Plataforma Digital Nacional - Seguridad informática

Documento de entendimiento

Acuerdo ACT-RNST-23.11.2021.08. La Secretaría Ejecutiva del Sistema Nacional

Anticorrupción, a través de la Unidad de Servicios Tecnológicos y Plataforma Digital
Nacional, elaborará un documento explicativo con los mecanismos de seguridad
informática con los que cuenta la PDN y la distribuirá a las Secretarías Ejecutivas de los
Sistemas Estatales Anticorrupción

**Este documento responde a las principales dudas en términos de seguridad de la

información que corresponden al: desarrollo, almacenamiento, operación, hospedaje,
infraestructura y mecanismos de comunicación que rodean la administración de la
Plataforma Digital Nacional y sus datos.

Introducción

La Plataforma Digital Nacional (PDN) se fundamenta en la Ley General del Sistema Nacional
Anticorrupción (LGSNA), Ley General de Responsabilidades Administrativas (LGRA) y Bases
para el Funcionamiento de la Plataforma Digital Nacional (BFPDN), y tiene el objetivo de
integrar y conectar diversos sistemas electrónicos que posean datos e información necesaria
para que las autoridades competentes tengan acceso a los sistemas a que se refiere el Título
Cuarto de la LGSNA.

Pero, ¿qué es la PDN en términos prácticos? Es un sistema informático basado en tecnologías

web, es decir, que funciona a través de Internet y se accede/opera por medio de un navegador
web (por ejemplo: Google Chrome, Mozilla Firefox o Microsoft Edge).

La PDN permite consultar datos albergados en sistemas informáticos y bases de datos de

diversas instituciones públicas sin necesidad de replicar, almacenar o concentrar
información. Lo anterior se logra por medio de procesos de interoperabilidad y comunicación a
través de Internet .

Los puntos claves detrás de la interoperabilidad con la PDN son: la estandarización de

datos, lo cual significa que los datos deben de estar en el mismo formato (por ejemplo, el
formato de una fecha); y la definición de canales de comunicación comunes (las instituciones
que ponen información a disposición de la PDN lo hacen usando los mismos protocolos o
reglas y ofreciendo las mismas funcionalidades para consultar información). Este modelo ha
comprobado su funcionalidad a través de las instituciones que interoperan actualmente con la
PDN.
1
La información que puede consultarse por medio de la PDN en su etapa actual es pública, ya
que no contiene datos de carácter reservado y está disponible abiertamente. Los esfuerzos del
equipo de la PDN están enfocados, por el momento, en incrementar el número de instituciones
que interoperan con la PDN.

Arquitectura de la PDN
¿Quién puede tener acceso a la información de la PDN?

En la etapa actual de la PDN la ciudadanía tiene acceso a la información pública sin

restricciones. El acceso a la información reservada se habilitará posteriormente a personas
servidoras públicas según sus facultades y según lo establecido en el marco normativo vigente.

¿Dónde se encuentra instalada la PDN?

Debido a que la Secretaría Ejecutiva del Sistema Nacional Anticorrupción (SESNA) no cuenta
actualmente con un centro de datos e infraestructura de cómputo propia, se cuenta con un
servicio de cómputo en la nube para alojar a la PDN que permite tener un ambiente de alta
disponibilidad, junto con todos los avances de seguridad informática que estos centros de datos
tienen implementados.1

Algunas ventajas de tener la PDN en esquema de nube:

● Actualizaciones de seguridad: Si algún componente físico o de software requiere de

un parche que mejore la seguridad o el funcionamiento, este es aplicado por el
proveedor de servicios de nube sin que la operación de la PDN se vea afectada.

● Riesgo reducido: el riesgo de interrupción de operaciones es reducido, y al mismo

tiempo, la recuperación de interrupciones o fallos es más rápida, gracias a que los
proveedores de nube cuentan con diferentes centros de datos distribuidos a lo largo del
mundo, permitiendo que en el caso de que alguno de esos centros de datos tenga algún
fallo, los servicios sean trasladados al siguiente centro de datos más cercano
regionalmente.

¿Dónde se alojan/guardan/provienen los datos que se ofrecen a través de la PDN?

Los datos que se pueden consultar a través de la PDN se encuentran almacenados en

diversas instituciones. Cada institución cuenta con sistemas informáticos y configuraciones
distintas.

