Unidad 1: Fundamentos de Ciberseguridad - Triada CIA+A Control de Accesos Modelos Formales Implementación en Red Hat / Fedora

[Audio] MODULO DOCTORAL – UNIDAD 1 FUNDAMENTOS DE CIBERSEGURIDAD 01001000 01100001 01100011 01101011 11010010 10101011 01010101 11110000 00110011 01100110 11000110 10101010 01010110 01110100 11011001 10101010 11110000 00001111 01010101 10101010 Triada CIA+A Control de Accesos BLP y Biba PAM y SELinux � � � Docente: Santos Ireneo Juchasara Colque, Ph.D. Doctorado en Ciencia de Datos Universidad Pública de El Alto · Direccion de Posgrado El Alto · La Paz · Bolivia � Sesion de 1 hora � 2026 � Bolivia �.

[Audio] � Agenda de la sesion (60 minutos) Tiempo Bloque Contenido 00:00–00:05 Apertura Encuadre, objetivos doctorales, conexion con Ciencia de Datos 00:05–00:15 Bloque 1 – Teoria Definicion formal, monitor de referencia, triada CIA + Autenticacion 00:15–00:25 Bloque 2 – Teoria Control de accesos: matriz Lampson, DAC, MAC, RBAC, ABAC 00:25–00:35 Bloque 3 – Modelos Bell-LaPadula y Biba: axiomas formales y dualidad 00:35–00:45 Bloque 4 – Practica PAM, sudoers y SELinux en Red Hat / Fedora 00:45–00:55 Laboratorio Hardening Fedora: SELinux enforcing + PAM 2FA (guiado) 00:55–01:00 Cierre TP corto, sintesis y preguntas � Objetivo doctoral de la sesion Construir un marco teorico-formal robusto de ciberseguridad y aplicarlo a la implementacion real de controles obligatorios (MAC) y discrecionales (DAC) sobre activos cientificos en Red Hat / Fedora. � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 2/26.

[Audio] � Estructura de la Unidad 1 � PARTE I � PARTE III � PARTE II Panorama Modelos Formales Estrategia Evidencia nacional, regional y global de amenazas reales Actores amenazantes, CIA+A, Zero Trust, 4 pasos estrategicos BLP, Biba, Lampson, PAM, SELinux. De la teoria a la implementacion � Doble anclaje doctoral La ciberseguridad como disciplina cientifica requiere evidencia empirica (incidentes reales) y formalizacion matematica (modelos demostrables). Esta unidad provee ambos. � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 3/26.

[Audio] � Situacion en Bolivia: AGETIC Q3 2025 Volumen de incidentes (jul–sep 2025): 14 vulnerabilidades criticas/altas detectadas: 57,1% Estado Casos % Inyecciones SQL/HTML Resueltos 298 92,3% 28,6% Mala configuracion Abiertos 25 7,7% Total 323 100% 14,3% Expo. datos sensibles Clasificacion de los 287 nuevos incidentes: Categoria Frec. 93,8% Compromiso de informacion (credenciales en DarkWeb) Contenido abusivo (Spam) 4,2% Intrusiones 1,0% Codigo malicioso 0,7% � Hallazgo clave La principal amenaza en Bolivia no proviene de exploits de dia cero, sino de mala configuracion y falta de higiene de credenciales. Esto hace que los controles formales (MAC/DAC) sean directamente aplicables. � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 4/26.

[Audio] � Panorama regional y global � Tendencias Globales: Informe 2026 La IA como multiplicador de capacidad ofensiva � ESET Security Report Latinoamerica 2025 (3.034 profesionales TI, 15 paises) � Volumen de ataques: +70% desde 2023. � 27% de organizaciones sufrio un ciberataque en el ultimo ano. � Victimas de ransomware: +53%. Operadores combinan cifrado con extorsion por filtracion (Big Game Hunting). � 32% no tiene visibilidad para confirmar si fue atacada. � 22% sufrio ransomware en los ultimos 2 anos. � 82% de ataques con archivos maliciosos entra por correo electronico. � 38% carece de solucion antimalware centralizada. � La IA permite phishing personalizado a escala industrial. � 50% no tiene Plan de Continuidad (BCP). � 1 de cada 4 nunca realizo un pentest. � Ejes para los CISO 1) Defensa en profundidad (no hay control unico suficiente). 2) Backup y cifrado como ultima linea. 3) Gestion de riesgo de terceros (Supply Chain). � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 5/26.

