La educación digital en apoyo a la modalidad educativa presencial [1]

Digital education in support of face-to-face education

 

Jorge Francisco Vera Mosquera [2]

Bélgica Elena Argüello Fiallos[3]

José Enrique Obando Montenegro[4]

 

ACEPTADO – JULIO 2018  REVISADO – NOVIEMBRE 2018 PUBLICADO ENERO 2019

 

Resumen
La presente investigación se contextualizó en la Universidad de Guayaquil dentro del programa de investigación “reactivación del sistema de gestión de prevención de riesgos laborales”, en su proyecto “socialización de la evaluación de riesgos, establecimiento de metas y plan de implementación”, del FCI (Fondo Competitivo de Investigación), avalizado por el Vice-Rectorado de Investigación, Gestión del Conocimiento y Postgrado en Guayaquil, Ecuador. La necesidad de capacitar en el área de seguridad y salud ocupacional en función de disponer de las certificaciones SETEC(Secretaría Técnica del Sistema Nacional de Cualificaciones Profesionales) al personal administrativo y de servicio de todo nivel en el ente universitario, cuyo número a la fecha oscila entre 5000 y 6000 personas, implica tener como objetivo un escenario educativo que facilite el proceso a llevar a cabo, por lo que la tecnología digital constituye un aliado educativo a la modalidad presencial o virtual que ha sido determinada por el personal responsable del proyecto, para el desarrollo de estos cursos. En el camino de la consecución de las conclusiones, se analizaron las concepciones tecnológicas actuales y su uso educativo, así como la necesidad de emplear la tecnología educativa, estimándose emprender el uso del gestor de aprendizaje Moodle, bajo el paradigma digital de aprendizaje en apoyo a las modalidades  nombradas, dado que así se facilita el proceso educativo de cursos que se originan en sus distintas categorías y diversos destinatarios, dado el nivel de concurrencia cuyo número de accesos y consultas hace necesario prestar facilidades de aprendizaje al estudiante.

 

Palabras clave: Educación digital, tecnología educativa, modelo tradicional, gestor de aprendizaje

 

Abstract

This research was contextualized in the University of Guayaquil within the research program "reactivation of the occupational risk prevention management system", in its project "socialization of risk assessment, establishment of goals and implementation plan", of the FCI (Competitive Research Fund), endorsed by the Vice-Rectorate for Research, Knowledge Management and Postgraduate Studies in Guayaquil, Ecuador. The need to train in the area of ​​occupational safety and health in order to have the SETEC certifications (Technical Secretariat of the National System of Professional Qualifications) to the administrative and service staff of all levels in the university entity, whose number to date fluctuates between 5000 and 6000 people, it implies having as an objective an educational scenario that facilitates the process to be carried out, so that digital technology constitutes an educational ally to the face-to-face or virtual modality that has been determined by the personnel responsible for the project, for the development of these courses. On the way to achieving the conclusions, the current technological conceptions and their educational use were analyzed, as well as the need to use educational technology, considering to undertake the use of the Moodle learning manager, under the digital paradigm of learning in support of the named modalities, given that this facilitates the educational process of courses that originate in their different categories and diverse recipients, given the level of competition whose number of accesses and consultations makes it necessary to provide learning facilities to the student.

Keywords: Digital education, educational technology, traditional model, learning manager

 

1. Introducción

La SETEC se creó el 17 de marzo del 2011, según el Artículo 7 del Decreto Ejecutivo nº 680, cuya publicación consta en el Registro Oficial No. 406  (OEI, 2012), definiéndose como: “una institución que trabaja arduamente por fortalecer el talento humano del país, mediante políticas públicas en el ámbito de la capacitación y certificación por competencias laborales, ejecutadas en todo el territorio nacional.”. (SETEC, 2018)“.

 

La Universidad de Guayaquil, dentro de sus planes de mejoras consta el desarrollo e implementación de un sistema de gestión de prevención de riesgos laborales. Dicho trabajo está a cargo de la Dirección de Talento Humano a través de la Jefatura de Seguridad y Salud Ocupacional, de ahí surge la necesidad de llevar a cabo las capacitaciones necesarias del caso, a partir de septiembre del 2018, encontrándose al momento con un universo de 18 unidades académicas y 10 unidades administrativas, donde la población de las primeras oscila entre menos de 100 trabajadores y más de 1000, y de las segundas un número menor.

 

La población trabajadora total varía dependiendo de las necesidades institucionales, entre 5000 y 6000 personas, entre personal administrativo, docente y de servicio, lo que significa llevar a cabo un programa educativo continuo al respecto.

