Glosario de Ciberseguridad

Una APT (Amenaza Persistente Avanzada) es un ataque prolongado y sigiloso en el que un actor sofisticado —a menudo respaldado por estados o crimen organizado— penetra una red y permanece oculto durante meses para robar datos o espiar. Requiere detección avanzada (EDR/XDR), threat hunting y monitoreo continuo.

El BEC (Compromiso de Correo Empresarial) es un fraude sofisticado en el que el atacante suplanta a un ejecutivo o proveedor para engañar a empleados y lograr transferencias de dinero o datos sensibles. No suele usar malware, sino ingeniería social y correos fraudulentos, por lo que evade muchos filtros tradicionales.

Una Botnet es una red de dispositivos infectados con malware y controlados de forma remota por un atacante sin el conocimiento de sus dueños. Se utiliza para lanzar ataques DDoS masivos, enviar spam, distribuir malware o minar criptomonedas. Cada dispositivo comprometido se denomina 'bot' o 'zombi'.

Un ataque de Fuerza Bruta intenta adivinar contraseñas o claves de cifrado probando sistemáticamente todas las combinaciones posibles hasta dar con la correcta. Se contrarresta con contraseñas largas y complejas, bloqueo tras varios intentos fallidos y, sobre todo, autenticación multifactor (MFA).

Un CASB (Agente de Seguridad de Acceso a la Nube) es un punto de control que se sitúa entre los usuarios y los servicios en la nube para aplicar políticas de seguridad: visibilidad del shadow IT, prevención de pérdida de datos, control de accesos y detección de amenazas. Es un componente clave de las arquitecturas SASE.

CSPM (gestión de la postura de seguridad en la nube) es un conjunto de herramientas que evalúan de forma continua las configuraciones de entornos cloud para detectar errores, exposiciones y violaciones de cumplimiento. Automatiza la detección y corrección de fallos como buckets públicos o permisos excesivos antes de que sean explotados.

CVE (Vulnerabilidades y Exposiciones Comunes) es un sistema de identificación estandarizado que asigna un código único a cada vulnerabilidad de seguridad conocida públicamente. Facilita que fabricantes, investigadores y equipos de TI hablen el mismo idioma al priorizar parches y gestionar el riesgo de sus sistemas.

CVSS (Sistema Común de Puntuación de Vulnerabilidades) es un estándar abierto que asigna a cada vulnerabilidad una puntuación de 0 a 10 según su gravedad, considerando factores como la facilidad de explotación y el impacto potencial. Ayuda a las organizaciones a priorizar qué fallos remediar primero.

Un ataque DDoS (Denegación de Servicio Distribuida) satura un servidor, servicio o red con un volumen masivo de tráfico malicioso proveniente de miles de dispositivos comprometidos (botnet), dejándolo inaccesible para usuarios legítimos. Se mitiga con firewalls de aplicación web (WAF), filtrado de tráfico y servicios de protección anti-DDoS en la nube.

Un Deepfake es contenido sintético —audio, imagen o video— generado con inteligencia artificial para suplantar de forma convincente a una persona real. Se utiliza en fraudes, desinformación y ataques de ingeniería social avanzada, como simular la voz de un directivo para autorizar transferencias fraudulentas.

La recuperación ante desastres (Disaster Recovery o DR) es el conjunto de políticas, herramientas y procedimientos que permiten restaurar sistemas y datos críticos tras un incidente grave: un ciberataque, un fallo de hardware o un desastre natural. Se mide con objetivos de tiempo (RTO) y de punto de recuperación (RPO).

DLP (Prevención de Pérdida de Datos) es un conjunto de tecnologías y políticas que detectan y bloquean la fuga de información sensible —datos personales, financieros o propiedad intelectual— ya sea por error, robo o exfiltración maliciosa. Monitorea datos en uso, en movimiento y en reposo, aplicando reglas de clasificación y cifrado.

EDR (Endpoint Detection and Response) es una tecnología de ciberseguridad que monitorea de forma continua los dispositivos finales —computadoras, servidores y portátiles— para detectar, investigar y responder a amenazas avanzadas en tiempo real. A diferencia del antivirus tradicional, EDR registra el comportamiento del endpoint y permite contener ataques de forma automatizada.

El Cifrado (Encryption) transforma datos legibles en un formato ininteligible mediante algoritmos y claves, de modo que solo quien posee la clave correcta pueda descifrarlos. Protege la confidencialidad de la información tanto en reposo (almacenada) como en tránsito (en la red), y es un pilar de la protección de datos.

