Rev. Cient. Sist. Inform. 3(1), e461, doi: 10.51252/rcsi.v3i1.461
Artículo de Revisión
Review article
Ene-Jun, 2023
https://revistas.unsm.edu.pe/index.php/rcsi
e-ISSN: 2709-992X
Este es un artículo de acceso abierto distribuido bajo los términos de la licencia de atribución de Creative Commons, que permite el uso sin restricciones, distribución y
reproducción en cualquier medio, siempre que se cite debidamente la obra original.
Vulnerabilidades y amenazas en los activos de información:
una revisión sistemática
Vulnerabilities and threats in information assets: a systematic review
Guevara-Vega, Evellyn Milles Duval1*
Delgado-Deza, Jose Ricardo1
Mendoza-de-los-Santos, Alberto Carlos1
1Universidad Nacional de Trujillo, Trujillo, Perú
Recibido: 15 Nov. 2022 | Aceptado: 11 Ene. 2023 | Publicado: 20 Ene. 2023
Autor de correspondencia*: emguevarav@unitru.edu.pe
mo citar este artículo: Guevara-Vega, E. M. D., Delgado-Deza, J. R. & Mendoza-de-los-Santos, A. C. (2023). Vulnerabilidades y
amenazas en los activos de información: una revisión sistemática. Revista Científica de Sistemas e Informática, 3(1), e461.
https://doi.org/10.51252/rcsi.v3i1.461
RESUMEN
Con el avance del tiempo y la tecnología, la seguridad que antes se protegía se vio afectada por múltiples ataques,
que en un cierto sentido se creía sin tanta importancia pero que, en la actualidad, es necesario que los datos estén
controlados. Estos activos se verán implicados por vulnerabilidades y amenazas, que para poder defenderse
será necesaria la pregunta de esta revisión sistemática: ¿Es importante identificar las vulnerabilidades y
amenazas en los activos de información? Por lo tanto, nuestro objetivo de investigación es localizar aquellas
vulnerabilidades y amenazas que afectan a los activos de información junto con soluciones. Esta búsqueda se
logró gracias a las revisiones de artículos publicados en base de datos bibliográficos como: Scopus, Scielo, IEEE
Xplore, IOPScience, ScienceDirect, ResearchGate, World Wide Science, Dialnet, Semantic Scholar y Google
Academy comprendida entre los años 2017 a 2022. Como resultados se obtendrán aquellas vulnerabilidades
junto con sus amenazas, destacando el malware como principal amenazador del activo y en soluciones la
criptografía que buscará mejorar la seguridad de información.
Palabras clave: activo de la información; amenazas; criptografía; seguridad de la información; vulnerabilidades
ABSTRACT
With the advancement of time and technology, the security that was previously protected has been affected by
multiple attacks, which in a certain sense were thought to be minor but, nowadays, it is necessary for the data to
be controlled. These assets will be implicated by vulnerabilities and threats, which in order to defend themselves
will require the question of this systematic review: Is it important to identify vulnerabilities and threats in
information assets? Therefore, our research objective is to locate those vulnerabilities and threats that affect
information assets along with solutions. This search was achieved thanks to the reviews of articles published in
bibliographic databases such as: Scopus, Scielo, IEEE Xplore, IOPScience, ScienceDirect, ResearchGate, World
Wide Science, Dialnet, Semantic Scholar and Google Academy between the years 2017 to 2022. As a result, those
vulnerabilities will be obtained along with their threats, highlighting malware as the main threat to the asset and
cryptography solutions that will seek to improve information security.
Keywords: information assets; threats; cryptography; information security; vulnerabilities
Guevara-Vega, E. M. D et al.
2 Rev. Cient. Sist. Inform. 3(1): e461; (Ene-Jun, 2023). e-ISSN: 2709-992X
1. INTRODUCCIÓN
El avance de la tecnología ha permitido una mayor interacción entre personas de todo el mundo mejorando
la calidad de vida de personas y procesos en empresas, sin embargo, no todas entienden la importancia de
tener una buena gestión de seguridad de información, trayendo consigo diversos tipos de vulnerabilidades
y amenazas que perjudican la data que tenemos almacenada. Maquera Quispe & Serpa Guillermo (2019)
afirman lo anterior aludiendo que las empresas tienen como activos para la gestión de los procesos a la
información y servicios de TI, entonces, al aumentar la dependencia hacia los activos se producen amenazas
que aprovechan aquellas vulnerabilidades que la empresa no identifica a tiempo.
Como lo demuestran Sohrabi Safa et al. (2016), cuando se trata de seguridad de información se suele pensar
que solo es cuestión de un usuario (nombre) y una contraseña segura, pero se necesita de normativas,
estrategias que permitan la privacidad y protección de datos. La GRSI: Gestión de Riesgos de los Sistemas
de Información es la encargada de la identificación de las distintas vulnerabilidades y amenazas hacia los
recursos de información que son utilizados por los gerentes de TI para lograr los objetivos planeados,
reducir los riesgos y equiparar los gastos para conseguir beneficios y protección de la información (Firdaus
& Suprapto, 2017).
