Conectando modelos de madurez en ciberseguridad con hacking ético y análisis de vulnerabilidades para medir de forma más precisa el nivel de preparación de una organización frente a ciberataques.

Abstract

El presente trabajo de investigación propone un modelo híbrido de madurez cibernética para entidades gubernamentales (MHMC-EG), cuyo propósito es evaluar y fortalecer la madurez institucional en ciberseguridad mediante la integración de marcos normativos y técnicos reconocidos internacionalmente. El modelo combina los enfoques del Cybersecurity Evaluation Tool (CSET), el Cybersecurity Maturity Model Certification (CMMC) y el Cybersecurity Framework (NIST CSF) con las evidencias empíricas derivadas del MITRE ATT&CK, configurando un esquema integral que permite medir tanto la existencia formal de controles como su efectividad práctica frente a amenazas reales. La metodología se sustenta en una evaluación híbrida y ponderada que otorga un 50% al cumplimiento documental, 30% a la cobertura técnica y 20% a la capacidad de respuesta operativa. Los resultados obtenidos en el entorno simulado demuestran que la incorporación de evidencias técnicas (escaneos de vulnerabilidades, simulaciones de ataque y validaciones ATT&CK) proporciona una valoración más precisa de la madurez cibernética, reduciendo la brecha entre el cumplimiento teórico y la efectividad real. El MHMC-EG se presenta como un modelo adaptable, replicable y compatible con el Esquema Gubernamental de Seguridad de la Información (EGSI v3.0), aportando una herramienta metodológica práctica para las instituciones públicas que buscan fortalecer su resiliencia digital. Además, contribuye al ámbito académico al ofrecer una propuesta original para integrar la gestión del riesgo, la evidencia técnica y la mejora continua dentro de un solo marco de evaluación.