Un firewall es un dispositivo o software de seguridad que controla el tráfico de red entrante y saliente según reglas predefinidas. Actúa como barrera entre redes confiables y no confiables. Los firewalls de nueva generación (NGFW) añaden inspección profunda de paquetes, prevención de intrusiones y control de aplicaciones.

El Hardening (endurecimiento) es el proceso de reducir la vulnerabilidad de un sistema eliminando servicios innecesarios, cerrando puertos, aplicando configuraciones seguras y parches. Siguiendo guías como los CIS Benchmarks, deja cada servidor, estación o dispositivo con la mínima exposición posible.

Un Honeypot es un sistema señuelo diseñado deliberadamente para atraer a los atacantes y desviarlos de los activos reales. Al interactuar con él, los atacantes revelan sus técnicas, herramientas y orígenes, generando inteligencia valiosa y alertas tempranas sin poner en riesgo la infraestructura productiva.

IAM (Gestión de Identidades y Accesos) es el marco de políticas y tecnologías que garantiza que las personas correctas accedan a los recursos correctos en el momento adecuado. Abarca aprovisionamiento de usuarios, autenticación, autorización por roles y revisión de privilegios, siendo la base del modelo Zero Trust.

Un IDS (Sistema de Detección de Intrusiones) monitorea el tráfico de red en busca de actividad maliciosa y genera alertas, mientras que un IPS (Sistema de Prevención de Intrusiones) además bloquea esas amenazas en tiempo real. Suelen integrarse en los firewalls de nueva generación para frenar exploits y ataques conocidos.

Una Copia de Seguridad Inmutable es un respaldo que no puede ser modificado ni eliminado durante un período definido, ni siquiera por un administrador o por ransomware. Garantiza que siempre exista una versión limpia y recuperable de los datos, convirtiéndose en la última línea de defensa contra ataques de cifrado.

Una Amenaza Interna (Insider Threat) proviene de personas con acceso legítimo a los sistemas —empleados, contratistas o socios— que, de forma malintencionada o por negligencia, comprometen la seguridad. Es especialmente difícil de detectar porque el actor ya está dentro; se mitiga con mínimo privilegio, monitoreo y DLP.

Un IoC (Indicador de Compromiso) es una evidencia forense que señala una posible intrusión: hashes de archivos maliciosos, direcciones IP o dominios sospechosos, claves de registro alteradas o patrones de tráfico anómalos. Los equipos de seguridad los usan para detectar, investigar y contener incidentes con rapidez.

ISO/IEC 27001 es la norma internacional para sistemas de gestión de seguridad de la información (SGSI). Establece los requisitos para identificar riesgos, aplicar controles y mejorar de forma continua la protección de la información. La certificación demuestra ante clientes y reguladores que una organización gestiona la seguridad de forma sistemática.

Malware (software malicioso) es cualquier programa diseñado para dañar, infiltrar o tomar control de un sistema sin consentimiento. Incluye virus, gusanos, troyanos, spyware y ransomware. Se combate con una estrategia de defensa en profundidad: protección de endpoints, parches actualizados, segmentación de red y concienciación del usuario.

La MFA (autenticación multifactor) es un método de seguridad que exige dos o más pruebas de identidad para conceder acceso: algo que el usuario sabe (contraseña), algo que tiene (token o teléfono) y algo que es (biometría). Reduce drásticamente el riesgo de accesos no autorizados aunque una contraseña sea robada.

La Microsegmentación divide la red en zonas muy pequeñas y aisladas, aplicando políticas de seguridad granulares a cada carga de trabajo o aplicación. Si un atacante compromete un segmento, no puede moverse lateralmente hacia el resto. Es un componente fundamental de las arquitecturas Zero Trust.

MITRE ATT&CK es una base de conocimiento global y abierta que cataloga las tácticas, técnicas y procedimientos (TTP) que utilizan los atacantes reales. Los equipos de seguridad la usan como marco de referencia para mapear amenazas, evaluar coberturas de detección y fortalecer sus defensas de forma estructurada.

El principio de Mínimo Privilegio establece que cada usuario, proceso o sistema debe tener únicamente los permisos estrictamente necesarios para realizar su función, ni más ni menos. Limita la superficie de ataque y contiene el daño si una cuenta se ve comprometida, siendo un pilar de los modelos Zero Trust.

NDR (Network Detection and Response) es una tecnología que analiza el tráfico de red en tiempo real mediante modelos de comportamiento e inteligencia artificial para detectar amenazas que evaden los controles tradicionales, como movimientos laterales o exfiltración. Complementa al EDR y al SIEM dentro de una estrategia de detección por capas.