 

Indiscutiblemente el mundo vive la era digital, por lo que el ente universitario no se encuentra al margen de ello, (Comisión Europea, 2018) cita: “La educación y la formación son las mejores inversiones en el futuro de Europa. Desempeñan un papel primordial para impulsar el crecimiento, la innovación y la creación de empleo. ... La tecnología digital enriquece el aprendizaje de diferentes maneras y ofrece unas oportunidades de aprendizaje que deben estar al alcance de todos. Da acceso a un gran caudal de información y recursos.

 

La integración de toda capacitación con la tecnología digital debe manifestarse en las aulas y/o laboratorios que vayan a emplearse en las distintas facultades. La edad promedio del personal que hará de estudiantes es de 48 años, que indiscutiblemente se encuentran altamente influenciados por la enseñanza tradicional.

 

El aprendizaje electrónico (E-learning) surge en estas circunstancias y se conceptúa como (Segura-Robles & Gallardo-Vigil, 2013): “completamente virtualizado, es decir, la instrucción se da a través de un dispositivo digital como un ordenador o  dispositivo móvil (Clark & Mayer, 2011)”.  Los mismos autores mencionan como características básicas del mismo lo siguiente:

·      Interactividad: Quien usa la plataforma debe estar consciente que es uno mismo el responsable de su aprendizaje.

·      Flexibilidad: El sistema debe adaptarse a las distintas circunstancias estructurales físicas y educativas.

·      Escalabilidad: Se puede trabajar con distinto número de usuarios.

·      Estandarización: El sistema permita utilizarse y/o actualizarse por terceros para replicar.

 

Por lo que un programa de capacitaciones al disponer de estas características, simplemente se adapta a los cursos y usuarios, independiente de su número.

 

Vale estimar, la presencia y uso de la internet en el centro educativo, que ha creado el inicio de un cambio, que se ve influenciado por un aprendizaje en la red, que se conceptúa como E-learning empresarial, (Esteban-Albert & Zapata-Ros, 2016) que los autores citan: “Se trata de lo que comúnmente se conoce como el e-learning empresarial (Ruíperez, 2003) o del sector empresarial, que pone en circulación materiales de aprendizaje más o menos asistidos por un auténtico sistema de aprendizaje en redes. En realidad es esta la auténtica esencia del E-learning para muchos, donde se distingue la distribución de contenidos más o menos asistidos (se entiende asistidos de forma automática) y el sentido instrumental de éstos en un contexto educativo. (pág. 3).

 

Esto hace que el quehacer pedagógico se tenga que renovar para que tenga efecto la integración curricular de la tecnología, surgiendo así el paradigma de la educación digital (Telefónica, 2015): “Los expertos coinciden en afirmar que el modelo educativo actual está desfasado para la era digital. El fracaso escolar o el desajuste con el mercado laboral parecen corroborarlo. Se impone por tanto, un nuevo paradigma” (pág. 4).

 

Vale considerar la visión que regularmente se tiene de la tecnología a nivel general docente (Noëlle & Granados, 2015): “El hecho de que las TIC respondan casi exclusivamente a unos criterios de utilidad y de eficacia que no tienen nada que ver con los sistemas económicos, políticos y/o culturales de nuestra sociedad, evidencia un discurso tecnocentrista por parte de los estudiantes(pág. 16), por lo que la didáctica a emplearse debe partir de un enfoque innovador de formación pedagógica/andragógica, que trate un planteamiento didáctico de cómo utilizar la tecnología en clase.

 

Lo mencionado, implica crear ambientes de aprendizaje (Diaz-Barriga, 2013) , a lo que el autor cita: “Un ambiente de aprendizaje es el resultado de establecer secuencias didácticas que ofrecen un ordenamiento de acciones a realizar, no necesariamente en forma única (pág. 7).

 

Esto implica reconocer los Ambientes personales de aprendizaje (PLE - Personal Learning Environment): (Adell & Castañeda, 2010) cuyo concepto los autores citan así: “conjunto de herramientas, fuentes de información, conexiones y actividades que cada persona utiliza de forma asidua para aprender (pág. 7). A su vez orientan sus elementos en:

 

      Dónde acceder a la información:

o   Sitios de publicación (blogs, wikis), repositorios y bases de datos de audio (iTunes U, podcasts), vídeo (YouTube, Vimeo, Blip, etc.), multimedia (Slideshare, repositorios digitales como el de National Geographic, BBC u otras empresas de divulgación), objetos de aprendizaje estandarizados (AGREGA, MERLOT, repositorios de diferentes instituciones formales), lectores de RSS (Google Reader, RSSowl, etc.), sitios de noticias, portales de información específica, repositorios OpenCourseWare, etc.

