rights, sustainability, and democratic governance. Based on this assessment, the article proposes regulatory recommendations aimed at establishing a robust and balanced AI governance framework, including mandatory explainability for automated decisions, required labeling of synthetic content, a national registry of AI systems used by the State, independent audits for high-risk systems, the prohibition of unauthorized digital impersonation, clear rules for the use of public data, environmental sustainability standards for digital infrastructure, and tiered liability schemes for autonomous systems. The article concludes that AI regulation in Colombia must be flexible, risk-based, and supported by strengthened institutional capacities to ensure that these technologies are deployed safely, sustainably, and in service of the public interest.
La gestión de riesgos constituye un proceso sistemático orientado a proteger los activos de una organización frente a amenazas de diversa naturaleza -naturales, tecnológicas, intencionales o accidentales- mediante la identificación, evaluación, tratamiento y mejora continua de los controles implementados. Este documento presenta un marco integral para la gestión de riesgos aplicable a distintos contextos, desde emergencias físicas como sismos e incendios, hasta incidentes cibernéticos y organizacionales.
Se estructura en seis capítulos: Gestión de riesgos, Preparación, Prevención, Detección, Reacción y Retrospección, que desarrollan un enfoque transversal de resiliencia. El documento define conceptos fundamentales (activos, amenazas, vulnerabilidades, riesgos, impactos, controles y salvaguardas), enfatiza la necesidad de elaborar un inventario de activos, detalla la aplicación práctica de medidas preventivas y de reacción ante distintos tipos de eventos, y resalta la retrospección como eje de la mejora continua.
Asimismo, se destaca la importancia del manejo eficiente del presupuesto y de los recursos humanos y técnicos como elemento determinante para la efectividad del sistema. El enfoque propuesto integra tanto la gestión estratégica como la operativa, promoviendo una cultura de prevención y aprendizaje constante que permita reducir pérdidas y fortalecer la resiliencia organizacional.
Abstract:
Risk management is a systematic process aimed at protecting an organization’s assets from threats of various natures -natural, technological, intentional, or accidental- through the identification, assessment, treatment, and continuous improvement of implemented controls. This paper presents a comprehensive framework for risk management applicable to multiple contexts, ranging from physical emergencies such as earthquakes and fires to cyber and organizational incidents.
It is structured into six chapters: Risk Management, Preparation, Prevention, Detection, Reaction, and Retrospection, which together develop a cross-cutting resilience approach. The document defines key concepts (assets, threats, vulnerabilities, risks, impacts, controls, and safeguards), emphasizes the need for an asset inventory, details the practical application of preventive and reactive measures for various types of events, and highlights retrospection as the foundation of continuous improvement.
Furthermore, it underlines the importance of efficiently managing budgets, human resources, and technical capabilities as key factors for system effectiveness. The proposed approach integrates both strategic and operational management, promoting a culture of prevention and continuous learning that minimizes losses and strengthens organizational resilience.
La creciente complejidad y sofisticación de las amenazas cibernéticas han convertido la seguridad del perímetro de red en un componente fundamental de las estrategias modernas de ciberseguridad. Los firewalls de próxima generación (NGFW) han surgido como herramientas esenciales, incorporando capacidades avanzadas como inspección profunda de paquetes (DPI), sistemas de prevención de intrusiones (IPS), control de aplicaciones e integración con inteligencia artificial para detectar y mitigar amenazas en tiempo real. Si bien las soluciones comerciales de NGFW ofrecen funcionalidades integradas y listas para su despliegue, sus altos costos y falta de transparencia presentan desafíos para las organizaciones que buscan mayor flexibilidad y eficiencia en costos.
