Triada CIA
Confidencialidad, Integridad y Disponibilidad: los tres pilares de la seguridad de la información
¿Qué es la Triada CIA?
La Triada CIA (Confidentiality, Integrity, Availability) es el modelo fundamental que guía cualquier política, control y decisión de seguridad de la información. Toda amenaza, vulnerabilidad o control se puede analizar en función de cómo afecta a uno o más de estos tres atributos.
📌 Cualquier activo de información debe protegerse garantizando los tres pilares. Sacrificar uno compromete la postura de seguridad global.
Los Tres Pilares
Confidencialidad
La información solo es accesible para quienes están autorizados a conocerla. Protege contra la divulgación no autorizada.
Controles típicos
- • Cifrado de datos (AES-256, TLS 1.3)
- • Control de acceso (RBAC, MFA)
- • Clasificación de la información
- • Need-to-know y mínimo privilegio
Amenazas
- • Eavesdropping / sniffing
- • Data breach / fuga de datos
- • Shoulder surfing
- • SQL Injection para exfiltrar datos
// Ejemplo: datos en tránsito sin confidencialidad
GET http://api.example.com/users/123/ssn ← ❌ HTTP sin cifrar
GET https://api.example.com/users/123/ssn ← ✅ TLS cifra el contenido
Integridad
La información se mantiene exacta y completa. Ningún dato es modificado de forma no autorizada, ni en almacenamiento ni en tránsito.
Controles típicos
- • Hashing (SHA-256, SHA-3)
- • Firmas digitales (RSA, ECDSA)
- • Checksums y MACs (HMAC)
- • Control de versiones y auditoría
Amenazas
- • Man-in-the-Middle (MitM)
- • Inyección SQL (modificar datos)
- • Tampering de parámetros
- • Virus y malware que corrompen archivos
# Verificación de integridad con SHA-256
sha256sum firmware.bin
3a7bd3e2360a3d29eea436fcfb7e44c735d117c42d1c1835420b6b9942dd4f1b firmware.bin
# Comparar con hash publicado por el fabricante ✅
Disponibilidad
Los sistemas y datos están accesibles cuando se necesitan por usuarios autorizados. Se mide típicamente con SLAs de uptime (ej. 99.99%).
Controles típicos
- • Redundancia y alta disponibilidad
- • Backups y planes de recuperación (DRP)
- • Rate limiting y anti-DDoS (CDN, WAF)
- • Load balancing y failover
Amenazas
- • Ataques DDoS / DoS
- • Ransomware (cifra y bloquea datos)
- • Fallos hardware y desastres naturales
- • Errores de configuración
Niveles de uptime y tiempo de inactividad anual:
99%
~3.65 días
99.9%
~8.76 h
99.99%
~52 min
Tensiones entre los Tres Pilares
En la práctica, maximizar uno puede comprometer otro. El profesional de seguridad debe equilibrarlos según el contexto de negocio:
Confidencialidad vs. Disponibilidad
Cifrar todos los datos mejora la confidencialidad, pero si se pierde la clave el sistema no está disponible. Solución: escrow de claves, KMS.
Integridad vs. Disponibilidad
Validar y verificar cada transacción (checksums, firmas) añade latencia. Solución: validar en background para datos no críticos en tiempo real.
Confidencialidad vs. Integridad
Cifrar sin autenticar permite ataques de bit-flipping que corrompen datos cifrados sin descifrarlos. Solución: cifrado autenticado (AES-GCM).
Más allá de la CIA: DAD y Hexada de Parkerian
Triada DAD (perspectiva atacante)
- Disclosure → viola Confidencialidad
- Alteration → viola Integridad
- Destruction/Denial → viola Disponibilidad
Hexada de Parkerian (extensión)
- + Autenticidad — el origen es genuino
- + No repudio — no se puede negar la acción
- + Utilidad — el dato es usable en su forma actual
Recursos Adicionales
Siguiente Paso
Entiende cómo se protege la confidencialidad con criptografía simétrica
Criptografía Simétrica: AES →