1
https://www.oracle.com/cloud/compliance/
2
Para incorporar o poner a disposición información en la PDN no se solicita que se cuente con
una configuración de hardware/software en particular, siempre que se cumpla con lo necesario
para establecer el “canal común de comunicación” que permite enviar información
estandarizada a través de Internet.

¿Cómo es que la información llega a la PDN?

La PDN es un sistema informático que permite a los usuarios realizar búsquedas en diversas
fuentes de información. La PDN cuenta con diversos parámetros de consulta, como opciones
de filtrado y ordenamiento.

Cada vez que un usuario ejecuta una búsqueda a través de la PDN, la solicitud es enviada a
los sistemas informáticos de las diferentes instituciones públicas interconectadas a la PDN,
quienes la procesan y a su vez, envían los resultados a la PDN para ser entregados al usuario.

La PDN NO centraliza información y NO es un repositorio de datos.

¿Cómo es que la PDN no almacena la información?

Toda la información que se ofrece a través de la PDN fluye desde su fuente (la institución
pública que la posee) hacia el usuario que la está solicitando, sin almacenarse o concentrarse
de manera persistente en algún sitio.

¿Quién construye o desarrolla la PDN?

El personal de la Unidad de Servicios Tecnológicos y Plataforma Digital Nacional (USTPDN) de

la SESNA es el encargado de la administración de la plataforma que conlleva su desarrollo y
mantenimiento, como lo establece la normatividad vigente.

Desde su inicio, la PDN se encuentra bajo desarrollo activo, lo que permite agregar mejoras y
ampliar funcionalidades conforme se requiera, ya que su diseño es modular, escalable y
basado en el uso de herramientas de software libre y de código abierto.

La Figura 1 muestra un esquema conceptual de la arquitectura de la PDN, que está basada en

un esquema de interoperabilidad, lo cuál implica que la PDN acude a consultar la información a
las instituciones concentradoras de los datos.

3
 Figura 1. Esquema conceptual del funcionamiento de la PDN

Mitos relacionados con la operación PDN

Mito 1: El proceso de incorporar información a la PDN afecta el funcionamiento de otros

sistemas de la institución

No. Al seguir estrategias y medidas en materia de tecnologías/seguridad informática como las

que se plantean a continuación.
Se sugiere a todas las instituciones públicas consolidar la información que será incorporada a
la PDN en un ambiente aislado e independiente de otros sistemas informáticos de la institución.
Es importante considerar lo siguiente:

● Las bases de datos o sistemas de información donde se realizan operaciones en el día

a día no deben ser directamente la fuente de los datos a consultar por la PDN, ya
que se pueden presentar problemas de desempeño o se puede llegar a comprometer
información ajena al contexto de la PDN.

● Al interior de la red de la institución, la infraestructura informática destinada por los

entes públicos para poner datos a disposición de la PDN debe aislarse del resto de
sistemas de cómputo a través de segmentación de red, evitando interferir con la

4
 operación de sistemas de propósito crítico o limitando el alcance de cualquier posible
ataque informático.

La recomendación anterior es esencial para cuidar la seguridad informática de las instituciones

públicas, promueve el correcto funcionamiento de la PDN y forma parte de cualquier estratégia
básica de seguridad informática que implementen las instituciones concentradoras de datos.

Mito 2: El volumen de la información que los entes públicos deben poner a disposición
de la PDN es alto y requiere grandes inversiones en infraestructura informática

En términos del número de registros y requerimientos de almacenamiento de datos, el volumen

de información que se debe poner a disposición de la PDN por parte de las instituciones
públicas es bastante moderado. Usualmente, las instituciones públicas cuentan con información
que no supera las decenas de miles de registros.

A continuación se presentan algunos ejemplos de bases de datos extensas en cuanto a

número de registros y que aún así, requieren de pocos recursos de almacenamiento:

● 40,000 declaraciones de servidores públicos ocupan aproximadamente 418 Mega Bytes

(MB).

● 436,602 registros de contrataciones públicas de toda la Administración Pública Federal

ocupan aproximadamente 2.7 Giga Bytes (GB).

Las bases de datos anteriores suman en total casi medio millón de registros y cabrían
fácilmente en una unidad de almacenamiento USB de 4GB.

Con los ejemplos anteriores se espera dar una idea más clara sobre el volumen de información
que los entes públicos deben poner a disposición de la PDN.