      Dónde modificar la información:

o   Wikis, suites ofimáticas de escritorio (OpenOffice.org) y en red (GDocs, Zoho), herramientas de mapas mentales (CMapTools, Creatively, Collaborilla), herramientas de edición de audio, de vídeo, creación de presentaciones, mapas conceptuales, cronogramas y en general cualquier tipo de artefacto informacional.

      Dónde relacionarme con otros; lo constituye la red personal de aprendizaje en red (Personal Learning Environment – PLN).

 

En esta última red, es que se ubica el gestor de aprendizaje.

 

Los autores del presente trabajo de investigación recomiendan el empleo de Moodle, por su utilidad para el aprendizaje: (Lechuga & Rojas, 2016)Al utilizar la plataforma Moodle como herramienta para el aprendizaje constructivista, los educandos tienen la oportunidad de ampliar su experiencia; esta tecnología le ofrece opciones para lograr que el aula tradicional se convierta en un nuevo espacio, en donde tienen a su disposición actividades innovadoras de carácter colaborativo y con aspectos creativos que les permiten afianzar lo que aprenden, además de construir su conocimiento en conjunto con el docente en su rol de facilitador, otorgándole la libertad necesaria para que explore el ambiente tecnológico, pero estando presente cuando tenga dudas o le surja algún problema, siempre enfatizando para hacerlos pensar, reflexionar, investigar, estudiar y comprender. (pág. 16).

 

Por ende, se debe considerar el diseño de material para puesta en línea cuya aplicación obedezca al contexto y a un diseño instruccional del proceso enseñanza-aprendizaje a emplearse. Así, se tiene que (Romero, Sola, & Trujillo, 2015): “Desde el punto de vista de la intención didáctica, se pueden diseñar materiales para exposición de contenidos, para plantear actividades de enseñanza-aprendizaje, o bien para integrar en un mismo objeto educativo ambas cuestiones dando lugar a lo que denominamos materiales integrados (pág. 63), debiendo respetarse siempre la autoría de los mismos.


El empleo de un modelo híbrido potencia el trabajo del tutor, es decir, el uso de la virtualidad en apoyo a la modalidad presencial, hace que el facilitador oriente su quehacer educativo, en base a las metodologías de aprendizaje identificadas en el diagnóstico de estilos de los estudiantes, que deben ser realizados a los aprendices al inicio de los procesos educativos en el primer curso que tomen.

 

2. Conclusiones

Al disponerse de los cursos debidamente categorizados por los distintos aspectos a tratarse dentro del programa de capacitaciones a dictarse, vale que el modelo pedagógico a implementarse, considere el paradigma digital.

Los contenidos deben ser desarrollados e implementados dentro de una enseñanza programática que contemple los ambientes personales de aprendizaje personales y en red que los estudiantes del personal del centro educativo dispongan y puedan construir para su aprendizaje autónomo y colaborativo.

El empleo del gestor de aprendizaje Moodle, no solo garantizará el proceso digital sino también el educativo, dado que emplea paradigmas como el constructivismo social, aprendizaje significativo y los aprendizajes autónomos y colaborativos.

Todo estudiante iniciante debería de ser evaluado previo a la toma de los cursos que tome, dado que así el facilitador que le corresponda en cualquiera de los mismos, tiene un panorama colectivo e individual de sus estudiantes.

Igualmente, al inicio, es recomendable realizar una encuesta digital para que los facilitadores puedan identificar, reconocer y/o armar los ambientes de aprendizaje.

Los actos didácticos que los tutores empleen en modalidad presencial, estarán respaldados con los contenidos de curso que se dispongan en el gestor de aprendizaje, por lo que sus actividades las puede pulsar como recrear en el momento que lo considere necesario didácticamente.

La evaluación está a potestad de la persona tutora en el proceso, pudiendo apoyarse en el gestor de aprendizaje Moodle, con sus distintas formas de evaluar, en la forma e instancias que desee: antes, durante y al final del proceso educativo.

 

Referencias bibliográficas

IBM.COM. (MAYO de 2017). https://www.ibm.com/. Obtenido de https://www.ibm.com/developerworks/library/iot-trs-secure-iot-solutions1/index.html

MICROSOFT.COM. (DICIEMBRE de 2017). https://azure.microsoft.com/. Obtenido de https://azure.microsoft.com/en-us/updates/microsoft-azure-iot-reference-architecture-available/

ENISA. (20 de NOVIEMBRE de 2017). https://www.enisa.europa.eu. Obtenido de https://www.enisa.europa.eu/publications/baseline-security-recommendations-for-iot

ISO.ORG. (NOVIEMBRE de 2017). https://www.iso.org. Obtenido de https://www.iso.org/standard/

CASTELLANOS, J. (OCTUBRE de 2017). https://www.exploit-db.com/. Obtenido de https://www.exploit-db.com/docs/spanish/43160-reversing-and-exploiting-iot-devices.pdf

PALMES. (2010). PDCA: PLANIFICAR, HACER, VERIFICAR, ACTUAR. MADRID: AENOR. ASOCIACION ESPAÑOLA DE NORMALIZACION Y CERTIFICACION. MADRID.