Este artículo explora la viabilidad de implementar un NGFW utilizando software libre. Se realiza una revisión exhaustiva de la evolución de los firewalls, desde el filtrado de paquetes sin estado hasta las capacidades avanzadas de los NGFW modernos. Se analizan en detalle herramientas clave de software libre, como iptables/nftables para el filtrado de paquetes, Suricata y Snort para la detección y prevención de intrusiones, Zeek para el análisis de tráfico, OpenAppID para el control de aplicaciones y Wazuh para la gestión de eventos de seguridad. Además, se propone un modelo de integración para combinar estas herramientas de manera eficiente, abordando consideraciones arquitectónicas, desafíos de interoperabilidad y mejores prácticas para su implementación.
El estudio concluye que, si bien las soluciones de software libre requieren un mayor nivel de conocimientos técnicos y esfuerzo de integración, representan una alternativa altamente flexible, transparente y rentable en comparación con los NGFW privativos. Aprovechando la evolución continua de las herramientas de seguridad de código abierto y el respaldo de comunidades activas de desarrolladores, las organizaciones pueden lograr un marco de seguridad de red sólido y escalable. Los hallazgos de esta investigación resaltan el potencial de futuras mejoras en los NGFW de software libre, particularmente en áreas como la automatización, la inteligencia artificial y la integración con inteligencia de amenazas en tiempo real.
La Inteligencia Artificial (IA) ha emergido como una de las tecnologías transformadoras de nuestra era, revolucionando industrias y facilitando tareas cotidianas y profesionales. Este artículo ofrece una guía integral para comprender y aprovechar al máximo las herramientas de IA disponibles hoy en día. Comenzando con una explicación clara de qué es la IA y cómo funciona, donde se exploran sus componentes clave: como el aprendizaje automático, las redes neuronales y el procesamiento del lenguaje natural.
El artículo profundiza en los diferentes tipos de IA, desde la generativa hasta la especializada en imágenes, texto y análisis de datos, destacando aplicaciones prácticas en campos como el marketing, la programación y la búsqueda de empleo. Además, se presentan las herramientas de IA más reconocidas, como ChatGPT, DeepSeek, Claude, Perplexity y otras, describiendo sus características y usos específicos.
Uno de los pilares del artículo es la metodología RONDA, una estrategia efectiva para estructurar prompts que permitan obtener respuestas precisas y útiles de las IA. Complementando esto, se ofrecen reglas prácticas para escribir instrucciones claras y efectivas, así como consejos para optimizar prompts con la ayuda de la propia IA.
Finalmente, el artículo aborda consideraciones críticas sobre el uso responsable de la IA, incluyendo la importancia de verificar la información generada, proteger la privacidad y entender los límites de estas tecnologías. También se reflexiona sobre el futuro de la IA y su impacto en la sociedad, destacando tanto sus oportunidades como sus riesgos.
En un mundo cada vez más interconectado, la protección del ciberespacio se ha convertido en una prioridad global, dando lugar a dos disciplinas clave: la ciberseguridad y la ciberdefensa. Aunque ambas comparten el objetivo de proteger sistemas y datos, sus enfoques, alcances y responsabilidades difieren significativamente. Este artículo analiza las diferencias entre estas dos áreas, identifica las entidades encargadas de su implementación en Colombia, explora los desafíos que enfrentan y proyecta su futuro en un contexto de creciente complejidad tecnológica y geopolítica. A través de un análisis conceptual y práctico, se busca proporcionar una base sólida para comprender cómo la ciberseguridad y la ciberdefensa contribuyen a la seguridad nacional y global.
Este libro, estructurado en siete volúmenes, ha sido diseñado para ofrecer una visión exhaustiva y detallada de los aspectos más críticos de la seguridad de la información. La intención detrás de este trabajo es ofrecer un recurso integral que pueda servir tanto a profesionales en el campo de la seguridad de la información como a académicos, estudiantes y cualquier persona interesada en comprender los fundamentos y las prácticas avanzadas en esta vital área.
Volumen I: Gestión del Riesgo Este primer volumen introduce al lector en la gestión del riesgo. Se exploran enfoques integrados para una protección efectiva, destacando la importancia de modelos y marcos de gestión que permiten anticipar y mitigar riesgos. Describe la Metodología Integral para la Gestión de Riesgos (MIGRI) y presenta el cómo aplicarla a la seguridad de la información, y la aplicación de mRMR.
