Defensa en profundidad en informática
Estrategia de ciberseguridad que aplica varias capas de controles para reducir riesgos, limitar daños y resistir ataques distintos dentro de un sistema.
La defensa en profundidad es un enfoque de seguridad informática que distribuye varias medidas de protección a lo largo de un sistema, una red o una organización. La idea central es que ningún control por sí solo es suficiente: si una barrera falla, otras siguen actuando para impedir, detectar o contener el ataque. Por eso también se conoce como seguridad en capas.
Cómo funciona
Este modelo combina controles de distinta naturaleza, no simples repeticiones de la misma herramienta. Cada capa responde a una amenaza diferente y cubre un momento distinto del ciclo de ataque. Así, una medida puede bloquear accesos no autorizados, otra limitar el movimiento interno y una tercera avisar de comportamientos anómalos. En la práctica, la defensa en profundidad busca que el atacante tenga que superar obstáculos sucesivos y que cualquier intrusión tenga un impacto menor.
Entre las capas habituales se incluyen controles técnicos, administrativos y físicos. Entre los ejemplos más comunes están el filtrado de red, la autenticación multifactor, la segmentación, el cifrado, la gestión de parches, las copias de seguridad y la supervisión continua. Un mismo diseño puede combinar varias de estas piezas según el valor de los datos, el nivel de exposición y el tipo de amenazas esperadas.
Componentes habituales
- Prevención: reduce la probabilidad de intrusión, como contraseñas robustas o firewalls.
- Detección: identifica actividad sospechosa mediante registros, alertas o sistemas de monitoreo.
- Respuesta y recuperación: limita el daño y acelera la vuelta a la normalidad con copias de seguridad y planes de respuesta.
- Control de acceso: aplica el principio de mínimo privilegio para que cada usuario o proceso solo tenga lo necesario.
El concepto se relaciona con estrategias militares de “defensa en capas”, pero en informática adquirió un papel central con la expansión de las redes, los entornos corporativos conectados y la dependencia de servicios digitales. Su valor no está en una tecnología concreta, sino en la coordinación de varias salvaguardas. Para una visión más amplia de riesgos y controles, puede consultarse también seguridad de la información, tecnología de la información y controles de seguridad.
La principal ventaja de este enfoque es su resiliencia: si una capa se debilita, las demás siguen protegiendo el sistema. Sin embargo, también exige diseño cuidadoso, mantenimiento continuo y coherencia entre medidas. Cuando las capas dependen de las mismas credenciales, del mismo proveedor o de una configuración deficiente, la protección real disminuye. Por eso la defensa en profundidad funciona mejor como una arquitectura planificada que como una simple suma de herramientas.

Antecedentes
La defensa en profundidad es originalmente una estrategia militar. Busca retrasar, más que impedir, el avance de un atacante cediendo espacio para ganar tiempo. La Agencia de Seguridad Nacional (NSA) cambió el concepto para convertirlo en un enfoque integral de la seguridad de la información y la electrónica.
La colocación de mecanismos, procedimientos y políticas de protección tiene por objeto aumentar la fiabilidad de un sistema informático. Las múltiples capas de defensa pueden evitar el espionaje. También evitan los ataques directos contra los sistemas críticos. En términos de defensa de la red informática, las medidas de defensa en profundidad no sólo deben prevenir las violaciones de la seguridad, sino también ganar tiempo para que una organización detecte y responda a un ataque.
Modelo de cebolla
La defensa en profundidad se ha explicado durante mucho tiempo utilizando la cebolla como ejemplo de las distintas capas de seguridad. La capa exterior contiene el cortafuegos. Las capas intermedias contienen diversos controles. Los datos están en el centro protegidos por las demás defensas.
Un concepto más reciente es la cadena de muerte. Tomado de los militares, es un método para detectar y romper la cadena de muerte de un oponente. Lockheed Martin adaptó este concepto a la seguridad de la información, utilizándolo como método para modelar las intrusiones en una red informática.
Páginas relacionadas
El uso de más de una de las siguientes capas constituye una defensa en profundidad.
- Software antivirus
- Autenticación y seguridad de las contraseñas
- Biometría
- Cifrado
- Cortafuegos (red)
- Contraseñas con hashtags
- Sistemas de detección de intrusos (IDS)
- Registro y auditoría
- Autenticación multifactorial
- Escáneres de vulnerabilidad
- Seguridad física (por ejemplo, cerraduras con pestillo)
- Formación sobre seguridad en Internet
- Red privada virtual (VPN)
- Sandboxing
- Sistema de protección contra intrusiones (IPS)
Preguntas y respuestas
P: ¿Qué es la defensa en profundidad en informática?
R: La Defensa en Profundidad es un concepto de aseguramiento de la información en el que se colocan múltiples capas de controles de seguridad en todo un sistema informático para protegerlo contra ataques de seguridad.
P: ¿Cuál es el objetivo de la Defensa en Profundidad?
R: El objetivo de la defensa en profundidad es aumentar la seguridad general de un sistema informático mediante el uso de varias capas de diferentes herramientas de seguridad para proteger contra distintos tipos de ataques a la seguridad.
P: ¿Cuántas capas de controles de seguridad hay en la Defensa en Profundidad?
R: La defensa en profundidad utiliza varias capas de controles de seguridad para aumentar la seguridad de un sistema informático.
P: ¿Son todas las capas de controles de seguridad iguales en la Defensa en Profundidad?
R: No, no todas las capas de controles de seguridad de Defense in Depth son iguales. Utiliza varios tipos diferentes de controles de seguridad, cada uno de los cuales protege contra un ataque de seguridad diferente.
P: ¿Qué otros nombres recibe la Defensa en Profundidad?
R: La Defensa en Profundidad también se conoce como seguridad por capas y defensa por capas.
P: ¿Se utiliza la defensa en profundidad sólo para un tipo específico de sistema informático?
R: No, la defensa en profundidad puede utilizarse en cualquier tipo de sistema informático para aumentar su seguridad general.
P: ¿Qué significa AI en el contexto de la Defensa en Profundidad?
R: IA significa garantía de la información en el contexto de la Defensa en Profundidad.
Artículos relacionados
Autor
AlegsaOnline.com Defensa en profundidad en informática Leandro Alegsa
URL: https://es.alegsaonline.com/art/26260
Fuentes
- techrepublic.com : "Understanding layered security and defense in depth"
- nsa.gov : Defense in Depth: A practical strategy for achieving Information Assurance in today’s highly networked environments.
- wib.org : "Back to Basics – Defense in Depth"
- securestate.com : "Unraveling the Onion: A New Take on Defense-in-Depth"
- sans.org : "The Industrial Control System Cyber Kill Chain"
- darkreading.com : "How Lockheed Martin's 'Kill Chain' Stopped SecurID Attack"