ALLIANCE CYBER SECURITY. (DICIEMBRE de 2016). https://downloads.cloudsecurityalliance.org/. Obtenido de https://downloads.cloudsecurityalliance.org/assets/research/internet-of-things/future-proofing-the-connected-world.pdf

OWASP.ORG. (ENERO de 2018). https://www.owasp.org. Obtenido de https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

VIOLINO, C. (ENERO de 2018). https://www.csoonline.com/. Obtenido de https://www.csoonline.com/article/3043030/security/12-top-cloud-security-threats-for-2018.html

TEJERO, A. (FEBRERO de 2017). https://www.researchgate.net/. Obtenido de https://www.researchgate.net/publication/313400021_Metodologia_de_analisis_de_riesgos_para_la_mejora_de_la_seguridad_del_Internet_de_las_Cosas_Caso_Smartwatch?enrichId=rgreq-3bbb99f0acf96b6624d901d73697e9c2-XXX&enrichSource=Y292ZXJQYWdlOzMxMzQwMDAyMTtBUzo

TINAJERO, A. (FEBRERO de 2017). https://www.researchgate.net. Obtenido de https://www.researchgate.net/profile/Alberto_Tejero/publication/313400021_Metodologia_de_analisis_de_riesgos_para_la_mejora_de_la_seguridad_del_Internet_de_las_Cosas_Caso_Smartwatch/links/589976e34585158bf6f795db/Metodologia-de-analisis-de-riesgos-para-la

INTERNET A.B. (OCTUBRE de 2017). https://tools.ietf.org/. Obtenido de https://tools.ietf.org/html/rfc6347

ELIZALDE, D. (DICIEMBRE de 2016). https://techproductmanagement.com/. Obtenido de https://techproductmanagement.com/iot-decision-framework/

MATEO, I. (s.f.).

OEI. (Agosto de 2012). EUROSOCIAL PROGRAMA PARA LA COHESIÓN SOCIAL EN AMÉRICA LATINA. Recuperado el 8 de Junio de 2018, de http://sia.eurosocial-ii.eu/files/docs/1412243797-Informe%20final%20SNCP%20Ecuador.pdf

SETEC. (2018). Recuperado el 29 de Mayo de 2018, de http://www.cualificaciones.gob.ec/que-es-la-setec/

Comisión Europea. (17 de Enero de 2018). COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO, AL CONSEJO, AL COMITÉ ECONÓMICO Y SOCIAL EUROPEO Y AL COMITÉ DE LAS REGIONES sobre el Plan de Educación Digital. Recuperado el 21 de Agosto de 2018, de Comisión Europea: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=COM%3A2018%3A22%3AFIN

Segura-Robles , A., & Gallardo-Vigil, M. (19 de Diciembre de 2013). ENTORNOS VIRTUALES DE APRENDIZAJE: NUEVOS RETOS EDUCATIVOS. Revista científica electrónica de Educación y Comunicación en la Sociedad del Conocimiento, 260-272. Recuperado el 20 de Junio de 2018, de http://www.eticanet.org/revista/index.php/eticanet/article/view/34/30

Esteban-Albert , M., & Zapata-Ros, M. (15 de Julio de 2016). Estrategias de aprendizaje y eLearning. Un apunte para la fundamentación del diseño educativo en los entornos virtuales de aprendizaje. RED. Revista de Educación a Distancia.(50). doi:http://dx.doi.org/10.6018/red/50/15

Telefónica. (Aabril de 2015). A un click de las TIC. Recuperado el 20 de Mayo de 2018, de https://aunclicdelastic.blogthinkbig.com/wp-content/uploads/El-nuevo-paradigma-de-la-educaci%C3%B3n-digital.pdf

Noëlle, M., & Granados, J. (20 de Noviembre de 2015). Orientaciones para la formación didáctica del profesorado novel en las TIC: los entornos 2.0 y el trabajo colaborativo en el aula. Referencia Pedagógica, 13-26. Recuperado el 22 de Junio de 2018, de http://rrp.cujae.edu.cu/index.php/rrp/article/view/77/91