Volumen II: Normatividad Colombiana relacionada con Información y Propiedad Intelectual Este volumen examina la normativa colombiana que rige aspectos como la privacidad, la propiedad intelectual, los delitos electrónicos, el trabajo remoto, y la gestión de la información.
Volumen III: Actividades de Aseguramiento de la Información Este volumen detalla cómo implementar arquitecturas de seguridad basadas en el estándar CIS, así como las entidades de apoyo disponibles en el ámbito de la seguridad de la información. Se describe la estructura de las actividades enmarcadas en: Preparación, Prevención, Detección, Reacción y Retrospección. El marco MITRE D3FEND se presenta como una herramienta clave para la defensa proactiva contra amenazas cibernéticas.
Volumen IV: Fundamentos para la Protección Este volumen abarca desde los sistemas numéricos básicos hasta técnicas avanzadas como la criptografía, la firma electrónica y la gestión de las copias de respaldo. Es un puente entre los conceptos básicos y las prácticas avanzadas de protección de la información.
Volumen V: Herramientas para la Protección Este volumen ofrece una visión práctica de las herramientas disponibles para la protección de la información. Se analizan tanto soluciones de software libre como tecnologías específicas diseñadas para enfrentar intrusos cibernéticos. El lector encontrará estudios de caso que demuestran la eficacia y las limitaciones de diferentes enfoques y tecnologías.
Volumen VI: Incidentes y Ataques El conocimiento de los incidentes y ataques más comunes es fundamental para desarrollar estrategias de defensa eficaces. Este volumen examina la matriz MITRE ATT&CK, los ciberincidentes más frecuentes, y la historia y evolución del malware. También se discuten casos famosos y costosos de ciberincidentes en infraestructuras críticas y en Colombia, proporcionando lecciones clave sobre cómo prevenir y responder a tales amenazas.
Volumen VII: Buenas Prácticas para Desarrollo de Software Seguro El último volumen se centra en las mejores prácticas para el desarrollo de software seguro, un componente crucial en la cadena de seguridad de la información. Desde la privacidad y seguridad por diseño hasta la planificación de pruebas y la evaluación de vulnerabilidades, este volumen ofrece una guía inicial para crear software robusto y seguro.
Como autor, es mi esperanza que este libro sirva no solo como un recurso educativo, sino también como una guía práctica que los profesionales puedan consultar repetidamente a lo largo de su carrera. A medida que el panorama de la seguridad de la información continúa evolucionando, confiamos en que este trabajo contribuirá al desarrollo de prácticas más seguras y efectivas en la protección de la información.
Cuando una empresa necesita realizar un proyecto de desarrollo de software a la medida debe tomarse un tiempo significativo e invertir esfuerzo importante para definir ésta necesidad.
Al redactar un documento con un lenguaje claro y sin ambigüedades, que transmita un mensaje conciso y completo, que explique todas las funcionalidades que se requieren del software; se obtienen muchos beneficios:
La tecnología detrás de GROUPs
¿Cómo están organizados los datacenter donde funcionan los aplicativos de Skina IT Solutions y sus clientes?
Esta presentación brinda una breve descripción a este tema.
¿Donde nació Linux?
¿Es gratis?
¿Es libre?
¿por cuanto tiempo?
¿Qué podemos hacer con Linux?
Fábrica de software colombiana, fundada en 2003, dedicada a brindar soluciones informáticas optimizando el uso de tecnología computacional disponible libremente en Internet.
Actualmente nos encontramos enfocados en cinco líneas de negocio principalmente:
Desarrollo de software Web a la medida con seguridad por diseño
Sistemas de información para la gestión de procesos GROUPs
Sistemas de información para la gestión de contratos Pactum CLM
Software libre
Capacitación en IT
Conferencia dictada durante el "ciclo de charlas de los jueves de la Asociación Colombiana de Ingenieros de Sistemas ACIS.
