Tema 4

4. Principios de confidencialidad, integridad y disponibilidad

La tríada de confidencialidad, integridad y disponibilidad es una base clásica de la ciberseguridad. Ayuda a entender qué se protege y por qué cada control existe.

Objetivo Comprender la tríada clásica
Enfoque Conceptual y práctico
Resultado Relacionar controles con objetivos

4.1 Introducción

Cuando hablamos de proteger sistemas y datos, necesitamos una forma clara de definir qué significa "estar seguro". La respuesta clásica en seguridad informática se resume en tres principios: confidencialidad, integridad y disponibilidad.

Estos principios suelen presentarse como la tríada CID o CIA (confidentiality, integrity, availability) por sus siglas en inglés. No abarcan absolutamente todo lo que importa en seguridad, pero ofrecen una base muy útil para analizar riesgos, diseñar controles y entender incidentes.

4.2 ¿Qué es la tríada CIA?

La tríada CIA resume tres objetivos fundamentales que deben mantenerse sobre los activos digitales.

Principio Pregunta clave Idea central
Confidencialidad ¿Quién puede ver la información? Solo deben acceder quienes estén autorizados.
Integridad ¿La información se mantiene correcta y confiable? No debe alterarse de forma indebida.
Disponibilidad ¿El sistema o dato está accesible cuando se necesita? Debe poder usarse en el momento oportuno.

4.3 Confidencialidad

La confidencialidad busca impedir que información sensible sea conocida por personas, procesos o sistemas no autorizados. Este principio es esencial cuando se manejan datos personales, información financiera, secretos comerciales, credenciales, documentos internos o cualquier otro contenido que no deba divulgarse.

Una falla de confidencialidad ocurre, por ejemplo, cuando una base de datos queda expuesta públicamente, un atacante roba credenciales o un empleado accede a datos que no necesita para su tarea.

4.4 Controles asociados a la confidencialidad

  • Contraseñas robustas y autenticación multifactor.
  • Control de acceso por roles o permisos.
  • Cifrado de datos en tránsito y en reposo.
  • Segmentación de redes y aislamiento de entornos.
  • Políticas de mínimo privilegio.
  • Gestión segura de credenciales y secretos.
La confidencialidad no significa esconder todo. Significa que cada dato sea accesible solo para quien realmente debe acceder.

4.5 Integridad

La integridad garantiza que los datos y sistemas se mantengan correctos, completos y sin alteraciones no autorizadas. Un dato puede ser confidencial, pero si está modificado de forma incorrecta deja de ser confiable.

La pérdida de integridad puede producirse por ataques, errores humanos, fallas de software, corrupción de archivos o configuraciones defectuosas. Por ejemplo, cambiar el importe de una transferencia, alterar un registro médico o modificar un log de auditoría son problemas de integridad.

4.6 Controles asociados a la integridad

  • Hashes y verificaciones de integridad.
  • Firmas digitales.
  • Control de cambios y versionado.
  • Registros de auditoría confiables.
  • Permisos adecuados de escritura y modificación.
  • Validación de entradas en aplicaciones.

Muchos controles apuntan a detectar modificaciones no autorizadas o a asegurar que un dato no fue alterado durante el almacenamiento o la transmisión.

4.7 Disponibilidad

La disponibilidad implica que los sistemas, servicios y datos se encuentren accesibles cuando se los necesita. Un entorno puede ser confidencial e íntegro, pero si no está disponible en el momento correcto también representa un problema grave.

Una pérdida de disponibilidad ocurre cuando un sitio se cae, un servidor deja de responder, un ransomware cifra la información, un corte eléctrico interrumpe operaciones o una aplicación se vuelve inutilizable bajo carga.

4.8 Controles asociados a la disponibilidad

  • Copias de seguridad y planes de recuperación.
  • Redundancia de servicios e infraestructura.
  • Monitoreo y alertas.
  • Protección ante ataques de denegación de servicio.
  • Mantenimiento preventivo y gestión de capacidad.
  • Alta disponibilidad y continuidad operativa.

4.9 Relación entre los tres principios

Los tres objetivos deben analizarse en conjunto. En muchos casos existe tensión entre ellos y se requiere equilibrio. Por ejemplo:

  • Restringir demasiado el acceso puede mejorar confidencialidad, pero dificultar disponibilidad.
  • Aumentar rapidez operativa sin controles puede dañar integridad o confidencialidad.
  • Exponer servicios para facilitar acceso remoto puede ampliar la superficie de ataque.

La seguridad madura no intenta maximizar un solo principio de forma aislada, sino encontrar un balance razonable según el contexto.

4.10 Ejemplos de incidentes según la tríada

Situación Principio afectado Explicación
Filtración de base de datos de clientes Confidencialidad Información accedida por personas no autorizadas.
Alteración de registros contables Integridad Los datos dejan de ser confiables.
Caída prolongada de un servicio crítico Disponibilidad El sistema no puede utilizarse cuando se necesita.

4.11 Más allá de la tríada

Aunque la tríada CIA es una base muy importante, la seguridad moderna también suele considerar otros conceptos, como autenticidad, trazabilidad, no repudio, resiliencia y privacidad.

Sin embargo, para introducirse en el área, la tríada sigue siendo una excelente herramienta mental porque permite entender la intención detrás de muchos controles y la naturaleza de numerosos incidentes.

4.12 Aplicación en la vida real

En un sistema de banca online, por ejemplo:

  • La confidencialidad protege saldos, movimientos y datos personales.
  • La integridad asegura que transferencias y operaciones no sean alteradas.
  • La disponibilidad garantiza que el servicio pueda utilizarse cuando el cliente lo necesita.

Este mismo razonamiento puede aplicarse a hospitales, comercio electrónico, educación, gobierno o cualquier entorno digital.

4.13 Relación con el análisis de riesgos

Cuando se evalúa un riesgo, una pregunta clave es cuál de estos principios podría verse afectado. Eso permite medir mejor el impacto de un incidente y priorizar controles.

Por ejemplo, exponer una lista de usuarios afecta confidencialidad, alterar una receta médica afecta integridad y dejar fuera de línea una plataforma logística afecta disponibilidad. Cada caso requiere respuestas distintas.

4.14 Qué debes recordar de este tema

  • La tríada CIA resume tres objetivos clásicos: confidencialidad, integridad y disponibilidad.
  • La confidencialidad protege contra accesos indebidos.
  • La integridad protege contra modificaciones no autorizadas o errores.
  • La disponibilidad protege la continuidad y el acceso oportuno a sistemas y datos.
  • Los controles de seguridad existen para sostener uno o más de estos principios.

4.15 Conclusión

La tríada de confidencialidad, integridad y disponibilidad es una herramienta simple pero poderosa para pensar la seguridad. Permite interpretar incidentes, diseñar controles y comprender qué se intenta preservar en cada activo.

En el próximo tema avanzaremos sobre los conceptos de riesgo, amenaza, vulnerabilidad y exposición, que completan la base conceptual necesaria para analizar escenarios de seguridad con mayor precisión.

Volver al índice