Diaz-Barriga, Á. (Junio-Septiembre de 2013). TIC en el trabajo del aula. Impacto en la planeación didáctica. RIES - Revista Iberoamericana de Educación Superior, 10(IV), 3-21. Recuperado el 29 de Junio de 2018, de http://www.redalyc.org:9081/articulo.oa?id=299128588003

Adell, J., & Castañeda, L. (2010). Los Entornos Personales de Aprendizaje(PLEs): una nueva manera de entender el aprendizaje. DIGITUM, Biblioteca Universitaria. Recuperado el 29 de Junio de 2018, de https://digitum.um.es/jspui/bitstream/10201/17247/1/Adell&Casta%C3%B1eda_2010.pdf

Lechuga, A., & Rojas, A. (1 de Noviembre de 2016). MOODLE COMO HERRAMIENTA DE COMUNICACIÓN Y ENSEÑANZA APRENDIZAJE, DESDE UN ENFOQUE CONSTRUCTIVISTA. RDU - Revista Digital Universitaria. Recuperado el 22 de Junio de 2018, de http://www.ru.tic.unam.mx/bitstream/handle/123456789/2687/art79_2016.pdf?sequence=1&isAllowed=y

Romero, J., Sola, T., & Trujillo, J. (Diciembre de 2015). Posibilidades didácticas de las herramientas Moodle para producción de cursos y materiales educativos. Digital EDUCATION(28). Recuperado el 8 de Julio de 2018, de http://revistes.ub.edu/index.php/der/article/view/14092/pdf

EcuRed. (2018). EcuRed. Recuperado el 19 de Agosto de 2018, de https://www.ecured.cu/Inform%C3%A1tica_Educativa

Riesco, M., Fondón, M., Álvarez, D., López, B., Cernuda, A., & Aquilino, J. (19 de Agosto de 2018). Informática: materia esencial en la educación obligatoria del siglo XXI. ReVisión. Obtenido de http://www.aenui.net/ojs/index.php?journal=revision&page=article&op=viewArticle&path%5B%5D=162&path%5B%5D=270

Zapata-Ros, M. (15 de Septiembre de 2015). Pensamiento computacional: Una nueva alfabetización digital . Revista de Educación a Distancia. Recuperado el 19 de Agosto de 2018, de http://revistas.um.es/red/article/view/240321/183001

Reyes, F., Vera, L., & Colina, E. (Septiembre-Diciembre de 2014). Estrategias creativas para promover el aprendizaje significativo en la práctica docente simulada. Opción(75), 55-74. Obtenido de http://www.redalyc.org/pdf/310/31035400002.pdf

López, C., Benedito, V., & León, M. (Agosto de 2016). El Enfoque de Competencias en la Formación Universitaria y. Formación Universitaria, 9(4), 11-22. doi: 10.4067/S0718-50062016000400003

Soto, J., & Torres, C. (10 de Marzo de 2016). Percepciones y expectativas del aprendizaje en jóvenes universitarios. REDU - Revista de Docencia Universitaria. Recuperado el 28 de Mayo de 2018, de https://polipapers.upv.es/index.php/REDU/article/view/5797/6350

Vera, P., Baquedano, C., Ferrám, Y., Olavarría, S., Parra, E., & De Souza, B. (Julio de 2008). Una innovación pedagógica para la formación de universitarios emprendedores. Revista da FAE, 113-126. Obtenido de https://revistafae.fae.edu/revistafae/article/view/331/227

Viera, J., Hernández, J., Castillo, J., & Domínguez, R. (18 de Noviembre de 2016). Las tecnologías móviles en ámbito universitario . III Jornadas Iberoamericanas de Innovación Educativa en el ámbito de las TIC . Obtenido de https://acceda.ulpgc.es/bitstream/10553/20447/1/0730076_00000_0001.pdf

Sharples, M. (Abril de 2018). Pedagogía en línea. Un análisis del viaje de la educación hacia el entorno digital. (M. P. Ltd., Ed.) Recuperado el 21 de Agosto de 2018, de https://www.investigacionyciencia.es/revistas/especial/educacin-digital-734/pedagoga-en-lnea-15322

La redacción. (Septiembre de 2013). Investigación y Ciencia. Recuperado el 26 de Julio de 2018, de https://www.investigacionyciencia.es/revistas/investigacion-y-ciencia/el-amanecer-de-los-exoplanetas-582/las-tic-van-a-la-escuela-11358

SETEC. (2018). Recuperado el 29 de Mayo de 2018, de http://www.cualificaciones.gob.ec/que-es-la-setec/

 

 

 

 

 

 


 


 

 

 

 

 

 

 

 

 

 

 

 

 


