Automatización de auditorías de seguridad en sistemas operativos mediante OpenSCAP

Barra lateral del artículo

PDF HTML
Publicado: Feb 13, 2026
DOI: https://doi.org/10.22201/dgtic.30618096e.2026.4.1.153
Palabras clave:
Automatización de auditorías de seguridad, CIS benchmarks, configuración segura de sistemas operativos, OpenSCAP, seguridad informática

Contenido principal del artículo

Félix Alejandro Hernández Fuentes
Dirección General de Cómputo y de Tecnologías de Información y Comunicación, UNAM
https://orcid.org/0000-0002-4791-485X

Resumen

La auditoría de configuraciones de seguridad en sistemas operativos, a cargo de la Dirección General de Cómputo y de Tecnologías de Información y Comunicación, representaba un reto debido al tiempo considerable requerido por las revisiones efectuadas de forma manual y a la necesidad de garantizar altos niveles de cumplimiento con prácticas y recomendaciones de seguridad reconocidas internacionalmente. En este contexto, se evaluó el uso de la herramienta OpenSCAP para automatizar tanto la revisión como la corrección de configuraciones de seguridad. La evaluación se llevó a cabo en un entorno de pruebas con sistemas operativos de uso común en la Universidad. La herramienta permitió realizar auditorías automatizadas conforme a buenas prácticas, aplicar correcciones de forma autónoma y medir objetivamente el nivel de cumplimiento antes y después de las acciones correctivas. Los resultados mostraron que el uso de OpenSCAP redujo significativamente el tiempo de ejecución de las auditorías. Además, las correcciones automáticas aplicadas mejoraron notablemente el cumplimiento de las recomendaciones de seguridad, alcanzando niveles superiores al 90%. No obstante, se identificaron configuraciones que requirieron intervenciones manuales, sobre todo aquellas relacionadas con la gestión de contraseñas de arranque, la administración de particiones y el control de acceso a servicios críticos. Estos resultados mostraron que la automatización permitió disminuir la carga operativa y hacer más uniformes los procesos de verificación, sin sustituir completamente la necesidad de supervisión técnica en casos específicos. Se concluyó que integrar mecanismos de automatización en los procedimientos institucionales contribuye a un modelo más eficiente de gestión de seguridad de la información en la Universidad.

Descargas

Los datos de descargas todavía no están disponibles.

Detalles del artículo

Cómo citar
Hernández Fuentes, F. A. (2026). Automatización de auditorías de seguridad en sistemas operativos mediante OpenSCAP . Cuadernos Técnicos Universitarios De La DGTIC, 4(1). https://doi.org/10.22201/dgtic.30618096e.2026.4.1.153
Número
Vol. 4 Núm. 1 (2026): Cuadernos Técnicos Universitarios de la DGTIC
Sección
Reportes técnicos
Creative Commons License

Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-SinDerivadas 4.0.

Este trabajo tiene la licencia CC BY-NC-ND 4.0

Biografía del autor/a

Félix Alejandro Hernández Fuentes, Dirección General de Cómputo y de Tecnologías de Información y Comunicación, UNAM

.

Citas

Bakhtiyarov, B., & Mammadov, V. (2024). OpenSCAP technology application to enterprise. PAHTEI-Proceedings of Azerbaijan High Technical Educational Institutions, 42(05), 221-228. https://doi.org/10.36962/pahtei42072024-24 DOI: https://doi.org/10.36962/PAHTEI42072024-24

Bandara, E., Shetty, S., Rahman, A., Mukkamala, R., Foytik, P., & Liang, X. (2024). RMF-GPT — OpenAI GPT-3.5 LLM, Blockchain, NFT, Model Cards and OpenSCAP Enabled Intelligent RMF Automation System. 2024 International Conference on Computing, Networking and Communications (ICNC), 653-658. https://doi.org/10.1109/ICNC59896.2024.10555963 DOI: https://doi.org/10.1109/ICNC59896.2024.10555963

Center for Internet Security. (2025). CIS Benchmarks: Security configuration guides. https://www.cisecurity.org/cis-benchmarks/

Dirección General de Cómputo y de Tecnologías de Información y Comunicación. (2023). Política General de Seguridad de la Información en la DGTIC. Universidad Nacional Autónoma de México. https://www.tic.unam.mx/politica-general-seguridad-informacion/

Dirección General de Cómputo y de Tecnologías de Información y Comunicación. (2024). Seguridad informática para sistemas operativos y aplicaciones. Universidad Nacional Autónoma de México. https://sistemas.tic.unam.mx/index.php/seguridad-informatica-sistemas-operativos-aplicaciones/

Liu, Y., & Hu, B. (2023). Security baseline verification technology for domestic computer terminal based on SCAP. 2023 IEEE 5th International Conference on Power, Intelligent Computing and Systems (ICPICS), 171-174. https://doi.org/10.1109/ICPICS58376.2023.10235334 DOI: https://doi.org/10.1109/ICPICS58376.2023.10235334

National Institute of Standards and Technology. (30 de septiembre de 2025). Security Content Automation Protocol (SCAP). https://csrc.nist.gov/projects/security-content-automation-protocol

OpenSCAP. (2025). OpenSCAP project. https://www.open-scap.org/

Urtamo, I., & Costin, A. (2023). On tools for practical and effective security policy management and vulnerability scanning. En B. Shishkov (Ed.), Business Modeling and Software Design. BMSD 2023. Lecture Notes in Business Information Processing (Vol. 483, pp. 375-382). Springer. https://doi.org/10.1007/978-3-031-36757-1_28 DOI: https://doi.org/10.1007/978-3-031-36757-1_28

Webb, J. A., Henderson, M. W., & Webb, M. L. (2019). An open source approach to automating surveillance and compliance of automatic test systems. 2019 IEEE AUTOTESTCON, 1-8. https://doi.org/10.1109/AUTOTESTCON43700.2019.8961077 DOI: https://doi.org/10.1109/AUTOTESTCON43700.2019.8961077