Un NOC (Network Operations Center o Centro de Operaciones de Red) es el equipo responsable de supervisar, mantener y optimizar la disponibilidad y el rendimiento de la infraestructura de red de una organización. Mientras el SOC se enfoca en seguridad, el NOC se centra en la continuidad operativa y la salud de los sistemas.

PAM (Gestión de Accesos Privilegiados) controla, monitorea y protege las cuentas con permisos elevados —administradores, cuentas de servicio y root— que son el objetivo prioritario de los atacantes. Incluye bóvedas de credenciales, rotación automática de contraseñas, acceso just-in-time y grabación de sesiones privilegiadas.

La Gestión de Parches (Patch Management) es el proceso de identificar, probar y aplicar actualizaciones de software para corregir vulnerabilidades y errores antes de que sean explotados. Un programa de parcheo ágil y consistente es una de las defensas más eficaces y económicas contra los ciberataques.

PCI DSS es el estándar de seguridad de datos para la industria de tarjetas de pago. Establece requisitos obligatorios para cualquier organización que almacene, procese o transmita datos de tarjetas, con el fin de proteger la información de los titulares y prevenir el fraude. El incumplimiento conlleva sanciones y pérdida de confianza.

El pentesting (pruebas de penetración) es una evaluación de seguridad controlada en la que especialistas simulan ataques reales para descubrir y explotar vulnerabilidades antes de que lo haga un atacante malicioso. El resultado es un informe con los hallazgos priorizados por riesgo y recomendaciones concretas de remediación.

El phishing es una técnica de ingeniería social en la que un atacante se hace pasar por una entidad de confianza —por correo, SMS o llamada— para engañar a la víctima y obtener credenciales, datos financieros o acceso a sistemas. Es el vector inicial más común en las brechas de seguridad empresariales.

El ransomware es un tipo de malware que cifra los archivos o sistemas de la víctima y exige un pago (rescate) para restaurar el acceso. Suele propagarse mediante phishing o vulnerabilidades sin parchear. La mejor defensa combina copias de seguridad inmutables, protección de endpoints y un plan de recuperación ante desastres probado.

La Respuesta a Incidentes es el conjunto de procesos coordinados para detectar, contener, erradicar y recuperarse de un incidente de seguridad, minimizando su impacto. Sigue fases definidas —preparación, detección, contención, erradicación, recuperación y lecciones aprendidas— para restaurar la operación con rapidez.

RPO (Objetivo de Punto de Recuperación) define cuántos datos puede permitirse perder una organización, medido en tiempo desde la última copia. RTO (Objetivo de Tiempo de Recuperación) define cuánto puede tardar en restaurar un sistema tras un incidente. Juntos marcan los objetivos de cualquier plan de continuidad y recuperación.

Un Sandbox es un entorno aislado y controlado donde se ejecutan archivos o programas sospechosos para analizar su comportamiento sin poner en riesgo los sistemas reales. Es una técnica clave para detectar malware desconocido y amenazas de día cero antes de que lleguen a los usuarios.

SASE (Secure Access Service Edge) es un modelo de arquitectura que converge funciones de red y seguridad en un único servicio entregado desde la nube. Combina SD-WAN con seguridad como firewall, CASB, Zero Trust y gateway web seguro, permitiendo proteger a usuarios remotos sin importar su ubicación.

SD-WAN (red de área amplia definida por software) gestiona y optimiza la conectividad entre sedes de forma centralizada y por software, eligiendo en tiempo real la mejor ruta para cada aplicación. Reduce costos frente a enlaces MPLS y, combinada con seguridad, es la base de las arquitecturas SASE.

Un SIEM (gestión de información y eventos de seguridad) es una plataforma que recopila, correlaciona y analiza registros (logs) y eventos de toda la infraestructura para detectar actividad sospechosa y generar alertas. Es la herramienta central de un SOC para la investigación de incidentes y el cumplimiento normativo.

Smishing y Vishing son variantes del phishing que cambian el canal: el smishing usa mensajes SMS y el vishing llamadas de voz para engañar a la víctima y obtener datos o accesos. Aprovechan la urgencia y la confianza en estos medios, a menudo suplantando a bancos, soporte técnico o entidades oficiales.

SOAR (Orquestación, Automatización y Respuesta de Seguridad) reúne herramientas que automatizan tareas repetitivas del centro de operaciones de seguridad mediante playbooks. Acelera la respuesta a incidentes, reduce la fatiga de alertas y permite que los analistas se concentren en las amenazas que realmente requieren criterio humano.