ANEXO A

ANALISIS DE SEGURIDAD DEL SISTEMA DE CONEXIONES IoT

ITEM

ETAPA

RIESGO

OBJETIVOS DE CONTROL

CONTROLES DE SEGURIDAD

PRUEBAS DE SEGURIDAD

1

HARDWARE DEL DISPOSITIVO

a) Manipulación del dispositivo.
b) Reemplazo del dispositivo.

a) Implementar controles para prevenir manipulación física de los dispositivos.
b) Implementar controles para evitar reemplazo de los objetos inteligentes.

a) Comprobar la aplicación de mecanismos a prueba de manipulaciones o reemplazo de los equipos.

a) Verificar que el dispositivo posea sensores con funcionalidad de detección de manipulación, mediante la observación de cambios en los datos del sensor.
b) Verificar los seriales de los sensores y dispositivo para comprobar si no han sido cambiados.

2

SOFTWARE DEL DISPOSITIVO

a) Suplantación de  identidad al acceder al dispositivo.
b) Manipulación de sistema operativo y aplicaciones del dispositivo.
c) Lectura de datos desde el almacén del dispositivo y manipulación de los mismos.
d) Manipulación de datos de control de comandos en la memoria del dispositivo.
e) Manipulación de paquetes de actualización del dispositivo, durante el almacenamiento local, provocando que los componentes del mismo estén en riesgo.
f) Divulgación de información del objeto inteligente, una vez que  ha sido vulnerado el software.
g) Elevación de privilegios, modificando las funciones del software del dispositivo para que realice una función distinta de la establecida.
h) Vulnerabilidades Meltdown y Spectre, ataques a la operación de los procesadores.

a) Asignación de identidad y credenciales para autenticación del dispositivo,  y  así evitar la suplantación de  identidad.
b) Implementar controles de acceso para evitar la manipulación de sistema y aplicaciones del equipo.
c) Implementar controles de acceso para prevenir la lectura de datos del almacén del dispositivo y alteración de los mismos.
d) Implementar controles de acceso para contrarrestar la manipulación de datos de control de comandos del objeto inteligente.
e) Implementar técnicas de control de acceso para evitar la manipulación de paquetes de actualización del dispositivo, y mitigar el riesgo de los componentes del mismo.
f) Implementar técnicas de control de acceso para prevenir la divulgación de información del equipo inteligente.
g) Implementar controles para mitigar la elevación de privilegios en el acceso a los dispositivos.
h) Implementar medidas para contrarrestar ataques Meltdown y Spectre.

a) Verificar autenticación del dispositivo utilizando seguridad de capa de transporte (TLS) o IPSec.  para prevenir la suplantación de  identidad.
b) Comprobar el uso de clave encriptado en los dispositivos que no pueden controlar la criptografía asimétrica para evitar la manipulación del sistema y aplicaciones del equipo.
c) Verificar el cifrado de la memoria del dispositivo, para prevenir la lectura y alteración de la información del  mismo.
d-e) Verificar el esquema de autorización del dispositivo para contrarrestar la manipulación de datos de control de comandos y  los paquetes de actualización del dispositivo para mitigar el riesgo de los componentes del mismo.
f-g) Verificar aplicación de técnicas de codificación de cifrado y firmas en el software para prevenir la divulgación de información y elevación de privilegios en los equipos inteligentes.
h) Verificar la implementación de parches de seguridad para contrarrestar ataques Meltdown y Spectre.

a) Pruebas de autenticación del dispositivo para verificar Autorización y Auditoría (AAA): hash, firma digital.
b) Pruebas de descifrado de clave del dispositivo,  para verificar si el encriptamiento es vulnerable.
c) Pruebas de acceso a la memoria del dispositivo para verificar encriptación de la memoria del mismo.
d-e) Pruebas de vulneración de la aplicación del dispositivo, para validación de entradas y listas de control de acceso al software del equipo.
f-g) Revision de código de aplicaciones, para verificar código cifrado y firmado.
h) Pruebas de penetración  ataques Meltdown y Spectre, para verificar si el procesador ha sido parchado contra estos tipos de riesgos de seguridad.