[Audio] � Cibercrimen: escala macroeconómica Tecnologias exponenciales y superficie de ataque: Indicador Valor Coste global del cibercrimen (2020) $6 bill. USD � Ley de Moore: transistores por pulgada se duplican cada 2 anos. Coste proyectado (2025) $10,5 bill. USD 60% (6 meses) � IoT: de 1M de dispositivos en 1992 a 50.000M en 2020. PYMEs que cierran tras un ciberataque Coste medio por ataque a PYME €35.000 � IA Generativa: deep fakes, phishing automatizado, codigo malicioso sintetizado. � Perspectiva El cibercrimen supera economicamente al narcotrafico y a la venta ilegal de armas: es el negocio ilicito mas rentable del mundo. � Triangulo de seguridad Existe compromiso inverso entre Seguridad, Funcionalidad y Usabilidad. El disenador debe encontrar el equilibrio optimo segun el perfil de riesgo. � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 6/26.

[Audio] � Taxonomia del actor amenazante Por intención (clasificacion clasica): Vectores de ataque activos (Threat Landscape): � Malware / Ransomware � White Hat (etico): pentesting autorizado, Bug Bounty. Fortalece la seguridad. � Phishing / Spear / Vishing � Black Hat (cracker): fraude, espionaje, extorsion. Proposito malicioso. � DDoS / Botnet � Supply Chain Attack � Grey Hat: vulnera sistemas sin autorizar, sin animo destructivo. � APT / Zero Day Por perfil y recursos: � Estados-nacion: APT, recursos ilimitados. � Cibercriminales organizados: RaaS, botnets. � Hacktivistas: motivacion ideologica, DDoS. � Insiders: acceso legitimo, mayor riesgo. � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 7/26.

[Audio] � Nuevos paradigmas: Zero Trust y Defensa en Profundidad � Modelo tradicional (perimetro): � Defensa en Profundidad: � Asume que el interior de la red es confiable. Multiples capas de control independientes. Si una falla, las restantes contienen la brecha. � Insuficiente ante cloud, teletrabajo e insiders. Red / Firewall � Una vez dentro, el atacante se mueve libremente. IAM / PAM OS / SELinux � Zero Trust: "Nunca confiar, siempre verificar" DATO � Ningun actor (interno o externo) recibe confianza implicita. � Verificacion continua de identidad, dispositivo y contexto. � Minimo privilegio en cada transaccion. � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 8/26.

[Audio] � Como construir tu estrategia en 4 pasos (CABACI) 2. EVALUATE (AS-IS) 3. DEFINE (TO-BE) 4. EVOLUCIONA Documenta estrategia, define KPIs / KRIs y mejora continua (PDCA) Framework CABACI: Organizacion, Proteccion, Deteccion / Respuesta / Resiliencia Estado deseado. Prioriza controles basicos antes que avanzados segun el perfil de riesgo 1. ENTIENDE Identifica Threat Actors y vectores activos (Malware, Phishing, Ransomware, DDoS, Supply Chain) Framework CABACI — 3 dominios: Dominio Contenido 1. Org. y Riesgos Estrategia, inventario de activos, gestion de riesgos, Third-Party Risk. 2. Proteccion Segmentacion, EDR, correo, datos, WAF, credenciales/PAM-IAM, concienciacion. 3. Det. / Respuesta IRP, backups y BCP/DRP, SIEM/SOC, threat hunting, resiliencia operativa. � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 9/26.

[Audio] 1.1 Definicion formal de ciberseguridad � Definicion (ISO/IEC 27000 + NIST SP 800-12 Rev.1) La ciberseguridad es el conjunto de procesos, politicas, mecanismos y controles tecnicos que protegen los activos de informacion y los sistemas que los procesan frente a amenazas intencionales o accidentales que puedan comprometer su confidencialidad, integridad, disponibilidad y autenticidad. Formalizacion como sistema de proteccion: S = ⟨O, Su, A, P, F⟩ � O: conjunto de objetos (datasets, modelos, ficheros, endpoints). � Su: conjunto de sujetos (usuarios, procesos, microservicios, agentes ML). � A: conjunto de acciones permitidas . � P ⊆ Su × O × A: politica de accesos autorizados. � F : Su × O × A → : funcion de decision del monitor de referencia. Propiedad de seguridad: para todo (s, o, a) /∈ P debe cumplirse F(s, o, a) = 0. El monitor de referencia debe ser a prueba de manipulacion, siempre invocado y verificable formalmente (Anderson, 1972). � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 10/26.