Las Empresas que trabajan con software libre prosperan cada día más. El gran misterio es cómo pueden crecer ofreciendo al mercado software que no tiene costo. Se sabe que libre no significa gratis, ¿pero cómo se involucra el movimiento GNU a la economía? ¿Cómo se pueden plantear negocios siendo parte de una comunidad de software libre? ¿Como pueden las empresas desarrolladoras de software beneficiarse de esta filosofía?
Durante la charla se presentarán conceptos relacionados con licenciamiento de software en sus diferentes estilos, propiedad intelectual y GNU.
Se presentarán los modelos de negocio planteados por:
El lenguaje de programación Python fué escrito por Guido Van Rossum en 1991, en este momento, se perfila como el más facil de aprender para estudiantes y profesionales de cualquier disciplina técnica, también como el más versátil y de mayor crecimiento en el momento.
Durante la presentación se muestran brevemente las características que le dan potencia al lenguaje, se realiza un recorrido por los módulos de soporte adicionales y a Jpython: el superSet de Java para desarrollo rápido de aplicaciones
A partir del nacimiento del software libre, actualmente plasmado en herramientas de tecnología de punta y alta calidad como lo son: El sistema operativo GNU/Linux, el motor de bases de datos PostgreSQL y el servidor WWW APACHE; las empresas de programación de los países en vías de desarrollo tienen la posibilidad de comenzar a desarrollar productos basados en tecnología de punta que, combinados con el bajo costo del personal capacitado y una metodología basada en el servicio al cliente, pueden llegar a ser sustancialmente competitivos frente a los productos desarrollados por las empresas del primer mundo.
Tras 17 años de existencia el software libre ha demostrado su alta calidad y funcionalidad, no es un caso fortuito el que empresas como Boeing y Mercedes lo utilicen, instituciones de la talla de la Nasa den soporte sobre estas herramientas y los gigantes de la computación: IBM e Intel hayan brindado apoyo a su desarrollo con grandes sumas de dinero alcanzando miles de millones de dólares. Sin embargo este tipo de tecnología no se encuentra, ni siquiera mencionada, en ningún proyecto gubernamental, la academia ha permanecido al margen de cualquier compromiso serio respecto a la implementación de la enseñanza basada en el uso de estas herramientas y la empresa privada se presenta indiferente ante las alternativas libres.
Linux es un sistema operativo escrito, originalmente, por un estudiante de la universidad de Helsinski, Finlandia, el cual se encuentra protegido por una licencia que permite su libre uso, distribución y copia, generada por el equipo de trabajo Gnu originado en el M.I.T. el cual llega a Colombia por medio de un proyecto desarrollado en la Universidad de los Andes y hoy se perfila como la mejor alternativa para la solución de los problemas informáticos de la empresa y academia gracias a sus características de alta calidad y multiplicidad de herramientas.
La charla inicia explicando cómo el fraude, el plagio y la piratería se han convertido en el día a día de los estudiantes de colegio como introducción a la cultura libre, explicando que va más allá del software, que hay música, fotografías, videos, tipografías y hasta ciencia libre. Durante la charla se realiza un paneo por las diferentes alternativas que existen en software libre que los estudiantes pueden utilizar en el desarrollo de sus actividades, posteriormente se muestran herramientas para los docentes y se finaliza con la infraestructura tecnológica que puede complementar la que tenga una institución educativa. Se pretende demostrar la utilidad de éste tipo de software en la vida académica.
La primera presentación se brindó con éxito en el FLISoL 2018 y se encuentra disponible en:
https://www.skinait.com/conferencias/2018.10.03-ComoHacerTareasConLibertad.odp
https://www.skinait.com/conferencias/2018.10.03-ComoHacerTareasConLibertad.pdf
La charla fué grabada en el scratch day Bogotá 2019, está publicada por facebook en:
https://www.facebook.com/redacademica/videos/905952359753486/?t=799