3

ENLACES DE COMUNICACIÓN

a) Desvío de tráfico en las rutas de trasmisión entre el dispositivo y la plataforma de servicios en la nube, mediante ataques de Hombre en el medio de la comunicación, invalida parcialmente la difusión, suplantando al dispositivo o usuario  que origina el envío de información.
b) Alteración de la información, una vez que el atacante ha interceptado la comunicación, puede modificar parte del contenido de la misma.
c) Divulgación de la información, ya con la comunicación interceptada, el ciberdelincuente, puede acceder a la información sin estar autorizado ni autenticado.
d) Ataques de denegación de servicios con ello el atacante evita el envío de información a su plataforma de destino.

a) Implementar medidas de control, a fin de proteger la puerta de enlace para prevenir vulneraciones y desvío de información.
b) Implementar técnicas de control de acceso para prevenir ataques y la alteración de la información.
c) Implementar medidas de control de acceso para evitar la divulgación de la información.
d) Implementar técnicas de control para mitigar ataques de denegación de servicios.

a) Verificar aplicación de seguridades del protocolo MQTT Transporte de telemetría de cola del mensaje. El mismo que verifica que está conectado el cliente autorizado, autenticando el certificado de cliente con el protocolo SSL o autenticando la identidad del cliente con una contraseña, para prevenir ataques y desvíos de información.
b) Verificar aplicación de un algoritmo de clave público / privado completo como RSA (River, Shamir, Adleman), para prevenir ataques y la alteración de la información.
c) Verificar cifrado de tráfico en el transporte de datagrama de capa segura, DTLS, para la interceptación de la comunicación para la divulgación de la información.
d) Verificar la aplicación de técnicas de emparejamiento seguro de la entidad externa con el dispositivo LE NFC o Bluetooth, para control del panel operativo del dispositivo, a través de una puerta de enlace de campo o en la nube, actuando solo como clientes hacia la red  IoT, para mitigar ataques de denegación de servicios.

a) Pruebas de checksum en envío de mensajes MQTT Transporte de telemetría de cola del mensaje. Para verificar certificados SSL.
b) Pruebas de códigos de autenticación MAC.
c) Pruebas de interceptación de la comunicación para verificar cifrado de tráfico.
d) Pruebas de emparejamiento de dispositivos con LE NFC para verificar si es vulnerable a ataques de denegación de servicios.

4

PLATAFORMAS EN LA NUBE

a) Administración de identidad y credenciales insuficientes para el control de acceso a las plataformas en la nube.
b) Interfaces de usuario y de programación de aplicaciones inseguras y estas se utilizan para interactuar con los servicios en la nube.
c) Vulnerabilidades de los componentes del sistema operativo en la plataforma en la nube, ponen en riesgo la seguridad de la información y servicios Cloud.
d) Amenazas internas en la red Cloud, usuarios administradores inescrupulosos, pueden hacer mal uso de  la información confidencial a la que tienen acceso.
e) Amenazas persistentes avanzadas, ataque cibernético que establece un punto de interceptación en la red Cloud, una vez instaladas se mezclan con el tráfico normal para el robo de información.
f) Perdida de datos en los servicios de hosting en la nube, por fenómenos naturales o errores internos del proveedor de servicios en la nube.
g) Vulnerabilidades de tecnología compartida, se da por la compartición de infraestructura y plataformas en la nube por parte de los proveedores de servicios cloud, que pueden ser explotadas por terceros que acceden a esta infraestructura.

a) Implementar controles de acceso para administración de identidad y credenciales para el acceso autorizado a las plataformas en la nube.
b) Implementar controles de acceso a las interfaces de usuario y de programación de aplicaciones de los servicios en la nube, para mitigar los riesgos de seguridad.
c) Implementar técnicas de control para evitar vulnerabilidades de los componentes del sistema operativo en las plataformas Cloud.
d) Tomar acciones por parte de los proveedores de servicios Cloud, para mitigar las amenazas internas en las redes y plataformas en la nube.
e) Implementar medidas de control para mitigar amenazas persistentes avanzadas, para evitar el robo de información.
f) Tomar acciones para mitigar la perdida de información de los servicios de hosting en la nube,  por fenómenos naturales.
g) Tomar acciones por parte de los proveedores de servicio para reducir las vulnerabilidades en tecnología e infraestructura Cloud compartida.

a-b) Verificar autenticación de la puerta de enlace de campo en la puerta de enlace en la nube con certificado PSK basado en notificación utilizando TLS RSA/PSK, IPSec, en la administración de identidad y credenciales para el acceso autorizado a las plataformas Cloud y las interfaces de programación de aplicaciones y de usuarios de los servicios en la nube, para mitigar los riesgos de seguridad.
c) Verificar que se haya implementado una partición de sistema operativo de solo lectura, imagen de sistema operativo firmada, y cifrada, para evitar alteración de los componentes del sistema operativo de la plataforma de servicios en la nube.
d-g) Impulsar el establecimiento de políticas de seguridad para la interconexión de infraestructura Cloud de los proveedores de estos servicios, para mitigar las amenazas internas en las redes, infraestructura y plataformas en la nube compartidas.
e) Verificar la ejecución de listas blancas de aplicaciones para mitigar amenazas persistentes avanzadas, para evitar software malicioso y programas no autorizados que facilitan el robo de información en las plataformas de Cloud.
f) Verificar si se dispone de sitios alternos de los Data Centers de los proveedores de servicios Cloud, para mitigar la perdida de información de los servicios de hosting en la nube causados por fenómenos naturales.