[Audio] 1.2 Triada CIA + Autenticacion (CIA+A) Confidencialidad � Confidencialidad Garantia Pr[adversario recupere m | c = Ek(m)] ≤ ε. Se asegura mediante cifrado, control de acceso y compartimentacion. C I A � Integridad Para todo objeto o con valor v, se cumple H(vt) = H(vt−1) salvo escritura autorizada. Se materializa con MACs, firmas digitales, hashes (SHA-256, BLAKE3) y journaling. � Disponibilidad Integridad Disponibilidad A = MTBF MTBF + MTTR ≥ SLA. Se sostiene con redundancia, balanceadores, mitigacion DDoS y planes BCP/DRP. + Autenticacion Modelo extendido: CIA+A con auditoria y no repudio. � Autenticacion Verificacion criptografica de identidad: factores que el sujeto sabe, tiene o es. Formalmente, Pr[aceptar | impostor] ≤ 2−λ. � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 11/26.

[Audio] 1.3 Modelos de control de accesos Matriz de acceso de Lampson (1971): M[s, o] ⊆ A.   M = M[s1, o1] M[s1, o2] · · · M[s1, on] M[s2, o1] M[s2, o2] · · · M[s2, on] ... ... ... ... M[sm, o1] M[sm, o2] · · · M[sm, on]         Modelo Decision Caracterizacion DAC Discrecional, propietario decide POSIX rwx, ACLs (setfacl). Permite delegacion. MAC Centralizada por etiquetas SELinux, AppArmor. Etiqueta sensibilidad/integridad. r∈roles(u) perm(r). ABAC Atributos contextuales XACML, OPA, Cedar. Politicas f(atribs, atribo, ctx) → . RBAC Roles → permisos NIST 800-162. perm(u) = � � Composicion en sistemas reales Linux moderno aplica DAC primero (discrecional POSIX), luego MAC (SELinux). Una operacion solo se permite si ambos la autorizan: allow ⇐⇒ DAC ∧ MAC. � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 12/26.

[Audio] 1.4 Modelo Bell-LaPadula (BLP, 1973) Objetivo: preservar la confidencialidad en sistemas multinivel (MLS). Sea L = un reticulo de niveles con orden parcial ⪯. Cada sujeto s tiene clearance c(s) ∈ L y cada objeto o tiene clasificacion ℓ(o) ∈ L. Axiomas formales: � Simple Security Property (no read up): s puede read(o) ⇐⇒ ℓ(o) ⪯ c(s). � ⋆-Property (no write down): s puede write(o) ⇐⇒ c(s) ⪯ ℓ(o). � Discretionary Security Property: Toda operacion debe ademas estar autorizada por la matriz M[s, o]. Ejemplo: un analista con clearance Secret si puede leer un reporte Confidential (no read up se cumple), pero no puede escribir resultados en un dataset Unclassified (violaria ⋆-property: filtraria informacion). � Limitacion (Biba la complementa) BLP no protege la integridad: un sujeto bajo puede escribir hacia arriba y contaminar datos de nivel superior. Por eso se combina con Biba en arquitecturas reales. � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 13/26.

[Audio] 1.5 Modelo Biba (1977) – el dual de BLP Objetivo: preservar la integridad de los datos. Cada elemento tiene un nivel de integridad i(·) ∈ I con ⪯. Axiomas formales (politica estricta): � Simple Integrity Property (no read down): s puede read(o) ⇐⇒ i(s) ⪯ i(o). � ⋆-Integrity Property (no write up): s puede write(o) ⇐⇒ i(o) ⪯ i(s). � Invocation Property: s1 puede invocar a s2 ⇐⇒ i(s2) ⪯ i(s1). Ejemplo aplicado a Ciencia de Datos: un proceso ETL de baja integridad (scraper externo) no puede escribir directamente en un feature store de alta integridad usado por modelos en produccion. Se interpone una zona de cuarentena con validacion criptografica (firma + hash) antes de promocionar. � Dualidad BLP ↔ Biba BLP es no read up / no write down (confidencialidad). Biba es no read down / no write up (integridad). Su composicion produce un sistema multinivel multidimensional de etiquetas (cs, is) que es la base teorica de SELinux MLS/MCS. � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 14/26.

