El Marco Europeo de Competencias en Ciberseguridad (ECSF) de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) define un total de 30 perfiles profesionales TIC, aunque se pueden identificar áreas o especialidades. Estos perfiles cubren las actividades esenciales para la estrategia digital de una organización, desglosados en un marco estructurado que incluye perfiles como los de Especialista en Ciberseguridad y el de Ingeniero de Ciberseguridad. 

Perfiles Esenciales y Áreas de Competencia

Los perfiles incluidos en el ECSF son 30 perfiles profesionales TIC. Sin embargo, podemos agruparlos en diferentes perfiles esenciales o especialidades dentro del campo de la ciberseguridad, como los siguientes: 

• Especialista en ciberseguridad: Se encarga de la protección de datos y de la privacidad de las organizaciones frente a los ciberataques. 
• Ingeniero de ciberseguridad: Diseña, implementa y mantiene sistemas de seguridad para prevenir y mitigar ciberataques. 
• Profesional de seguridad de la información: Se enfoca en la seguridad de la información dentro de las organizaciones, incluyendo políticas, auditorías y cumplimiento de normativas. 
• Analista de ciberseguridad: Monitoriza y analiza los sistemas para detectar amenazas, investigar incidentes y responder a las brechas de seguridad. 
• Experto en respuesta a incidentes: Gestiona y coordina la respuesta a incidentes de seguridad, conteniendo y erradicando amenazas y recuperando los sistemas. 
• Experto en desarrollo seguro (DevSecOps): Asegura que el desarrollo de software incluya prácticas de seguridad desde el inicio del proceso para prevenir vulnerabilidades. 
• Ethical Hacker / Pentester: Realiza pruebas de penetración y evaluación de vulnerabilidades para identificar y corregir debilidades en los sistemas y aplicaciones. 

Propósito del ECSF

El ECSF de ENISA proporciona una visión clara y estructurada de las diversas competencias y actividades necesarias para apoyar la estrategia digital de una organización. Esto ayuda a definir roles, identificar necesidades de talento y orientar programas de formación para el sector. 

Iniciativas a nivel nacional

• Talento Hacker de INCIBE
• Grupo de trabajo de “formación, capacitación y talento” del Foro Nacional de Ciberseguridad

El Analizador de Red Pasivo para Insights ProfundosDefinición y Propósito Básico:

Zeek (anteriormente conocido como Bro) es un framework open-source de análisis de red diseñado específicamente para monitorización de seguridad. No es un IDS tradicional que genera alertas basadas en firmas; en cambio, actúa como un “analizador pasivo” que inspecciona el tráfico de red en tiempo real, extrayendo datos estructurados y generando logs detallados sobre actividades de red. Su objetivo es proporcionar visibilidad profunda para que analistas de seguridad detecten anomalías, como intentos de exfiltración de datos o comportamientos sospechosos, sin intervenir en el flujo de tráfico. Imagina Zeek como un “observador silencioso” que registra todo lo que sucede en la red, similar a un registrador de vuelo en un avión, pero para paquetes de datos.

Historia: Zeek fue creado en la década de 1990 por Vern Paxson en la Universidad de California, Berkeley, y laboratorios nacionales de EE.UU., como una herramienta para monitorear redes académicas y gubernamentales. Inicialmente llamado “Bro” (por “brother watching over you”, un juego de palabras sobre vigilancia protectora), se enfocaba en investigación financiada por el gobierno federal.

En 2018, se renombró a Zeek para reflejar su madurez y evitar confusiones con otros proyectos. Hoy, es mantenido por la comunidad y respaldado por empresas como Corelight, con más de 20 años de desarrollo y más de 10.000 despliegues globales. Ha evolucionado de un prototipo académico a un estándar en NSM, influenciando herramientas modernas.

zeek.org

Cómo Funciona en NSM: Zeek se despliega en “sensores” (hardware, software, virtual o en la nube) que capturan tráfico de red mediante interfaces como libpcap o PF_RING. Procesa el tráfico en capas:

1. Captura de Paquetes: Lee el tráfico en tiempo real sin modificarlo.
2. Análisis de Protocolos: Descompone paquetes en eventos de alto nivel, como “conexión HTTP establecida” o “archivo transferido vía SMB”.
3. Generación de Logs: Produce más de 70 tipos de logs por defecto (e.g., conn.log para conexiones, http.log para solicitudes web, dns.log para consultas DNS), rastreando más de 3.000 eventos de red. Estos logs son en formato estructurado (JSON o TSV), fáciles de integrar en SIEMs como ELK Stack.
4. Detección Pasiva: No bloquea nada; en cambio, alerta sobre patrones sospechosos, como tráfico encriptado inusual o exfiltración de datos.