Ante estos problemas en la seguridad de la información, se ha realizado la siguiente revisión sistemática,
haciendo uso de la metodología PRISMA, que para Urrútia & Bonfill (2010), esta metodología ha sido ideado
como un instrumento que ayuda a mejorar la transparencia y la claridad en la publicación de las diversas
revisiones sistemáticas.
Por ello, con la perspectiva de proteger nuestra información, pero analizando aquellas vulnerabilidades
y/o amenazas que la afectan, se logró determinar una lista de cada una de las diversas vulnerabilidades y
amenazas en los activos de información, además de brindar soluciones para que el activo siga intacto.
2. MATERIALES Y MÉTODOS
2.1. Tipo de estudio
Este artículo tuvo como base la metodología PRISMA, descrita por Urrútia & Bonfill (2010), contemplando
como pregunta de investigación a: ¿Es importante identificar las vulnerabilidades y amenazas en los activos
de la información?
2.2. Fundamentación de la Metodología
Esta metodología fomenta según Urrútia & Bonfill (2010) que un sistema justificado en la evaluación de
distintos componentes claves de diseño y ejecución de estudios nos delatara evidencias precisas y
empíricas acerca de la relación entre ellos. Por lo que es necesario realizar este artículo con un método que
sea de manera explícita, buscando el indagar para satisfacer los resultados del estudio.
Para empezar con este método, que en total son 27 ítems, inicia por el título que identifica a la revisión, un
resumen estructurado, introducción que contiene tanto la justificación y el objetivo, la siguiente parte es
más extensa y abarca el proceso selectivo de las diversas bases de datos bibliográficos como lo son las
fuentes de información, búsqueda, los criterios de elegibilidad, y la selección de estudios que se explican en
los puntos 2.3 y 2.4 (es decir, las citas halladas en las búsquedas de las distintas bases de datos o fuentes ),
se sigue con la totalidad de citas únicas donde se eliminaron a los duplicados y finalizando con la revisión
individual adjuntado en la síntesis cualitativa (revisión sistemática) cuantitativa (metaanálisis), así como
la discusión que resume la evidencia y principales hallazgos, y por último las conclusiones con las
limitaciones encontradas (Urrútia & Bonfill, 2010).
Guevara-Vega, E. M. D et al.
3 Rev. Cient. Sist. Inform. 3(1): e461; (Ene-Jun, 2023). e-ISSN: 2709-992X
2.3. Proceso de recolección de información
Se dio inicio al proceso de búsqueda empleando descriptores, estos fueron seleccionados por la relación
con respecto a la pregunta de investigación y posibles formas de prevención: “seguridad de información”,
“amenazas”, “gestión de riesgos”, “information security”, “vulnerabilities”.
Las bases de datos para esta revisión sistemática fueron elegidas debido a que son bases de datos
académicas muy usadas en las diversas revisiones sistemáticas, así como también por sus grandes
cantidades de artículos. Como base de datos seleccionados tenemos a Scopus, Scielo, IEEE Xplore,
IOPScience, ScienceDirect, ResearchGate, World Wide Science, Dialnet, Semantic Scholar y Google
Academy. En la Tabla 1, se mostrarán las bases de datos seleccionadas con sus respectivos términos de
búsqueda.
Tabla 1.
Términos de búsqueda
Base de datos
Términos de búsqueda
Scopus
Scielo
IEEE Xplore
IOPScience
ScienceDirect
ResearchGate
World Wide Science
Dialnet
Semantic Scholar
Google Academy
Con respecto a los términos de búsqueda se han usado diferentes términos en cada base de datos
bibliográficos para obtener una mayor variedad de artículos, debido a que se consideró que la inclusión de
los mismos términos de búsqueda traería consigo obtener una variedad de artículos repetidos y limitaría
el alcance que busca esta revisión.
2.4. Criterios de inclusión y exclusión
Para lograr desarrollar este estudio, se revisaron artículos que han sido publicados en bases de datos
científicas referenciados en la Tabla 1, en idiomas, inglés y español, comprendidos entre los años 2017 al
año 2022 (últimos 5 años).
Con respecto al criterio de inclusión los artículos escogidos fueron de acuerdo al contexto de la seguridad
de información en el ámbito de tecnología y sistemas; también que pertenezcan a los últimos 5 años
asignados. Como criterio de exclusión se dispuso no abordar dichas publicaciones que tienen como temas
de seguridad de información en empresas que no abarquen el ámbito tecnológico, y tampoco aquellas que
toman a las normas ISO sin recalcar en soluciones o aplicativos.
El registro de búsqueda y extracción de información fue tratado por los colaboradores del estudio de
manera independiente, donde las desigualdades fueron observadas y resueltas en consenso por los mismos
para poder realizar una revisión sistemática.