Cabe mencionar que con el abaratamiento de la tecnología de almacenamiento y los servicios

de cómputo en la nube, cada vez se hace más posible que las instituciones públicas
contribuyan al progreso de la PDN.

Mito 3: Las transferencias de información desde las instituciones públicas hacia la PDN
requieren altas capacidades de ancho de banda

Los canales de comunicación que la PDN utiliza para obtener información de las instituciones
públicas cuentan con funcionalidades de “paginación” para evitar extraer volúmenes excesivos
de registros al ejecutar una cierta consulta.

Específicamente, la paginación permite establecer un número máximo de resultados que serán

entregados al usuario, algo que es particularmente útil cuando se ejecuta una búsqueda que
produce un número masivo de resultados (por ejemplo: miles o decenas de miles). La
5
paginación usada en la PDN permite a los usuarios navegar en los resultados de búsquedas
que producen muchos resultados como si fueran las páginas de un libro.

Cabe mencionar que el número máximo de registros que pueden ser solicitados a una
institución pública es de 200 para cada consulta que se realiza. Permitiendo que en la mayoría
de los casos, la información transferida desde la institución hasta el navegador del usuario no
llegue a superar 1 MB de tamaño, como se muestra en las Figuras 2 y 3.

Figura 2. Cantidad de datos devuelta en el buscador del Sistema 1 (10 registros solicitados por
proveedor), donde a la fecha de prueba se tienen 10 proveedores de información.

Figura 3. Cantidad de datos devuelta en el buscador del Sistema 1 (200 registros solicitados por
proveedor), donde a la fecha de prueba se tienen 10 proveedores de información.

La Figura 4 presenta de manera gráfica, un resumen sobre los mitos y realidades de la

operación de la PDN descritos anteriormente.

6
 Figura 4. Infografía de mitos y realidades sobre la operación PDN.

Seguridad informática
¿Se puede blindar completamente mi sistema de información?

Lamentablemente no, ningún sistema informático está exento de vulnerabilidades o de recibir

ataques informáticos. Sin embargo, lo más recomendable es llevar a cabo procesos de
fortalecimiento de seguridad periódicamente tanto en equipos físicos cómo en el software que
se usa en la institución, sobre todo el empleado para incorporar datos a la PDN. Estos
procesos incluyen estrategias como: escaneos en busca de vulnerabilidades, instalación de
software antivirus, aplicación de parches, actualizaciones de seguridad, entre otras, y deben
ejecutarse continuamente para alcanzar un nivel de fortalecimiento alto, reduciendo el riesgo de
un ataque informático.

Asimismo, como parte de las estratégias para fortalecer la seguridad informática, pueden
emplearse herramientas que permitan realizar escaneos en busca de vulnerabilidades (por
ejemplo: Mozilla Observatory2, SSL Server Test3, etc). Es importante realizar escaneos
periódicamente y en caso de nuevos descubrimientos de vulnerabilidades, se deben identificar

2
https://observatory.mozilla.org/
3
https://www.ssllabs.com/ssltest/
7
y corregir a la brevedad aquellos que puedan comprometer sus sistemas, previniendo así
cualquier ataque o acceso no controlado.

¿El acceso público a la PDN implica que no se cuenta con mecanismos o estratégias de
seguridad informática?

No, el acceso público implica únicamente que los usuarios no necesitan identificarse o realizar
algún proceso en específico para acceder a la Plataforma y su información. No obstante, la
PDN cuenta varios mecanismos o estrategias de seguridad de entre los que se destacan los
siguientes:

● Web Application Firewall (WAF): Protege a la PDN contra el tráfico malicioso y no

deseado de Internet, combinando la información de amenazas con la aplicación de
reglas para proteger los servidores, aplicaciones web y API’s de aplicaciones accesibles
desde Internet mitigando ataques DDoS, lo que garantiza una mayor disponibilidad.

● Gestión activa de bots: La PDN cuenta con mecanismos que identifican y bloquean el
tráfico malicioso de bots mediante un conjunto avanzado de métodos de verificación
como son CAPTCHA, huella digital de dispositivos y algoritmos de interacción humana
para identificar e impedir que las actividades incorrectas o sospechosas de los bots
obtengan información.