Por ejemplo, si un atacante intenta un ataque de comando y control (C2) vía DNS tunneling, Zeek registraría consultas DNS anómalas en dns.log, permitiendo a un analista correlacionarlas con otros eventos.

Capacidades de Scripting (ZeekScript): Una de las fortalezas de Zeek es su lenguaje de scripting propio, ZeekScript, que permite personalizar el análisis. Es un lenguaje de dominio específico (DSL) inspirado en C, con sintaxis simple para definir manejadores de eventos.

• Características del Lenguaje: Soporta variables, funciones, módulos, condicionales, bucles y tipos como strings, integers, records (estructuras). Incluye operadores para manipular datos de red, como extracción de campos de paquetes.
• Manejadores de Eventos: El núcleo son los “event handlers”, funciones que se activan en eventos específicos, e.g., event http_request(c: connection, method: string, url: string) { if (method == “POST” && |url| > 1000) log(“Posible ataque”); }. Esto permite detectar payloads grandes en POSTs HTTP.
• Uso en Análisis Personalizado: Scripts se cargan en runtime para extender funcionalidades, como detectar protocolos personalizados o integrar con threat intelligence. Hay más de 270 paquetes comunitarios para scripts prehechos (e.g., para JA3 fingerprinting de TLS).
• Ejemplos: Un script básico podría monitorear conexiones SSH inusuales: event ssh::client_version(c: connection, version: string) { if (version contains “malware”) notice(“SSH sospechoso”); }. En NSM, esto ayuda a crear detecciones personalizadas sin recompilar el código.
• Integración: Los scripts generan outputs que se integran con herramientas como Suricata (para correlación de alertas) o SIEMs via JSON.

Características Clave:

• Soporte para protocolos modernos (HTTP/2, QUIC, TLS 1.3).
• Alta escalabilidad: Maneja gigabits por segundo en hardware estándar.
• Comunidad activa: Más de 7.300 estrellas en GitHub.
• Use Cases: Monitoreo en universidades, gobiernos y empresas para threat hunting, análisis forense y compliance (e.g., detectar fugas de PII).

Versión Actual (diciembre 2025): La versión LTS estable es 8.0.4 (lanzada en noviembre 2025), con correcciones de seguridad. La pre-lanzamiento de características es 8.1.0-rc1 (15 de diciembre 2025), que incluye mejoras en Spicy (analizador de protocolos) y soporte para nuevos eventos.

zeek.org

Existen numerosos repositorios en GitHub dedicados a ciberseguridad con contenido en castellano, desde cursos gratuitos hasta colecciones de recursos y guías prácticas. Estos proyectos facilitan el aprendizaje y la implementación en español, ideales para profesionales y estudiantes.​ ver todos en https://github.com/topics/ciberseguridad

Cursos y temarios

• gerardokaztro/cybersecurity-entry-level: Curso completo desde cero, cubre principios de seguridad, respuesta a incidentes, control de acceso y más; incluye videos y materiales editados. ver https://github.com/gerardokaztro/cybersecurity-entry-level​
• 4GeeksAcademy/cybersecurity-syllabus: Sílabus para ENS (Esquema Nacional de Seguridad) en español, enfocado en normativas españolas. https://github.com/4GeeksAcademy/cybersecurity-syllabus/blob/main/12-ENS/ens.es.md​

Recursos y colecciones

• Aquiles369/CIBERSEGURIDAD.TODOS-LOS-PDF: Repositorio con PDFs sobre ciberseguridad, auditorías, hacking ético y redes.​ https://github.com/Aquiles369/CIBERSEGURIDAD.TODOS-LOS-PDF
• neftalito/Recursos-ciberseguridad: Lista extensa de trucos, vulnerabilidades y HackTricks traducida al español. https://github.com/neftalito/Recursos-ciberseguridad​
• jdiazmx/HispanoSEC-Resources: Recursos para pentesting, infosec y CTFs, con enfoque educativo whitehat. https://github.com/jdiazmx/HispanoSEC-Resources​

