INVESTIGACIÓN 56 (11) Posicionamiento dinámico. Se trata de incrementar la capa- cidad para rápidamente recuperarse de un incidente no procedente de atacantes (por ejemplo, de acciones de la natu- raleza) repartiendo y diversificando la distribución de red. (12) No persistencia. Se trata de generar y retener recursos según se necesiten o por un tiempo limitado. Reducir la exposición a la corrupción, modificación o compromiso. (13)Representación dinámica. Se trata de mantener la repre- sentación actual de la red. Mejorar el entendimiento de las dependencias entre los recursos “ciber” y “no ciber”. Revelar patrones o tendencias en el comportamiento del atacante. (14) Segmentación. Se trata de definir y separar los elementos del sistema en base a su criticidad y confianza. Se usan VLANs, DMZs, sandboxing, contenedores, etc. (15) Utilizar tecnologías de anticipación y defensas automatiza- das basadas en IA, Big-data, machine learning, data-analytics, etc. Utilizar simulación entrenada de incidentes que mejora los test de presión para la resiliencia. Emplear datos e inteligencia de cara a la proactividad eficaz que permita “cazar” (buscar, perseguir, abatir) las amenazas, anomalías y toda actividad sospechosa-azarosa. (16)Integridad probada. Se trata de determinar si los elemen- tos del sistema críticos han sido corrompidos/suplantados. Utilizar para hardware tecnología PUF y para software y fir- mware tecnología de funciones hash, MAC, firma digital, FEC, backup, block-chain, etc. Defensas activas y pasivas Las defensas pasivas o estáticas son medidas tomadas para redu- cir la probabilidad y minimizar los efectos de daño causados por acciones hostiles sin la intención de tomar la iniciativa. Ejemplos son los firewalls, software anti-malware, procedimientos de copias de seguridad o backup y recuperación de las mismas vía el comando restore, control de acceso, auditorías estáticas, cifrado, esteganografía, firma digital (convencional, a ciegas, etc.), fun- ciones hash/MAC, etc. Como, características generales: operan dentro del dominio de la custodia de la organización, reaccionan a intrusiones hostiles es decir reconocibles. Una herramienta de defensa pasiva serían los IDSs (HIDSs, NIDSs, AIDSs, etc.). Las defensas activas o dinámicas pueden ordenarse en categorías: (i) Dentro del dominio de la organización: distraer y retardar al agente de intrusión (utilizando sistemas con IA, redes neuronales, deep-learning, machine-learning, basados en señuelos/cebo/disuasión, como honeypot, honeynets, DDP / Distributed Deception Platforms, uso de confinamientos, bloqueo, retención, cuarentena, aislamientos, comparti- mentación, perimetración, etc. utilizando tecnologías como sandboxing y trap-entity-man), engañar al agente de intru- sión (utilizando ficheros o servidores con información sin importancia pero que parezca de gran valor para desinfor- mación), re-encaminar o relanzar tráfico de cara al agente de intrusión, retardar respuesta al agente de intrusión, recoger información forense sobre el agente de intrusión para mejo- rar la ciberseguridad y ayudar a aplicar las leyes, permitir interacciones sólo con entidades en whitelist (partes, soft- ware, computadores, etc.), reconfigurar de forma dinámica y rápida las defensas y redes (firewalls, routers, switches, etc.). Algunas herramientas, de defensa activa serían los IPSs (HIPSs, NIPSs, AIPSs, DLP/Data Loss Prevention, auditorías dinámicas, pentest, etc.). (ii) Cuestiones de política y legales relativamente limitadas: pri- vacidad (el derecho a que toda entidad pueda controlar toda la información relativa a ellas), posible interferencia con el trabajo (control de versiones en gestión de configuración y desinformación y falsos positivos en detección de intrusio- nes, por ejemplo, usuario remoto legítimo). Aquí se situarían los cumplimientos en relación a leyes, normas, reglas, buenas prácticas/ISO27000-certificación ISO27001/ISO27002, regulaciones, etc. por ejemplo RGPD, PCI-DSS, SOX, etc. Troyanos software y hardware, correlación con la obsolescencia programada Un troyano software es parte de un código en software legal, el comportamiento del troyano puede cambiar, el troyano puede ser añadido en un software vía red, una vez identificado (por un anti- malware) puede ser eliminado y añadido a una base de datos para identificarlo en el futuro. Los dropper de troyanos se encargan de instalar código malicioso en el computador de una victima, pueden