[Audio] 1.6 PAM: Pluggable Authentication Modules m∈required m ∧ (m ∈ sufficient ⇒ cortocircuito). 1 #%PAM -1.0 2 auth required pam_faillock .so preauth silent deny =5 unlock_time =900 PAM separa la politica de autenticacion de la aplicacion. Cada servicio en /etc/pam.d/ encadena modulos en cuatro grupos: auth, account, password y session. Control flags: required, requisite, sufficient, optional. Decision logica: � 3 auth sufficient pam_unix.so try_first_pass nullok_secure 4 auth required pam_google_authenticator .so # 2FA TOTP 5 auth required pam_faillock .so authfail deny =5 unlock_time =900 6 account required pam_nologin.so 7 account required pam_access.so accessfile =/ etc/security/access.conf 8 password requisite pam_pwquality .so retry =3 minlen =14 dcredit =-1 \ 9 ucredit =-1 ocredit =-1 lcredit =-1 enforce_for_root 10 password sufficient pam_unix.so sha512 shadow use_authtok 11 session required pam_limits.so 12 session optional pam_lastlog.so showfailed Listing 1: /etc/pam.d/sshd endurecido en RHEL/Fedora Lectura doctoral: esta politica implementa NIST SP 800-63B (autenticador AAL2 con factor adicional TOTP) y mitiga ataques de fuerza bruta (faillock) y reutilizacion de contrasenas debiles (pwquality). � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 15/26.

[Audio] 1.7 sudoers: minimo privilegio y auditoria Principio: least privilege. Los privilegios se otorgan por tarea, no por persona. 1 # Defaults globales 2 Defaults requiretty 3 Defaults !visiblepw 4 Defaults use_pty 5 Defaults log_input ,log_output 6 Defaults iolog_dir="/var/log/sudo -io /%" 7 Defaults timestamp_timeout =5 8 Defaults passwd_tries =3 9 Defaults lecture=always 10 # Aliases 11 User_Alias DS_TEAM = juchasara , mlops_eng , ds_lead 12 Cmnd_Alias ML_OPS = /usr/bin/ systemctl restart mlflow , \ 13 /usr/bin/ systemctl restart jupyterhub , \ 14 /usr/local/bin/ promote_model .sh 15 Cmnd_Alias FORBID = /bin/su , /bin/bash , /usr/bin/passwd root , \ 16 /usr/bin/visudo , /usr/sbin/userdel 17 # Reglas 18 DS_TEAM ALL=( mlflow) NOPASSWD: ML_OPS 19 DS_TEAM ALL=( ALL) !FORBID 20 %wheel ALL =( ALL:ALL) ALL Listing 2: /etc/sudoers.d/data-science en Red Hat � Auditoria forense log_input,log_output produce un I/O log replay-able con sudoreplay. Es prueba digital admisible para incidentes y auditorias ISO 27001 / SOC 2. � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 16/26.

[Audio] 1.8 SELinux: arquitectura MAC en Red Hat SELinux implementa Mandatory Access Control en el kernel mediante el LSM (Linux Security Module). Toda operacion pasa por el Object Manager y se evalua contra la Security Server Policy. Tres modos: Aplicacion (httpd, ssh, ML) Syscall � Enforcing: aplica la politica y deniega. � Permissive: solo registra (audit), no bloquea. � Disabled: SELinux apagado (no recomendado). LSM Hook Access Vector Cache Politicas: targeted (por defecto en RHEL/Fedora), minimum, mls. Etiqueta de seguridad de un objeto: Security Server Policy DB (binary) Flujo de decision MAC en el kernel user_u � �� � usuario : role_r � �� � rol : type_t � �� � tipo : s0-s2:c0.c1023 � �� � MLS/MCS El motor TE (Type Enforcement) decide segun reglas allow source_t target_t : class . � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 17/26.