Un SOC (Security Operations Center o Centro de Operaciones de Seguridad) es un equipo y una instalación que monitorea, detecta y responde a incidentes de ciberseguridad de forma continua, 24/7. Combina analistas especializados, procesos definidos y tecnología como SIEM para proteger la infraestructura de una organización en tiempo real.

SOC 2 es un marco de auditoría que evalúa cómo una organización gestiona los datos de sus clientes según cinco principios de confianza: seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad. Un informe SOC 2 es muy valorado por empresas que contratan servicios en la nube o proveedores tecnológicos.

La Ingeniería Social es la manipulación psicológica de personas para que revelen información confidencial o realicen acciones que comprometen la seguridad. Explota la confianza, la urgencia o el miedo en lugar de fallos técnicos. El phishing, el vishing y el pretexting son sus formas más comunes; la concienciación es la mejor defensa.

El Spear Phishing es un ataque de phishing dirigido y personalizado contra una persona u organización específica. A diferencia del phishing masivo, el atacante investiga a la víctima para crear mensajes muy convincentes que suplantan a colegas, jefes o proveedores de confianza, aumentando drásticamente la tasa de éxito.

SPF, DKIM y DMARC son protocolos de autenticación de correo que verifican que un mensaje provenga realmente del dominio que dice representar. SPF valida el servidor de envío, DKIM firma criptográficamente el mensaje y DMARC define qué hacer si fallan. Juntos previenen la suplantación de dominio y el phishing.

SSO (Inicio de Sesión Único) permite al usuario autenticarse una sola vez para acceder a múltiples aplicaciones sin volver a introducir credenciales. Mejora la experiencia y reduce el riesgo de contraseñas débiles o reutilizadas. Se refuerza combinándolo con autenticación multifactor (MFA) para validar la identidad antes de conceder el acceso.

La Superficie de Ataque es el conjunto total de puntos por los que un atacante podría intentar entrar o extraer datos de un sistema: servicios expuestos, puertos abiertos, aplicaciones, cuentas y APIs. Reducirla y monitorearla de forma continua es clave para disminuir el riesgo de una organización.

Un Ataque a la Cadena de Suministro compromete a una organización a través de un proveedor, software o componente de terceros en el que confía. En lugar de atacar de frente, el adversario infecta una actualización legítima o una dependencia, alcanzando así a todos sus clientes, como ocurrió en casos como SolarWinds o MOVEit.

El Threat Hunting (Caza de Amenazas) es la búsqueda proactiva y humana de actividades maliciosas que han evadido las defensas automatizadas. En lugar de esperar una alerta, los analistas formulan hipótesis y exploran los datos en busca de señales de compromiso ocultas, reduciendo el tiempo de permanencia de los atacantes.

La Inteligencia de Amenazas (Threat Intelligence) es el conocimiento basado en evidencia sobre amenazas existentes o emergentes: tácticas, técnicas, indicadores de compromiso y actores maliciosos. Permite anticipar ataques y tomar decisiones de defensa informadas, alimentando a los equipos de SOC, SIEM y respuesta a incidentes.

Una VPN (Red Privada Virtual) crea un túnel cifrado entre el dispositivo del usuario y la red corporativa a través de Internet, protegiendo la confidencialidad de los datos en tránsito. Es clave para el trabajo remoto seguro, aunque los modelos modernos evolucionan hacia arquitecturas Zero Trust y SASE que verifican cada acceso de forma granular.

Un WAF (firewall de aplicaciones web) protege las aplicaciones y APIs web filtrando y monitoreando el tráfico HTTP/HTTPS. Bloquea ataques comunes como inyección SQL, cross-site scripting (XSS) y los del OWASP Top 10, actuando como escudo entre los usuarios de Internet y la aplicación.

XDR (Extended Detection and Response) es una plataforma que unifica la detección y respuesta a amenazas a través de múltiples capas: endpoints, red, correo electrónico, nube e identidades. Correlaciona señales de todas estas fuentes en una sola consola para identificar ataques complejos que pasarían desapercibidos si se analizaran de forma aislada.

Zero Trust (Confianza Cero) es un modelo de seguridad que parte del principio «nunca confíes, siempre verifica». Ningún usuario, dispositivo o aplicación recibe acceso por defecto: cada solicitud se autentica, autoriza y cifra de forma continua, sin importar si proviene de dentro o fuera de la red corporativa.

Un Zero-Day (Día Cero) es una vulnerabilidad desconocida por el fabricante para la que aún no existe parche. Los atacantes la explotan antes de que se publique una corrección, por lo que las defensas tradicionales basadas en firmas no la detectan. Se mitiga con sandboxing, EDR/XDR y detección basada en comportamiento.