Con la Transformación Digital en Asturias: IA, Ciberseguridad Técnica y Estrategia

En un entorno empresarial donde la tecnología ha dejado de ser un soporte para convertirse en el núcleo del negocio, la capacitación de los equipos directivos es crítica. Recientemente, he tenido el privilegio de impartir el Módulo 3: Habilitando Tecnológicamente la Transformación dentro del programa oficial Generación Digital Pymes (ahí está el resumen del curso)

Esta iniciativa, impulsada por la Escuela de Organización Industrial (EOI), la Cámara de Comercio de Oviedo y agorAstur Formación, ha sido el escenario perfecto para aterrizar conceptos complejos a soluciones de negocio reales.

Mi intervención se ha alejado del contenido teórico genérico para trasladar mi experiencia real en las «trincheras» de la red. A continuación, comparto los pilares fundamentales que hemos trabajado.

1. Ciberseguridad: Mentalidad de Hacking Ético y Defensa Activa

Basándome en mi trayectoria como co-fundador y responsable de seguridad en APACHEctl, el mensaje ha sido claro: la seguridad no es un producto que se compra, es un proceso que se gestiona. Hemos profundizado en:

• Higiene de Seguridad Mínima: La implementación obligatoria de MFA (Autenticación Multifactor) y políticas de «menor privilegio» por defecto.
• Gestión de Activos: El uso de gestores de contraseñas profesionales como Bitwarden o KeePassXC y el cifrado de dispositivos (BitLocker/LUKS) para mitigar riesgos físicos.
• Respuesta a Incidentes: No basta con tener copias; hemos establecido la regla de backups 3-2-1 con restauraciones mensuales verificadas, porque «el backup solo existe si se restaura».

2. Infraestructura, WPO y SEO Técnico

Como administrador de servidores GNU/Linux, he puesto el foco en la arquitectura del servidor como motor de negocio. La optimización del rendimiento web (WPO) no es solo una cuestión de velocidad, es la base del SEO Técnico. Un servidor seguro y optimizado es indispensable para ganar autoridad ante Google y confianza ante el cliente.

3. Inteligencia Artificial, Automatización y Productividad

La productividad en 2025 pasa por delegar tareas repetitivas en sistemas inteligentes. Hemos explorado la convergencia entre IA y automatización:

• IA Generativa con Criterio: Analizamos técnicamente modelos como ChatGPT (versatilidad), Claude (análisis de documentos extensos) y Gemini (ecosistema Google), usando prompts avanzados para estrategia de contenidos.
• Automatización (No-Code/Low-Code): Introduje el potencial de herramientas como Zapier, Make y n8n para conectar CRM y ERP, permitiendo que los datos fluyan sin intervención manual.
• GTD + Notion: Configuramos un sistema operativo de equipo en Notion aplicando la metodología Getting Things Done de David Allen para transformar el caos en tareas ejecutables.

4. Tecnologías Emergentes: IoT y Blockchain

Bajamos a tierra tecnologías que a menudo parecen lejanas para la PYME:

• IoT orientado a KPIs: Uso de sensores para medir procesos industriales en tiempo real y reducir mermas.
• Blockchain: Aplicación de registros inmutables para garantizar la trazabilidad y la certificación documental.

5. Hoja de Ruta: El Plan 30-60-90

Para asegurar la ejecución, cada directivo trabaja en un plan de implementación inmediata:

• Días 0-30: Auditoría de seguridad, activación de 2FA y segmentación de redes Wi-Fi.
• Días 31-60: Despliegue de gestores de contraseñas y políticas de parches.
• Días 61-90: Integración de automatizaciones y revisión de métricas de rendimiento.

Un equipo docente de primer nivel

Es un honor compartir este programa con un claustro de expertos que cubren todas las aristas de la digitalización:

• Alfonso Ruiz de Eguino – Estrategia, Modelos de Negocio y Lean Startup.
• Ana Fernández Iglesias – Sostenibilidad, Economía Circular e Innovación Industrial.
• Anita Álvarez Cufari – Marketing Digital, Publicidad y Creatividad Estratégica.
• Damián Micenmacher – Transformación Cultural, Liderazgo Ágil y Coaching.
• David Hernández (Dabo) – Ciberseguridad, Cloud Computing e Inteligencia Artificial.
• Mónica Granda Velasco – Dirección Financiera, ERPs y Business Intelligence.
• Nerea Sánchez Sánchez – Soluciones Digitales y Aplicaciones Móviles.
• Roberto Pérez Marijuán – Neuromarketing, Comunicación y Ventas.
• Rubén Prida – Consultoría Tecnológica y CRM.
• Vanina Posada Casares – Transformación Digital e Innovación en Turismo.

