En el presente artículo se explora, identifica y analiza la 'detonación', 'explotación' e 'ingeniería inversa' de los modelos, frameworks, metodologías, están- dares y arquitecturas de ciberseguridad-privacidad como fuentes para la obtención de protocolos de buenas prácticas y competencias (transversales y longitudinales) en ciberseguridad-privacidad. Educar en competencias de ciberseguridad es formar personas aptas para gobernarse así mismas en ciberseguridad y no para ser gobernadas por ciber-atacantes mitigando de posibles amenazas, vul- nerabilidades, riesgos, ataques, intrusiones y protegiendo ante ciber-incidentes aislados, persistentes o crónicos en ciberseguridad. El CNSS (Committee on National Security Systems) define ciberseguridad como la capacidad para proteger o defender el uso de una organización del ciberespacio de un ataque realizado a través de dicho cibe- respacio con el propósito de trastornar, inhabilitar, destruir o controlar maliciosamente una infraestructura/entorno de computación o destruir la integridad de los datos o robar la información controlada. El NIST (National Institute of Standards and Technology) define ciberseguridad como el proceso de proteger la información previniendo, detectando y respondiendo a los ataques. De forma similar al riesgo de reputación o financiero el riesgo de ciberseguridad afecta a la base de toda organización. Puede conducir a elevar los costos e impactar negativamente en los ingresos. Puede dañar la capacidad de una organización para innovar y ganar y mantener clientes y puede afectar a la salud de las perso- nas y medio ambiente. La ITU-TSS/ITU-T (International Telecommunications Union – Telecommunications Standardization Sector) en su estándar X.1205 define ciberseguridad como un conjunto de herramientas, políticas, conceptos de seguridad, salva- guardas/contramedidas/controles de seguridad, buenas prácticas, aseguramiento y tecnologías que se pueden utili- zar para proteger el ciber-entorno y los activos de usuario y de la organización (personal, dispositivos de computación conectados, infraestructuras, aplicaciones/APPs, servicios, sistemas de telecomunicaciones, información almacenada, transmitida y en ejecución, etc. en el ciber-entorno). La ciberseguridad lucha para asegurar la consecución y mante- nimiento de las propiedades de seguridad de los activos del usuario y de la organización contra los riesgos de seguridad relevantes del ciber-entorno. El ISO (International Standardization Organization) define ciberseguridad o seguridad en el ciberespacio como la pre- servación de la confidencialidad, integridad y disponibilidad (abreviadamente CIA) en el ciberespacio. A su vez el cibe- respacio se define como el entorno complejo que resulta de la interacción de personas, software, firmware, hardware y servicios sobre Internet por medio de dispositivos tecno- lógicos y redes conectadas que no existen en forma física. Una superficie de ataque es el conjunto de interfaces (los vectores de ataque), donde un usuario no autorizado puede intentar entrar datos o extraer información de un sistema o modificar el comportamiento de un sistema. Un vector de ataque se refiere a los interfaces o caminos que un atacante utiliza para explotar una vulnerabilidad (por ejemplo, un exploit puede utilizar una vulnerabilidad de puerto abierto CIBERSEGURIDAD 52 A partir de la esencia o ADN de los modelos, arquitecturas, frameworks, estándares de ciberseguridad-privacidad Síntesis de protocolos de buenas prácticas y aplicación de competencias transversales y longitudinales en ciberseguridad- privacidad Todos somos susceptibles de ser víctimas de un ciberataque o una ciberamenaza. La concienciación y sensibilización en ciberseguridad-privacidad ya no es suficiente para protegernos de forma eficiente (y consecuentemente prevenir-evitar ser víctimas de ciberataques, ciberintrusiones y ciberestafas de forma significativa), actualmente se requiere de enfoques y tácticas más elaboradas basadas en la aplicación de protocolos de buenas prácticas y la ejecución de competencias que deben ser evaluadas con la generación de títulos por niveles como sucede en los idiomas para elevar de hecho los niveles de madurez en ciberseguridad-privacidad. Prof. Dr. Javier Areitio Bertolín E.Mail: jareitio@deusto.es Catedrático de la Facultad de Ingeniería. Universidad de Deusto. Director del Grupo de Investigación Redes y Sistemas