Las campañas APT (Advanced Persistent Threat – Amenaza Persistente Avanzada) son ciberataques dirigidos, altamente sofisticados y sostenidos en el tiempo, cuyo objetivo principal es permanecer oculto dentro de una red o sistema durante meses o incluso años para robar información sensible, realizar espionaje, sabotear infraestructuras críticas o obtener ventaja estratégica .

A diferencia de los ataques masivos y automatizados, las APT se caracterizan por:

• Técnicas avanzadas: uso de exploit zero‑day, vulnerabilidades en la cadena de suministro, herramientas legítimas del sistema (living‑off‑the‑land) y malware personalizado diseñado específicamente para la víctima .
• Persistencia a largo plazo: los atacantes mantienen acceso continuo, con una permanencia media de alrededor de 95 días, y evitan la detección mediante el uso de credenciales legítimas y la manipulación de identidades .
• Actores bien financiados y motivados: suelen estar respaldados por estados‑nación o grupos criminales altamente organizados, con objetivos estratégicos como el ciberespionaje, el robo de propiedad intelectual o el sabotaje de infraestructuras críticas .
• Vector de ataque predominante relacionado con la identidad: según estudios recientes, casi el 90 % de las investigaciones involucran problemas de identidad y el 65 % de los accesos iniciales se deben a phishing spear‑phishing o compromiso de cuentas .

Fases típicas de una campaña APT

1. Reconocimiento: análisis del objetivo, mapeo de infraestructuras y búsqueda de vulnerabilidades para identificar puntos de entrada y activos de alto valor .
2. Acceso inicial: se logra mediante spear‑phishing, explotación de zero‑day, compromiso de servicios expuestos en Internet o ingeniería social .
3. Infiltración y establecimiento de una base: se implanta malware o se usan credenciales robadas para crear una puerta trasera y mantenerse dentro de la red .
4. Expansión y movimiento lateral: los atacantes se desplazan por la red, escalan privilegios y comprometen sistemas adicionales para aumentar su control .
5. Exfiltración de datos: se recopilan y extraen la información valiosa (documentos confidenciales, claves API, datos de criptomonedas, etc.) de forma discreta y se envían a servidores de comando y control .
6. Mantenimiento y limpieza: se borran rastros, se persiste el acceso y se prepara el terreno para futuras operaciones .

Ejemplos recientes de campañas APT

• TetrisPhantom (descubierto por Kaspersky en 2023): campaña dirigida a gobiernos de la región Asia‑Pacífico que explotó unidades USB de almacenamiento seguro para espiar y extraer datos confidenciales durante largos periodos sin ser detectada .
• NaiveCopy (activada en 2022): enfocada en inversores de acciones y criptomonedas en Corea del Sur, utilizó documentos temáticos de criptomonedas y alertas de fuerzas de seguridad como cebo para distribuir macros maliciosas mediante Dropbox y exfiltrar información sensible .

Qué pueden hacer las organizaciones para defenderse

• Implementar controles de identidad y acceso multifactor (MFA) para reducir el riesgo de compromiso de credenciales .vectra
• Segmentar la red y aplicar el principio de menor privilegio para limitar el movimiento lateral .black9
• Monitorear continuamente el comportamiento de usuarios y entidades con soluciones de detección y respuesta basada en el comportamiento (UEBA, EDR/XDR) y usar inteligencia sobre amenazas para identificar indicadores de compromiso asociados a APT .vectra
• Mantener los sistemas parcheados y gestionar de forma proactiva las vulnerabilidades de día cero y de la cadena de suministro .ibm
• Realizar ejercicios de threat modeling y simulación de ataques para entender cómo un atacante podría moverse dentro del entorno y ajustar las defensas en consecuencia  (aunque no se cita directamente en esta respuesta, es una práctica recomendada en el contexto de defensa contra APT).cloudflare

Una campaña APT es un ataque cuidadosamente planeado y ejecutado por actores con recursos significativos, cuyo sigilo y persistencia le permiten permanecer dentro de la víctima durante largo tiempo para cumplir objetivos estratégicos de espionaje, sabotaje o robo de información . La defensa efectiva requiere una combinación de controles de identidad, visibilidad profunda del comportamiento, segmentación de red y actualización constante de sistemas.