● Seguridad del núcleo hasta el borde: La infraestructura que soporta a la PDN

proporciona seguridad en cada uno de sus niveles, para garantizar el aislamiento de los
usuarios, el cifrado de datos en cada etapa del ciclo de vida, controles de seguridad
específicos, cumplimiento y visibilidad a través de datos de log y soluciones de control.

● Autorización OAuth 2.0: Las instituciones públicas que ponen datos a disposición de
la PDN deben implementar el protocolo de autorización OAuth 2.0, mismo que permite
implementar diversos flujos de autorización para obtener acceso limitado a recursos
desde diversos clientes.

● Cifrado SSL: Las instituciones públicas que ponen datos a disposición de la PDN
pueden agregar a su canal de comunicación certificados SSL para establecer una
conexión cifrada entre ellos y la PDN. Este cifrado se utiliza para proteger la
transferencia de datos e información sensible.

● VPN: Se puede establecer una Red Privada Virtual (VPN por sus siglas en inglés) entre
las instituciones públicas y la PDN. El establecimiento de la VPN consiste en crear una
red privada entre estos puntos (la institución pública y la PDN), en la cual la
comunicación es cifrada y se requieren credenciales de acceso.

8
¿La PDN cuenta con respaldos?

La PDN no concentra o almacena información, por lo que no se realizan respaldos de la

información de las instituciones públicas. No obstante, se cuenta con respaldos de nuestros
proyectos de software y configuraciones para hacer frente a cualquier eventualidad.

● Software: el código de la PDN y otros aplicativos se encuentra en repositorios de

GitHub con restricciones en cuanto a permisos para modificación o eliminación de los
mismos.

● Configuraciones: Se encuentran resguardadas en equipos distintos a los que alojan a

la PDN.

¿Las pruebas para establecer la conexión con la PDN ponen en riesgo la información de
los entes públicos?

No, las pruebas para establecer la conexión con la PDN no tienen por qué afectar la seguridad
informática de las instituciones públicas. Si se llevan a cabo en ambientes controlados y con
apego al protocolo de la PDN son totalmente seguras y no interfieren con el desempeño de
otros sistemas informáticos.

El protocolo de conexión con la PDN establece la ejecución de conjuntos de pruebas de

seguridad, funcionales y de estrés ejecutadas en dos fases. La primera fase corresponde al
ambiente de desarrollo, en donde se utilizan datos sintéticos con la finalidad de probar la
completa funcionalidad de los canales de comunicación. En la segunda fase que corresponde
al ambiente productivo, se solicita a las instituciones públicas contar con los datos reales que
serán suministrados a la PDN, además de contar con un certificado de seguridad para el canal
de comunicación o bien emplear una red privada, cabe señalar que en esta fase se omite el
envío de datos de carácter reservado, por lo que toda la información real usada es pública.

¿Qué pasaría si alguien destruye o daña físicamente la infraestructura donde está

instalada la PDN?

Como se mencionó anteriormente, la infraestructura en la cual está hospedada la PDN

pertenece a un proveedor de servicios de nube, en un ambiente controlado y con mecanismos
de seguridad perimetrales. En el extremo caso de que los equipos donde se aloja la PDN
sufrieran daño, el despliegue de la PDN se podría llevar a cabo nuevamente de manera ágil, ya
que el software y configuraciones se encuentran resguardadas fuera de las instalaciones del
proveedor de servicios de nube. Adicionalmente, cabe mencionar que el proveedor de servicios
de nube cuenta con centros de datos alrededor de todo el mundo, por lo que sí la
infraestructura donde se encuentra la PDN fallará, tendríamos la capacidad de poner en
marcha las operaciones en otra región geográfica de manera ágil.

9
¿Qué tipos de ataques informáticos más comunes existen y cuál sería su impacto en la
PDN?

Existen gran cantidad de clasificaciones de ataques informáticos, en esta sección abordamos

los más comunes desde el punto de vista de la PDN.

● DDoS: Es uno de los ataques más frecuentes en Internet. También conocido como
“denegación del servicio distribuida” (que proviene del inglés distributed denial of
service). En este ataque se simula un grán número de usuarios que el acceso al sistema
atacado se satura, ocasionando que se impida el acceso a los usuarios por un cierto
periodo de tiempo. Para hacer frente a un ataque de este tipo se tienen mecanismos
para identificar y bloquear a las fuentes del ataque.