[Audio] 1.9 SELinux operativo: contextos y politicas 1 # 1) Estado y modo actual 2 sestatus 3 getenforce # Enforcing | Permissive | Disabled 4 sudo setenforce 1 # cambia a Enforcing en caliente 5 # 2) Inspeccionar contextos de seguridad 6 ls -Z /var/log/jupyter/ 7 ps -eZ | grep jupyter 8 id -Z 9 # 3) Etiquetar un nuevo directorio para Jupyter ( persistente ) 10 sudo semanage fcontext -a -t httpd_sys_content_t "/srv/jupyter (/.*)?" 11 sudo restorecon -Rv /srv/jupyter 12 # 4) Permitir un puerto no estandar (8888) al servicio 13 sudo semanage port -a -t http_port_t -p tcp 8888 14 # 5) Cuando el servicio falla por SELinux : diagnosticar 15 sudo ausearch -m AVC ,USER_AVC -ts recent 16 sudo sealert -a /var/log/audit/audit.log 17 # 6) Generar y cargar un modulo de politica a partir de denegaciones 18 sudo ausearch -m AVC -ts recent | audit2allow -M jupyter_local 19 sudo semodule -i jupyter_local .pp Listing 3: Operacion de SELinux para un servicio Jupyter en Fedora � Buenas practicas doctorales Nunca usar setenforce 0 como solucion. Investigar la negacion AVC, generar un modulo audit2allow revisado, y documentar la regla en el repositorio de configuracion (IaC). � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 18/26.

[Audio] 1.10 Defensa en profundidad: integracion de capas Quien eres PAM / 2FA DAC POSIX + ACL Que puedes hacer (propietario) SELinux MAC Que esta permitido por politica Auditd Trazabilidad forense DATO � Lectura formal � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 19/26 Sea D la operacion solicitada. Se permite si y solo si � PAM(s) = ⊤� ∧ � DAC(s, o, a) = ⊤� ∧ � MACSELinux(s, o, a) = ⊤� ∧ � audit(D) ↓ � ..

[Audio] Laboratorio: hardening Fedora (PAM 2FA + SELinux) � Objetivo Aplicar SELinux enforcing y PAM 2FA sobre un Jupyter que sirve un dataset sensible, en una VM Fedora aislada. 1 # 1) Activar SELinux enforcing y politica targeted 2 sudo sed -i 's/^ SELINUX =.*/ SELINUX=enforcing/' /etc/selinux/config 3 sudo setenforce 1 && sestatus 4 # 2) Instalar y configurar 2FA TOTP 5 sudo dnf install -y google - authenticator qrencode 6 google - authenticator -t -d -f -r 3 -R 30 -W 7 # Edita /etc/pam.d/sshd y anade: 8 # auth required pam_google_authenticator .so 9 # 3) Crear usuario de Jupyter sin shell ni privilegios 10 sudo useradd -r -s /sbin/nologin jupyteruser 11 sudo mkdir -p /srv/jupyter && sudo chown -R jupyteruser /srv/jupyter 12 # 4) Etiquetar y abrir puerto 13 sudo semanage fcontext -a -t httpd_sys_content_t "/srv/jupyter (/.*)?" 14 sudo restorecon -Rv /srv/jupyter 15 sudo semanage port -a -t http_port_t -p tcp 8888 16 # 5) Verificar denegaciones AVC 17 sudo ausearch -m AVC -ts recent | sealert -a Listing 4: Pasos guiados en la VM Fedora � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 20/26.

[Audio] � Caso de estudio: Macarena Bakes Empresa de reposteria online (e-commerce) de mediana escala, sin madurez de seguridad previa. Analisis AS-IS (Dominio 2 — Proteccion): Roadmap de madurez (3 oleadas): Ctrl. Nombre Nivel Estado 6.3 Antimalware 1 � Riesgo Quick Wins (0–3 m) 2FA, backup 3-2-1, concienciacion 7.1 Backup 1 � Riesgo 4.2 Autenticacion 1 � Riesgo Riesgos traducidos al negocio: Fundamentos (3–9 m) EDR, WAF, gestion de parches � Malware → perdida de facturacion, multas RGPD. Madurez (9–18 m) SIEM, IRP, pentesting anual � Phishing → transferencias fraudulentas. � DDoS → caida en periodos pico (BFCM, Navidad). � KRIs de ejemplo Tiempo max. parada e-commerce ≤ 4 h. / 0 credenciales comprometidas en DarkWeb por trimestre. � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 21/26.