Comentar que vamos por la segunda edición y que hay una tercera confirmada, muchas gracias a los organizadores por confiar en mi experiencia para llevar adelante esta formación.

Mi gran amigo Ángel «Aka Jábali» ;) me dedicó una entrada en su blog que NO merezco, pero que SÍ agradezco enormemente.

Cuando él me planteó entrar en el equipazo de Hack By Security (tengo que buscar otra foto, lo sé ;D) a impartir formación y más en algo que tanto me gusta como GNU/Linux, no dudé en decir «sí», porque para mi, hablando de formación (algo que me tomo muy en serio) es importante saber que la gente que está detrás se lo toma en serio y no juega con las ilusiones y el dinero del alumnado, así de claro.

El temario que impartí en mi bloque de horas fue el siguiente:

Introducción
Amenazas y seguridad web
Servidores Debian GNU/Linux y seguridad
Monitorización de servidores y servicios
Comparativa de paneles de administración web
Servidores web: Apache vs Nginx
Optimización y seguridad en servidores web
Optimización y seguridad de bases de MariaDB
Seguridad y protección contra ataques DoS / DDoS
Firewall y protección de red / portscans
Uso de un IPS / IDS & búsqueda de malware
Conclusiones y buenas prácticas

Para ello, preparé a los alumnos una VM en VirtualBox con una Debian 12 y un entorno de escritorio mínimo a modo de laboratorio de pruebas y en mi caso, para darle un toque más real, contraté un servidor VPS e hice una instalación totalmente desde cero, explicando problemas comunes, otros más complejos (algunos «bastante complejos»;) y sobre todo, aportando soluciones en directo a esos problemas y configuraciones inseguras que íbamos detectando.

El VPS que usé, como se ve, estaba recién instalado con lo míimo (una «netinstall»)

Fue un rol doble por mi parte, ejerciendo de Red y Blue Team, con ataques desde fuera que eran analizados y bloqueados desde dentro del servidor. Partiendo de una mínima configuración, acabé instalando un entorno plenamente funcional y altamente optimizado basado en:

Apache 2.4x en mod-event

MariaDB 10x

PHP-FPM 8x

Memcached

Mostré a los alumnos cómo manejar picos de tráfico legítimo alto, también cómo actuar en caso de una Denegación de servicio, montar un firewall complejo desde cero con la premisa de que al acabar pudieran replicarlo (las clases quedan grabadas), bloqueando ataques de fuerza bruta, portscans, fingerprinting, DoS, etc.

Por mi parte, acabé la formación con la sensación de haberlo dado todo como siempre intento (a pesar de los riesgos del directo, pero eso creo que aporta valor porque así la gente puede ver cómo solucionas sobre la marcha problemas que pueden encontrarse ellos) y ya estoy esperando a la siguiente entrega. Muchas gracias a Ángel y al Staff de Hack By Security y también a los alumnos que asistieron a mi clase (para lo que necesitéis,sólo tenéis que contactar).

Resumen de mi charla sobre Ciberseguridad en Gijón.

Pocas cosas me gustan más que ir a centros de formación (y si es formación profesional, más si cabe) e intentar aportar algo de luz o ayuda en temas de mi día a día con el Hacking y los servidores en APACHEctl y en mis temas como consultor.

En este caso tocaba hablar de Ciber(IN)seguridad en el IES1 de Gijón y cuando sus responsables me propusieron ir, no dudé en aceptar al momento.

(La foto es del amigo @eguino, gracias !!!)

Tengo que dar las gracias tanto a la organización como a los asistentes porque me trataron genial y me divertí mucho -:). Si hay que repetir, se repetirá (hubo gente que se quedó sin poder entrar me comentaron).

¿De qué temas hablé? Obviamente de IA y sus sesgos, de cómo hackear a ChatGPT para saltarte ciertos filtros y restricciones en cuanto al contenido (sí, al final nos creó un arma biológica y…poca broma:), de estereotipos, Hackers y Hacktivistas, de brechas de seguridad, desarrollo seguros de Software, OWASP, criptografía, OPSEC, gestión del riesgo, etc.

Seguramente lo que más impacto causó en la audiencia fue una demo de suplantación de identidad vía una llamada de móvil entre dos asistentes (llamando yo con el número de ellos previo permiso explícito).

Voy a compartir alguna de las diapositivas de mi presentación. Aclarar que aunque mi presentación se impartió con Software Libre y mis Debian, los consejos de Ciberseguridad fueron en este caso destinados a Windows.

Para acabar, si estás leyendo esto y quieres que colabore con tu centro público de educación en algún tema de divulgación tipo este, lo haré de forma desinteresada porque al final, la seguridad, es una cuestión que nos afecta a todos.

Galería con parte de la presentación (hay como el doble de diapos pero falta contexto).