a-b) Pruebas de autenticación en la puerta de enlace en la nube para verificar certificados PSK basado en notificación TLS RSA/PSK, IPSec, en el acceso a plataformas Cloud y las interfaces de programación de aplicaciones Cloud.
c) Pruebas de verificación de particiones de sistema operativo, una solo de lectura, pruebas de penetración para verificar cifrado y firma de imagen del sistema operativo la plataforma en la nube.
d-g) Verificar políticas de seguridad de los proveedores de servicios Cloud para la interconexión y compartición de infraestructura Cloud.
e) Pruebas de penetración de seguridad informática en la nube, según recomendaciones de la Alianza de Seguridad en la Nube CSA y el Concejo de Cyber Defensa CDC, para verificar cifrado de tráfico, considerando inclusive los nuevos ataques.
f) Constatar sitios alternos de los Data Centers de los proveedores de servicios Cloud, en caso de requerir contingencia de servicios principales.

5

APLICACIONES EN LA NUBE

a) Administración de identidad y credenciales insuficientes para el control de acceso a las aplicaciones en la nube.
b) Violación de datos de las aplicaciones
c) Interfaces de aplicaciones de usuario inseguras.
d) Secuestro de sesiones de aplicaciones de usuarios.
e) Ataques de denegación a las aplicaciones en la nube, forzando a los servicios Cloud a consumir exceso de recursos: procesamiento, memoria, almacenamiento, ralentizando el sistema, dejando a los usuarios del sistema sin acceso a los servicios.

a) Implementar controles de acceso de identidad y credenciales de acceso autorizado a las aplicaciones en la nube.
b) Implementar técnicas de control para mitigar la violación de datos de las aplicaciones.
c) Implementar controles de acceso en las interfaces de aplicación de usuario.
d) Implementar controles de acceso para evitar vulneraciones y secuestro de sesiones en las aplicaciones de usuarios.
e) Tomar acciones para mitigar ataques de denegación a las aplicaciones en la nube.

a-c-d) Verificar la autenticación con TLS (PSK/RSA) para cifrar el tráfico y  acceso autorizado a las interfaces de usuario en las aplicaciones en la nube, para evitar vulneración y secuestro de sesiones.
b) Verificar la aplicación de cifrado de almacenamiento, firma de los registros de datos, para mitigar la violación de datos de las aplicaciones.
e) Verificar  gestión de seguridad en el nivel de protocolo (MQTT/AMQP/HTTP/CoAP), con control de acceso seguro a través de listas de control de acceso (ACL) a los recursos o permisos, para mitigar ataques de denegación a las aplicaciones en la nube.

a-c-d) Pruebas de autenticación de las aplicaciones de usuario para verificar cifrado TLS (PSK/RSA) emisión de certificados y firmas credenciales de acceso.
b) Pruebas de penetración de seguridad de aplicaciones en la nube, según recomendaciones de la Alianza de Seguridad en la Nube CSA y el Concejo de Ciber Defensa CDC, para verificar cifrado de tráfico, considerando inclusive los nuevos ataques.
e) Revisión de código de aplicaciones en la nube, para verificar código cifrado y firmado.

 



[1] Artículo original derivado del proyecto de investigación ”Educación digital”, fecha de realización febrero de 2018.

[2]  Analista de Sistemas, Lcdo. en Sistemas de Información, MSc en Educación Informática, joveram2010@gmail.com, https://orcid.org/0000-0003-2934-0028

[3]Licenciada en Publicidad, Licenciada en Ciencias de la Comunicación, Profesora de Segunda Enseñanza Especialización Lenguas Y Literatura Inglesa, Licenciada en Lengua Inglesa Especialización Lingüística y Literatura, Magister en Gerencia Educativa, Especialista en Gestión de Procesos Educativos, bearguellof@gmail.com, http://orcid.org/0000-0001-5749-3609

[4] Diploma Superior en Seguridad Higiene y Salud Ocupacional, Magister en Seguridad Higiene Industrial y Salud Ocupacional, Magister en Sistemas de Producción y Productividad, Ingeniero Industrial, m.sc.enrique.obando.sgp.ug@gmail.com, https://orcid.org/0000-0002-0256-5916

 

 

 

Enlaces refback

  • No hay ningún enlace refback.


Licencia de Creative Commons
Este obra está bajo una licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional.

ISSN 2550-6862

Publicado por Grupo Compás - Universidad Oriente - Cancún

Guayaquil-Ecuador.  Cancún - México