● Ejecución arbitraria de código: En este tipo de treta, el atacante busca la capacidad

para ejecutar cualquier comando o inyectar código en un objetivo potencial, puede ser
tanto un equipo como un proceso de software ejecutado en él. Para hacer frente a este
tipo de ataques, en la PDN realizamos escaneos periódicamente en busca de este tipo
de vulnerabilidades y mantenemos actualizados nuestros sistemas (aplicamos parches
y actualizaciones de seguridad periódicamente).

● Envenenamiento de la caché DNS (DNS poisoning): Un ataque de envenenamiento

de la caché del servidor de nombres de dominio (DNS) se produce cuando un código
malicioso vulnera la tabla de nombres de dominio de un servidor de Internet. En caso de
recibir algún ataque de envenenamiento, algunas o todas las direcciones legales de
Internet que conforman esta tabla se reemplazan por direcciones falsas. De esta forma,
cuando un usuario teclea una dirección de un sitio web en su navegador, en lugar de
dirigir a un sitio web legítimo, las solicitudes realizadas a través de la tabla DNS dañada
remiten al usuario a páginas falsificadas. En la PDN utilizamos las extensiones de
seguridad conocidas como Domain Name System Security Extensions (DNSSEC) para
evitar este tipo de ataques.

● Ataque XSS o Cross-Site Scripting: Se trata de un tipo de ataque que aprovecha

fallas de seguridad en sitios web y que le permite a los atacantes implantar scripts
maliciosos (instrucciones o códigos) en un sitio web legítimo. Permitiendo así, que se
ejecuten acciones en el navegador web de un usuario desprevenido, ocasionando
afectaciones como lo son: el robo de credenciales, redirigiendo al usuario a otro sitio
malicioso o la alteración del contenido del sitio web legítimo (conocido como website
defeacement). Para prevenir esté tipo de ataque, en la PDN usamos frameworks
modernos para el desarrollo de interfaces de usuario, que por su diseño, cuentan con
mecanismos para evitar vulnerabilidades XSS.

● Malware: Se trata de una variedad de software hostil o intrusivo: virus informáticos,

gusanos, caballos de troya, ransomware, spyware, adware, etc. En la PDN para hacer

10
 frente a estos tipos de ataques manteniendo actualizados los sistemas, usamos
herramientas para monitorear los aplicativos, usamos fuentes fiables de software, etc.

¿Cuál es el punto más débil de la PDN?

El punto más débil en la arquitectura de la PDN son las instituciones públicas concentradoras
de información que no cuentan con las estratégias de seguridad informática esenciales y que
podrían ser vulnerados de manera aislada.

Una mala gestión de las tecnologías de la información puede dar pie a malos niveles de
servicio y la generación de nuevos riesgos y vulnerabilidades para las instituciones.

Algunas malas prácticas que se llevan a cabo al interior de las instituciones públicas son las
siguientes:

● Resguardar información sensible en conjunto con datos que se publican abiertamente.

● Usar versiones de software antiguas o desactualizadas. Por ejemplo: Sistemas
operativos, antivirus, servidores web, bases de datos, etc.
● Comprometer la operación de sistemas de propósito crítico (por ejemplo: un sistema de
control de gestión, sistema de declaración patrimonial y de intereses, etc.), al instalar en
un mismo equipo, servicios que serán usados para otros fines o por terceros (por
ejemplo: los canales de comunicación para la PDN).
● No contar con políticas de respaldo que permitan recuperar bases de datos,
configuraciones, etc.
● Uso de contraseñas no seguras, es decir, que contraseñas muy simples, no se cambian
periódicamente y no se resguardan de manera segura.

11
Resumen de recomendaciones generales para incrementar la
seguridad

De manera enunciativa más no limitativa, algunas estrategias para elevar la seguridad

informática en los entes públicos son:

● Establecer en un ambiente aislado, los recursos informáticos que serán destinados a

dar servicio a la PDN. Por ejemplo, los elementos que suministrarán datos a la PDN se
pueden establecer en un segmento de red donde no se tenga acceso a la red interna de
la institución, sistemas u otros elementos informáticos que tienen otros objetivos y
funciones para la institución.

● Conformar bases de datos que contengan únicamente la información que se desea

publicar a través de la PDN. No hay necesidad de exponer cualquier otra información
reservada o que simplemente no forme parte de lo que se debe incorporar a la PDN.

