OntoSecU: Marco ontológico para la gestión proactiva de vulnerabilidades en universidades ecuatorianas mediante integración semántica de Nmap, Nessus y Shodan
DOI:
https://doi.org/10.64747/hcg93557Palabras clave:
ciberseguridad universitaria, gestión de vulnerabilidades, web semántica, ontologías, priorización de riesgoResumen
El objetivo del artículo es presentar OntoSecU: Un marco ontológico que integra semánticamente hallazgos de Nmap, Nessus y Shodan, con catálogos estandarizados (Common Vulnerabilities and Exposures, CVE; Common Weakness Enumeration, CWE; Common Platform Enumeration, CPE; National Vulnerability Database, NVD) y el listado CISA Known Exploited Vulnerabilities (KEV), para priorizar de forma explicable la remediación de vulnerabilidades en una institución de educación superior ecuatoriana. Este artículo deriva directamente de la tesis de maestría del Ing. Bolívar Ramos y presenta como aporte novedoso: (a) una síntesis actualizada del estado del arte sobre ontologías en ciberseguridad; (b) la formalización clara de reglas de priorización con ejemplos operativos; (c) una discusión comparativa ampliada con literatura reciente; y (d) proyecciones específicas para el contexto universitario ecuatoriano. Métodos: se adoptó un diseño aplicado con ingeniería ontológica (OWL, SHACL, SPARQL), pipelines de normalización y reglas de priorización. La evaluación empírica corresponde exclusivamente a una validación de aceptabilidad y explicabilidad mediante cuestionario tipo Likert aplicado a un panel de expertos institucionales (n=5), sin métricas operativas de impacto. Resultados: los diez ítems del instrumento obtuvieron porcentajes de aceptación específicos en el nivel más alto (Likert=5): Ítem 1 (80%), Ítem 2 (100%), Ítem 3 (80%), Ítem 4 (100%), Ítem 5 (80%), Ítem 6 (100%), Ítem 7 (80%), Ítem 8 (100%), Ítem 9 (80%), Ítem 10 (100%). La mediana fue Me=5 para todos los ítems, indicando alta aceptación en constructos como utilidad, explicabilidad, visión centralizada, integración semántica, pertinencia del motor de reglas y usabilidad del tablero. Este nivel de evidencia corresponde a validación de aceptación/explicabilidad del prototipo, no a evaluación de impacto operativo. Conclusiones: OntoSecU demuestra viabilidad conceptual y utilidad percibida para el contexto universitario ecuatoriano, proporcionando semántica compartida, validaciones y consultas reproducibles que facilitan trazabilidad y auditoría. Se propone una fase longitudinal con telemetría real para cuantificar impacto operativo y consolidar la gobernanza de datos y reglas.
Referencias
CISA (Cybersecurity and Infrastructure Security Agency). (2025). Known Exploited Vulnerabilities (KEV) Catalog. https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Fenza, G., Gallo, M., Loia, V., & Orciuoli, F. (2020). A knowledge-based framework for cybersecurity investment. Knowledge-Based Systems, 207, 106395. https://doi.org/10.1016/j.knosys.2020.106395
ISO (International Organization for Standardization). (2022). ISO/IEC 27001:2022 Information security management systems --- Requirements.
Lyon, G. (2009). Nmap Network Scanning. Insecure.Org.
Mell, P., Scarfone, K., & Romanosky, S. (2020). Common vulnerability scoring system (CVSS). NIST Interagency Report 7435.
MITRE. (2023). Common Vulnerabilities and Exposures (CVE). https://cve.mitre.org
Navarro, E., Alcaraz, C., & López, J. (2021). A comprehensive review of ontologies for the cybersecurity domain. Computer Standards & Interfaces, 77, 103521. https://doi.org/10.1016/j.csi.2021.103521
NIST (National Institute of Standards and Technology). (2024). The NIST Cybersecurity Framework (CSF) 2.0 (NIST CSWP 29). https://doi.org/10.6028/NIST.CSWP.29
Ramos Mosquera, B. (2025). OntoSecU: Marco ontológico para la gestión proactiva de vulnerabilidades en universidades ecuatorianas mediante integración semántica de Nmap, Nessus y Shodan (Tesis de maestría). Universidad Internacional de La Rioja, Ecuador.
Shodan. (2024). Shodan API Documentation. Shodan LLC.
Simões, P., Ferreira, J., & Bernardino, J. (2023). Cybersecurity ontologies: A survey and research directions. Future Internet, 15(7), 236. https://doi.org/10.3390/fi15070236
Tenable. (2024). Nessus Professional: User Guide. Tenable, Inc.
W3C. (2012). OWL 2 Web Ontology Language: Document Overview (W3C Recommendation). https://www.w3.org/TR/owl2-overview/
W3C. (2017). Shapes Constraint Language (SHACL) (W3C Recommendation). https://www.w3.org/TR/shacl/
Descargas
Publicado
Número
Sección
Licencia
Derechos de autor 2026 Myriam Cecilia García-Enríquez, Bolívar Ramos-Mosquera, Irwin Alfredo Fernández-Avilés (Autor/a)
Esta obra está bajo una licencia internacional Creative Commons Atribución 4.0.