Herramientas de ciberseguridad para análisis, detección y el posterior triaje

• Security Onion se distribuye como una plataforma de monitorización de seguridad totalmente gratuita; su versión open‑source incluye todas las capacidades de detección, threat hunting y gestión de casos sin restricciones de funcionalidad .
• Zeek (antes llamado Bro) es un framework de análisis de red liberado bajo la licencia BSD, lo que lo convierte en software libre y de código abierto .
• Suricata es un motor de detección y prevención de intrusiones desarrollado por la Open Information Security Foundation (OISF) y publicado bajo licencia GPLv2, por lo que también es open source .

Grassmarlin, Cyberlens y Sophia son herramientas de código abierto (open source/free).

• Grassmarlin es una aplicación basada en software libre, liberada por la NSA, disponible para Windows y Linux y cuyo código fuente se puede descargar desde su repositorio en GitHub .
• Cyberlens y Sophia aparecen listadas en la guía del INCIBE como herramientas open source y libres dentro del apartado de inventario de activos, lo que indica que su código fuente es accesible y pueden utilizarse de manera gratuita .

NIST SP 800‑82 es la guía de referencia del NIST para seguridad en sistemas industriales / OT.

Qué es NIST SP 800‑82

• Es una Publicación Especial del NIST titulada “Guide to Operational Technology (OT) Security” (antes “Guide to Industrial Control Systems (ICS) Security”).
• Proporciona recomendaciones para mejorar la seguridad de sistemas OT/ICS: SCADA, DCS, PLC, automatización de edificios, etc., teniendo en cuenta sus requisitos especiales de disponibilidad, tiempo real y seguridad física.

Versión actual

• Desde septiembre de 2023 la versión vigente es NIST SP 800‑82 Revision 3, que actualiza amenazas, arquitecturas recomendadas y controles específicos para OT.

Contenido clave

• Describe el entorno OT/ICS y topologías típicas de red.
• Identifica amenazas y vulnerabilidades habituales en OT.
• Recomienda arquitecturas de red seguras (segmentación, DMZ, etc.) y controles técnicos/organizativos alineados con NIST SP 800‑53.

otros pasos = mapear NIST SP 800‑82r3 con Purdue o con los requisitos de NIS2 para entornos ICS/OT.

1. Construir una matriz NIS2 ↔ ENISA ↔ NIST OT
   • Columnas mínimas:
     • Requisito NIS2/Reglamento (ID + texto breve).
     • Tema ENISA (uno de los 13 bloques).enisa.
     • Controles OT relevantes de NIST 800‑82 (referenciando familias de 800‑53 adaptadas).smartsuite+2
     • Evidencias específicas que vais a mantener (docs, configuraciones, registros, resultados de pruebas).
2. Priorizar por riesgo OT
   • Empieza por: procesos de mayor impacto físico/operacional.
   • Para cada uno, aplica el ciclo de NIST 800‑82 (asset → threats → vulnerabilities → safeguards) y mapea las salvaguardas a requisitos NIS2.
3. Reutilizar todo lo que ya tengas de ISO 27001
   • ENISA mapea NIS2 ↔ ISO 27001 ↔ otros frameworks.advisera+2
   • Lo “horizontal” (riesgos, política, concienciación, incidentes, proveedores) puedes cubrirlo con ISO 27001; lo “vertical OT” lo bajas con 800‑82.
4. Definir un “OT Security Baseline” alineado con NIS2
   • Documento breve que diga: “Estos son los mínimos técnicos OT que aplicamos para cumplir NIS2”, con referencias cruzadas a NIST 800‑82.

Siguiente paso esbozar una tabla sencilla (en markdown) con 5–6 requisitos NIS2 típicos y ejemplos concretos de control OT según 800‑82 + evidencia que deberías guardar para una auditoría.