[Audio] Trabajo practico (corto) de la Unidad 1 � Enunciado Modelar formalmente la seguridad de un feature store cientifico usando Bell-LaPadula y Biba, e implementar los controles correspondientes en una VM Fedora. Entregables (informe breve, 4–6 paginas + repositorio Git): 1. Modelo formal: matriz de Lampson y asignacion de etiquetas (cs, is) para 4 activos: raw_data, processed, model_registry, prod_inference. 2. Justificacion: demostrar que la politica respeta no read up (BLP) y no write up (Biba), citando los axiomas. 3. Implementacion en Fedora: SELinux enforcing, contexto propio para los 4 directorios, modulo audit2allow si corresponde, sudoers minimo y PAM con 2FA TOTP. 4. Verificacion: capturas de ls -Z, sestatus, ausearch, y prueba documentada de denegacion correcta. Plazo: 7 dias. Criterios: rigor formal (40%), implementacion correcta (40%), reproducibilidad (20%). � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 22/26.

[Audio] Sintesis de la Unidad 1 Fundamentos formales: Panorama de amenazas (evidencia empirica): � Definicion formal: S = ⟨O, Su, A, P, F⟩ y monitor de referencia. � Bolivia (AGETIC Q3 2025): 323 incidentes; 93,8% son credenciales comprometidas. Causa raiz: mala configuracion e higiene de credenciales. � Triada CIA+A con metricas cuantificables (A = MTBF/(MTBF + MTTR)). � Region (ESET 2025): 27% sufrio un ataque; 50% sin BCP; brecha de preparacion estructural. � Lampson (1971): matriz M[s, o] ⊆ A. Paradigmas: DAC, MAC, RBAC, ABAC. � Global (Informe 2026): ataques +70%, ransomware +53%, IA como multiplicador ofensivo. � BLP: no read up / no write down (confidencialidad). Estrategia y paradigmas: � Biba: no read down / no write up (integridad). � Zero Trust: "nunca confiar, siempre verificar". � Defensa en profundidad: capas independientes. � SELinux: allow ⇐⇒ PAM ∧ DAC ∧ MAC ∧ audit. � Framework CABACI: 4 pasos, 3 dominios. � Mensaje doctoral Los modelos formales de los anos 70 (BLP, Biba, Lampson) siguen siendo la base teorica de los SO modernos. Dominar su algebra es prerequisito para disenar pipelines cientificos defendibles. � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 23/26.

[Audio] � Preguntas y debate Discusion abierta sobre la Unidad 1 � [email protected] �.

[Audio] Referencias bibliograficas � AGETIC – Centro de Gestion de Incidentes Informaticos (2025). Informe de Incidentes Informaticos: Tercer Trimestre 2025. Estado Plurinacional de Bolivia. � ESET (2025). ESET Security Report Latinoamerica 2025. ESET Research. � Informe Global de Ciberseguridad (2026). Tendencias y Estadisticas de Ciberamenazas 2026. � Bell, D.E.; LaPadula, L.J. (1973). Secure Computer Systems: Mathematical Foundations. MITRE Tech. Report 2547. � Biba, K.J. (1977). Integrity Considerations for Secure Computer Systems. MITRE TR-3153. � Anderson, J.P. (1972). Computer Security Technology Planning Study. ESD-TR-73-51. � Lampson, B.W. (1971). Protection. Proc. 5th Princeton Conf. on Information Sciences and Systems. � Saltzer, J.H.; Schroeder, M.D. (1975). The Protection of Information in Computer Systems. Proc. IEEE 63(9). � Sandhu, R.S.; Coyne, E.J.; Feinstein, H.L.; Youman, C.E. (1996). Role-Based Access Control Models. IEEE Computer 29(2). � NIST (2020). SP 800-53 Rev.5: Security and Privacy Controls for Information Systems and Organizations. � NIST (2017). SP 800-63B: Digital Identity Guidelines – Authentication and Lifecycle Management. � NIST (2014). SP 800-162: Guide to Attribute Based Access Control. � Red Hat (2024). SELinux User's and Administrator's Guide, Red Hat Enterprise Linux 9. � ISO/IEC 27001:2022. Information security management systems – Requirements. � � Dr. Juchasara � U1: Fundamentos de Ciberseguridad UPEA | Ph.D. en Ciencia de Datos | 25/26.

[Audio] GRACIAS La seguridad no es un producto; es un proceso. Bruce Schneier Dr. Santos I. Juchasara Colque Doctorado en Ciencia de Datos – UPEA � [email protected] � Proxima sesion: Unidad 2 – Amenazas Emergentes � � � �.