En la Figura 1 se realizó un diagrama resumen del flujo del proceso de selección de artículos.
Guevara-Vega, E. M. D et al.
4 Rev. Cient. Sist. Inform. 3(1): e461; (Ene-Jun, 2023). e-ISSN: 2709-992X
Figura 1. Flujo de proceso de selección de artículos
3. RESULTADOS Y DISCUSIÓN
Por la búsqueda de artículos en las distintas bases de datos se determinaron un total de, aproximadamente,
66 artículos publicados; ordenados así: Scopus 17 artículos, ResearchGate con 13 artículos, Google
Academy con 9 seguida de Dialnet con 8 artículos, ScienceDirect e IOPscience con 5 y 4 artículos
respectivamente; Scielo, IEEE Xplore y World Wide Science con 3 artículos cada uno y por último Semantic
Scholar con 1 artículo. A partir de este número total, se aplicaron criterios de inclusión y de exclusión,
explicados anteriormente, hasta obtener 40 artículos, lo que permitió hacer una recopilación apropiada
para dar con los resultados del tema.
Tomando en cuenta estos artículos seleccionados, se procedió a precisar las definiciones sobre activo de
información y/o seguridad de información, así como también a identificar las vulnerabilidades y amenazas
que sufren los activos, incluyendo soluciones para seguir protegiéndolos.
Con respecto a los países que lideran las publicaciones, se demuestra que es importante para todos los
países el tema de seguridad de información identificando aquellas vulnerabilidades, amenazas y revisando
soluciones para que el activo no se pierda; principalmente Ecuador con 7 artículos, Perú con 6 artículos,
Indonesia y Colombia con 5 artículos cada uno, India con 4 artículos, seguida de China con 3 y otros con 1
artículo, véase la Figura 2.
Figura 2. Número de artículos publicados según cada país
Guevara-Vega, E. M. D et al.
5 Rev. Cient. Sist. Inform. 3(1): e461; (Ene-Jun, 2023). e-ISSN: 2709-992X
3.1. Activos de Información
En general, los activos se han caracterizado por generar valor para las empresas, siendo estos de mucha
importancia. Para Evans & Price (2020), la responsabilidad del buen manejo de los activos recae en los
altos directivos y juntas, además los activos radican en activos financieros, físicos, humanos y de
información.
Como una parte importante de este mundo digital son los activos de información, según Maquera Quispe &
Serpa Guillermo (2019), estos activos poseen gran relevancia, siendo evaluados mediante diferentes
escalas según las características que se presentan en la Tabla 2, los cuales son un resumen sobre la
aplicación de criterios proveniente de cada característica del activo de información en una universidad.
Tabla 2.
Criterios para activos de información
Confidencialidad
Integridad
Disponibilidad
Valor
Información pública para
personas internas o
externas a la universidad
Información modificada sin permiso
que se logra remediar de manera
sencilla o que no tiene efecto en los
procesos desarrollados por la
universidad
Información no disponible
pero que no afecta los
procesos de la universidad
0
Información solo para toda
la comunidad universitaria
Información modificada sin permiso
que se puede remediar pero que
tiene un efecto negativo en los
procesos desarrollados por la
universidad
Información que al no estar
disponible durante 1 semana
puede tener un efecto
negativo en los procesos de la
universidad
1
Información solo para una
parte de la comunidad
universitaria
Información modificada sin permiso
que es difícil de remediar y que tiene
un gran efecto negativo en los
procesos desarrollados por la
universidad
Información que al no estar
disponible durante 1 día
laboral puede detener los
procesos realizados por la
universidad
2
Información solo para una
parte muy pequeña de la
comunidad universitaria y
que su difusión tendrá un
efecto negativo a externos
o a la propia universidad
Información modificada sin permiso
que no se puede remediar y que
detiene los procesos desarrollados
por la universidad
Información que al no estar
disponible durante 1 hora
puede detener los procesos
realizados por la universidad
3
Fuente: Elaborado por Maquera Quispe & Serpa Guillermo (2019).
Por otro lado, los activos de información, según Alonge et al. (2020), la clasificación enfrenta un problema
como lo es la falta de directrices genéricas, debido a que no hay una adaptación en la clasificación de activos
de información definida para todas las organizaciones, es por ello que cada organización puede tener su
esquema de clasificación propio, y para Prajanti & Ramli (2019), se deben priorizar los activos de
información más relevantes para la organización debido a que serán los más importantes para mitigar, todo
esto en caso de identificar algún riesgo.
De igual forma Angraini et al. (2018), ratifican la idea anterior mencionando que se necesita de un plan de
riesgos de sus activos de información para poder establecer un mejor plan para la seguridad de la
información, es por ello que resulta importante detectar, clasificar y priorizar los activos de información.
A pesar de que todas estas clasificaciones y priorizaciones en los activos brindan una idea de seguridad
completa, Kativu & Pottas (2019) difieren, porque los controles que se logren identificar no terminarán