● Monitorear el acceso/uso de los recursos informáticos. Se debe monitorear la actividad

de los recursos informáticos como servidores web, bases de datos, sistemas de
archivos, entre otros, con el objetivo de detectar cualquier actividad inusual. Por
ejemplo, alto número de accesos concurrentes, intentos de acceso no autorizado o
incremento en el uso de recursos como memoria RAM y almacenamiento.

● Realizar periódicamente escaneos en busca de vulnerabilidades y aplicar parches.

● Establecer Redes Privadas Virtuales o VPNs para limitar el acceso a recursos de

cómputo (como las APIs o sistemas gestores de bases de datos).

● Instalar certificados SSL para cifrar comunicaciones entre recursos web y usuarios.

● Aplicar periódicamente parches y actualizaciones al software de sistemas operativos,

sistemas gestores de bases de datos, servidores web, frameworks, etc.

● Reforzar la cultura de seguridad informática de la organización. Por ejemplo: recordando

la importancia del uso de las contraseñas seguras y correcto uso de los dispositivos de
cómputo en la red institucional.

● Contar con políticas de respaldos para evitar la pérdida de información.

● Habilitar y configurar extensiones de seguridad como DNSSEC para evitar la

manipulación o envenenamiento de las respuestas a solicitudes de DNS.

12
La Figura 5 ilustra diversas amenazas informáticas y estrategias de seguridad informática que
se han implementado para proteger a la PDN.

Figura 5. Infografía sobre amenazas informáticas y estrategias de seguridad informática en la PDN.

Definiciones
● Ancho de banda: En el contexto de las redes de computadoras, ancho de banda
digital, ancho de banda de red o simplemente ancho de banda es la medida de datos y
recursos de comunicación disponible o consumida​expresados en bit/s o múltiplos de él
como serían los Kbit/s,Mbit/s y Gigabit/s.

● Ataque informático (ciberataque): En computación y redes de computadoras un

ataque es un intento de exponer, alterar, desestabilizar, destruir, eliminar para obtener
acceso sin autorización o utilizar un activo. Un ciberataque o ataque informático, es
cualquier maniobra ofensiva de explotación deliberada que tiene como objetivo de tomar
el control, desestabilizar o dañar un sistema informático (ordenador, red privada,
etcétera). El atacante es un individuo u organización que intenta obtener el control de un

13
 sistema informático para utilizarlo con fines maliciosos, robo de información o de hacer
daño a su objetivo.

● Ciberentorno: Esto incluye a usuarios, redes, dispositivos, todo el software, procesos,

información almacenada o que circula, aplicaciones, servicios y sistemas que están
conectados directa o indirectamente a las redes.

● Interoperabilidad: capacidad de organizaciones y sistemas, dispares y diversos, para

interactuar con objetivos consensuados y comunes, con la finalidad de obtener
beneficios mutuos, en donde la interacción implica que las dependencias y entidades
compartan infraestructura, información y conocimiento mediante el intercambio de datos
entre sus respectivos sistemas de tecnología de información y comunicaciones.

● Segmentación de red: La segmentación de red es una técnica de seguridad que divide

una red en distintas subredes más pequeñas, que permiten a los equipos de red
compartimentar las subredes y otorgar controles y servicios de seguridad únicos a cada
subred.

● Seguridad informática o ciberseguridad: El conjunto de herramientas, políticas,

conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de
riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden
utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno.
Los activos de la organización y los usuarios son los dispositivos informáticos
conectados, los usuarios, los servicios/aplicaciones, los sistemas de comunicaciones,
las comunicaciones multimedios, y la totalidad de la información transmitida y/o
almacenada en el ciberentorno. La ciberseguridad garantiza que se alcancen y
mantengan las propiedades de seguridad de los activos de la organización y los
usuarios contra los riesgos de seguridad correspondientes en el ciberentorno. Las
propiedades de seguridad incluyen una o más de las siguientes:
○ Disponibilidad;
○ integridad, que puede incluir la autenticidad y el no repudio;
○ confidencialidad.

● Vulnerabilidad: Características y circunstancias de una comunidad, sistema o activo

que lo hacen susceptible de sufrir los efectos nocivos de un peligro.

● Riesgo: Combinación de la probabilidad de un evento y de sus consecuencias

adversas.

14